Plex subit une nouvelle faille de sécurité avec une fuite de donnée. La plateforme préconise de changer en urgence votre mot de passe sur vos comptes. Cela fait suite à la découverte d'une nouvelle faille exposant les données personnelles. Une attaquant peut accéder aux mails, nom du compte, au mot de passe et toutes les données d'authentification.
" Un tiers non autorisé a accédé à un sous-ensemble limité de données clients provenant de l'une de nos bases de données. Bien que nous ayons rapidement maîtrisé l'incident, les informations consultées comprenaient des adresses e-mail, des noms d'utilisateur, des mots de passe chiffrés de manière sécurisée et des données d'authentification. Tous les mots de passe de compte éventuellement consultés ont été chiffrés de manière sécurisée, conformément aux bonnes pratiques, ce qui signifie qu'ils ne peuvent être lus par un tiers. Par mesure de précaution, nous vous recommandons de prendre des mesures supplémentaires pour sécuriser votre compte. Soyez assuré que nous ne stockons pas de données de carte bancaire sur nos serveurs ; ces informations n'ont donc pas été compromises lors de cet incident." explique PLEX.
Le service préconise de faire un reset du mot de passe si vous faites une authentification directe.
Un ex-responsable sécurité de WhatsApp accuse le groupe d’avoir laissé à des ingénieurs un accès sans contrôle à certaines des données des utilisateurs. Après en avoir alerté sa hiérarchie, il aurait été la cible de représailles jusqu’à son licenciement.
To round off this series of experiments in style, let's dive into the topic of persona creation, asking ourselves how AI could eventually invent someone.
In this article, we try our hand at using other generative AIs besides ChatGPT, moving away from text generation to image creation. Welcome to the era of deep fakes !
Can ChatGPT be used as an assistant in our daily work ? What are its limitations when it comes to more than just jokes ? What questions should we ask ourselves when using a tool such as the one offered by OpenAI ?
In this second part, we return mainly to the topic of IT development, which has caused quite a stir on the internet, detailing the possible uses of ChatGPT with examples.
From writing instructions on how to make a homemade bomb to refusing to provide a list of « bad » gifts to give, ChatGPT, which is being introduced as the representative of the new generation of chatbots, has made its choice.
In this series of articles devoted to the use of generative AI through various experiments, we will first review some general information about these algorithms, then focus on the limitations encountered when using ChatGPT.
In this final part of the series dedicated to generative AI, the LINC presents three experiments that shed light on both the capabilities and the limitations of these new interfaces. The exploration ranges from ChatGPT to MidJourney, drawing on spontaneous inspirations as well as fact-checking across the Internet. Between bad jokes, questionable programming, and identity theft, what can we truly expect from generative AI?
Sitecore prévient qu'une vulnérabilité potentiellement critique touche plusieur services de l'hébergeur. Elle est connue sous le numéro CVE-2025-53690. Il s'agit d'une attaque par désérialisation ViewState suite à une mauvaise configuration d'une clé machine ASP.Net d'exemple publiée dans la documentation. Cette faille permet d'installer le logiciel espion WEEPSTEEL qui donne accès aux données et aux repertoires. Les données contenues par le ViewState sont protégées par une clé machine. Et ici, la clé étant connue, il est facile de faire une attaque. Sitecore précise que les services concernés sont Experience Manager, Experience Platform, Managed Cloud.
L'hébergeur préconise plusieurs actions :
- surveiller les instances et les services pour observer une activité anormale
- changer la clé machine utilisée dans le fichier web.config
- vérifier que les éléments <machineKey> soient chiffrés dans les fichiers web.config
- limiter l'accès au web.config uniquement aux administrateurs
Un message diffusé sur les réseaux sociaux par la mairie de Nozay a mis en garde. La commune rapporte une arnaque grandissante : de faux banquiers appellent des particuliers pour les piéger. Derrière un discours trompeur, ils réussissent à subtiliser cartes bancaires et parfois codes confidentiels.
Les habitants de la commune, comme d’autres en France, sont devenus la cible de cette fraude. La méthode repose sur une manipulation habile. Les escrocs prétextent un paiement frauduleux, puis envoient un prétendu agent récupérer la carte bancaire directement au domicile.
Le scénario est souvent identique et repose sur une mise en scène parfaitement calculée. La victime est informée d’un prétendu paiement suspect et doit réagir immédiatement pour protéger son argent. Les malfaiteurs se présentent avec assurance, parlent le langage bancaire et profitent de l’effet de surprise. Certains habitants, déstabilisés par l’urgence évoquée, cèdent trop vite. Leur confiance envers les institutions devient alors un levier pour les escrocs.
Pourquoi cette méthode fonctionne encore trop souvent
Cette arnaque exploite une réaction humaine universelle : la peur de perdre son argent. En évoquant une menace immédiate, les fraudeurs installent un climat de panique.
Les habitants se trouvent pris entre l’urgence supposée et la pression d’un discours professionnel. La présence d’un « agent » censé venir en personne renforce la crédibilité de la manipulation. Beaucoup n’osent pas vérifier l’appel avant d’obéir.
Plusieurs indices permettent d’identifier cette fraude. D’abord, une banque ne réclame jamais une carteà domicile. Le code confidentiel n’est jamais demandé par téléphone. Ces pratiques sont interdites par toutes les institutions financières.
Les appels surviennent souvent le soir ou le week-end, lorsque les clients sont plus vulnérables. Enfin, l’urgence invoquée doit paraître suspecte. Les banques disposent de procédures encadrées qui n’impliquent jamais une intervention chez leurs clients.
Les victimes ciblées et les réflexes à adopter
Les personnes âgéesconstituent les principales victimes. Leur confiance envers les institutions et une moindre habitude numérique les fragilisent. Cependant, les jeunes actifs ne sont pas à l’abri. Toute personne disposant d’un compte bancaire reste exposée.
Les forces de l’ordre conseillent de ne jamais communiquer ses informations bancaires au téléphone. En cas de doute, il faut raccrocher immédiatement et appeler son agence bancaire avec un numéro officiel.
L’arnaque au faux banquier n’est pas isolée. Elle complète le phishing par SMS ou les faux conseillers téléphoniques. Toutes ces méthodes exploitent la peur, la précipitation et la confiance excessive.
Les associations de consommateurs confirment une augmentation continue des escroqueries liées aux services financiers. Les fraudeurs adaptent leurs pratiques et multiplient les canaux pour atteindre les victimes. Chaque nouvelle arnaque rend la vigilance encore plus indispensable.
Des pertes chiffrées en millions d’euros chaque année
Chaque année, des milliers de Français déclarent avoir été victimes d’arnaques similaires. Les pertes cumulées atteignent plusieurs millions d’euros, avec des conséquences psychologiques durables. Au-delà des sommes perdues, beaucoup témoignent d’un sentiment de honte et d’une perte de confiance. Les institutions bancaires peinent alors à rétablir ce lien essentiel avec leurs clients.
Pour contrer ces fraudes, communes, banques et associations lancent régulièrement des campagnes d’information. La mairie de Nozay illustre cette démarche proactive en alertant ses habitants.
Les experts recommandent aussi d’en parler dans les familles, particulièrement avec les proches âgés. Une simple conversation peut suffire à éviter le pire. La vigilance collective demeure la meilleure défense face aux escroqueries bancaires.
Faux investissements, fraude à l'amour, phishing, escroqueries à l'emploi, faux appels de votre banque ... les trucs à connaitre pour une rentrée sans soucis et surtout sans perdre son argent.
JetBrains avait annoncé début 2025 un partenariat avec Mend.io pour améliorer la sécurité dans les codes sur les différents IDE de l'éditeur et Qodana. Mend.io édite une plateforme de sécurité orientée AppSec. Les équipes ont travaillé à intégrer API Vulnerable et des fonctions d'analyse de code des librairies open source. Ces fonctions sont intégrées dans le plugin Package Checker de Mend.io.
Ce plugin couvre Java, Kotlin, C#, JavaScript, TypeScript, Python. Pour l'activer, il faut aller dans seetins -> editor -> inspections. Il suffit de sélectionner l'inspection souhaitée. Ce faisant, vous pourrez utiliser directement l'analyse AppSec dans vos codes. Package Checker permet également de consulter la liste des vulnérabilités dans une fenêtre dédiée de l'IDE. Il suffit d'utiliser le lien « Afficher tout… ». Cela vous mènera à la fenêtre « Dépendances vulnérables », qui affiche l'état général du projet et fournit des informations sur chaque dépendance vulnérable détectée.
C'est l'Everest de nombreux éditeurs de sécurité avec l'IA, les agents IA et tout ce qui Vibe Coding. La sécurité des codes générés par l'IA est loin d'être acquise. Pis, certains outils dérivent au fur et à mesure des itérations IA. « Les assistants IA comme Copilot ou Cursor permettent à un développeur de produire autant de code que trois à cinq développeurs traditionnels. Mais pendant que la productivité explose, les équipes sécurité restent à taille constante. Résultat : 76 % du code généré par IA nécessite une refonte pour des raisons de sécurité. On ne peut pas faire du vibe coding et accélérer le développement sans repenser en profondeur la sécurisation du code. » explique Fabien Petiau, Country Manager de Checkmarx. « Avec les agents IA, la surface d’attaque dépasse largement le code source : elle englobe désormais toutes les actions invisibles menées par ces agents tout au long du cycle de développement. Exposition de données, actions non autorisées, shadow code, dépendances hallucinées… Le Vibe Coding impose une nouvelle cartographie des risques, difficile à surveiller et encore plus complexe à maîtriser. »
Il faut donc faire du secure by design dès la génération et corriger les problèmes tout de suite. Chechmarx propose pour cela 3 agents dédiés :
Developer Assist Agent (Agent pour développeurs)disponible dès aujourd’hui : intégré aux principaux IDE IA comme Windsurf, Cursor ou encore GitHub Copilot, il fournit aux développeurs une détection, une correction et des recommandations contextuelles en temps réel, directement dans leur environnement de développement. Cette solution permet d’identifier et de sécuriser le code généré par l’IA dès sa création, accélérant le développement sans compromettre la sécurité. Les premiers retours clients, issus des secteurs de la santé, des services financiers et des produits grand public, montrent une détection plus rapide et des remédiations plus efficaces.
Policy Assist Agent (Agent de gouvernance) : orchestre l'application des politiques de sécurité dans les pipelines CI/CD, priorise les failles exploitables, automatise les flux de remédiation et fournit une vue complète de la dette de sécurité.
Insights Assist Agent (Agent analytique exécutif) : offre une vision stratégique avec un suivi en temps réel de la posture de risque sur l’ensemble du portfolio logiciel, l’alignement sur les métriques DORA et MTTR, l’automatisation de la conformité et un reporting clair à destination des comités de direction.
Derrière, l'éditeur entraîne les modèles chaque mois et intègre les vulnérabilités détecturées et référencées.
JFrog a mis en évidence 8 paquets open source malveillants s'attaquer aux données via la version Windows de Chrome. Ces paquets, notamment react-sxt (version 2.4.1), react-typex (version 0.1.0), et react-native-control (version 2.4.1), ont été téléchargés par des utilisateurs malveillants de npm. Ils contenaient un obscurcissement multicouche très sophistiqué, avec plus de 70 couches de code dissimulé, permettant aux attaquants d'exécuter des charges utiles malveillantes sur les machines des développeurs sans interaction avec l’utilisateur.
Ils peuvent :
Vol de données : extraire les données sensibles de tous les profils utilisateur, y compris les mots de passe, les informations de carte de crédit, les cookies et les portefeuilles de cryptomonnaie, depuis le navigateur Chrome.
Techniques d'évasion : utiliser le contournement des clichés instantanés, l'usurpation d'identité LSASS, plusieurs méthodes d'accès aux bases de données et le contournement du verrouillage des fichiers pour éviter la détection.
Exfiltration de données : télécharger les données volées vers des serveurs contrôlés par les pirates, y compris l'infrastructure hébergée par Railway.
« Les référentiels de logiciels open source sont devenus l'un des principaux points d'entrée des pirates dans le cadre des attaques de la chaîne d'approvisionnement, avec des vagues croissantes utilisant le typosquatting et le masquage, en se faisant passer pour légitimes. » a déclaré Guy Korolevski, chercheur en sécurité chez JFrog. « L'impact des campagnes sophistiquées à plusieurs niveaux conçues pour contourner la sécurité traditionnelle et voler des données sensibles souligne l'importance d'avoir une visibilité sur l'ensemble de la chaîne d'approvisionnement logicielle grâce à un scan automatisé rigoureux et à une source unique de vérité pour tous les composants logiciels. »
NPM a été prévenu. Les paquets ont été supprimés. Les utlisateurs les ayant téléchargés doivent impérativement changer les identifiants. Pour l'équipe JFROG, ces paquets montrent une complexité dans le code et les méthodes d'attaques. Les paquets possèdent une obfuscation multiple et des techniques d'évasion avancées.
Protégez vos mots de passe avec Bitdefender SecurePass ici : https://bit.ly/3xQULwa
Il traquait les hackers le jour… et piratait ses propres clients la nuit.
Pepijn van der Stap, alias Umbreon, est l’un des cas les plus troublants de l’histoire de la cybersécurité.
Voici l’histoire vraie d’un prodige devenu l’ennemi public numéro 1.
Changes in the legal framework governing « augmented » cameras invite to a closer look at cameras’ sensors themselves. This article examines new types of sensors that could provide stronger personal data protection measures, in addition to more « conventional », purely algorithmic approaches.
On July 1, 2025, the CNIL's annual academic event took place, bringing together 164 on-site participants and 750 people online. This article aims to review the organization and content of this event.
As with previous editions, the day after Privacy Research Day is an opportunity for us to present the CNIL's activities and to exchange with the conference speakers during a series workshops. The objective of one of these workshops was to address the issue of the protection of personal data within research projects themselves. The exchange led to a shared diagnosis of the difficulties encountered in the field and promising avenues for collaboration to address them.
Une fois de plus, Orange a été victime d'une cyberattaque. Au total, 4 Go de données circulent sur le Dark Web, mais l'opérateur assure qu'elles sont obsolètes ou de sensibilité limitée. Mais ça commence à faire beaucoup…
Le Flipper Zero, un gadget en vente libre sur Internet, affole les experts en cybersécurité. L'outil est détourné par des pirates pour ouvrir les portières de plus de 200 modèles de voitures sans effraction. De quoi faciliter les vols…
Depuis quelques jours, les médias tirent la sonnette d'alarme : 2,5 milliards de comptes Gmail auraient été compromis suite au piratage de Google en juin dernier. Mais la réalité est plus subtile que cela...
Une premier épisode sur une sujet qui risque de revenir régulièrement dans notre podcast, tellement les évolutions dans le domaine sont rapides. Armez-vous contre la manipulation par l'image.
Oui, Chrome peut enregistrer vos mots de passe, mais ne les donnez pas si facilement à des pirates et utilisez un gestionnaire de mots de passe à la place. Voici 5 fonctionnalités peu connues et très utiles. ⏬ Cliquez ci-dessous pour en savoir plus ⏬.
Envie de propulser tes compétences et ta (future) carrière en Cybersécurité/Informatique ?... alors, 👍 POUCE BLEU, ABONNE TOI ET METS LA CLOCHE 🛎️ ► https://www.youtube.com/c/MichelKartner?sub_confirmation=1
▂▂▂▂▂▂ LIENS ▂▂▂▂▂▂
🔒 Site web de LockSelf ► https://www.lockself.com/?utm_source=michelkartner&utm_medium=paid&utm_campaign=influence
☑️ Essai gratuit d'un mois ► https://subscribe.lockself.com/mono-step/funnel?utm_source=michelkartner&utm_medium=paid&utm_campaign=influence&utm_content=videoyoutube&utm_term=5-fonctionnalites-meconnues-gmdp
▂▂▂▂▂▂ DESCRIPTION ▂▂▂▂▂▂
Disposer d'un gestionnaire de mots de passe évite bien des problèmes et nous facilite la vie au quotidien sans avoir à retenir une grande quantité de mots de passe complexes. Les fonctionnalités citées permettent d'aller encore plus loin et d'intégrer des mesures de sécurité supplémentaires. Nous en profitons pour mettre en avant LockPass de LockSelf qui vise les entreprises et permet une gestion fine des accès.
(Promotion rémunérée)
🗨️ On se retrouve dans les COMMENTAIRES pour toutes remarques/questions !
👉 Playlist Hacking éthique - Progresser en cybersécurité, amorcer une carrière ou apprendre par simple intérêt : https://www.youtube.com/playlist?list=PLWf3reNXRVnNCr9nu57LR0PQtm13yGWKq
👉 Playlist Programmation - Apprendre à programmer, quels outils utiliser et bonnes pratiques : https://www.youtube.com/playlist?list=PLWf3reNXRVnPCFLN5dJ-eTQX3EA1-P4GQ
👉 Playlist Anonymat et Données personnelles - Faire les bons choix, révélations et mythes : https://www.youtube.com/playlist?list=PLWf3reNXRVnOeMYIY5zRK_W5Wfx3MxcVj
👨💻 Michel KARTNER est formateur en cybersécurité à l'origine des site Le Blog Du Hacker et Cyberini. Consultant en sécurité informatique junior reconverti en entrepreneur, il cherche à partager ses connaissances dans le but d'aider le plus grand nombre à se protéger contre les cybermenaces et à progresser dans le domaine.
Une faille de sécurité est actuellement active sur 6 célèbres gestionnaires de mots de passe, dont LastPass et 1Password. Elle permet aux pirates de s'emparer de données sensibles, comme les mots de passe et numéros de cartes bancaires.
Auchan a de nouveau été victime d'un piratage, qui a abouti au vol des données personnelles de quelques centaines de milliers de clients. Les cartes de fidélité en particulier risquent d'être détournées pour des tentatives de phishing.
Synacktiv propose un framework orienté pentest : MOFOS. Il permet de créer rapidement des VM sur Libvirt, QEMU, KVM, avec Python. C'est un équivalent à Qubes OS. Mofos est axé sur la gestion sécurisée des machines virtuelles, notamment avec les fonctions suivantes :
- Intégration transparente avec Xpra.
- Un système de presse-papiers permettant l'échange et la réception de contenu entre l'hôte et les machines virtuelles.
- Communication SSH avec les machines virtuelles.
- Restrictions réseau par défaut
Une VM Mofos se compose de deux diques combinés avec OverlayFS. Le premier disque est un disque modèle en lecture seule, tandis que le second stocke toutes les modifications apportées par la machine virtuelle. Ce disque modèle est partagé entre plusieurs machines virtuelles. La création d'une nouvelle machine virtuelle nécessite uniquement le clonage d'un disque vide déjà partitionné pour contenir les données modifiées. Cette approche garantit la création rapide de nouvelles machines virtuelles. Toute mise à jour du modèle sera appliquée aux machines virtuelles dépendantes lors de leur prochain redémarrage.
On peut alors manipuler les VM selon des modèles réseau précis.
Le championnat de France reprend, vendredi soir, avec la rencontre Rennes-Marseille. Depuis plusieurs années, les instances du football et les diffuseurs travaillent de concert pour endiguer les visionnages illégaux de matchs.
Le championnat de France reprend, vendredi soir, avec la rencontre Rennes-Marseille. Depuis plusieurs années, les instances du football et les diffuseurs travaillent de concert pour endiguer les visionnages illégaux de matchs.
« Un monde de pirates » (5/5). Premier secteur culturel touché par le piratage massif, l’industrie musicale a trouvé, avec le streaming payant, une parade efficace. Une évolution à laquelle certains internautes restent tout de même réfractaires.
« Un monde de pirates » (5/5). Premier secteur culturel touché par le piratage massif, l’industrie musicale a trouvé, avec le streaming payant, une parade efficace. Une évolution à laquelle certains internautes restent tout de même réfractaires.
« Un monde de pirates » (4/5). Touché plus tardivement que d’autres secteurs par ce fléau, le sport est confronté à la multitude de retransmissions frauduleuses, de Telegram à l’IPTV. Des utilisateurs de plateformes de streaming dénoncent, eux, une offre légale inadaptée.
« Un monde de pirates » (4/5). Touché plus tardivement que d’autres secteurs par ce fléau, le sport est confronté à la multitude de retransmissions frauduleuses, de Telegram à l’IPTV. Des utilisateurs de plateformes de streaming dénoncent, eux, une offre légale inadaptée.
« Un monde de pirates » (3/5). Les pirates aspirent les contenus de professionnelles de l’érotisme ou de la pornographie pour les diffuser gratuitement. Un phénomène qui concerne parfois des vidéos non consenties.
« Un monde de pirates » (3/5). Les pirates aspirent les contenus de professionnelles de l’érotisme ou de la pornographie pour les diffuser gratuitement. Un phénomène qui concerne parfois des vidéos non consenties.
« Un monde de pirates » (2/5). Les sites sur lesquels les articles scientifiques sont mis à disposition, en toute illégalité, sont très populaires au sein de la communauté universitaire. Rapides, efficaces, ils incarnent l’utopie d’un savoir accessible à tous.
« Un monde de pirates » (2/5). Les sites sur lesquels les articles scientifiques sont mis à disposition, en toute illégalité, sont très populaires au sein de la communauté universitaire. Rapides, efficaces, ils incarnent l’utopie d’un savoir accessible à tous.
Le pétrolier est soupçonné d’avoir endommagé en mer Baltique le câble sous-marin électrique EstLink 2 et quatre câbles de télécommunications reliant la Finlande à l’Estonie le 24 décembre 2024.
La vulnérabilité CVE-2025-8088, avec un score de 8,8, est en cours sur WinRAR. Cette faille est dite "path traversal" et impacte les versions Windows de WinRAR et UnRAR. L'archive contient le code malveillant que peut lors de la décompression s'installer sur l'OS cible et s'activait ! Il ouvre alors un accès de type porte dérobée sur votre Windows. Les codes sourcs UnRAR et la dll sont touchés. Une faille identique avait été reperée et fixée en juin dernier (CVE-2025-6218). Des groupes de hackers russes seront impliqués dans les deux failles.
Les versions 7.12 et plus anciennes sont concernées par cette CVE. Mettez à jour sans délai.
« Un monde de pirates » (1/5). A l’ombre des géants du piratage prolifèrent des plateformes modestes, généralement administrées par de jeunes amateurs décidés à diffuser en toute illégalité des films et des séries.
« Un monde de pirates » (1/5). A l’ombre des géants du piratage prolifèrent des plateformes modestes, généralement administrées par de jeunes amateurs décidés à diffuser en toute illégalité des films et des séries.
Depuis le début des années 2000, ces petits puzzles permettent de distinguer les humains des machines à l’entrée des sites Web. Mais avec l’avancée de l’intelligence artificielle, ils sont de moins en moins efficaces.
