Découvrez Exegol, une alternative moderne à Kali Linux pour la cybersécurité offensive : un environnement complet dédié au pentest et à la sécurité offensive.

The post Découverte d’Exegol : un environnement dédié à la sécurité offensive first appeared on IT-Connect.

Broadcom a corrigé trois failles de sécurité importantes dans ses produits VMware vCenter et VMware NSX : CVE-2025-41250, CVE-2025-41251 et CVE-2025-41252.

The post VMware vCenter et NSX : 3 vulnérabilités importantes patchées, quels sont les risques ? first appeared on IT-Connect.

Une campagne de malvertising vise à distribuer un faux programme d'installation de Microsoft Teams : il est piégé avec une porte dérobée nommée Oyster.

The post Malvertising : de faux installateurs Microsoft Teams infectent les victimes avec Oyster ! first appeared on IT-Connect.

Anticiper l’imprévisible : des conseils clés pour mieux préparer son entreprise aux interruptions de service. Tribune – KDDI aide les entreprises à sécuriser leurs infrastructures et à se préparer efficacement aux incidents critiques. Dans un contexte où la dépendance aux systèmes d’information ne cesse de s’intensifier, la capacité à maintenir ou à rétablir rapidement l’activité […]

Tous les mardis soir, c’est la même chose dans le petit monde de la cybersécurité : Microsoft balance ses patches, et dès le mercredi matin, c’est la ruée vers l’or pour les experts sécu. Bienvenue dans l’univers déjanté de l’Exploit Wednesday, où des chercheurs du monde entier se transforment en cyber-archéologues pour y déterrer les vulnérabilités avant que les méchants ne s’en emparent afin de coder des exploits.

Et un nouvel outil vient de débarquer pour pimenter cette course folle : Diffrays .

Imaginez… il est 3h du matin, on est mercredi et pendant que vous dormez tranquillement, des milliers de chercheurs en sécurité sont déjà en train de comparer frénétiquement les binaires de Windows fraîchement patchés avec leurs versions vulnérables.

Pourquoi est-ce qu’ils font ça ? Hé bien c’est parce que chaque seconde compte. L’IA a réduit de 40% le temps nécessaire pour identifier une vulnérabilité à partir d’un patch et ce qui prenait des jours prend maintenant des heures, notamment aux cybercriminels, du coup, la course s’est transformée en sprint.

Et c’est là que Diffrays entre en scène. Cet outil, conçu par pwnfuzz, fait ce qu’on appelle du “patch diffing”. Pour les non-initiés, le patch diffing, c’est l’art de comparer deux versions d’un programme pour trouver ce qui a changé. Un peu comme comparer deux photos pour jouer au jeu des 7 différences, sauf que là, on cherche des bugs qui valent potentiellement des millions.

Pour cela, Diffrays utilise IDA Pro et sa nouvelle IDA Domain API pour extraire le pseudocode des fonctions et les comparer de manière structurée. Et ce n’est un vulgaire comparateur de texte…non… Diffrays génère en fait une base de données SQLite complète avec toutes les différences trouvées, et lance même un serveur web local pour naviguer dans les résultats. Vous tapez diffrays diff old.exe new.exe, puis diffrays server --db-path results.sqlite, et hop, vous avez une jolie interface web sur http://localhost:5555 pour explorer ces changements.

Grâce à cet outil, chacun peut savoir exactement comment Microsoft corrige ses bugs. Prenez par exemple l’analyse du driver Clfs.sys montrée dans la documentation de Diffrays . Les chercheurs ont téléchargé deux versions du driver. La première vulnérable (10.0.22621.5037) et la seconde patchée (10.0.22621.5189) puis ont laissé Diffrays faire son travail… Et en quelques minutes, l’outil a identifié exactement quelles fonctions avaient été modifiées et comment.

Évidemment, Diffrays n’est pas seul sur ce marché juteux. Google a son BinDiff , il y a aussi Diaphora, et maintenant même des outils boostés à l’IA comme DeepDiff qui convertissent le code en “embeddings” (des représentations mathématiques) pour trouver des similarités. Mais Diffrays a un avantage, il est open source, gratuit, et surtout, il est conçu spécifiquement pour la recherche. Pas de conneries marketing, juste du code qui fait le taf.

D’ici 2026 , les experts prédisent que le patch diffing assisté par IA sera la norme dans toutes les red teams et programmes de bug bounty. On parle même de plateformes de diffing en temps réel avec des bases de données de vulnérabilités crowdsourcées.

Voilà, donc si vous voulez vous lancer dans ce genre d’analyses comparatives de binaires, sachez que Diffrays est sur GitHub , et qu’il est prêt à transformer vos mercredis matins en séances de fouilles intensives. Et n’oubliez pas… avec un grand pouvoir vient une grande responsabilité ! Sinon, c’est la zonzon, comme pour Sarko !

La résilience du groupe cybercriminel LockBit se confirme avec la découverte de LockBit 5.0, une version capable de cibler Linux, Windows et VMware ESXi.

The post Ransomware LockBit 5.0 : une nouvelle menace pour Windows, Linux et VMware ESXi first appeared on IT-Connect.

Et si je vous disais qu’il existe un futur où vous allez pouvoir vous connecter en SSH à votre serveur de production avec votre compte Google et que celui-ci serait totalement invisible aux yeux du monde ?

Et bien ça arrive bientôt et ça s’appelle SSH3 !

Alors déjà, pas de panique, je vais pas vous sortir le speech classique du “Oh regardez, un nouveau protocole qui va révolutionner le monde”. Non non, l’histoire est beaucoup plus tordue que ça car SSH3, c’est un symptôme d’un phénomène beaucoup plus gros qui est en train de se passer sous notre nez et qui est la “webisation” d’Internet (oui, je viens d’inventer ce mot).

Car pendant que tout le monde s’excitait tous sur ChatGPT et les IA génératives, des chercheurs belges de l’UCLouvain étaient tranquillement en train de planifier la disparition des serveurs SSH de la surface d’Internet. Et je dis bien “disparaître” dans le sens où votre serveur devient invisible aux scans de ports , car votre serveur SSH peut maintenant se planquer derrière ce qui ressemble à un banal site web.

Pour réussir ce tour de magie, SSH3 utilise HTTP/3 et QUIC au lieu du bon vieux protocole SSH traditionnel. Et là vous me dites “Mais Korben, c’est quoi le rapport avec l’invisibilité ?” Bah c’est simple, comme SSH3 tourne sur les mêmes ports que n’importe quel site HTTPS, impossible de distinguer un serveur SSH3 d’un serveur web lambda. Vous pourriez même planquer votre serveur SSH derrière une URL secrète… Tentez ensuite un scan de ports, et vous ne verrez rien de plus qu’un stupide serveur web…

Ce que j’appelle “webisation”, c’est en fait l’absorption totale de l’infrastructure système par les technologies du web. Et même SSH, le protocole le plus fondamental de l’administration système présent depuis 1995, va devoir capituler face à HTTP/3.

C’est la victoire finale du navigateur sur le terminal, et personne n’en cause vraiment… Avec SSH3, vous allez donc pouvoir utiliser vos certificats Let’s Encrypt pour authentifier votre serveur et le GitHub du projet explique que c’est plus sécurisé que les clés d’hôtes SSH classiques car votre terminal vérifiera le certificat comme le fait votre navigateur.

Mais attendez, le délire va encore plus loin puisque OAuth 2.0 et OpenID Connect sont également supportés nativement. Vous allez donc pouvoir vous connecter à votre serveur de prod avec votre compte Google, Microsoft ou GitHub. Et si j’en crois le draft IETF , c’est parfaitement légitime et sécurisé grâce à l’authentification HTTP standard.

Alors évidemment, l’idée de se logger sur un serveur critique avec son compte Gmail, ça peut faire peur mais on fait déjà confiance à ces mêmes providers pour notre authentification partout ailleurs, donc un de plus ou un de moins… Puis j’imagine que vous pourrez aussi mettre en place votre propre provider, ce qui vous permettra d’éviter les GAFAM tout en ayant une gestion plus simple des accès à vos machines.

Au niveau perfs, SSH3 établit une connexion en seulement 3 round-trips contre 5 à 7 pour SSH classique. Sur une connexion avec 100ms de latence, ça fait une différence énorme. Et en bonus SSH3 supporte le port forwarding UDP en plus du TCP. Cela veut dire que vous pouvez enfin “tunneler” du QUIC, du DNS ou du RTP correctement… Ce projet a explosé en décembre 2023 quand François Michel et Olivier Bonaventure ont publié leur papier mais attention, c’est encore expérimental. Les développeurs le répètent partout : Ne mettez pas ça en prod tout de suite !

Alors est-ce qu’on doit s’inquiéter de cette uniformisation des protocoles ?

Peut-être car si tout le monde utilise les mêmes briques de base, une faille dans QUIC ou HTTP/3 pourrait affecter absolument TOUT. Mais d’un autre côté, concentrer les efforts de sécurité sur moins de protocoles, c’est aussi moins de surface d’attaque à surveiller.

Maintenant pour tester SSH3, c’est simple si vous avez Go installé :

go install github.com/francoismichel/ssh3/cmd/...@latest

`ssh3-server -generate-selfsigned-cert localhost`

`ssh3 user@server`

Alors voilà, si vous habitez en Europe et que vous refusez obstinément de passer à Windows 11, j’ai une excellente nouvelle pour vous les amis !! Microsoft vient en effet de céder face à la pression européenne et rend les mises à jour de sécurité étendues (ESU) de Windows 10 complètement gratuites pour les utilisateurs de l’Espace Économique Européen. Oui, vous avez bien lu, gratuit. Enfin presque, on va voir ça…

Pour ceux d’entre vous qui ne savent pas ce que c’est l’EEA, ça regroupe les 27 pays de l’Union Européenne, plus l’Islande, le Liechtenstein et la Norvège. Hé oui, si vous êtes au Royaume-Uni, désolé les gars, mais le Brexit ça se paye aussi en mises à jour Windows apparemment. Vous devrez donc casquer 30 dollars ou utiliser 1000 points Microsoft Rewards comme le reste du monde.

Mais attendez, pourquoi Microsoft fait ça ?

Hé bien parce que le groupe de défense des consommateurs Euroconsumers leur a mis une pression monstre en les accusant d’obsolescence programmée, car ils ont prévu d’arrêter le support en octobre. D’après Euroconsumers , 22% des utilisateurs européens ont encore des PC de 2017 ou avant, et ces machines ne peuvent tout simplement pas faire tourner Windows 11. Microsoft les forçait donc soit à acheter un nouveau PC, soit à prendre de gros risques de sécurité…

Car Windows 10 c’est encore 45% de parts de marché environ, ce qui représente presque la moitié des utilisateurs Windows dans le monde ! Complètement dingue !

À la base, Microsoft a quand même essayé de jouer au plus malin en proposant 3 options aux utilisateurs hors Europe à savoir soit payer 30 dollars, soit échanger 1000 points de fidélité, ou alors, tenez-vous bien… synchroniser toutes leurs données dans le cloud Microsoft (!!). C’était ça ou rien et Euroconsumers a immédiatement crié au scandale en disant que “lier l’accès aux mises à jour de sécurité essentielles à l’engagement avec les propres services de Microsoft” soulevait des doutes “raisonnables” sur le respect du Digital Markets Act européen (DMA).

Bref, Microsoft a plié (ahaha les faibles !) et annonce maintenant que dans l’EEA, les mises à jour seront gratuites jusqu’en octobre 2026. Mais attention, ce n’est pas non plus open bar total, car vous devrez quand même avoir un compte Microsoft et vous connecter au moins une fois tous les 60 jours. Si vous oubliez, paf, plus de mises à jour… C’est le seul compromis un peu mesquin que Microsoft ait réussi à garder.

Et voilà comment votre vieux PC de 2017 qui fait tourner Windows 10 vient de devenir un vrai symbole de résistance !! Microsoft a même publié un communiqué très corporate pour expliquer leur décision : “Dans l’Espace économique européen, nous apportons des modifications au processus d’inscription pour nous assurer qu’il réponde aux attentes locales et offre une expérience sécurisée et rationalisée”.

À vos souhaits !

Bref, on s’est fait taper sur les doigts et on préfère esquiver une joie amende de plusieurs milliards plutôt que de jouer les rebelzzz.

Et pour les utilisateurs hors Europe qui veulent quand même ces mises à jour gratuites, il existe visiblement des scripts open source et des méthodes de contournement dont on reparlera surement plus tard…

Et dire qu’ils auraient pu éviter ce bordel en rendant Windows 11 compatible avec plus de machines, mais non, ils ont voulu forcer leur TPM 2.0 et les processeurs de 8e génération, et voilà, ils se privent de plus de la moitié de leurs utilisateurs qui vont surement migrer sous Linux…

Maintenant pour activer ces mises à jour gratuites si vous êtes en Europe, il faudra aller dans les paramètres de Windows Update après octobre 2025 et suivre le processus d’inscription. Et surtout, n’oubliez pas de vous connecter avec votre compte Microsoft tous les deux mois, sinon vous perdrez l’accès à ces updates… Oui, je sais, la vie est cruelle. Et si vous êtes hors Europe… bah venez habitez chez nous, c’est chouette !

Source

Vous vous souvenez peut-être de mon article récent sur LockPass, le gestionnaire de mots de passe français certifié ANSSI ? Eh bien, à l’approche des Assises de la cybersécurité à Monaco, c’est l’occasion de vous en dire plus sur LockSelf et sa suite d’outils cyber pour la protection des mots de passe et fichiers. Ils seront présents du 8 au 11 octobre 2025 sur l’événement, stand B05.

Car les Assises c’est LE rendez-vous annuel de référence pour tous les professionnels de la cybersécurité. Échanges entre pairs, découverte de nouveaux outils et visibilité sur l’évolution des solutions. C’est donc le moment PARFAIT pour aller les voir. Cette année, avec le thème « FuturS : la cybersécurité au service des métiers et de la création de valeur » , on va enfin arrêter de voir la sécurité comme une contrainte mais plutôt comme un véritable atout business.

D’ailleurs, petite info sympa, qu’il est toujours bon de rappeler, LockSelf propose exceptionnellement un essai gratuit de 30 jours pour l’occasion. Donc vous pouvez vous inscrire ici si vous voulez tester avant de faire le déplacement.

Mais revenons à nos moutons. Pourquoi LockSelf mérite votre attention aux Assises ? Eh bien j’ai identifié trois bonnes raisons qui vont vous faire comprendre pourquoi cette suite française cartonne autant.

Pour commencer, parlons de quelque chose qui va vous faire gagner un temps précieux : la conformité réglementaire. Avec LockSelf, finies les prises de tête avec NIS2, DORA ou ISO 27001. Leur suite vous permet de gérer finement les droits d’accès aux données de votre entreprise, avec des règles granulaires pour chaque utilisateur ou groupe. Que ce soit pour les mots de passe, les fichiers ou les transferts sensibles, vous pouvez limiter, déléguer ou ajuster les permissions selon les rôles, les besoins métiers ou l’appartenance à un service.

Et surtout, leur Dashboard centralisé, c’est de l’or en barre pour les administrateurs. Il centralise en temps réel tous les indicateurs clés de vos modules LockSelf et vous offre une vue panoramique sur la santé et la sécurité de vos données. Plus d’une centaine de métriques à votre disposition, avec suivi des accès, analyse des comportements, traçabilité des actions et reporting. La section “logs” peut même s’exporter et vaut pour preuve en cas d’audit.

LockSelf propose aussi une interconnexion native avec la plateforme SOC Sekoia, et peut s’interfacer avec n’importe quel SIEM/SOC grâce à son API. Plutôt pratique pour centraliser vos informations de sécurité et automatiser la détection des menaces.

Autre point important côté conformité : la gestion des accès partenaires. LockSelf permet de créer des accès temporaires, de partager en mode aveugle et de révoquer ou ajuster les droits à tout moment. Parfait pour sécuriser les collaborations avec des tiers tout en respectant le principe du moindre privilège.

Et pour la continuité d’activité (PCA/PRA), LockFiles facilite les sauvegardes externalisées tandis que LockTransfer met à disposition une plateforme souveraine, déconnectée du SI, pour échanger en cas de crise, ce qui est un énorme avantage pour rester opérationnel même dans un contexte très tendu.

D’ailleurs, ils ont un super cas d’usage d’un de leurs clients sur l’utilisation de LockSelf dans le cadre d’une cyberattaque (résolue en moins de 24h !). Si vous voulez un retour d’expérience concret, c’est ici.

Deuxième point qui va vous parler : l’alternative française à WeTransfer. Vous vous rappelez du tollé de juillet** **2025 ? WeTransfer a modifié ses CGU pour s’autoriser à utiliser vos données pour entraîner leur IA avant de faire machine arrière face à la polémique, mais bon… les entreprises qui manipulent des données sensibles ont vite compris qu’il fallait chercher ailleurs.

C’est là que LockTransfer entre en scène. Cette solution souveraine et sécurisée vous garantit un chiffrement de bout en bout, avec des serveurs hébergés exclusivement en France chez des partenaires reconnus (Scaleway, Outscale) ou directement sur votre infrastructure en On-Premises. Car contrairement à WeTransfer, LockTransfer n’accède à aucun moment à vos données.

Dans le contexte géopolitique actuel, avoir une solution française qui élimine tout risque de fuite liée à des législations extraterritoriales, ce n’est pas du luxe, c’est de la nécessité pure. Et puis, entre nous, montrer pattes blanches sur sa cybersécurité, ça aide aussi à décrocher des contrats avec les grandes entreprises ou les secteurs stratégiques comme la défense ou le spatial.

Troisième atout, et pas des moindres : LockSelf transforme la cybersécurité en avantage business. Comme je vous le disais en intro, c’est pile poil le thème des Assises cette année. On va donc enfin arrêter de voir la cybersécurité comme un frein pour en faire un moteur de création de valeur et LockSelf a cette particularité de répondre aux besoins de la DSI tout en se calquant sur les usages réels des collaborateurs. Résultat, adoption garantie !

Concrètement, c’est du chiffrement des pièces jointes directement dans votre messagerie grâce au plugin Outlook/O365, de l’autocomplétion des champs sur navigateur pour les mots de passe… Bref, des fonctionnalités qui simplifient la vie de vos équipes au lieu de la compliquer.

LockSelf, c’est surtout un éditeur français de solutions de cybersécurité ** certifié CSPN par l’ANSSI**. Cette certification atteste de la robustesse de leurs mécanismes de chiffrement et de la fiabilité de la protection appliquée aux données sensibles. Leur force, c’est donc une solution complète et modulaire : LockPass pour la gestion centralisée des mots de passe, LockTransfer pour l’envoi sécurisé de fichiers, LockFiles pour le stockage chiffré des documents sensibles.

L’approche modulaire permet aux TPE/PME, ETI ou grands groupes de choisir les modules dont elles ont besoin et de renforcer progressivement leur niveau de protection. Et comme tout est développé en France avec un hébergement souverain, vous gardez la maîtrise totale de vos données.

La cybersécurité étant avant tout une fonction “support”, au service des métiers, elle ne doit pas être une barrière mais un levier qui simplifie la vie des collaborateurs, protège les actifs sensibles sans freiner la productivité et c’est pour ça que des outils comme LockSelf vous permettent d’intégrer la cybersécurité comme un atout quotidien pour la sécurité de votre entreprise et la productivité de vos équipes.

Voilà, donc si vous passez aux Assises de la cybersécurité du 8 au 11 octobre 2025, n’hésitez pas à faire un tour sur le stand B05, et à les saluer de ma part ! L’équipe LockSelf sera là pour échanger autour de vos enjeux en matière de gestion des mots de passe, de partage sécurisé de données et de stockage chiffré. Ils pourront également vous accompagner sur l’intégration de leurs solutions dans une stratégie de conformité aux exigences NIS2 et DORA.

En prime, les équipes LockSelf présenteront en avant-première de nouvelles fonctionnalités dédiées à la gestion des accès en entreprise, idéales pour les grands groupes, avant évidemment un déploiement plus large. De quoi avoir un aperçu de ce qui nous attend dans les mois à venir !

À découvrir ici !

Nous assistons depuis quelque temps à une mutation profonde des cybermenaces de plus en plus sophistiquées au sein d’un environnement IT distribué dans un paysage réglementaire croissant. L’enjeu est devenu existentiel. Une brèche de sécurité majeure peut paralyser l’activité d’une entreprise ou d’une organisation pendant des semaines et impacter durablement leur image. En l’occurrence, l’avenir […]

Face à des attaques de plus en plus sophistiquées, se basant sur l’intelligence artificielle, l’automatisation et les menaces persistantes avancées (APT), les mesures de défense réactives classiques sont insuffisantes. Il est crucial pour les organisations d’adopter une approche proactive s’appuyant sur les renseignements sur les menaces (Threat Intelligence, TI). Cette démarche leur permet d’anticiper les […]

L’essor fulgurant de l’intelligence artificielle bouleverse les équilibres dans le monde de la cybersécurité. Si l’IA accélère l’innovation, elle offre aussi aux cybercriminels des moyens inédits pour attaquer, contourner les défenses et s’adapter en temps réel. Pour les RSSI (Responsables de la sécurité des systèmes d’information), ce changement de paradigme impose une nouvelle posture : […]

Bon, on va pouvoir l’avouer maintenant, tous ceux qui se la racontent parce qu’ils peuvent prendre le contrôle à distance de leur joli Mac, ont la même galère depuis que FileVault existe… En effet, après une coupure de courant ou une mise à jour du système, votre super serveur Mac redevient une boite à chaussure jusqu’à ce que quelqu’un déplace son gros cul d’admin sys pour taper le mot de passe sur un clavier tout ça.

Et là, on a Jeff Geerling qui nous annonce l’air de rien qu’Apple vient enfin de “légaliser” la bidouille qu’on utilisait tous en douce à savoir déverrouiller FileVault à distance via SSH dans macOS Tahoe.

Ce qui était donc avant une astuce d’admin système un peu à la one again (script d’autologin / désactiver le chiffrement…etc) devient maintenant une fonctionnalité officielle. Sous macOS 26 Tahoe, si vous activez la “Session à distance” dans les réglages de partage, vous pouvez maintenant vous connecter en SSH avant même que l’utilisateur se soit authentifié. Un admin tape son mot de passe à distance et hop, le Mac démarre complètement. La documentation officielle explique même que le SSH se déconnecte brièvement pendant le montage du volume, puis revient. C’est la classe !

Par contre, petit détail qui tue, c’est censé fonctionner en WiFi mais Jeff Geerling qui a testé l’astuce n’a réussi à se connecter qu’en Ethernet. Il pense qu’en Wifi, ça ne passe pas parce que les clés réseau sont dans le Keychain, qui est lui-même chiffré sur le volume verrouillé. C’est le serpent qui se mord la queue (oui, vous le savez d’expérience, ça fait mal de se mordre la queue)… Du coup, tous ceux qui ont des Mac mini planqués derrière leur télé en mode serveur Plex, vont devoir tirer un petit câble RJ mais bon, vrai bonhomme fait vrai réseau en Ethernet, le Wifi c’est pour les faibles, ouga-ouga !

Si vous avez un joli smartphone OnePlus, vous allez être content d’apprendre qu’il s’y cache une faille critique découverte par Rapid7 ! Et quand je dis critique c’est pas pour rigoler puisque depuis 4 ans, n’importe quelle app sur votre OnePlus peut aspirer tous vos SMS sans que vous ne soyez au courant.

Estampillée CVE-2025-10184, cette faille touche tous les OnePlus équipés de OxygenOS 12 à 15. En 2021, OnePlus a en effet bidouillé le package Telephony d’Android en y ajoutant trois petits passagers clandestins : PushMessageProvider, PushShopProvider et ServiceNumberProvider. Ces trucs n’existaient pas dans Android stock et ont été inventés par les équipes OnePlus / Oppo pour on ne sait quelle raison obscure.

Mais le problème, c’est que ces trois compères ont été codés avec les pieds puisque leurs manifests ne demandent pas la permission READ_SMS pour accéder aux textos. Du coup, n’importe quelle app installée sur le téléphone peut aller fouiller dans les messages comme si c’était tiroir à chaussettes, simplement à l’aide de quelques injections SQL.

Rapid7 a testé ça sur des OnePlus 8T et OnePlus 10 Pro et ça marche nickel. Vos codes de vérification bancaire, vos codes 2FA, vos conversations privées, tout y passe…

Bien sûr, Rapid7 a essayé de contacter OnePlus, 7 fois entre mai et août 2025. Et pas de réponse. OnePlus a fait l’autruche espérant surement que le problème disparaitrait de lui-même… Technique éprouvée, mais qui ne fonctionne pas du tout quand il s’agit de cybersécurité.

C’est donc seulement après la publication publique de la faille en septembre que OnePlus a daigné répondre : “Nous avons lancé une investigation”. Ah ben merci les gars, vous auriez pas pu la lancer 7 mois plus tôt, mais bon, breeef, passons…

Donc à l’heure où j’écris ces lignes, il n’y a toujours pas de correctif. OnePlus continue de vendre des téléphones vulnérables en toute connaissance de cause et tout va bien. Voilà, donc en attendant le patch hypothétique, voici mes quelques conseils de survie :

1. Virez les apps que vous n’utilisez pas
2. Passez aux outils 2FA plutôt que de recevoir vos codes 2FA par SMS
3. Utilisez des messageries chiffrées de bout-en-bout pour vos conversations sensibles

Bref, voilà encore une optimisation marketing qui fout la merde dans un système à la base sûr… Chapeau les artistes !

Source

La Chine a publié ses recommandations sur la forme et la disposition des poignées de portes de voiture, afin de garantir le maximum de sécurité en cas de dysfonctionnement électrique ou d'accident. Le début de la fin des poignées affleurantes ?

Cet article a été réalisé en collaboration avec Bitdefender

Délivrer à son adolescent son premier smartphone est un cap important. Pour s’assurer qu’il en fera bon usage, quelques précautions s’imposent. En voici les principales.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

De nouvelles mises à jour sont disponibles pour Cisco IOS et IOS XE afin de corriger 13 vulnérabilités, dont 1 faille zero-day déjà exploitée (CVE-2025-20352).

The post Patchez Cisco IOS : 13 vulnérabilités, dont 1 faille zero-day SNMP actuellement exploitée ! first appeared on IT-Connect.

Cet article a été réalisé en collaboration avec Bitdefender

Délivrer à son adolescent son premier smartphone est un cap important. Pour s’assurer qu’il en fera bon usage, quelques précautions s’imposent. En voici les principales.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Selon le rapport 2025 de Fortinet sur la sécurité des données les budgets alloués à la sécurité des données ont progressé pour 72 % des entreprises l’an dernier. Pour autant, 41 % d’entre elles ont de nouveau subi de substantielles pertes financières liées à des incidents de données d’origine interne. Malgré des budgets à la […]