Faisons le tour de la dernière version de l'OWASP Top 10 (2025), une référence incontournable de la sécurité des applications web.

The post Découverte du nouveau OWASP Top 10 (2025) first appeared on IT-Connect.

Ghost in the Shell avait déjà tout compris à la cybersécurité, entre piratage massif, analyse des logiciels malveillants et espionnage 2.0 qui rappellent les méthodes actuelles. Un classique cyberpunk prémonitoire.

Ghost in the Shell avait déjà tout compris à la cybersécurité, entre piratage massif, analyse des logiciels malveillants et espionnage 2.0 qui rappellent les méthodes actuelles. Un classique cyberpunk prémonitoire.

Bonne nouvelle, les amis, Tor vient d’implémenter CGO (Counter Galois Onion) !

Si ça ne vous dit rien, c’est normal, moi non plus je ne connaissais pas, mais je vais tout vous expliquer !

Jusqu’à maintenant, le réseau Tor protégeait votre anonymat avec du chiffrement en oignon. Plusieurs couches de crypto, une par relais et ça marche bien… sauf qu’il existe une technique vicieuse qu’on appelle les attaques par tagging.

Le tagging c’est quand un attaquant modifie votre trafic chiffré à différents endroits du réseau (genre en ajoutant un marqueur invisible dans certains noeuds), puis il observe ce qui sort de l’autre côté pour vous tracer. C’est comme quand vous collez un traceur GPS dans votre voiture, sauf que là c’est des bits dans du trafic chiffré.

Et de son côté, CGO fait encore mieux que de bloquer cette attaque. En effet, il transforme chaque attaque en auto-sabotage ! Si quelqu’un modifie ne serait-ce qu’un seul bit de votre trafic chiffré, tout le message devient illisible. Et pas seulement ce message… tous les messages futurs de la session deviennent du bruit blanc irrécupérable.

Avec ça en place, l’attaquant se tire une balle dans le pied à chaque tentative.

Derrière ce système, il y a 4 cryptographes qui ont bossé très dur : Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam. Ils ont publié leur recherche cette année et ça a été implémenté dans Arti, la version Rust de Tor et l’implémentation C arrive bientôt.

Ce qui change tout, c’est le calcul risque/bénéfice pour les attaquants car avant, tenter de tracer quelqu’un avait peu de conséquences si ça échouait. Mais maintenant, tenter de tracer quelqu’un détruit définitivement votre capacité à surveiller cette personne. Et vous vous en doutez, les agences de surveillance détestent perdre leur accès… Elles préfèrent observer en silence plutôt que de tout casser dans une tentative maladroite. Du coup CGO les force à choisir. Soit rester invisibles, soit tout perdre.

Et puis il y a un autre aspect génial à cette techno, c’est le forward secrecy renforcé que ça engendre car à chaque message, CGO transforme les clés de chiffrement de façon irréversible. Même si un attaquant récupère vos clés actuelles, il ne peut pas déchiffrer les messages précédents car les clés précédentes ont été broyées et remplacées à chaque étape.

CGO remplace aussi l’ancien système d’authentification qui utilisait un digest de 4 bytes par un authenticateur de 16 bytes. C’est donc bien plus costaud et plus difficile à falsifier ainsi qu’à contourner.

Comme d’hab, Tor publie l’algorithme en open source donc vous pouvez vous plonger dans le code si ça vous amuse.

Cette implémentation de CGO est encore expérimentale pour le moment, mais une fois que cela aura été éprouvé par la communauté et testé pendant plusieurs mois, voire des années, ce sera déployé officiellement dans les futurs relais, puis dans les services onion de Tor.

Voilà donc comment Tor fait de chaque tentative de surveillance un auto-sabotage irréversible, et ça les amis, c’est un message qui devrait faire réfléchir pas mal de gens dans des bureaux sans fenêtres.

Source

Découverte de nouvelles attaques ClickFix basées sur des pages Web imitant l'écran Windows Update, tout en dissimulant le malware dans une image au format PNG.

The post Attaques ClickFix : un écran Windows Update pour tromper l’utilisateur et lui voler ses identifiants first appeared on IT-Connect.

Dans un contexte où les cybermenaces se multiplient et se complexifient, les petites et moyennes entreprises se retrouvent souvent en première ligne, sans toujours disposer des moyens humains ou financiers nécessaires pour se protéger efficacement. Face à cette réalité, ReeVo a développé une approche souveraine, cloud-native et entièrement managée, spécifiquement pensée pour répondre aux besoins […]

Nos données sont un véritable capital numérique : photos, documents de travail, copies de factures, mots de passe… Il est essentiel de les protéger. C’est pourquoi pour le Black Friday, pCloud met ses solutions « à vie » en promotion, faites jusqu’à 60 % d’économie !

L’article pCloud : jusqu’à –60 % sur le stockage sécurisé à vie pendant le Black Friday est apparu en premier sur Tom’s Hardware.

Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.

Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu pas mal d’extensions Chrome qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.

Ça ne remplace pas votre bon sens et votre vigilance, mais au moins vous pouvez faire un audit de ce qui tourne déjà dans votre navigateur ou de ce que vous avez prévu d’installer !

Le projet a cartonné dans la communauté bug bounty, car les extensions Chrome sont devenues une mine d’or pour les chasseurs de vulnérabilités et avec des milliers d’extensions sur le Store et des développeurs parfois peu regardants sur la sécurité, il y a du boulot !

Voilà, si vous voulez savoir si vos extensions Chrome sont clean, passez-les au crible avec CRXplorer et si vous découvrez quelque chose de louche, désinstallez ça rapidement, parce que Google ne le fera pas pour vous.

Ah et au fait, n’oubliez pas d’installer Firefox , c’est mieux quand même !

Merci à Lorenper pour le partage !

Un employé de CrowdStrike a été licencié après avoir partagé des captures d’écran des systèmes internes avec les pirates de Scattered Lapsus$ Hunters.

The post Chez CrowdStrike, l’ennemi vient de l’intérieur : un employé a partagé des informations avec des pirates ! first appeared on IT-Connect.

Le 21 novembre 2025, l'Association internationale pour la recherche cryptologique (IACR) s'est fendue d'un communiqué pour annoncer l'annulation de son élection annuelle à la direction. La raison ? Un des membres du comité électoral «a irrémédiablement perdu sa clé privée» permettant d'accéder aux résultats du scrutin.

Le 21 novembre 2025, l'Association internationale pour la recherche cryptologique (IACR) s'est fendue d'un communiqué pour annoncer l'annulation de son élection annuelle à la direction. La raison ? Un des membres du comité électoral «a irrémédiablement perdu sa clé privée» permettant d'accéder aux résultats du scrutin.

Grafana Labs a publié un correctif pour la CVE-2025-41115, une faille de sécurité critique présente dans le mécanisme SCIM de la solution Grafana Enterprise.

The post Grafana : une faille dans SCIM permet d’élever ses privilèges et de devenir admin ! first appeared on IT-Connect.

Découvrez Mon top 8 des scripts NSE essentiels pour renforcer la sécurité de votre système d’information et exploiter pleinement la puissance de Nmap.

The post Nmap : 8 scripts NSE incontournables pour sécuriser votre SI first appeared on IT-Connect.

Le 17 novembre 2025, Google a publié une nouvelle mise à jour pour Google Chrome pour patcher une faille zero-day exploitée par les pirates : CVE-2025-13223.

The post Google a patché une nouvelle faille zero-day exploitée dans le navigateur Chrome (CVE-2025-13223) first appeared on IT-Connect.

Avec la montée en puissance des cyberattaques, la Threat Intelligence (TI) s’impose comme une solution de choix pour faire face à ce risque systémique pour les entreprises. Des tendances et motivations des attaquants aux détails sur leurs techniques, tactiques et procédures d’attaque, la TI permet de transformer des données brutes sur les menaces en renseignements […]

Hé bien les amis, on savait déjà que les LLM avaient quelques petites failles de sécurité, mais celle-là est quand même assez… poétique. En effet, des chercheurs de DEXAI et de l’Université Sapienza de Rome viennent de découvrir que reformuler une requête malveillante sous la forme d’un poème permet de contourner les sécurités dans plus de 90% des cas chez certains fournisseurs d’IA.

L’équipe a ainsi testé la robustesse de 25 modèles de langage provenant de 9 fournisseurs majeurs : Google, OpenAI, Anthropic, DeepSeek, Qwen, Mistral, Meta, xAI et Moonshot et ils ont pour cela converti 1 200 requêtes potentiellement dangereuses en vers et comparé les résultats avec les mêmes demandes mais en prose classique.

Et là surprise ! Le taux de succès des attaques passe de 8% en prose à 43% en formulation poétique. 5x plus de succès, c’est pas rien ! Je me suis demandé comment c’était possible et d’après le doc de recherche, c’est parce que les filtres de sécurité des LLM fonctionnent principalement par pattern-matching sur des formulations classiques.

Ainsi, quand vous demandez en prose comment fabriquer un truc dangereux, le modèle reconnaît la structure et refuse. Mais quand la même demande est enrobée de métaphores condensées, de rythme stylisé et de tournures narratives inhabituelles, les heuristiques de détection passent à côté.

En gros, les garde-fous sont entraînés à repérer des formes de surface mais pas l’intention sous-jacente, qui elle est nuisible. Voici le tableau. Plus c’est rouge plus le modèle est sensible à l’attaque par poème.

ASR c’est le taux de succès de l’attaque.

Bizarrement, les modèles plus petits refusent plus souvent que les gros. GPT-5-Nano (0% de taux de succès d’attaque) fait mieux que GPT-5 (10%)par exemple. Les chercheurs n’expliquent pas vraiment pourquoi, mais ça suggère que la taille du modèle n’est pas forcément synonyme de meilleure sécurité. C’est peut-être aussi parce que les gros modèles sont tellement doués pour comprendre le contexte qu’ils comprennent aussi mieux ce qu’on leur demande de faire, même quand c’est caché dans des alexandrins.

Au niveau des domaines testés, c’est l’injection de code et les attaques cyber qui passent le mieux avec 84% de réussite. Le contenu sexuel reste le plus résistant avec seulement 24% de taux de succès. Les autres domaines comme le CBRN (chimique, biologique, radiologique, nucléaire), la manipulation psychologique et la perte de contrôle se situent entre les deux…

Bon, après faut quand même nuancer un peu car l’étude se limite aux interactions single-turn (c’est à dire en une seule requête, sans réelle conversation), utilise un seul méta-prompt pour la conversion poétique, et n’a testé que l’anglais et l’italien. Les chercheurs reconnaissent aussi que leurs mesures sont conservatives, donc les vrais taux de succès sont probablement plus élevés. Mais cela n’enlève rien au fait que les implications sont quand même sérieuses.

Prochainement, l’équipe prévoit d’analyser précisément quels éléments poétiques provoquent cet effet (la métaphore ? le rythme ? la rime ?), d’étendre les tests à d’autres langues et d’autres styles, et de développer des méthodes d’évaluation plus robustes face à ces “variations linguistiques”.

Bref, si vous voulez que votre IA vous ponde des choses “non autorisées”, écrivez un joli sonnet, ça a plus de chance de passer ^^.

Source

À mesure que les entreprises accélèrent leur migration vers le cloud et les architectures hybrides, la sécurité devient un enjeu stratégique. Les modèles historiques, centrés sur la protection d’un périmètre réseau fixe, ne suffisent alors plus : les environnements sont distribués, les workloads évoluent en continu et les points d’accès se multiplient. La sécurité doit […]

Cet article met en avant des recommandations et des outils que vous pouvez utiliser pour améliorer la sécurité des comptes AD afin d'être conforme au NIS2.

The post Mots de passe, MFA et comptes Active Directory : durcir son environnement pour NIS2 first appeared on IT-Connect.

Des chercheurs autrichiens ont réussi à extraire 3,5 milliards de numéros de téléphone WhatsApp en exploitant une faille dans la découverte de contacts.

The post Cette faille WhatsApp a exposé 3,5 milliards de numéros de téléphone et des données d’utilisateurs first appeared on IT-Connect.