– Article en partenariat avec LockSelf –

Vous vous souvenez peut-être de mon article récent sur LockPass, le gestionnaire de mots de passe français certifié ANSSI ? Eh bien, à l’approche des Assises de la cybersécurité à Monaco, c’est l’occasion de vous en dire plus sur LockSelf et sa suite d’outils cyber pour la protection des mots de passe et fichiers. Ils seront présents du 8 au 11 octobre 2025 sur l’événement, stand B05.

Car les Assises c’est LE rendez-vous annuel de référence pour tous les professionnels de la cybersécurité. Échanges entre pairs, découverte de nouveaux outils et visibilité sur l’évolution des solutions. C’est donc le moment PARFAIT pour aller les voir. Cette année, avec le thème « FuturS : la cybersécurité au service des métiers et de la création de valeur » , on va enfin arrêter de voir la sécurité comme une contrainte mais plutôt comme un véritable atout business.

D’ailleurs, petite info sympa, qu’il est toujours bon de rappeler, LockSelf propose exceptionnellement un essai gratuit de 30 jours pour l’occasion. Donc vous pouvez vous inscrire ici si vous voulez tester avant de faire le déplacement.

Mais revenons à nos moutons. Pourquoi LockSelf mérite votre attention aux Assises ? Eh bien j’ai identifié trois bonnes raisons qui vont vous faire comprendre pourquoi cette suite française cartonne autant.

Pour commencer, parlons de quelque chose qui va vous faire gagner un temps précieux : la conformité réglementaire. Avec LockSelf, finies les prises de tête avec NIS2, DORA ou ISO 27001. Leur suite vous permet de gérer finement les droits d’accès aux données de votre entreprise, avec des règles granulaires pour chaque utilisateur ou groupe. Que ce soit pour les mots de passe, les fichiers ou les transferts sensibles, vous pouvez limiter, déléguer ou ajuster les permissions selon les rôles, les besoins métiers ou l’appartenance à un service.

Et surtout, leur Dashboard centralisé, c’est de l’or en barre pour les administrateurs. Il centralise en temps réel tous les indicateurs clés de vos modules LockSelf et vous offre une vue panoramique sur la santé et la sécurité de vos données. Plus d’une centaine de métriques à votre disposition, avec suivi des accès, analyse des comportements, traçabilité des actions et reporting. La section “logs” peut même s’exporter et vaut pour preuve en cas d’audit.

LockSelf propose aussi une interconnexion native avec la plateforme SOC Sekoia, et peut s’interfacer avec n’importe quel SIEM/SOC grâce à son API. Plutôt pratique pour centraliser vos informations de sécurité et automatiser la détection des menaces.

Autre point important côté conformité : la gestion des accès partenaires. LockSelf permet de créer des accès temporaires, de partager en mode aveugle et de révoquer ou ajuster les droits à tout moment. Parfait pour sécuriser les collaborations avec des tiers tout en respectant le principe du moindre privilège.

Et pour la continuité d’activité (PCA/PRA), LockFiles facilite les sauvegardes externalisées tandis que LockTransfer met à disposition une plateforme souveraine, déconnectée du SI, pour échanger en cas de crise, ce qui est un énorme avantage pour rester opérationnel même dans un contexte très tendu.

D’ailleurs, ils ont un super cas d’usage d’un de leurs clients sur l’utilisation de LockSelf dans le cadre d’une cyberattaque (résolue en moins de 24h !). Si vous voulez un retour d’expérience concret, c’est ici.

Deuxième point qui va vous parler : l’alternative française à WeTransfer. Vous vous rappelez du tollé de juillet** **2025 ? WeTransfer a modifié ses CGU pour s’autoriser à utiliser vos données pour entraîner leur IA avant de faire machine arrière face à la polémique, mais bon… les entreprises qui manipulent des données sensibles ont vite compris qu’il fallait chercher ailleurs.

C’est là que LockTransfer entre en scène. Cette solution souveraine et sécurisée vous garantit un chiffrement de bout en bout, avec des serveurs hébergés exclusivement en France chez des partenaires reconnus (Scaleway, Outscale) ou directement sur votre infrastructure en On-Premises. Car contrairement à WeTransfer, LockTransfer n’accède à aucun moment à vos données.

Dans le contexte géopolitique actuel, avoir une solution française qui élimine tout risque de fuite liée à des législations extraterritoriales, ce n’est pas du luxe, c’est de la nécessité pure. Et puis, entre nous, montrer pattes blanches sur sa cybersécurité, ça aide aussi à décrocher des contrats avec les grandes entreprises ou les secteurs stratégiques comme la défense ou le spatial.

Troisième atout, et pas des moindres : LockSelf transforme la cybersécurité en avantage business. Comme je vous le disais en intro, c’est pile poil le thème des Assises cette année. On va donc enfin arrêter de voir la cybersécurité comme un frein pour en faire un moteur de création de valeur et LockSelf a cette particularité de répondre aux besoins de la DSI tout en se calquant sur les usages réels des collaborateurs. Résultat, adoption garantie !

Concrètement, c’est du chiffrement des pièces jointes directement dans votre messagerie grâce au plugin Outlook/O365, de l’autocomplétion des champs sur navigateur pour les mots de passe… Bref, des fonctionnalités qui simplifient la vie de vos équipes au lieu de la compliquer.

LockSelf, c’est surtout un éditeur français de solutions de cybersécurité ** certifié CSPN par l’ANSSI**. Cette certification atteste de la robustesse de leurs mécanismes de chiffrement et de la fiabilité de la protection appliquée aux données sensibles. Leur force, c’est donc une solution complète et modulaire : LockPass pour la gestion centralisée des mots de passe, LockTransfer pour l’envoi sécurisé de fichiers, LockFiles pour le stockage chiffré des documents sensibles.

L’approche modulaire permet aux TPE/PME, ETI ou grands groupes de choisir les modules dont elles ont besoin et de renforcer progressivement leur niveau de protection. Et comme tout est développé en France avec un hébergement souverain, vous gardez la maîtrise totale de vos données.

La cybersécurité étant avant tout une fonction “support”, au service des métiers, elle ne doit pas être une barrière mais un levier qui simplifie la vie des collaborateurs, protège les actifs sensibles sans freiner la productivité et c’est pour ça que des outils comme LockSelf vous permettent d’intégrer la cybersécurité comme un atout quotidien pour la sécurité de votre entreprise et la productivité de vos équipes.

Voilà, donc si vous passez aux Assises de la cybersécurité du 8 au 11 octobre 2025, n’hésitez pas à faire un tour sur le stand B05, et à les saluer de ma part ! L’équipe LockSelf sera là pour échanger autour de vos enjeux en matière de gestion des mots de passe, de partage sécurisé de données et de stockage chiffré. Ils pourront également vous accompagner sur l’intégration de leurs solutions dans une stratégie de conformité aux exigences NIS2 et DORA.

En prime, les équipes LockSelf présenteront en avant-première de nouvelles fonctionnalités dédiées à la gestion des accès en entreprise, idéales pour les grands groupes, avant évidemment un déploiement plus large. De quoi avoir un aperçu de ce qui nous attend dans les mois à venir !

À découvrir ici !

Nous assistons depuis quelque temps à une mutation profonde des cybermenaces de plus en plus sophistiquées au sein d’un environnement IT distribué dans un paysage réglementaire croissant. L’enjeu est devenu existentiel. Une brèche de sécurité majeure peut paralyser l’activité d’une entreprise ou d’une organisation pendant des semaines et impacter durablement leur image. En l’occurrence, l’avenir […]

The post Le nouveau visage de la cybersécurité first appeared on UnderNews.

Face à des attaques de plus en plus sophistiquées, se basant sur l’intelligence artificielle, l’automatisation et les menaces persistantes avancées (APT), les mesures de défense réactives classiques sont insuffisantes. Il est crucial pour les organisations d’adopter une approche proactive s’appuyant sur les renseignements sur les menaces (Threat Intelligence, TI). Cette démarche leur permet d’anticiper les […]

The post Threat Intelligence : un outil utile pour 84 % des entreprises françaises mais des lacunes à combler first appeared on UnderNews.

L’essor fulgurant de l’intelligence artificielle bouleverse les équilibres dans le monde de la cybersécurité. Si l’IA accélère l’innovation, elle offre aussi aux cybercriminels des moyens inédits pour attaquer, contourner les défenses et s’adapter en temps réel. Pour les RSSI (Responsables de la sécurité des systèmes d’information), ce changement de paradigme impose une nouvelle posture : […]

The post Sécurité et intelligence artificielle : pourquoi les RSSI doivent passer à l’offensive first appeared on UnderNews.

Bon, on va pouvoir l’avouer maintenant, tous ceux qui se la racontent parce qu’ils peuvent prendre le contrôle à distance de leur joli Mac, ont la même galère depuis que FileVault existe… En effet, après une coupure de courant ou une mise à jour du système, votre super serveur Mac redevient une boite à chaussure jusqu’à ce que quelqu’un déplace son gros cul d’admin sys pour taper le mot de passe sur un clavier tout ça.

Et là, on a Jeff Geerling qui nous annonce l’air de rien qu’Apple vient enfin de “légaliser” la bidouille qu’on utilisait tous en douce à savoir déverrouiller FileVault à distance via SSH dans macOS Tahoe.

Ce qui était donc avant une astuce d’admin système un peu à la one again (script d’autologin / désactiver le chiffrement…etc) devient maintenant une fonctionnalité officielle. Sous macOS 26 Tahoe, si vous activez la “Session à distance” dans les réglages de partage, vous pouvez maintenant vous connecter en SSH avant même que l’utilisateur se soit authentifié. Un admin tape son mot de passe à distance et hop, le Mac démarre complètement. La documentation officielle explique même que le SSH se déconnecte brièvement pendant le montage du volume, puis revient. C’est la classe !

Par contre, petit détail qui tue, c’est censé fonctionner en WiFi mais Jeff Geerling qui a testé l’astuce n’a réussi à se connecter qu’en Ethernet. Il pense qu’en Wifi, ça ne passe pas parce que les clés réseau sont dans le Keychain, qui est lui-même chiffré sur le volume verrouillé. C’est le serpent qui se mord la queue (oui, vous le savez d’expérience, ça fait mal de se mordre la queue)… Du coup, tous ceux qui ont des Mac mini planqués derrière leur télé en mode serveur Plex, vont devoir tirer un petit câble RJ mais bon, vrai bonhomme fait vrai réseau en Ethernet, le Wifi c’est pour les faibles, ouga-ouga !

Si vous avez un joli smartphone OnePlus, vous allez être content d’apprendre qu’il s’y cache une faille critique découverte par Rapid7 ! Et quand je dis critique c’est pas pour rigoler puisque depuis 4 ans, n’importe quelle app sur votre OnePlus peut aspirer tous vos SMS sans que vous ne soyez au courant.

Estampillée CVE-2025-10184, cette faille touche tous les OnePlus équipés de OxygenOS 12 à 15. En 2021, OnePlus a en effet bidouillé le package Telephony d’Android en y ajoutant trois petits passagers clandestins : PushMessageProvider, PushShopProvider et ServiceNumberProvider. Ces trucs n’existaient pas dans Android stock et ont été inventés par les équipes OnePlus / Oppo pour on ne sait quelle raison obscure.

Mais le problème, c’est que ces trois compères ont été codés avec les pieds puisque leurs manifests ne demandent pas la permission READ_SMS pour accéder aux textos. Du coup, n’importe quelle app installée sur le téléphone peut aller fouiller dans les messages comme si c’était tiroir à chaussettes, simplement à l’aide de quelques injections SQL.

Rapid7 a testé ça sur des OnePlus 8T et OnePlus 10 Pro et ça marche nickel. Vos codes de vérification bancaire, vos codes 2FA, vos conversations privées, tout y passe…

Bien sûr, Rapid7 a essayé de contacter OnePlus, 7 fois entre mai et août 2025. Et pas de réponse. OnePlus a fait l’autruche espérant surement que le problème disparaitrait de lui-même… Technique éprouvée, mais qui ne fonctionne pas du tout quand il s’agit de cybersécurité.

C’est donc seulement après la publication publique de la faille en septembre que OnePlus a daigné répondre : “Nous avons lancé une investigation”. Ah ben merci les gars, vous auriez pas pu la lancer 7 mois plus tôt, mais bon, breeef, passons…

Donc à l’heure où j’écris ces lignes, il n’y a toujours pas de correctif. OnePlus continue de vendre des téléphones vulnérables en toute connaissance de cause et tout va bien. Voilà, donc en attendant le patch hypothétique, voici mes quelques conseils de survie :

1. Virez les apps que vous n’utilisez pas
2. Passez aux outils 2FA plutôt que de recevoir vos codes 2FA par SMS
3. Utilisez des messageries chiffrées de bout-en-bout pour vos conversations sensibles

Bref, voilà encore une optimisation marketing qui fout la merde dans un système à la base sûr… Chapeau les artistes !

Source

La Chine a publié ses recommandations sur la forme et la disposition des poignées de portes de voiture, afin de garantir le maximum de sécurité en cas de dysfonctionnement électrique ou d'accident. Le début de la fin des poignées affleurantes ?

Cet article a été réalisé en collaboration avec Bitdefender

Délivrer à son adolescent son premier smartphone est un cap important. Pour s’assurer qu’il en fera bon usage, quelques précautions s’imposent. En voici les principales.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

De nouvelles mises à jour sont disponibles pour Cisco IOS et IOS XE afin de corriger 13 vulnérabilités, dont 1 faille zero-day déjà exploitée (CVE-2025-20352).

The post Patchez Cisco IOS : 13 vulnérabilités, dont 1 faille zero-day SNMP actuellement exploitée ! first appeared on IT-Connect.

Cet article a été réalisé en collaboration avec Bitdefender

Délivrer à son adolescent son premier smartphone est un cap important. Pour s’assurer qu’il en fera bon usage, quelques précautions s’imposent. En voici les principales.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Selon le rapport 2025 de Fortinet sur la sécurité des données les budgets alloués à la sécurité des données ont progressé pour 72 % des entreprises l’an dernier. Pour autant, 41 % d’entre elles ont de nouveau subi de substantielles pertes financières liées à des incidents de données d’origine interne. Malgré des budgets à la […]

The post Les pertes de données progressent malgré des pratiques de sécurité des données plus intelligentes et des investissements record en cybersécurité first appeared on UnderNews.

Comment sécuriser l'onboarding d'un nouveau salarié, en évitant de créer un mot de passe temporaire vulnérable ? Découvrez une solution technique adaptée.

The post DSI : comment intégrer un nouvel utilisateur sans créer de mot de passe temporaire ? first appeared on IT-Connect.

– Article en partenariat avec Incogni –

Vous pensiez que poser une question à ChatGPT (ou à n’importe quelle IA à la mode) était sans conséquence ? Erreur : derrière la magie de la conversation fluide et des réponses instantanées se cache un jeu dangereux pour vos données. Certains escrocs sont capables d’extraire, d’agréger, et d’exploiter votre vie numérique, le tout à partir d’une simple recherche pas trop bête. Mais pourquoi, et surtout comment, est-ce possible ? Et que pouvez-vous faire pour garder la main sur vos infos perso ?

Accrochez-vous, parce que l’IA n’est pas seulement le dernier jouet cool du moment, elle est aussi devenue le nouvel eldorado des arnaqueurs.

Une seule requête, une faille béante

Plus besoin de pirater votre boîte mail ou de fouiller votre poubelle. Les scammeurs d’aujourd’hui savent exploiter les LLM (comme ChatGPT ou Gemini) à fond. Avec une question bien tournée, ces outils fouillent le web et ressuscitent tout ce qui existe sur vous, parfois bien au-delà de ce que vous imaginez.

On parle ici d’anciennes biographies exhumées de forums ou réseaux sociaux, de traces de blogs, de commentaires publics, ou encore de numéros ou adresses, tombés dans la nature à la faveur d’une fuite de données. Mais aussi de liens subtils entre vos différents profils, entre manières d’écrire et ça même si les pseudos changent. Ce qui était jadis éparpillé et difficile à recomposer par un humain devient soudain… lisible, compact, utilisable contre vous à une toute autre échelle. Tout ça pour du phishing ciblé, de l’usurpation d’identité, ou tout bêtement revendu à des brokers de données peu scrupuleux.

Et tout ça c’est sans parler du manque de sécurité flagrant des IA grand public qui semblent avoir oublié de prendre le sujet en compte (voir par exemple mon article : ChatGPT peut faire fuiter vos emails avec une simple invitation Google Calendar).

Pourquoi l’IA amplifie le problème ?

Les modèles comme ChatGPT, Gemini, Claude ou Grok sont formés sur des milliards de pages web, archives de forums, données publiques (tout le web en gros) … qui, pour beaucoup, contiennent des infos personnelles. Quand vous interrogez ces outils, vos prompts sont souvent enregistrés et, dans certains cas, utilisés pour affiner le modèle.

Pire : selon cette étude Incogni 2025, la majorité de ces IA :

• collectent vos prompts et tous les détails contenus dedans.
• aspirent les données personnelles lâchées publiquement sur le web, parfois sans grande considération pour le consentement réel des personnes.
• partagent les informations avec des filiales, partenaires commerciaux, voire… des “affiliés” non identifiés.
• et dans certains cas, il est “impossible” de retirer vos données du jeu une fois qu’elles sont parties dans l’écosystème de training.

Retenez que lorsque vous avez appuyé sur le bouton d’envoi et que c’est publié quelque part … impossible de faire machine arrière. C’est ce que j’appelle l’effet “dentifrice hors du tube”.

Classement des IA génératives concernant la protection des données

D’après l’enquête d’Incogni , toutes les plateformes n’offrent pas le même niveau de respect de la vie privée. Voici un aperçu du classement 2025 (attention, tout peut changer à la vitesse de l’éclair) :

Plateforme	Respect des données personnelles	Possibilité d’opt-out pour le training	Transparence	Partage étendu des données
Mistral	Très bon : collecte limitée	Oui	Moyen	Peu
ChatGPT (OpenAI)	Bon : collecte modérée, transparente	Oui	Haute	Modéré
Grok (xAI)	Collecte plus large, transparence partielle	Oui	Moyenne	Modéré
Claude (Anthropic)	Donne l’assurance de ne pas utiliser les prompts pour l'entraînement	N/A	Haute	Oui, avec des partenaires
Gemini (Google)	Collecte massive, peu de transparence	Non	Faible	Élevé
Meta AI	Collecte massive, partage au sein du groupe	Non	Faible	Très élevé
DeepSeek	Collecte importante, peu de transparence	Non	Faible	Élevé
Copilot (Microsoft)	Modéré, mais ambigu selon la plateforme	Oui	Faible	Oui, avec annonceurs

Quelques points à retenir :

• Les plus gros, comme Meta AI et Gemini, sont assez mauvais concernant le respect de la vie privée.
• Les sociétés européennes (Mistral) et OpenAI sont plus respectueuses (pour l’instant).
• Même les plateformes qui promettent de ne pas utiliser vos prompts pour le training reconnaissent une utilisation massive de “données publiques”, autrement dit : ce que vous laissez traîner en ligne.

Une fois que les IA génératives et leurs écosystèmes ont mis la main sur vos fragments de vie, la suite est mécanique. Il y a croisement de vos infos pour générer un profil ultra-ciblé à partir d’un simple pseudo/patronyme. Vos données sont ensuite revendues à des brokers, qui les exploitent de façon industrielle (business de plusieurs centaines de milliards de $ à la clé). Ensuite on a droit à la création de scénarios de phishing ultra crédibles (référence à vos vrais employeurs, vieux contacts, etc.), voire usurpation d’identité facilitée (faux profils, demandes administratives, crédits…). Bref c’était déjà la merde avant l’IA et ça va s’empirer.

Face à ce phénomène, la loi tente de suivre (RGPD en Europe, début de réglementation en Californie avec le DELETE Act…), mais reste bien souvent larguée par la techno. Autant dire qu’il vaut mieux ne pas compter dessus.

Comment limiter la casse : réflexes & méthodes

Avant même de parler d’outils, je vous rappelle les bases. Ne laissez JAMAIS d’infos sensibles dans un prompt envoyé à une IA, même en “anonyme”. Passez régulièrement vos noms/alias/adresses au crible des moteurs de recherche pour avoir la vision publique de votre eprsonne. Vous pouvez aussi rendre vos profils sociaux privés, supprimez les vieux comptes dormants ou juste tout quitter comme je l’ai fait. Pensez aussi à utiliser de courtes variantes de pseudos/passwords pour limiter l’effet cascade en cas de fuite.

Mais ça, c’est l’ABC. Vous faites déjà tout ça non ? Pour aller plus loin, et ne pas passer ses soirées à envoyer des demandes de déréférencement à la chaîne… place aux outils spécialisés.

Incogni, l’outil utile pour passer à l’offensive

Voilà pourquoi Incogni , développé par Surfshark, est l’un des rares services à avoir pensé ce problème du bon côté. Non, ils ne traquent pas vos prompts IA, mais ils s’occupent pour vous de ce que les brokers détiennent sur vous.

En résumé il se charge automatiquement de contacter les centaines de data brokers qui ont potentiellement vos infos et gère pour vous les demandes de suppression, le suivi et les relances. Plus de 100 000 utilisateurs européens ont déjà lancé un grand ménage numérique via le service.

À partir de l’étude 2025 citées ci-dessus, Incogni insiste sur : la transparence totale sur la collecte/traitement des données, la possibilité de retirer très simplement ses données de nombreuses bases (sous réserve de législation locale, bien sûr) et recommande d’éviter celles qui n’offrent aucune clarté ou option d’opt-out. Cela dit ce n’est pas magique : “effacer” sa présence totale en ligne reste presque impossible. Mais avec Incogni, vous pouvez drastiquement limiter la surface d’attaque pour les arnaqueurs et brokers.

L’avenir de la privacy face à l’IA

À mesure que l’IA progresse, la barrière entre vie privée et “open data” explose. Certains fournisseurs d’IA s’améliorent alors que d’autres assument un business model intégralement fondé sur la collecte et la redistribution de vos vies numériques. 

La meilleure protection ? Rester informé (lisez mes news haha), lire les classements indépendants, choisir les outils qui offrent le maximum de contrôle et, pour tout ce qui a déjà “fuité”, passer à l’action avec des outils de nettoyage comme Incogni avant que le dentifrice soit vraiment partout…

Rappelez-vous : une requête innocente à ChatGPT, et c’est tout votre historique en ligne qui peut refaire surface. L’IA peut vous aider à trouver des infos, mais elle permet aussi aux escrocs… d’en trouver vous concernant. À méditer !

→ Cliquez ici pour tout savoir sur Incogni ←

Romain, fidèle lecteur de korben.info a développé un scanner pour détecter l’attaque Shai-Hulud qui a secoué l’écosystème npm dernièrement ! L’occasion parfaite pour moi de vous raconter cette histoire complètement dingue.

Vous vous souvenez de CrowdStrike ? Cette entreprise de cybersécurité qui a provoqué la plus grande panne informatique mondiale en juillet 2024 avec une mise à jour défaillante ? Celle qui a cloué au sol des milliers d’avions et fait planter des millions de PC Windows ? Eh bien figurez-vous qu’en septembre 2025, des packages npm mis à disposition par CrowdStrike ont été touchés. Et si Crowdstrike n’a pas été directement piraté, ces packages publics (qui n’étaient pas utilisés dans leurs solutions de sécurité, ni en interne chez eux) utilisaient ces dépendances qui ont été compromises par l’attaque.

C’est ce qu’on appelle une supply chain attack et l’attaque Shai-Hulud (oui, comme le ver des sables dans Dune) n’est pas juste un malware de plus. C’est le premier ver informatique qui s’est propagé de manière autonome dans l’écosystème npm, infectant des centaines de paquets en quelques heures.

Le ver utilise TruffleHog, un outil de sécurité normalement conçu pour DÉTECTER les secrets dans le code, c’est à dire les tokens GitHub, npm, AWS et GCP.

Puis quand il trouve des credentials valides, le ver fait les trois choses suivantes : D’abord, il crée un dépôt GitHub public nommé “Shai-Hulud” où il balance toutes les données volées. Ensuite, il pousse une GitHub Action malicieuse dans tous les repos accessibles pour exfiltrer encore plus de secrets. Et le pompon c’est que parfois, il transforme même les repos privés d’entreprise en repos publics personnels. J’vous laisse imaginer la tête du RSSI qui découvre que tout le code proprio de sa boîte est accessible à tout le monde sur GitHub…

Et quand le ver trouve des tokens npm dans son environnement, il publie automatiquement des versions infectées de tous les paquets auxquels il a accès. C’est d’ailleurs la première fois qu’on voit ce comportement de ver auto-répliquant dans l’écosystème JavaScript. Par exemple, le paquet @ctrl/tinycolor, téléchargé 2 millions de fois par semaine, a été l’un des premiers touchés.

Face à ce bordel monumental, Romain a donc développé npm-shai-hulud-scanner , un outil qui détecte non seulement les paquets connus comme compromis, mais aussi les tentatives de typosquatting et les patterns de code malicieux. Il utilise notamment la distance de Levenshtein pour identifier les variations suspectes de noms de paquets (du genre lodash vs lodash_ ou react vs raect).

Quand vous le lancez, le scanner de Romain vérifie d’abord si vous avez des paquets de la liste des 500+ compromis. Ensuite il analyse votre code à la recherche de patterns suspects : tentatives d’exfiltration de credentials, exécution de code à distance, obfuscation, communications réseau louches. Il peut même tourner en mode monitoring continu pour surveiller votre CI/CD. Et cerise sur le gâteau, il peut mettre en quarantaine les paquets suspects automatiquement. C’est top non ?

Shai-Hulud est l’un des attaques les plus sévères jamais vue sur la supply chain JavaScript et si même CrowdStrike se fait avoir, je me dit que personne n’est à l’abri. Donc soyez hyper vigilants et utilisez des outils de contrôle comme celui de Romain !

On ne sait jamais !

Longtemps considérée comme une question reléguée à un futur lointain, la cryptographie post-quantique (PQC) est aujourd’hui une réalité. La publication des premiers standards, l’entrée en vigueur du Cyber Resilience Act (CRA) et la progression rapide des cybermenaces obligent les entreprises à se mobiliser. Pourtant, selon l’étude Digital Trust Digest : The Quantum Readiness Edition*, près d’un […]

The post Cryptographie post-quantique : 6 mauvaises excuses qui freinent encore la transition des entreprises (et comment les dépasser) first appeared on UnderNews.

Kali Linux 2025.3, la troisième version de l'année 2025 est disponible : quelles sont les nouveautés et les changements ? Voici un résumé.

The post Kali Linux 2025.3 est disponible et accueille de nouveaux outils tournés vers l’IA first appeared on IT-Connect.

L'outil EDR-Freeze est capable de suspendre les solutions de sécurité sur Windows (EDR, antivirus), grâce à l'exploitation du composant WER intégré à Windows.

The post L’outil EDR-Freeze est capable de suspendre les solutions de sécurité grâce à Windows WER ! first appeared on IT-Connect.

Cloudflare affirme avoir atténué une nouvelle attaque DDoS record : 22,2 Térabits par seconde (Tbps) et 10,6 milliards de paquets par seconde (Bpps).

The post Cloudflare atténue une nouvelle attaque DDoS record : 22,2 Tbps ! first appeared on IT-Connect.

Attention, si vous laissez tourner WebGoat sur votre machine, elle sera “extrêmement vulnérable aux attaques”. C’est en tout cas ce qui est écrit en gros sur la page de ce projet OWASP , et c’est pas pour faire joli car WebGoat est une application web délibérément pourrie, truffée de failles de sécurité, créée exprès pour que cous appreniez à les exploiter.

Et c’est génial !!

Car on a enfin un truc qui nous permet d’apprendre vraiment comment les hackers s’infiltrent dans les sites web, sans risquer de finir au tribunal. Parce que bon, scanner le site de votre voisin pour “apprendre”, c’est direct trois ans de prison et 100 000 euros d’amende. Alors qu’avec WebGoat, vous pouvez tout péter tranquille depuis chez vous.

WebGoat , c’est donc un projet open source maintenu par l’OWASP depuis des années qui vous propose uune application web qui ressemble à n’importe quel site lambda, sauf qu’elle est bourrée de vulnérabilités volontaires telles que des injections SQL, XSS, CSRF, contrôle d’accès défaillant… bref, toutes les saloperies du Top 10 OWASP sont là, prêtes à être exploitées.

Et WebGoat fonctionne comme un cours interactif car pour chaque vulnérabilité, vous avez trois étapes : d’abord on vous explique comment ça marche, ensuite vous devez l’exploiter vous-même via des exercices pratiques, et enfin on vous montre comment corriger le problème. On apprend en faisant !

D’après la doc officielle , WebGoat couvre presque toutes les vulnérabilités du Top 10 OWASP. Pour ceux qui ne savent pas, le Top 10 OWASP c’est LA référence mondiale des failles de sécurité web.

Au sein de WebGoat se cache aussi WebWolf, une application séparée qui simule la machine de l’attaquant. Ça tourne sur le port 9090 pendant que WebGoat tourne sur le 8080, comme ça, vous avez vraiment la séparation entre ce qui se passe côté victime et côté attaquant. WebWolf vous permet également d’uploader vos payloads ou outils, de recevoir des données exfiltrées, et même de simuler un serveur mail pour les attaques de phishing.

Et pour installer tout ça, le plus simple c’est Docker :

docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat

Ou si vous préférez la version standalone avec Java :

java -Dfile.encoding=UTF-8 -jar webgoat-2025.3.jar

Une fois lancé, vous accédez à WebGoat sur http://localhost:8080/WebGoat et WebWolf sur http://localhost:9090/WebWolf. Vous vous créez un compte (c’est juste en local, pas de panique) et c’est parti pour les exercices !

Les leçons sont vraiment bien foutues. Prenez l’injection SQL par exemple. D’abord on vous montre comment une requête SQL mal protégée peut être détournée. Ensuite vous devez exploiter la faille pour voler des numéros de cartes bancaires (fausses, hein), et à la fin, on vous explique comment utiliser les prepared statements pour éviter ce genre de conneries.

Et n’allez pas croire que ça s’adresse uniquement aux pro. Non, les débutants ont des exercices guidés avec des indices, et les plus avancés ont des “challenges” sans aucune aide semblables à des CTF (Capture The Flag).

Et pour les développeurs, c’est vraiment un super outil pour comprendre pourquoi votre chef de projet vous casse encore les pieds avec la sécurité ! Car, croyez-moi, une fois que vous avez réussi à dumper toute une base de données avec une simple apostrophe dans un formulaire, vous ne regardez plus jamais les entrées utilisateur de la même façon.

Attention quand même, WebGoat n’est pas un jouet. Les techniques que vous apprenez sont réelles et fonctionneront sur de vrais sites mal sécurisés. D’ailleurs, l’OWASP est très clair là-dessus : “Si vous tentez ces techniques sans autorisation, vous allez très probablement vous faire choper”. Et n’oubliez pas, comme vous ne faites partie d’aucun parti politique, pour vous y’aura vraiment de la zonzon.

D’ailleurs, petite conseil, quand vous faites tourner WebGoat, coupez votre connexion internet ou au moins assurez-vous qu’il n’écoute que sur localhost, parce que si quelqu’un d’autre sur votre réseau découvre que vous avez une application volontairement vulnérable qui tourne… Disons que ça pourrait mal finir ;-).

Ah et WebGoat s’intègre super bien avec d’autres outils de sécurité. Ça permet du coup de se former aussi dans la foulée sur Burp Suite, OWASP ZAP, ou SQLMap.

Bref, installez WebGoat ce weekend et amusez-vous à tout casser. Vous m’en direz des nouvelles !!

Et un grand merci à Letsar pour l’info !