Vous vous souvenez de FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8 ?

Si vous avez touché à un PC entre 2001 et 2005, y’a des chances que oui ! C’était LA clé magique qui activait Windows XP sans broncher, celle qui circulait sur tous les forums, qui était sur tous les CD gravés, et toutes les installations pirates de la planète ! Dave Plummer, le gars qui a créé le Gestionnaire des tâches et le système d’activation de produits Windows chez Microsoft, vient de raconter sur son compte X toute l’histoire et c’est un régal à lire !

Déjà, pour les djeuns qui n’ont pas connu cette époque bénie, je vais vous donner un peu de contexte… Windows XP est sorti en octobre 2001 avec un super système d’activation antipiratage. E n gros, vous installiez le système, vous tapiez votre clé produit, et normalement ça vérifiait que vous n’utilisiez pas la même clé sur 50 machines. Sauf que FCKGW, elle, passait partout…. Des installations illimitées, aucune vérification, aucun blocage. Bref, le saint Graal du piratage Windows.

Et pendant des années, personne ne savait vraiment d’où elle venait. Une fuite ? Un employé de Microsoft rebelle ? Un hack génial ? Hé bien selon Dave Plummer, la vérité est à la fois plus simple et plus embarrassante pour Microsoft. En fait, cette clé, c’était une VLK, c’est à dire une Volume License Key. Les VLK ce sont des clés qui étaient faites pour les grandes entreprises qui devaient installer Windows sur des centaines de machines sans se taper l’activation à chaque fois. Microsoft les whitelistait directement dans le code d’activation de l’OS pour qu’elles passent sans contrôle.

Le problème, ou plutôt le GROS FUCKING PROBLEME, c’est que FCKGW a fuité seulement 5 petites semaines AVANT la sortie officielle de Windows XP. Oups la boulette !

C’est le groupe warez devils0wn a mis la main dessus et l’a balancée dans la nature et comme elle était whitelistée, Microsoft ne pouvait pas la désactiver sans casser toutes les installations légitimes des entreprises qui l’utilisaient. Du coup, bah y’avait plus rien à faire et ils ont laissé comme ça…

Dave Plummer explique que ça a été l’un des plus gros échecs de sécurité de Microsoft… la clé a circulé pendant des années, installée sur des millions de machines à travers le monde. Vous alliez chez un pote pour “réparer son PC”, vous sortiez votre CD Windows XP gravé, vous tapiez la FCKGW, et hop, il avait une installation propre et activée. Pas besoin de crack ni de keygen douteux. C’était royal !

Le truc marrant, c’est que pas mal de monde connaissait cette clé par cœur. Perso, j’ai pas été loin non plus de savoir la réciter par cœur les yeux fermés, à force de la taper. FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8 est gravée dans la mémoire collective de toute une génération de bidouilleurs PC, au même titre que les codes de GTA ou que la mélodie du modem 56k.

Voilà pour cette jolie histoire… Aujourd’hui, Windows XP n’est plus supporté depuis 2014, et cette clé ne sert plus à rien et Microsoft s’en fout d’ailleurs probablement. Mais 20 ans plus tard, on s’en souvient encore et c’est devenu un fail légendaire de plus dans l’histoire de l’informatique !

Source

Vous faites du pentest, de la recherche en sécu ou vous êtes juste un curieux qui aime bidouiller des environnements de test ? Dans ce cas, il faut absolument que vous vous montiez un lab cybersécurité ! Mais c’est vai que c’est souvent la galère… Y’a Active Directory à configurer, des VMs Windows à déployer, des réseaux isolés à créer, tout ça manuellement… Ça prend des heures, voire des jours. Heureusement, Ludus règle le problème ! Vous décrivez ce que vous voulez dans un fichier YAML, vous tapez une commande, et hop, votre lab est prêt.

Ludus , c’est donc un système d’automatisation open-source qui tourne sur Proxmox. Vous définissez votre environnement de test (ce qu’ils appellent un “range”) dans un fichier de config, et Ludus s’occupe de tout déployer. Active Directory, machines Windows avec Office et Chocolatey, réseaux isolés, firewall rules personnalisées, DNS interne… Tout ce qu’il faut pour un lab de red team, blue team ou purple team.

Le truc cool, c’est que Ludus utilise Packer et Ansible en arrière-plan. Les templates sont construits à partir d’ISOs vérifiées, et tout est déployé de manière reproductible. Comme ça si vous voulez 255 VLANs, pas de souci. Si vous avez besoin de règles firewall custom ou de définir rôles Ansible pour configurer vos machines, c’est fastoche. Bref, Ludus vous laisse faire du high-level en YAML tout en gérant la complexité technique pour vous.

L’isolation est également bien pensée. Vous pouvez couper vos VMs d’internet, prendre des snapshots avant de leur autoriser l’accès, et ne whitelister que les domaines ou IPs spécifiques dont vous avez besoin. Du coup, pas de télémétrie qui fuit, pas de mises à jour Windows qui cassent votre environnement de test. Vous contrôlez tout !

Pour l’accès, Ludus intègre un serveur WireGuard ce qui vous permettra de vous connecter depuis n’importe où via SSH, RDP, VNC ou KasmVNC. Pratique si vous voulez accéder à votre lab depuis l’extérieur sans exposer vos machines de test sur internet.

Techniquement, ça tourne uniquement sur Debian 12/13 avec Proxmox 8/9. Il vous faudra au minimum 32GB de RAM par range (environnement de test), 200GB de stockage initial plus 50GB par range supplémentaire, et un CPU x86_64 avec un score Passmark au-dessus de 6000. C’est des specs correctes, mais pas non plus délirant si vous montez un serveur dédié pour ça.

Après une fois que c’est en place, le workflow pour les utilisateurs est assez simple. Vous récupérez une clé API et une config WireGuard auprès de l’admin du serveur Ludus, vous installez le client Ludus, vous importez votre VPN, et vous pouvez gérer votre range via la ligne de commande.

Le projet est sous licence AGPLv3, donc full open-source et comme d’hab, le code est sur GitHub . C’est en train de devenir un outil de référence dans la communauté sécu pour qui veut des environnements de test reproductibles.

Bref, si vous en avez marre de passer des heures à configurer vos labs à la main, pensez à Ludus ! Un fichier YAML, une commande vite fait, et votre infrastructure de test est toute prête ! Après, vous pouvez toujours aller bidouiller manuellement dans Proxmox si besoin, Ludus ne vous en empêchera pas, mais pour le gros du boulot chiant, il automatisera tout.

Ah et la documentation est ici !

Si 87 % des professionnels de la cybersécurité s’attendent à ce que l’IA améliore leur efficacité et tempère l’impact de la pénurie de compétences en cybersécurité, ils sont néanmoins conscients qu’une montée en compétences en IA s’impose. Tribune – Fortinet, un des leaders mondiaux de la cybersécurité et acteur majeur de la convergence entre réseau […]

Un nouveau rapport montre que les entreprises qui mettent en œuvre la microsegmentation réduisent les délais de confinement des ransomwares et améliorent les conditions de cyberassurance. Tribune – Akamai Technologies, la société de cybersécurité et de Cloud Computing qui soutient et protège l’activité en ligne, a publié aujourd’hui un nouveau rapport, « Étude d’impact sur […]

86 % des RSSI mondiaux considèrent les métadonnées comme essentielles pour obtenir la visibilité complète dont les organisations ont besoin aujourd’hui. Tribune – Gigamon, un leader de l’observabilité avancée, dévoile une nouvelle étude révélant comment les RSSI redéfinissent les stratégies de cybersécurité pour 2026 afin de sécuriser et de gérer efficacement les infrastructures cloud hybrides à […]

Alors que les Assises de la Cybersécurité battent leur plein à Monaco, Proofpoint, publie son rapport annuel sur l’insécurité dans le secteur de la santé, réalisé en collaboration avec le Ponemon Institute. La quatrième édition de ce rapport annuel révèle que les cybermenaces persistantes constituent des risques cliniques, les attaques continuant de compromettre la sécurité des patients […]

Selon une nouvelle étude d’Insight Enterprises, une crise croissante des compétences en cybersécurité oblige 64% des entreprises de la zone EMEA à recourir à des solutions temporaires et des raccourcis risqués pour répondre aux besoins de sécurité. Le coût élevé des recrutements laisse les entreprises particulièrement exposées Tribune – En France, le problème est tout […]

Le 20 septembre 2025, des pirates sont parvenus à voler des données sur un système utilisé par Discord. À quoi correspondent ces données personnelles ?

The post Fuite de données chez Discord : noms d’utilisateurs, messages, pièces jointes… first appeared on IT-Connect.

À l’occasion du salon des Assises de la cybersécurité, Cybermalveillance.gouv.fr publie les résultats de la 2ème édition du baromètre national de la maturité cyber des TPE-PME, réalisée en partenariat avec la CPME, le MEDEF et l’U2P. L’étude passe en revue l’évolution des entreprises en termes d’équipement, de procédure, d’investissement budgétaire et de façon générale, de […]

Comme vous le savez, Redis c’est un peu le champion du cache mémoire. C’est rapide, c’est efficace, tout le monde l’utilise mais surtout, ça tourne dans 75% des environnements cloud. En gros, 3 serveurs sur 4 dans le cloud l’utilise…

Cool ? Oui sauf quand une faille critique de sécurité pointe le bout de son nez ! Et pas une petite faille, mes amis ! Une faille notée 10 sur 10 en gravité, qui permet d’exécuter du code à distance sur les serveurs.

Estampillée CVE-2025-49844, et joliment baptisée RediShell, cette faille en elle-même est assez technique puiqu’elle repose sur un bug Use-After-Free dans l’interpréteur Lua intégré à Redis. En gros, un attaquant authentifié peut envoyer un script Lua malveillant qui vient manipuler le garbage collector, provoque un accès mémoire après libération, et permet ainsi d’exécuter du code arbitraire sur le serveur.

C’est de la RCE complète salade tomates oignons, avec sauce système compromis !

Le truc, c’est que ce bug dormait dans le code depuis 13 ans dès que Redis a intégré Lua en 2012 dans la version 2.6.0. Donc pendant tout ce temps, des millions de serveurs Redis dans le monde entier avaient cette vulnérabilité activée par défaut.

Et les chiffres donnent le vertige car d’après les scans de Wiz Research, environ 330 000 instances Redis sont exposées directement sur Internet. Et sur ces 330 000, au moins 60 000 n’ont même pas d’authentification activée. Donc autant dire qu’elles sont ouvertes à tous les vents et que les serveurs qui se cachent derrière aussi…

Toute l’infrastructure cloud moderne repose sur une poignée de briques open source critiques, et ça marche tellement bien qu’on en met partout et on finit souvent par oublier à quel point c’est fragile… On l’a déjà vu par exemple avec Log4Shell qui a touché des millions de serveurs Java en 2021, puis avec Heartbleed dans OpenSSL en 2014. Et on a failli le voir avec la backdoor XZ Utils découverte in extremis en 2024.

À chaque fois, c’est le même schéma où un composant open source critique, utilisé partout, et maintenu par une équipe minuscule (souvent 1 à 5 personnes), se retrouve avec un bug qui expose des pans entiers de l’infrastructure mondiale d’Internet… Argh !

Maintenant, la bonne nouvelle , c’est que Redis a publié des patchs pour toutes les versions maintenues : 6.2.20, 7.2.11, 7.4.6, 8.0.4 et 8.2.2. Donc si vous utilisez Redis, c’est le moment de mettre à jour !! Et pendant que vous y êtes, activez aussi l’authentification avec la directive requirepass, et désactivez les commandes Lua si vous ne les utilisez pas. Vous pouvez faire ça via les ACL Redis ou simplement en révoquant les permissions de scripting.

La découverte de RediShell a été faite par Wiz Research lors du Pwn2Own de Berlin en mai 2025. Alerté, Redis a publié son bulletin de sécurité le 3 octobre dernier, et Wiz a rendu public les détails le 6 octobre. Une Timeline propre, une divulgation responsable, bref tout s’est bien passé de ce côté-là…

Maintenant pour réduire ce genre de risque à terme, je pense que ce serait cool si les géants d’Internet finançaient un peu plus directement les mainteneurs de ces briques logiciels essentielle, ainsi que des audits de l’ OpenSSF car pour le moment, on est loin du compte ! Redis est patché, heureusement, mais on sait aussi que la prochaine faille critique dans un de ces composants critiques, c’est une nouvelle fois, juste une question de temps…

Source

Je sais pas si vous avez vu ça hier mais Google DeepMind vient de sortir CodeMender , un agent IA qui repère et corrige automatiquement les failles de sécurité dans votre code. L’outil analyse les vulnérabilités, génère les patches, vérifie qu’ils cassent rien, et soumet le tout aux mainteneurs de projets open source.

D’après leurs premiers retours, en 6 mois, CodeMender a déjà upstreamé 72 correctifs de sécurité sur des projets qui comptent jusqu’à 4,5 millions de lignes de code.

Pour bien comprendre comment ça fonctionne, CodeMender fonctionne sur deux modes. Il y a le mode réactif qui patche instantanément les nouvelles vulnérabilités découvertes, avec de l’analyse de programme avancée et un système multi-agents qui évalue la correction sous tous les angles. Et le mode proactif qui réécrit le code existant pour utiliser des structures de données et des APIs plus sécurisées, en appliquant par exemple des annotations de compilateur comme -fbounds-safety qui ajoutent des vérifications de limites automatiques.

L’outil s’appuie sur Gemini Deep Think , l’un des modèles de raisonnement avancé de Google et CodeMender combine plusieurs techniques d’analyse : static analysis pour repérer les patterns suspects dans le code source, dynamic analysis pour observer le comportement à l’exécution, fuzzing pour balancer des inputs aléatoires et voir ce qui casse, differential testing pour comparer le code modifié avec l’original, et des solveurs SMT pour vérifier formellement certaines propriétés du code.

Le truc intéressant avec CodeMender, c’est le process de validation. L’agent utilise ce qu’ils appellent un “LLM judge” qui vérifie que le patch proposé ne casse pas les fonctionnalités existantes. Le système compare l’original et la version modifiée, détecte les différences, et valide que le changement corrige bien la vulnérabilité sans y introduire des régressions. Et si un problème est détecté, CodeMender s’auto-corrige et retente sa chance.

La faille zero-day (CVE-2025-10035) découverte dans GoAnywhere MFT est exploitée par le groupe Storm-1175 : le ransomware Medusa est utilisé dans certains cas.

The post Faille critique GoAnywhere : Microsoft alerte sur des attaques par ransomware ! first appeared on IT-Connect.

Une faille zero-day a été découverte dans la solution Oracle E-Business Suite : CVE-2025-61882. Le problème : le groupe Cl0p l'exploite pour voler des données !

The post Oracle : une faille zero-day est exploitée par le ransomware Cl0p pour voler des données ! first appeared on IT-Connect.

Vous vous souvenez de cette règle de base en informatique, que je vous rabâche régulièrement, et qui dit de toujours avoir plusieurs sauvegardes de vos données critiques ?

Hé bien apparemment, le gouvernement sud-coréen a zappé ce cours, car le 26 septembre dernier, un incendie s’est produit au centre de données NIRS (National Information Resources Service) à Daejeon et a cramé 858 téraoctets de fichiers gouvernementaux . Et y’a pas de backup. Nada.

Le feu a démarré pendant une opération de maintenance sur une batterie lithium-ion dans laquelle une cellule a lâché , déclenchant ce qu’on appelle un emballement thermique… En gros, la batterie s’est transformée en bombe incendiaire et le brasier s’est propagé dans la salle serveur du cinquième étage, faisant tomber 647 services en ligne gouvernementaux d’un coup. Parmi eux, 96 systèmes critiques ont été directement détruits, et 551 autres ont été coupés préventivement pour éviter que la chaleur les bousille aussi.

Le système qui a morflé le plus, c’est G-Drive, le cloud de stockage utilisé par les fonctionnaires sud-coréens depuis 2018. Environ 750 000 employés du gouvernement central peuvent stocker leurs documents de travail dessus, mais seulement 125 000 l’utilisaient vraiment. Chacun disposait d’environ 30 Go d’espace de stockage, ce qui fait qu’au total le système contenait 858 To de données de travail accumulées sur huit ans.

Snif…

Mais attendez, je ne vous ai pas encore donné la raison pour laquelle il n’y avait aucune sauvegarde externe. En fait, leur G-Drive est conçu comme un système de stockage haute capacité, mais basse performance, et ils ont des contraintes réglementaires qui imposent un stockage exclusif sur cette plateforme afin d’éviter les fuites de données.

Autrement dit, pour se prémunir contre les risques de fuite, ils ont créé un point de défaillance unique. Bravo !

Du coup, quand l’incendie a détruit les serveurs physiques, tout est parti en fumée. Huit ans de documents de travail pour certains ministères, qui ont été complètement perdus… C’est surtout le ministère de la Gestion du Personnel qui s’est pris la claque la plus violente parce qu’il avait rendu obligatoire le stockage de tous les documents sur G-Drive uniquement. D’autres organismes comme le Bureau de Coordination des Politiques Gouvernementales, qui utilisaient moins la plateforme, ont moins souffert.

Bref, les autorités essaient maintenant de récupérer ce qu’elles peuvent depuis d’autres sources. Y’a des petits bouts de fichiers sauvegardés localement sur les ordinateurs personnels des fonctionnaires le mois précédent, les emails, les documents officiels validés et les archives papier… Bref, pour tous les documents officiels passés par des processus d’approbation formels, il y a un espoir de récupération via leur système OnNara (un autre système gouvernemental qui stocke les rapports finaux), mais pour tout le reste (brouillons, fichiers de travail en cours, notes internes…etc.) c’est mort de chez mort…

Le ministère de l’Intérieur a expliqué que la plupart des systèmes du centre de Daejeon sont normalement sauvegardés quotidiennement sur des équipements séparés dans le même centre ET dans une installation de backup distante. Mais G-Drive, lui, n’avait pas, comme je vous le disais, cette possibilité.

Évidemment, cet incident a déclenché une vague de critiques acerbes sur la gestion des données gouvernementales sud-coréennes. Un système de backup en miroir en temps réel qui duplique le serveur principal pour assurer la continuité de service en cas de panne, était complètement absent de l’infrastructure et pour un système aussi critique que le stockage de documents de 750 000 fonctionnaires, c’est difficilement compréhensible.

Voilà donc le gouvernement estime qu’il faudra jusqu’à un mois pour récupérer complètement les 96 systèmes de base directement endommagés par l’incendie et pour G-Drive et ses 858 To de données, par contre, c’est une autre histoire, car sans backup, les données sont définitivement perdues.

De plus, cet incendie déclenche actuellement un genre d’examen mondial des batteries lithium-ion dans les datacenters et des architectures de plan de reprise d’activité (PRA). Les batteries lithium-ion sont en effet utilisées partout pour l’alimentation de secours, mais leur risque d’emballement thermique en cas de défaillance pose de sérieuses questions sur leur place dans des infrastructures critiques…

Bref, je souhaite bon courage aux Coréens, et j’espère que tout le monde saura tirer des enseignements de ce malheureux incendie…

Source

Une faille de sécurité critique (CVE-2025-49844) a été découverte dans Redis : elle expose des milliers d'instances à une exécution de code à distance.

The post RediShell : cette faille de sécurité critique dans Redis met en péril des milliers de serveurs ! first appeared on IT-Connect.

Découvrons les notions d’IAM et d’ITDR pour la sécurité de la gestion des identités au sein de l’Active Directory et en quoi elles sont complémentaires.

The post Active Directory : IAM + ITDR, le duo gagnant pour sécuriser vos identités first appeared on IT-Connect.

En octobre 2016, un développeur suisse connu sous le pseudo swisskyrepo a commencé à compiler ses notes de pentester dans un dépôt GitHub. Rien de révolutionnaire au départ, juste un mec qui en avait marre de chercher la même injection SQL pour la 50ème fois dans ses notes. Mais ce qui est cool c’est qu’au fur et à mesure des années, il a structuré ça proprement avec une section par type de vulnérabilité, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets…etc.

Ça s’appelle Payloads All The Things, et c’est accessible ici .

Ce qui était donc au départ un simple carnet de notes personnel est devenu THE référence mondiale en cybersécurité offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C’est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la sécurité offensive, celle qu’on cite dans tous les cours de certification OSCP, celle qu’on consulte pendant les CTF, celle qu’on recommande aux débutants…

Avant PayloadsAllTheThings, le savoir en cybersécurité offensive était soit verrouillé dans des formations hors de prix à 5 000 boules, soit éparpillé dans des recoins obscurs du web, soit jalousement gardé par des pentesters qui pètent plus haut que leur cul… Des pêt-testeurs quoi…

SwisskyRepo a d’ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible à tous. Et le contenu, c’est du lourd !

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL…), XSS avec les bypasses de filtres, SSRF avec les techniques d’exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks…etc… La liste est hallucinante.

Chaque section est structurée comme un cookbook technique avec le contexte de la vulnérabilité, les payloads classés par type, les bypasses pour contourner les protections, des exemples concrets, et les références vers les CVE ou les articles de recherche.

Par exemple, si vous voulez exploiter un serveur Redis mal configuré, il y a une section pour ça. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez à pivoter dans un réseau interne après avoir compromis une machine, tout est documenté en anglais sur ce site.

Mais swisskyrepo ne s’est pas arrêté là. Son projet a muté en écosystème puisqu’il a aussi créé InternalAllTheThings , un wiki dédié au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques…).

Et également HardwareAllTheThings , le même genre de wiki mais sur la sécurité hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire…

Bref, tout ce qu’il faut savoir pour hacker des objets connectés, des cartes à puce ou des systèmes embarqués.

Du coup, avec cette famille complète de “AllTheThings”, on couvre toute la surface d’attaque moderne, le web, l’infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?

Bien, sûr c’est à utiliser dans un cadre légal, sinon, vous irez en prison ! C’est pas un forum de script kiddies qui échangent des zero-days volés, c’est une vraie bibliothèque technique pour les professionnels et les étudiants en cybersécurité.

Grâce à ça, un étudiant motivé peut devenir compétent en sécurité offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conférences enregistrées (DEF CON, Black Hat) pour rester à jour.

Le savoir se libère, n’en déplaise aux relous ! Moi je trouve que c’est cool, car ça vulgarise les connaissances, ça les mets à la portée de tous et c’est tant mieux.

Donc un grand merci à SwisskyRepo d’avoir lancé ce projet !

Un nouveau malware WhatsApp surnommé SORVEPOTEL a été repéré. Sa particularité : l'infection implique Windows et il se propage à tous les contacts WhatsApp.

The post WhatsApp : le malware SORVEPOTEL se propage automatiquement à tous les contacts ! first appeared on IT-Connect.

Sur YouTube, une armée de bots prend systématiquement d'assaut la section commentaires de nombreux médias et créateurs contenu. Ces comptes, aux photos de profils très suggestives, publient leurs commentaires dans les premières minutes qui suivent la publication des vidéos. La chaîne YouTube de Numerama n'est pas épargnée, on a donc décidé de découvrir les menaces cyber qui se cachent derrière ces commentaires parasites.