Si vous bossez dans la sécu ou que vous êtes juste curieux de comprendre comment fonctionnent les vulnérabilités, je vais vous parler d’un outil qui va vous changer la vie : Sploitus. C’est comme Google mais pour trouver des exploits sécu et avec un crâne-pieuvre en logo.

Créé par Anton “Bo0om” Lopanitsyn, un chercheur en sécurité web basé à Moscou, Sploitus est devenu LA référence pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking. Le site indexe en temps réel tout ce qui sort dans le domaine de la sécurité offensive et ça, c’est vraiment pratique quand vous devez vérifier si un système est vulnérable.

Sur sploitus.com, vous avez une barre de recherche toute simple dans laquelle vous pouvez chercher par nom de logiciel, par CVE (Common Vulnerabilities and Exposures), par type d’exploit ou même par auteur. Et le moteur va alors fouiller dans sa base de données massive et vous sortir tous les exploits pertinents.

Ce qui est cool avec Sploitus, c’est qu’il agrège plusieurs sources. On y trouve des exploits venant d’Exploit-DB, de GitHub, de Packet Storm, et plein d’autres plateformes. Comme ça au lieu de perdre du temps à chercher sur 15 sites différents, vous avez tout centralisé au même endroit et cerise sur le gâteau, les résultats sont triables par date ou par score de pertinence.

Pour chaque exploit, vous avez donc accès à pas mal d’infos utiles : la description détaillée, le code source (quand il est dispo), les plateformes affectées, et surtout un lien vers la source originale. C’est super important ça, parce que vous pouvez vérifier l’authenticité de l’exploit et voir s’il y a des mises à jour ou des commentaires de la communauté.

Le site propose aussi des flux RSS et Atom si vous voulez suivre en temps réel les nouveaux exploits qui sortent. C’est donc super pratique si comme moi, vous faites de la veille techno ou pour surveiller les vulnérabilités qui touchent vos systèmes. Y’a même un mode sombre pour ceux qui préfèrent coder la nuit (ou qui veulent juste faire plus hacker ^^).

Ah et petit détail sympa, des développeurs ont créé des scripts Python pour interroger Sploitus en ligne de commande. Le projet sploitus-search sur GitHub permet par exemple d’intégrer les recherches Sploitus directement dans vos outils de pentest. C’est super pratique par exemple pendant les CTF ou les audits de sécurité.

Maintenant, parlons un peu de l’aspect légal et éthique, parce que c’est aussi très important. Sploitus a eu par le passé quelques soucis avec des plaintes DMCA, notamment concernant un exploit WordPress, mais globalement, le site reste dans la légalité en tant que moteur de recherche qui indexe du contenu public.

CEPENDANT, les exploits référencés sur Sploitus sont des outils puissants qui peuvent causer des dégâts considérables s’ils sont mal utilisés. L’utilisation de ces exploits sur des systèmes dont vous n’êtes pas propriétaire ou sans autorisation explicite est illégale et peut vous valoir de sérieux problèmes judiciaires. Et ne comptez pas sur moi pour vous apporter des oranges en prison !

Ces outils sont donc destinés aux professionnels de la sécurité pour :

• Tester la sécurité de leurs propres systèmes
• Effectuer des audits autorisés
• Comprendre les vulnérabilités pour mieux s’en protéger
• Faire de la recherche en sécurité informatique

Voilà, donc si vous débutez dans le domaine, je vous conseille fortement de vous former d’abord aux bases de la sécurité informatique et de toujours travailler dans un environnement de test isolé.

D’ailleurs, Sploitus n’est pas le seul dans son genre. Vous avez aussi Exploit-DB qui propose SearchSploit en ligne de commande pour les recherches hors ligne, ou encore la base de données CVE officielle du MITRE. Mais l’avantage de Sploitus, c’est vraiment cette agrégation de sources multiples et cette interface web simple et efficace.

Voilà… Et n’oubliez jamais que le but de ce genre d’outils, c’est de sécuriser les systèmes, pas de les compromettre.

Si vous avez toujours voulu fouiller le dark web sans y passer 3 heures à chercher dans le noir, j’ai déniché un outil Python qui fait le boulot pour vous : Darkdump.

Créé par Josh Schiavone, Darkdump est une interface OSINT (Open Source Intelligence) qui permet de mener des investigations sur le deep web. En gros, vous tapez un mot-clé, et l’outil va scraper les sites .onion correspondants pour en extraire des emails, des métadonnées, des mots-clés, des images, des liens vers les réseaux sociaux, et j’en passe.

Darkdump utilise Ahmia.fi (un moteur de recherche pour le dark web) pour trouver les sites .onion pertinents, puis il les scrape quand vous êtes connecté via Tor. Bref, c’est Google pour le dark web, en ligne de commande et avec des super-pouvoirs.

Pour l’installer, rien de plus simple :

git clone https://github.com/josh0xA/darkdump
cd darkdump
python3 -m pip install -r requirements.txt
python3 darkdump.py --help

Mais attention, avant de vous lancer, il faut configurer Tor correctement. Sur Linux ou Mac, installez Tor (sudo apt install tor ou brew install tor), puis éditez votre fichier /etc/tor/torrc pour ajouter :

ControlPort 9051
HashedControlPassword [VotreMotDePasseHashé]

Pour générer le hash du mot de passe, utilisez tor --hash-password "mon_mot_de_passe". Ensuite, démarrez le service Tor et vous êtes prêt à explorer les profondeurs du web.

Ce qui est cool avec Darkdump, c’est sa flexibilité. Vous pouvez l’utiliser de plusieurs façons. Voici quelques exemples données dans la doc officielle :

• Rechercher 10 liens et scraper chaque site : python3 darkdump.py -q "hacking" -a 10 --scrape --proxy
• Juste récupérer 25 liens sans scraper (pas besoin de Tor) : python3 darkdump.py -q "free movies" -a 25
• Chercher et télécharger les images : python3 darkdump.py -q "marketplaces" -a 15 --scrape --proxy -i

L’outil peut extraire pas mal de trucs intéressants comme des documents (PDF, DOC, XLS, PPT…), des adresses email, des métadonnées, et même des liens vers des profils de réseaux sociaux. C’est super pour les chercheurs en sécurité ou encore les journalistes d’investigation.

Maintenant, parlons un peu d’Ahmia.fi, le moteur qui fait tourner tout ça. Contrairement à ce qu’on pourrait croire, vous n’avez pas besoin de Tor pour accéder à l’interface d’Ahmia… vous pouvez y aller directement depuis votre navigateur normal. Par contre, pour visiter les sites .onion qu’il trouve, là il vous faudra Tor Browser.

Le moteur de recherche Ahmia

Ce qui est bien avec Ahmia, c’est qu’ils filtrent le contenu illégal comme ça c’est pas le far west total. Ils essaient tant bien que mal de garder ça propre et légal.

En 2025, Ahmia reste donc l’un des moteurs de recherche du dark web les plus fiables, aux côtés de Torch, DuckDuckGo (version Tor), Haystak et Not Evil. Chacun a ses spécificités, mais Ahmia reste le préféré pour sa politique de filtrage du contenu illégal.

Bon, évidemment, je dois faire mon speech de prévention et Josh Schiavone lui-même précise : Il n’est pas responsable de l’utilisation que vous faites de son outil. Ne l’utilisez donc pas pour naviguer sur des sites illégaux selon les lois de votre pays. C’est un outil pour la recherche légitime, l’OSINT, la cybersécurité, pas pour faire n’importe quoi.

D’ailleurs, petite anecdote, la v3 de Darkdump a été mise à jour récemment, et apparemment il y a même des forks qui commencent à apparaître avec des mises à jour complètes. La communauté OSINT est active sur ce projet, ce qui est bon signe pour sa pérennité. Voilà, donc pour ceux qui veulent aller plus loin dans l’OSINT sur le dark web, Darkdump n’est qu’un logiciel parmi d’autres et fait partie d’une boîte à outils plus large qui comprend des trucs comme OnionScan, TorBot, ou encore Dark Web OSINT Tools. Mais pour débuter, c’est vraiment l’un des plus simples et des plus efficaces.

Ça ne transformera pas le dark web en votre terrain de jeu, mais au moins vous verrez où vous mettez les pieds. Et dans un monde où l’information est de plus en plus fragmentée et cachée, c’est pratique, mais souvenez-vous, avec un grand pouvoir vient une grande responsabilité donc utilisez-le à bon escient !

A découvrir ici !

Si vous êtes du genre à penser que dire la vérité est plus important que vivre peinard, alors l’histoire de Julian Assange va vous parler. 14 ans de cavale, 7 ans enfermé dans une ambassade, 5 ans de taule… Tout ça pour avoir créé WikiLeaks et balancé les petits secrets bien crades des gouvernements. Bref, installez-vous confortablement, j’vous raconte comment Mendax, petit hacker australien, est devenu l’ennemi public numéro un de l’Amérique.

Vous connaissez la blague “C’est encore un problème de DNS” ? Bah cette fois, c’est VRAIMENT ça le problème puisque des hackers ont trouvé comment planquer un malware directement dans les enregistrements DNS. C’est de la sorcellerie, vous allez voir !

Les chercheurs de DomainTools viennent en effet de mettre au jour la nouvelle version d’une technique qui consiste à “stocker” des malwares dans les enregistrements TXT du DNS. Vous savez, ce sont ces petits champs texte qu’on utilise normalement pour prouver qu’on est bien propriétaire d’un domaine quand on configure Google Workspace ou autre.

Check Point Research explique comment la nouvelle technique d’ingénierie sociale, FileFix, est activement testée par des acteurs malveillants. Tribune. FileFix est une attaque d’ingénierie sociale récemment découverte, qui repose sur la tactique largement détournée appelée ClickFix. Contrairement à ClickFix, qui incite les utilisateurs à exécuter des commandes malveillantes via la boîte de dialogue Exécuter de […]

Les chercheurs de la société de cybersécurité Proofpoint publient aujourd’hui une nouvelle analyse révélant l’intensification des opérations de cyberespionnage chinoise visant l’industrie critique des semi-conducteurs à Taïwan. Les conclusions révèlent un effort concerté et croissant de la part de plusieurs acteurs malveillants soutenus par l’État pour infiltrer et recueillir des renseignements dans ce secteur vital. […]

Ci-dessous, une déclaration de John Hultquist, analyste en chef du Google Threat IntelligenceGroup, sur l’importance de l’arrestation d’un membre présumé de Silk Typhoon. Communiqué. « Cette arrestation couronne plus d’une décennie d’inculpations et d’autres efforts des forces de l’ordre qui étaient généralement considérés comme symboliques. Il était généralement admis que ces acteurs ne se retrouveraient jamais […]

On a souvent l’habitude de voir des hackers s’attaquer à des entreprises ou des gouvernements pour du fric ou la gloire, mais là, avec cette histoire, on est dans un tout autre registre. Le cartel de Sinaloa, celui du fameux El Chapo, a carrément embauché un hacker pour espionner le FBI et liquider des témoins. Et le pire, c’est que ça a marché.

L’histoire remonte à 2018, mais elle vient seulement d’être révélée dans un rapport du département de la Justice américain publié en juin et ce qu’on y apprend fait froid dans le dos. Le cartel de Sinaloa a recruté un Black Hat qui proposait, je cite, “un menu de services pour exploiter les téléphones mobiles et autres appareils électroniques”. Genre Uber Eats, mais pour le cybercrime.

Vous le savez, j’adore les histoires de hackers qui trouvent des failles là où personne ne pense à regarder. Et celle que je vais vous raconter aujourd’hui est particulièrement savoureuse…

C’est l’histoire de Sharon Brizinov, un chercheur en sécurité qui a réussi à scanner TOUS les commits “oops” de GitHub depuis 2020 et à trouver pour 25 000 dollars de secrets. Ouais, 25 000 balles en scannant des trucs que les développeurs pensaient avoir supprimés…

Dans un contexte de tensions géopolitiques, les motivations nouvelles des acteurs de la menace continuent de brouiller les frontières entre cyber espionnage et cybercriminalité.  Les campagnes, les indicateurs et les comportements des acteurs ont convergé, rendant l’attribution et le regroupement au sein de l’écosystème plus difficiles. Tribune – Récemment, les chercheurs de Proofpoint ont ainsi […]

Pour vous tenir au courant des dernières nouvelles concernant Scattered Spider, sachez que Mandiant a connaissance d’un acteur malveillant, soupçonné d’être lié à UNC3944, qui cible les compagnies aériennes nord-américaines et le secteur des transports en général dans cette région. Tribune Google Cloud Security. Voici la déclaration de Charles Carmakal, CTO, Mandiant Consulting – Google […]

En 2024, plus de 4 incidents cyber visant les collectivités territoriales sont enregistrés chaque semaine en France.* Ces incidents représentent 14% de l’ensemble des incidents traités par l’ANSSI sur la période. Tribune IMS Networks / 6Cure – Au cours de la période étudiée, l’ANSSI a traité 44 incidents affectant des départements et 29 incidents affectant […]

On le dit souvent : à ce jour, chaque citoyen a déjà vu ses données personnelles piratées à travers une fuite de données en ligne. Et c'est ce que prouve ce nouveau package distribué en vente sur le Darkweb, qui est le plus monstrueux jamais créé : 16 milliards d'enregistrements piratés rassemblés en un seul kit d’exploitation massif !

Le secteur de l’énergie est de plus en plus sensibilisé aux cyber-risques qui pèsent sur ses infrastructures critiques. Dans un rapport de DNV publié en janvier 2025, 65 % des professionnels de l’énergie indiquent que leurs dirigeants considèrent ce risque comme la menace principale pour leur organisation. De plus, 72 % s’inquiètent des cyberattaques provenant de puissances […]

Une étude menée par Infoblox, leader des services de réseau et de sécurité dans le cloud révèle que la perturbation des systèmes de distribution de trafic (TDS) affiliés à VexTrio a mis au jour des connexions insoupçonnées entre des hackers WordPress et plusieurs acteurs de l’adtech. En analysant des millions de requêtes DNS, les experts ont […]

Le GTIG avait publié le rapport « Tool of First Resort: Israel-Hamas War in Cyber » (L’arme de premier recours : la guerre entre Israël et le Hamas dans le cyberespace), qui contient des informations importantes sur les capacités cybernétiques pertinentes dans ce domaine. Commentaire de John Hultquist, analyste en chef, Google Threat Intelligence Group :  » Nous nous attendons […]

Dans une étude, Check Point Research (CPR) a découvert une faille dans le système d’invitation de Discord permettant à des attaquants de détourner des liens d’invitation expirés ou supprimés et de rediriger subrepticement des utilisateurs vers des serveurs malveillants. Des liens d’invitation partagés des mois auparavant par des communautés de confiance sur des forums, réseaux […]

De janvier à avril 2025, le Threat Labs de Netskope a constaté une multiplication par trois du trafic vers des pages de phishing créées sur la plateforme Glitch. Ces campagnes de phishing ont touché plus de 830 organisations et plus de 3 000 utilisateurs depuis janvier 2025, ciblant principalement les membres de la Navy Federal […]

Née avec internet, la génération Z est naturellement la plus à l’aise avec Internet. Avec leur maîtrise du numérique, les 15 – 30 ans sont bien souvent à l’origine des tendances, et influencent les usages et les espaces du numérique depuis leur plus jeune âge, sans forcément mesurer les risques auxquels ils s’exposent. A l’ère […]