Microsoft va restreindre l'accès au mode IE de Microsoft Edge pour protéger les utilisateurs de certaines attaques basées sur des exploits du moteur Chakra.
The post Microsoft Edge restreint l’accès au mode IE suite à des attaques avec des exploits zero-day ! first appeared on IT-Connect.
Le gestionnaire de mots de passe 1Password a présenté, le 8 octobre 2025, une nouvelle fonctionnalité qui permet aux agents IA de s’identifier sans jamais avoir à stocker ni accéder directement aux identifiants de l’utilisateur.
Le gestionnaire de mots de passe 1Password a présenté, le 8 octobre 2025, une nouvelle fonctionnalité qui permet aux agents IA de s’identifier sans jamais avoir à stocker ni accéder directement aux identifiants de l’utilisateur.
Avec la fin de vie (EOL) de Windows 10 prévue pour le 14 octobre 2025, la plupart des utilisateurs vont être contraints de migrer vers Windows 11 afin de continuer à recevoir les mises à jour de sécurité, qu’ils le souhaitent ou non. En effet, les systèmes Windows 10 non mis à jour deviendront vulnérables […]
The post Fin du Support de Windows 10 et conséquences pour la vie privée first appeared on UnderNews.Apple a décidé d'augmenter les primes de son programme de Bug Bounty, avec plusieurs récompenses doublées et une prime pouvant atteindre 2 millions de dollars.
The post 2 millions de dollars : c’est la récompense promise par Apple pour la découverte de certaines failles first appeared on IT-Connect.
La directive NIS2 est entrée en vigueur. Avec elle, une nouvelle ère de responsabilités s’ouvre pour les organisations régulées de l’Union européenne. La cybersécurité n’est plus un luxe ni un avantage concurrentiel : c’est un prérequis réglementaire. Mais face à la montée en puissance des exigences, comment aligner conformité, efficacité opérationnelle et stratégie de résilience […]
The post Se conformer à directive NIS2, un impératif first appeared on UnderNews.Selon le baromètre 2025 de Cybermalveillance.gouv.fr, les TPE et PME françaises sont de plus en plus sensibilisées à la cybermalveillance, 44 % d’entre elles se sentant très exposées aux risques. Elles sont mieux équipées en outils tels que les logiciels antivirus, les pare-feu et les sauvegardes, et ont augmenté leur budget informatique de 19 %, […]
The post Cybersécurité des TPE/PME : face à l’IA, les défenses doivent désormais être proactives first appeared on UnderNews.Les pannes réseau ne se contentent pas d’agacer les utilisateurs : elles engendrent des heures d’interruption, freinent la productivité et augmentent les risques opérationnels et cyber pour les entreprises. Une étude récente souligne qu’elles coûtent plus de 5 millions de dollars par an à plus d’un quart des entreprises dans le monde. Et pourtant, nombre […]
The post Les 5 erreurs réseaux coûteuses qui freinent les entreprises et comment les éviter first appeared on UnderNews.Y’a plein de problèmes avec les IA, mais y’en a un encore un peu trop sous-estimé par les vibe codeurs que vous êtes… Ce problème, c’est qu’on leur fait confiance comme à un collègue, on leur montre notre code, nos repos privés, nos petits secrets bien planqués dans les variables d’environnement…
Par exemple, quand vous passez en revue une pull request sur GitHub, vous faites quoi ? Vous lisez le code ligne par ligne, vous cherchez les bugs, les failles de sécu, les optimisations possibles. Mais les commentaires vous les lisez ? Au mieux on les survole, c’est vrai, car c’est de la comm’ entre devs, et pas du code exécutable.
Sauf pour Copilot Chat pour qui un commentaire c’est un texte comme un autre. Et selon Omer Mayraz , chercheur en sécurité chez Legit Security, c’est exactement ce qui en fait une zone de confiance aveugle parfaite pour une attaque.
Ce qu’a découvert Omer Mayraz c’est donc une vulnérabilité critique dans GitHub Copilot Chat avec un score CVSS de 9.6 sur 10. Cela consiste à planquer des instructions malveillantes dans des commentaires markdown invisibles comme ça, ces commentaires ne s’affichent pas dans l’interface web de GitHub, mais Copilot Chat les voit parfaitement et les traite comme des prompts légitimes.
Du coup, l’attaquant peut forcer Copilot à chercher des secrets dans vos repos privés, à extraire du code source confidentiel, voire à dénicher des descriptions de vulnérabilités zero-day non publiées. Tout ça sans que vous ne voyiez rien venir évidemment !
Voici une démo complète de l’attaque en vidéo :
La première étape c’est donc l’injection de prompt via un commentaire caché. Rien de révolutionnaire, mais efficace. Ensuite, deuxième étape : le bypass de la Content Security Policy de GitHub. Normalement, Copilot Chat ne peut charger que des ressources depuis des domaines appartenant à GitHub. Il est donc impossible d’envoyer des données vers un serveur externe.
Mais c’était sans compter sur le fait que GitHub dispose d’un proxy appelé Camo, conçu à l’origine pour sécuriser l’affichage d’images externes en les servant via HTTPS et en évitant le tracking. C’est donc ce proxy de sécurité qui devient l’outil d’exfiltration. Avec ce proxy, toutes les URLs d’images externes sont automatiquement transformées en URLs Camo du type https://camo.githubusercontent.com/[hash unique] et Mayraz a simplement utilisé l’API GitHub pour pré-générer un dictionnaire complet de ces URLs Camo, chacune pointant vers un emplacement unique sur son serveur.
Troisième étape, l’exfiltration des données. Au lieu de faire passer les secrets directement dans les URLs (trop visible), Mayraz a eu l’idée d’utiliser l’ordre des requêtes. Chaque lettre de l’alphabet correspond à une URL Camo unique. En faisant charger ces URLs dans un ordre précis, on peut ainsi transmettre des données texte comme avec un alphabet ASCII artisanal. C’est plutôt créatif comme approche, je trouve.
C’est exactement le même principe que les attaques ultrasoniques contre Alexa ou Siri. Si vous ne vous en souvenez pas, des chercheurs avaient démontré qu’on pouvait envoyer des commandes vocales à des fréquences inaudibles pour l’oreille humaine, mais parfaitement comprises par les assistants vocaux.
Bah ici, c’est pareil… On a des prompts invisibles pour les humains mais que l’IA voit et exécute sans broncher. Comme pour les enceintes, on parle à la machine sans que l’humain ne s’en aperçoive et la différence, c’est qu’au lieu de jouer sur les fréquences sonores, on joue sur le markdown et les commentaires cachés.
Du coup, chaque pull request externe est un potentiel cheval de Troie. Un contributeur externe soumet par exemple une PR apparemment légitime, avec un commentaire invisible qui ordonne à Copilot de chercher “AWS_KEY” dans vos repos privés. Vous de votre côté, vous ouvrez la PR dans votre éditeur, Copilot Chat s’active bien sûr automatiquement, et hop, vos clés API partent chez l’attaquant.
Quand on sait que GitHub a créé Camo justement pour améliorer la sécurité, ça fout un peu les boules. Bref, grâce à son proof-of-concept, Mayraz a réussi à exfiltrer des clés AWS, des tokens de sécurité, et même la description complète d’une vulnérabilité zero-day stockée dans une issue privée d’une organisation et tout ça sans aucune interaction suspecte visible par la victime.
Heureusement, notre joyeux chercheur a prévenu GitHub qui a réagi assez vite. Le 14 août l’entreprise a complètement désactivé le rendu d’images dans Copilot Chat, comme ça plus d’images, plus de problème. C’est radical, c’est sûr mais c’est efficace !
Quoiqu’il en soit, ces histoires de prompt injection c’est un problème fondamental propre aux LLM qui sont encore actuellement incapable de distinguer de manière fiable les instructions légitimes des instructions malveillantes. Ça reste donc un problème de confiance…
Dans ce cas précis, on fait confiance à GitHub pour héberger notre code du coup, on fait confiance à Copilot pour nous aider à développer, tout comme on fait confiance aux contributeurs externes pour soumettre des PR de bonne foi. Et nous voilà avec une jolie chaîne de confiance prête à être exploitée…
Bref, CamoLeak c’est que le début de cette nouvelle vague de vuln liées aux assistants IA qui se retrouvent intégrés dans nos outils de développement… Donc ouvrez l’oeil car on ne sait jamais ce qui sa cache vraiment dans une pull request.
Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…
Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.
Al-khaser est outil qui ne fait rien de méchant en soi… C’est ce qu’on appelle un PoC, un “proof of concept” avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la détection de machines virtuelles, le contournement des débogueurs, l’échappement aux sandbox, et j’en passe.
Comme ça, si votre antivirus ne détecte pas al-khaser, il y a de bonnes chances qu’il rate aussi les vraies menaces qui utilisent les mêmes techniques.
Faut dire que les éditeurs d’antivirus et d’EDR adorent nous vendre leurs nouvelles fonctionnalités IA de fou alors que certaines de leurs solutions ne détectent même pas des techniques pourtant connues depuis longtemps.
Al-khaser met donc tout ça en lumière de façon assez brutale en enchaînant des dizaines de vérifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de cœurs ou si c’est une simulation. Il va checker l’adresse MAC de votre carte réseau pour voir si elle correspond à un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d’exécution de certaines opérations pour détecter si le système est accéléré artificiellement, comme dans une sandbox d’analyse. Il va même tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu’un espionne son exécution.
Maintenant si vous voulez tester les protections anti-debug de votre système, vous tapez :
al-khaser.exe –check DEBUG –sleep 30
Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masquée :
al-khaser.exe –check VMWARE –check QEMU
Bien sûr, ces techniques ne sortent pas de nulle part car elles sont documentées depuis des années notamment dans ce référentiel dont je vous déjà parlé .
Les équipes de pentest et les red teams adorent al-khaser car ça leur permet de montrer aux décideurs que leur gros investissement en cybersécurité n’est peut-être pas aussi solide qu’ils le pensaient. Vous lancez l’outil un vendredi après-midi dans un environnement de test, et vous voyez instantanément ce que votre EDR détecte ou pas.
Voilà, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant… Il ne vole pas de données, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire “hé ho, je suis là, regardez moi, je fais plein de des trucs louches !!”.
Bien sûr, ne lancez pas al-khaser sur n’importe quelle machine car c’est un outil de test qui doit rester dans un environnement contrôlé. Si vous le lancez sur le réseau de prod sans prévenir votre équipe sécu, vous allez déclencher des alertes partout et recevoir des appels pas très sympathiques. Et surtout, juridiquement, vous devez avoir l’autorisation du propriétaire de l’infrastructure, sinon, vous risquez de gros ennuis.
Ce projet est open source, écrit essentiellement en C++, et disponible sur GitHub . Y’a plus qu’à vous monter une VM isolée, récupérer al-khaser, et voir ce que ça donne.
Le malware ClayRat, se fait passer pour des applications très populaires comme WhatsApp, TikTok et YouTube pour piéger les utilisateurs d'Android.
The post Android : le malware ClayRat cible les utilisateurs de WhatsApp et YouTube avec de fausses applications ! first appeared on IT-Connect.
Les pirates affirment détenir 1,6 To de données appartenant à 5,5 millions d'utilisateurs Discord, suite au vol de données effectué via une plateforme tierce.
The post 5,5 millions d’utilisateurs Discord impactés par la fuite de données ! first appeared on IT-Connect.
Vous vous souvenez de FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8 ?
Si vous avez touché à un PC entre 2001 et 2005, y’a des chances que oui ! C’était LA clé magique qui activait Windows XP sans broncher, celle qui circulait sur tous les forums, qui était sur tous les CD gravés, et toutes les installations pirates de la planète ! Dave Plummer, le gars qui a créé le Gestionnaire des tâches et le système d’activation de produits Windows chez Microsoft, vient de raconter sur son compte X toute l’histoire et c’est un régal à lire !
Déjà, pour les djeuns qui n’ont pas connu cette époque bénie, je vais vous donner un peu de contexte… Windows XP est sorti en octobre 2001 avec un super système d’activation antipiratage. E n gros, vous installiez le système, vous tapiez votre clé produit, et normalement ça vérifiait que vous n’utilisiez pas la même clé sur 50 machines. Sauf que FCKGW, elle, passait partout…. Des installations illimitées, aucune vérification, aucun blocage. Bref, le saint Graal du piratage Windows.
Et pendant des années, personne ne savait vraiment d’où elle venait. Une fuite ? Un employé de Microsoft rebelle ? Un hack génial ? Hé bien selon Dave Plummer, la vérité est à la fois plus simple et plus embarrassante pour Microsoft. En fait, cette clé, c’était une VLK, c’est à dire une Volume License Key. Les VLK ce sont des clés qui étaient faites pour les grandes entreprises qui devaient installer Windows sur des centaines de machines sans se taper l’activation à chaque fois. Microsoft les whitelistait directement dans le code d’activation de l’OS pour qu’elles passent sans contrôle.
Le problème, ou plutôt le GROS FUCKING PROBLEME, c’est que FCKGW a fuité seulement 5 petites semaines AVANT la sortie officielle de Windows XP. Oups la boulette !
C’est le groupe warez devils0wn a mis la main dessus et l’a balancée dans la nature et comme elle était whitelistée, Microsoft ne pouvait pas la désactiver sans casser toutes les installations légitimes des entreprises qui l’utilisaient. Du coup, bah y’avait plus rien à faire et ils ont laissé comme ça…
Dave Plummer explique que ça a été l’un des plus gros échecs de sécurité de Microsoft… la clé a circulé pendant des années, installée sur des millions de machines à travers le monde. Vous alliez chez un pote pour “réparer son PC”, vous sortiez votre CD Windows XP gravé, vous tapiez la FCKGW, et hop, il avait une installation propre et activée. Pas besoin de crack ni de keygen douteux. C’était royal !
Le truc marrant, c’est que pas mal de monde connaissait cette clé par cœur. Perso, j’ai pas été loin non plus de savoir la réciter par cœur les yeux fermés, à force de la taper. FCKGW-RHQQ2-YXRKT-8TG6W-2B7Q8 est gravée dans la mémoire collective de toute une génération de bidouilleurs PC, au même titre que les codes de GTA ou que la mélodie du modem 56k.
Voilà pour cette jolie histoire… Aujourd’hui, Windows XP n’est plus supporté depuis 2014, et cette clé ne sert plus à rien et Microsoft s’en fout d’ailleurs probablement. Mais 20 ans plus tard, on s’en souvient encore et c’est devenu un fail légendaire de plus dans l’histoire de l’informatique !
Vous faites du pentest, de la recherche en sécu ou vous êtes juste un curieux qui aime bidouiller des environnements de test ? Dans ce cas, il faut absolument que vous vous montiez un lab cybersécurité ! Mais c’est vai que c’est souvent la galère… Y’a Active Directory à configurer, des VMs Windows à déployer, des réseaux isolés à créer, tout ça manuellement… Ça prend des heures, voire des jours. Heureusement, Ludus règle le problème ! Vous décrivez ce que vous voulez dans un fichier YAML, vous tapez une commande, et hop, votre lab est prêt.
Ludus , c’est donc un système d’automatisation open-source qui tourne sur Proxmox. Vous définissez votre environnement de test (ce qu’ils appellent un “range”) dans un fichier de config, et Ludus s’occupe de tout déployer. Active Directory, machines Windows avec Office et Chocolatey, réseaux isolés, firewall rules personnalisées, DNS interne… Tout ce qu’il faut pour un lab de red team, blue team ou purple team.
Le truc cool, c’est que Ludus utilise Packer et Ansible en arrière-plan. Les templates sont construits à partir d’ISOs vérifiées, et tout est déployé de manière reproductible. Comme ça si vous voulez 255 VLANs, pas de souci. Si vous avez besoin de règles firewall custom ou de définir rôles Ansible pour configurer vos machines, c’est fastoche. Bref, Ludus vous laisse faire du high-level en YAML tout en gérant la complexité technique pour vous.
L’isolation est également bien pensée. Vous pouvez couper vos VMs d’internet, prendre des snapshots avant de leur autoriser l’accès, et ne whitelister que les domaines ou IPs spécifiques dont vous avez besoin. Du coup, pas de télémétrie qui fuit, pas de mises à jour Windows qui cassent votre environnement de test. Vous contrôlez tout !
Pour l’accès, Ludus intègre un serveur WireGuard ce qui vous permettra de vous connecter depuis n’importe où via SSH, RDP, VNC ou KasmVNC. Pratique si vous voulez accéder à votre lab depuis l’extérieur sans exposer vos machines de test sur internet.
Techniquement, ça tourne uniquement sur Debian 12/13 avec Proxmox 8/9. Il vous faudra au minimum 32GB de RAM par range (environnement de test), 200GB de stockage initial plus 50GB par range supplémentaire, et un CPU x86_64 avec un score Passmark au-dessus de 6000. C’est des specs correctes, mais pas non plus délirant si vous montez un serveur dédié pour ça.
Après une fois que c’est en place, le workflow pour les utilisateurs est assez simple. Vous récupérez une clé API et une config WireGuard auprès de l’admin du serveur Ludus, vous installez le client Ludus, vous importez votre VPN, et vous pouvez gérer votre range via la ligne de commande.
Le projet est sous licence AGPLv3, donc full open-source et comme d’hab, le code est sur GitHub . C’est en train de devenir un outil de référence dans la communauté sécu pour qui veut des environnements de test reproductibles.
Bref, si vous en avez marre de passer des heures à configurer vos labs à la main, pensez à Ludus ! Un fichier YAML, une commande vite fait, et votre infrastructure de test est toute prête ! Après, vous pouvez toujours aller bidouiller manuellement dans Proxmox si besoin, Ludus ne vous en empêchera pas, mais pour le gros du boulot chiant, il automatisera tout.
Si 87 % des professionnels de la cybersécurité s’attendent à ce que l’IA améliore leur efficacité et tempère l’impact de la pénurie de compétences en cybersécurité, ils sont néanmoins conscients qu’une montée en compétences en IA s’impose. Tribune – Fortinet, un des leaders mondiaux de la cybersécurité et acteur majeur de la convergence entre réseau […]
The post Dans une nouvelle étude, Fortinet souligne l’importance d’une expertise en IA pour pallier le déficit de compétences en cybersécurité first appeared on UnderNews.Un nouveau rapport montre que les entreprises qui mettent en œuvre la microsegmentation réduisent les délais de confinement des ransomwares et améliorent les conditions de cyberassurance. Tribune – Akamai Technologies, la société de cybersécurité et de Cloud Computing qui soutient et protège l’activité en ligne, a publié aujourd’hui un nouveau rapport, « Étude d’impact sur […]
The post La microsegmentation : une réponse plus rapide aux incidents et une réduction des primes d’assurance pour les organisations first appeared on UnderNews.86 % des RSSI mondiaux considèrent les métadonnées comme essentielles pour obtenir la visibilité complète dont les organisations ont besoin aujourd’hui. Tribune – Gigamon, un leader de l’observabilité avancée, dévoile une nouvelle étude révélant comment les RSSI redéfinissent les stratégies de cybersécurité pour 2026 afin de sécuriser et de gérer efficacement les infrastructures cloud hybrides à […]
The post Sécurité du cloud hybride : quelles sont les stratégies de sécurité des RSSI pour 2026 ? first appeared on UnderNews.Alors que les Assises de la Cybersécurité battent leur plein à Monaco, Proofpoint, publie son rapport annuel sur l’insécurité dans le secteur de la santé, réalisé en collaboration avec le Ponemon Institute. La quatrième édition de ce rapport annuel révèle que les cybermenaces persistantes constituent des risques cliniques, les attaques continuant de compromettre la sécurité des patients […]
The post Cyberattaques en santé : les soins aux patients plus que jamais dégradés pour 72% des établissements de santé aux US first appeared on UnderNews.Selon une nouvelle étude d’Insight Enterprises, une crise croissante des compétences en cybersécurité oblige 64% des entreprises de la zone EMEA à recourir à des solutions temporaires et des raccourcis risqués pour répondre aux besoins de sécurité. Le coût élevé des recrutements laisse les entreprises particulièrement exposées Tribune – En France, le problème est tout […]
The post Étude Insight : la pénurie de compétences en cybersécurité pousse 64 % des entreprises EMEA à adopter des raccourcis risqués first appeared on UnderNews.
Connexion