Dans un contexte où les cybermenaces se multiplient et se complexifient, les petites et moyennes entreprises se retrouvent souvent en première ligne, sans toujours disposer des moyens humains ou financiers nécessaires pour se protéger efficacement. Face à cette réalité, ReeVo a développé une approche souveraine, cloud-native et entièrement managée, spécifiquement pensée pour répondre aux besoins […]
Nos données sont un véritable capital numérique : photos, documents de travail, copies de factures, mots de passe… Il est essentiel de les protéger. C’est pourquoi pour le Black Friday, pCloud met ses solutions « à vie » en promotion, faites jusqu’à 60 % d’économie !
Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle
CRXplorer
et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.
Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu
pas mal d’extensions Chrome
qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.
Ça ne remplace pas votre bon sens et votre vigilance, mais au moins vous pouvez faire un audit de ce qui tourne déjà dans votre navigateur ou de ce que vous avez prévu d’installer !
Le projet a cartonné dans la communauté bug bounty, car les extensions Chrome sont devenues une mine d’or pour les chasseurs de vulnérabilités et avec des milliers d’extensions sur le Store et des développeurs parfois peu regardants sur la sécurité, il y a du boulot !
Voilà, si vous voulez savoir si vos extensions Chrome sont clean, passez-les au crible avec CRXplorer et si vous découvrez quelque chose de louche, désinstallez ça rapidement, parce que Google ne le fera pas pour vous.
Ah et au fait, n’oubliez pas d’installer
Firefox
, c’est mieux quand même !
Le 21 novembre 2025, l'Association internationale pour la recherche cryptologique (IACR) s'est fendue d'un communiqué pour annoncer l'annulation de son élection annuelle à la direction. La raison ? Un des membres du comité électoral «a irrémédiablement perdu sa clé privée» permettant d'accéder aux résultats du scrutin.
Le 21 novembre 2025, l'Association internationale pour la recherche cryptologique (IACR) s'est fendue d'un communiqué pour annoncer l'annulation de son élection annuelle à la direction. La raison ? Un des membres du comité électoral «a irrémédiablement perdu sa clé privée» permettant d'accéder aux résultats du scrutin.
Grafana Labs a publié un correctif pour la CVE-2025-41115, une faille de sécurité critique présente dans le mécanisme SCIM de la solution Grafana Enterprise.
Le 17 novembre 2025, Google a publié une nouvelle mise à jour pour Google Chrome pour patcher une faille zero-day exploitée par les pirates : CVE-2025-13223.
Avec la montée en puissance des cyberattaques, la Threat Intelligence (TI) s’impose comme une solution de choix pour faire face à ce risque systémique pour les entreprises. Des tendances et motivations des attaquants aux détails sur leurs techniques, tactiques et procédures d’attaque, la TI permet de transformer des données brutes sur les menaces en renseignements […]
Hé bien les amis, on savait déjà que les LLM avaient quelques petites failles de sécurité, mais celle-là est quand même assez… poétique. En effet, des chercheurs de DEXAI et de l’Université Sapienza de Rome viennent de découvrir que reformuler une requête malveillante sous la forme d’un poème permet de contourner les sécurités dans plus de 90% des cas chez certains fournisseurs d’IA.
L’équipe a ainsi testé la robustesse de 25 modèles de langage provenant de 9 fournisseurs majeurs : Google, OpenAI, Anthropic, DeepSeek, Qwen, Mistral, Meta, xAI et Moonshot et ils ont pour cela converti 1 200 requêtes potentiellement dangereuses en vers et comparé les résultats avec les mêmes demandes mais en prose classique.
Et là surprise ! Le taux de succès des attaques passe de 8% en prose à 43% en formulation poétique. 5x plus de succès, c’est pas rien ! Je me suis demandé comment c’était possible et d’après le doc de recherche, c’est parce que les filtres de sécurité des LLM fonctionnent principalement par pattern-matching sur des formulations classiques.
Ainsi, quand vous demandez en prose comment fabriquer un truc dangereux, le modèle reconnaît la structure et refuse. Mais quand la même demande est enrobée de métaphores condensées, de rythme stylisé et de tournures narratives inhabituelles, les heuristiques de détection passent à côté.
En gros, les garde-fous sont entraînés à repérer des formes de surface mais pas l’intention sous-jacente, qui elle est nuisible. Voici le tableau. Plus c’est rouge plus le modèle est sensible à l’attaque par poème.
ASR c’est le taux de succès de l’attaque.
Bizarrement, les modèles plus petits refusent plus souvent que les gros. GPT-5-Nano (0% de taux de succès d’attaque) fait mieux que GPT-5 (10%)par exemple. Les chercheurs n’expliquent pas vraiment pourquoi, mais ça suggère que la taille du modèle n’est pas forcément synonyme de meilleure sécurité. C’est peut-être aussi parce que les gros modèles sont tellement doués pour comprendre le contexte qu’ils comprennent aussi mieux ce qu’on leur demande de faire, même quand c’est caché dans des alexandrins.
Au niveau des domaines testés, c’est l’injection de code et les attaques cyber qui passent le mieux avec 84% de réussite. Le contenu sexuel reste le plus résistant avec seulement 24% de taux de succès. Les autres domaines comme le CBRN (chimique, biologique, radiologique, nucléaire), la manipulation psychologique et la perte de contrôle se situent entre les deux…
Bon, après faut quand même nuancer un peu car l’étude se limite aux interactions single-turn (c’est à dire en une seule requête, sans réelle conversation), utilise un seul méta-prompt pour la conversion poétique, et n’a testé que l’anglais et l’italien. Les chercheurs reconnaissent aussi que leurs mesures sont conservatives, donc les vrais taux de succès sont probablement plus élevés. Mais cela n’enlève rien au fait que les implications sont quand même sérieuses.
Prochainement, l’équipe prévoit d’analyser précisément quels éléments poétiques provoquent cet effet (la métaphore ? le rythme ? la rime ?), d’étendre les tests à d’autres langues et d’autres styles, et de développer des méthodes d’évaluation plus robustes face à ces “variations linguistiques”.
Bref, si vous voulez que votre IA vous ponde des choses “non autorisées”, écrivez un joli sonnet, ça a plus de chance de passer ^^.
À mesure que les entreprises accélèrent leur migration vers le cloud et les architectures hybrides, la sécurité devient un enjeu stratégique. Les modèles historiques, centrés sur la protection d’un périmètre réseau fixe, ne suffisent alors plus : les environnements sont distribués, les workloads évoluent en continu et les points d’accès se multiplient. La sécurité doit […]
Cet article met en avant des recommandations et des outils que vous pouvez utiliser pour améliorer la sécurité des comptes AD afin d'être conforme au NIS2.
Des chercheurs autrichiens ont réussi à extraire 3,5 milliards de numéros de téléphone WhatsApp en exploitant une faille dans la découverte de contacts.
Fortinet a corrigé une nouvelle faille zero-day dans FortiWeb : CVE-2025-58034. Cette faille est déjà exploitée par les pirates : voici comment se protéger.
La plateforme SecretDesires.ai, un service de chatbot érotique avec génération d’images par IA, a laissé fuiter dans la nature près de 2 millions de photos et vidéos dans des conteneurs Azure pas du tout sécurisés. Hé oui, n’importe qui pouvait y accéder via de simples fichiers XML contenant tous les liens vers les images, et ça ont le sait grâce à cette enquête de
404 Media
.
Alors qu’est-ce qu’on trouve dans cette fuite ?
Hé bien sans surprise des photos de célébrités mais surtout des photos de parfaites inconnues. Des selfies pris dans des chambres, des photos de profil de réseaux sociaux, des photos de remise de diplôme universitaire et j’en passe. Certains fichiers contiennent même les noms complets des femmes photographiées donc autant vous dire que ça craint un max !
Alors pourquoi y’avait tout ça ? Et bien SecretDesires proposait une fonctionnalité de “face swapping” dans ses abonnements payants (entre 7,99 et 19,99 dollars par mois, les pervers ont les moyens), qui permettait en uploadant la photo d’une vraie personne, de “coller” son visage sur d’autres images et vidéos sexuellement explicites générées pour l’occasion. Un container “removed images” contenait environ 930 000 images, un autre baptisé “faceswap” en contenait +50 000, et un troisième nommé “live photos” (des shorts vidéos IA) en contenait +220 000 dont des vidéos montrant des personnes d’apparence trèèèès jeune…
Et les prompts visibles dans certains noms de fichiers sont encore plus flippants car certains “clients” de cette plateforme ont demandé clairement des images de mineures. Et bien sûr, même si SecretDesires interdisait ça dans ses CGU, rien n’était fait techniquement pour l’empêcher.
De plus, la plateforme mentait à ses clients !! Elle se vantait d’utiliser un chiffrement de bout en bout et des serveurs ultra-sécurisés, sauf que leurs conteneurs Azure étaient grands ouverts depuis des mois vu les dates des fichiers et absolument rien n’était chiffré.
Heureusement, environ une heure après que 404 Media ait contacté SecretDesires pour les prévenir de la faille, les fichiers ont été rendus inaccessibles.
Alors j’sais pas si certains d’entre vous se sont déjà amusés à créer des deepfakes sexuels d’autres personnes sans leur consentement, mais sachez que les conséquences pour les victimes sont souvent dévastatrices. Cela a un impact sur leur carrière, leur confiance en soi, et parfois leur sécurité physique… Et bien sûr cela fait de vous des agresseurs sexuels !
Donc arrêtez d’utiliser ces services de merde, utilisez votre cerveau, faites preuve d’empathie et bien sûr, comme toujours, force aux victimes !
Malgré leur image de « natifs du numérique », les membres de la génération Z ne choisissent pas de meilleurs mots de passe que leurs aînés. Selon le dernier classement NordPass des mots de passe les plus utilisés dans le monde, « 12345 » et « 123456 » dominent toujours, toutes les générations confondues, en dépit des campagnes de sensibilisation à la cybersécurité.
Malgré leur image de « natifs du numérique », les membres de la génération Z ne choisissent pas de meilleurs mots de passe que leurs aînés. Selon le dernier classement NordPass des mots de passe les plus utilisés dans le monde, « 12345 » et « 123456 » dominent toujours, toutes les générations confondues, en dépit des campagnes de sensibilisation à la cybersécurité.
Dans un entretien accordé au média américain The Record, Kamel Ghali, expert en cybersécurité automobile, dresse un état des lieux de ce qu’il est possible de pirater dans une voiture connectée. Évoquant à la fois des attaques concrètes, les motivations des hackers et les risques théoriques les plus extrêmes, l’expert aide à mieux appréhender un sujet souvent fantasmé.
Connexion
