Une nouvelle vulnérabilité (CVE-2026-26012) a été corrigée dans Vaultwarden : elle permet de récupérer les mots de passe chiffrés d'autres collections.
Le post Vaultwarden – CVE-2026-26012 : cette faille expose vos mots de passe aux autres utilisateurs ! a été publié sur IT-Connect.
Bitwarden a révélé une nouvelle opportunité avec son gestionnaire de mots de passe : Cupid Vault. L'idée : faciliter le partage d'identifiants dans un couple.
Le post Bitwarden présente Cupid Vault pour partager ses mots de passe en toute sécurité a été publié sur IT-Connect.
L'ANSSI met à jour sa politique Open Source : découvrez les 4 piliers stratégiques pour renforcer la cybersécurité et la souveraineté par le logiciel libre.
Le post Open Source : l’ANSSI dévoile ses 4 piliers pour une sécurité souveraine a été publié sur IT-Connect.
Apple a colmaté sa première faille zero-day de l'année 2026 : CVE-2026-20700. Quels sont les risques ? Comment se protéger ? Voici l'essentiel à savoir.
Le post CVE-2026-20700 – Apple corrige sa première faille zero-day de 2026 : patchez ! a été publié sur IT-Connect.
Le spyware ZeroDayRAT cible les smartphones Android et iOS : une fois un appareil infecté, les pirates peuvent le contrôler à distance (caméra, GPS, SMS, etc.).
Le post ZeroDayRAT : ce spyware donne un accès complet aux smartphones Android et iOS a été publié sur IT-Connect.
En exploitant la CVE-2026-20841 dans Bloc-notes, un attaquant peut lancer un exécutable sur Windows à l'aide d'un fichier Markdown. Voici comment se protéger.
Le post Une faille dans Bloc-notes permet de lancer un exécutable sur Windows 11 avec un lien Markdown a été publié sur IT-Connect.
Quelques mois à peine après avoir intégré la prise en charge complète de Markdown dans son application Bloc‑notes, Microsoft révèle avoir identifié une faille permettant à cette fonctionnalité d’être exploitée pour exécuter du code à distance.
Quelques mois à peine après avoir intégré la prise en charge complète de Markdown dans son application Bloc‑notes, Microsoft révèle avoir identifié une faille permettant à cette fonctionnalité d’être exploitée pour exécuter du code à distance.
Le 10 février 2026, Fortinet a publié une série de 7 bulletins après avoir patché plusieurs failles dans ses produits, notamment FortiGate et FortiClientEMS.
Le post Fortinet a corrigé 8 failles de sécurité : découvrez les patchs de février 2026 a été publié sur IT-Connect.
Le Patch Tuesday de février 2026 publié par Microsoft corrige au total 59 vulnérabilités, dont 6 failles zero-day. Voici l'essentiel à savoir sur ces failles.
Le post Patch Tuesday – Février 2026 : 59 vulnérabilités corrigées, dont 6 failles zero-day ! a été publié sur IT-Connect.
Sur demande de l'ANSSI, un audit de sécurité approfondi du code source et de l'architecture de HAProxy a été réalisé : la solution est sécurisée et robuste.
Le post À la demande de l’ANSSI, la solution open source HAProxy a été auditée : verdict, le code est blindé ! a été publié sur IT-Connect.
À mesure que les annonces autour des ordinateurs quantiques se multiplient, une question revient : le Bitcoin est-il réellement menacé par le quantique ?
Le post Bitcoin face à la menace quantique : un risque réel ou largement exagéré ? a été publié sur IT-Connect.
Un panneau stop, on se dit que c'est juste un bout de métal avec un peu de peinture rouge. On s'arrête, on repart, et puis voilà. Sauf que pour une IA qui pilote un gros engin à 4 roues, ce simple panneau peut devenir un véritable vecteur de tromperie visuelle !
Car oui je vous avais déjà parlé d'attaques de ce type par le passé, mais là, ça va encore plus loin. En effet, je suis tombé sur une étude des chercheurs de l'UCSC (University of California, Santa Cruz) qui en gros, ont trouvé un moyen d'induire en erreur des voitures autonomes et des drones en collant simplement des instructions sur des panneaux de signalisation customisés. Ils ont baptisé cette classe d'attaque CHAI pour Command Hijacking Against Embodied AI .
C'est un peu le même principe que l'injection de prompts dans un ChatGPT mais appliqué au monde physique et à la perception. Les chercheurs ont utilisé de l'IA pour "optimiser" des commandes comme "proceed" (avance) ou "turn left" (tourne à gauche) et les ont intégrées sur des panneaux en adaptant la police, la couleur ou même l'emplacement du texte pour que l'IA embarquée dans un robot ou une voiture, interprète ça comme un ordre de navigation.
Et là, ça peut faire mal... Car un prototype de véhicule autonome qui déciderait de foncer alors qu'il y a des gens sur un passage piétons juste parce qu'un "plaisantin" a collé un sticker malin sur le panneau d'en face, ça craint un max. Ce serait comme joué à "coucou caché" sur l'autoroute avec un chauffeur de car ^^.
Et nos chercheurs ont testé ça sur le modèle fermé GPT-4o d'OpenAI et le modèle open source InternVL-Chat-V1.5 et les résultats sont sans appel. Sur des simulations de conduite avec le dataset DriveLM, ils ont atteint 81,8% de réussite avec GPT-4o pour faire obéir l'IA à une commande injectée. Même en conditions réelles avec une petite voiture télécommandée équipée d'une caméra dans les couloirs de l'université, le taux de succès grimpe à 92,5% quand le panneau est au sol.
Et les drones ne sont pas épargnés non plus ! En utilisant CloudTrack pour le suivi d'objets, les chercheurs ont réussi à provoquer jusqu'à 95,5% d'erreurs d'identification en manipulant les panneaux sur des cibles.
Pire, ils ont trompé des drones cherchant une zone d'atterrissage sécurisée en plaçant des panneaux "Safe to land" sur des toits remplis de débris. Résultat, 68,1% de succès pour faire croire au drone que la zone était praticable. (genre, atterris là mon petit, c'est tout plat... et bam, le crash)
Ce genre d'attaque me rappelle Charlie Miller et Chris Valasek qui hackaient des Jeep à distance via le réseau mobile. Sauf que là c'est vraiment une attaque physique sur la couche de perception de ces systèmes. Plus besoin de trouver une faille logicielle complexe en fait... Il suffit d'une imprimante, d'un peu de colle et d'un bon emplacement. On est en plein dans ce que je racontais sur LatentBreak et l'hypnose des IA , sauf que là, le patient peut peser plusieurs tonnes.
Attention toutefois, ça ne marche que si l'IA utilise un LVLM (Large Vision Language Model) pour le contrôle direct, à moins que le système ne possède une redondance de capteurs (LiDAR, radar) qui contredirait l'image.
Alors oui, on peut se dire que c'est encore de la recherche et que nos voitures actuelles sont plus complexes. Mais ça montre surtout une fragilité fondamentale de l'IA quand elle doit interpréter le monde réel sans garde-fous stricts. Ces modèles sont tellement entraînés à suivre des instructions qu'ils finissent quasiment toujours par donner la priorité à un texte sur un panneau plutôt qu'aux règles de sécurité de base.
Bref, méfiez-vous des panneaux un peu trop "custom" lors de votre prochaine balade en voiture autonome... et espérons que les constructeurs intégreront vite des systèmes de vérification de cohérence avant que ces stickers ne deviennent la nouvelle arme fatale des hackers de bitume !
Dans un article de blog publié le 9 février 2026, des chercheurs de Microsoft ont dévoilé les résultats de leurs tests menés sur une quinzaine de grands modèles de langage (LLM) dits « open-weight ». Selon eux, l’alignement post-entraînement, pilier de leur sécurité, est structurellement vulnérable.
Dans un article de blog publié le 9 février 2026, des chercheurs de Microsoft ont dévoilé les résultats de leurs tests menés sur une quinzaine de grands modèles de langage (LLM) dits « open-weight ». Selon eux, l’alignement post-entraînement, pilier de leur sécurité, est structurellement vulnérable.
Anthropic a révélé que son modèle d'IA Claude Opus 4.6 était parvenu à identifier plus de 500 failles importantes dans un ensemble de projets open source.
Le post Claude Opus 4.6 : la nouvelle IA d’Anthropic a identifié plus de 500 failles dans des projets Open Source a été publié sur IT-Connect.
En exploitant une faille dans le logiciel SmarterMail, les pirates du gang Warlock sont parvenus à s'introduire sur les serveurs de l'éditeur SmarterTools.
Le post L’éditeur SmarterTools piraté à cause d’une faille dans son propre logiciel a été publié sur IT-Connect.
L'outil CeWL facilite les attaques ciblées grâce à la création d'un dictionnaire de mots de passe spécifique à une entreprise : comment s'en protéger ?
Le post Comment l’outil CeWL peut aider un pirate à générer une wordlist sur mesure pour casser vos mots de passe ? a été publié sur IT-Connect.
Le Health Data Hub, l'entrepôt destiné à centraliser les données de santé des Français, ne sera plus hébergé par Microsoft. Un appel d'offres a été lancé.
Le post Données de santé : le Health Data Hub va quitter Microsoft pour un hébergeur SecNumCloud a été publié sur IT-Connect.
Connexion