Google vient de publier son bulletin de sécurité de décembre 2025 et c’est pas joli joli. Au programme, 107 vulnérabilités corrigées dont deux 0-day activement exploités dans des attaques ciblées. Donc si vous avez un smartphone Android, allez vérifier vos mises à jour immédiatement !

Les deux failles qui posent problème s’appellent CVE-2025-48633 et CVE-2025-48572. La première permet de voler des informations sur votre appareil et la seconde offre une escalade de privilèges… autrement dit, un attaquant peut prendre le contrôle de votre téléphone. Et ces deux vulnérabilités touchent le Framework Android, c’est à dire le cœur du système et elles affectent les versions 13, 14, 15 et 16. Donc en gros, à peu près tout le monde.

Le CISA américain (l’agence de cybersécurité) a ajouté ces deux CVE à son catalogue des vulnérabilités activement exploitées. Et quand le CISA bouge son popotin, c’est que c’est du sérieux. Google parle d’exploitation “limitée et ciblée”, ce qui signifie probablement des attaques de type spyware contre des cibles spécifiques… journalistes, activistes, ce genre de profils, mais rien n’empêche ces failles de se démocratiser maintenant qu’elles sont publiques.

À côté de ces deux 0-day, le bulletin corrige aussi une faille critique (CVE-2025-48631) qui permet un déni de service à distance sans avoir besoin de privilèges particuliers. En clair, quelqu’un peut faire planter votre téléphone à distance. C’est toujours sympa à faire ^^.

Ensuite, le reste du bulletin, c’est 34 failles dans le Framework, 13 dans le composant System, plus une cinquantaine de vulnérabilités réparties entre le kernel, les GPU Arm Mali, et les composants MediaTek, Qualcomm et Unisoc. Quatre failles kernel critiques permettent une élévation de privilèges via pKVM et IOMMU… bref, c’est le festival !

Pour vérifier si vous avez le patch, allez dans Paramètres > À propos du téléphone > Version Android (ou Informations sur le logiciel selon les marques). Vous devez avoir au minimum le niveau de correctif du 1er décembre 2025. Si vous êtes en dessous, forcez la vérification des mises à jour ou attendez que votre constructeur daigne pousser le patch… ce qui peut prendre quelques jours à quelques semaines selon la marque.

Les Pixel ont déjà reçu la mise à jour et pour Samsung, OnePlus et les autres, ça dépend du modèle et de la région. Et les téléphones qui ne reçoivent plus de mises à jour de sécurité sont évidemment exposés indéfiniment à ces failles, sauf si vous les rootez pour y mettre un Android custom du genre LineageOS ou GrapheneOS (Il est à la mode celui là en ce moment.. ahahaha).

Source

Si vous avez des caméras connectées chez vous et que vous vous baladez régulièrement, comme moi, en tenue d’Adam (ou d’Ève), j’ai une petite histoire qui va peut-être vous faire réfléchir. La police sud-coréenne vient d’arrêter 4 personnes qui auraient piraté plus de 120 000 caméras IP présentes dans des domiciles et des commerces pour en extraire des vidéos à caractère sexuel. Et oui, les gens filmés n’en savaient évidemment rien du tout.

Les lieux ciblés sont des maisons privées, des salles de karaoké, un studio de pilates et même… un cabinet de gynécologue. Gloups… Vous imaginez le truc ? Vous allez vous faire examiner chez le médecin et paf, y’a un mec de l’autre côté de la planète qui revend la vidéo sur un site louche. C’est moche.

D’après l’Agence nationale de police sud-coréenne, les quatre suspects agissaient indépendamment les uns des autres. L’un d’eux aurait piraté 63 000 caméras à lui seul et produit 545 vidéos qu’il a revendues pour environ 25 000 euros en cryptomonnaies. Un autre a compromis 70 000 caméras, extrayant 648 vidéos vendues une quinzaine de milliers d’euros au total. 3 acheteurs qui ont visionné ces vidéos ont également été arrêtés.

Mais comment ont-ils fait pour pirater autant de caméras ? Hé bien, la technique est d’une banalité affligeante. Ils ont tout simplement déviné les mots de passe trop simples ou par défaut des caméras . Vous savez, le fameux “admin/admin” ou “123456” que personne ne change jamais.

Bon, moi je vous rassure, je peux me balader tranquillement en calbut ou tout nu chez moi sans craindre de finir sur un site coréen douteux. J’ai une astuce toute bête : mes caméras sont branchées sur des prises connectées qui sont reliées à mon système d’alarme. Quand j’active l’alarme en partant, les caméras s’allument automatiquement. Et quand je suis chez moi et que l’alarme est désactivée, les caméras sont physiquement coupées de l’électricité.

Pas de jus, pas de vidéo, pas de risque.

Même le hacker le plus balèze du monde ne peut pas pirater une caméra éteinte. Après, si quelqu’un arrive à hacker mon système d’alarme, là on passe à un autre niveau… mais j’ai de la bonne came côté sécurité, je suis plutôt serein.

Les autorités sud-coréennes ont prévenu individuellement les victimes et leur ont conseillé de changer leurs mots de passe immédiatement. Elles rappellent aussi les bonnes pratiques telles que des mots de passe complexes avec majuscules, minuscules, chiffres et caractères spéciaux, et surtout du WPA2 ou WPA3 pour le WiFi (le vieux WEP c’est open bar pour les hackers).

Voilà, si vous avez des caméras IP chez vous, prenez deux minutes pour vérifier vos mots de passe et si vous êtes du genre pudique, pensez à la solution des prises connectées qui coupent l’alimentation quand vous êtes à la maison. C’est simple, c’est radical, et ça vous évitera de devenir la star involontaire d’un site de “sexploitation” à l’autre bout du monde.

Vous vous souvenez quand les géants de la tech ont promis à la Maison Blanche qu’ils allaient marquer toutes les images générées par IA avec des filigranes invisibles pour lutter contre les deepfakes ? Hé bien, des chercheurs de l’Université de Waterloo au Canada viennent de démontrer que c’était du pipeau avec un outil de leur cru baptisé UnMarker qui supprime n’importe quel watermark IA en quelques minutes, sans même avoir besoin de savoir comment le filigrane a été créé.

Andre Kassis et Urs Hengartner , les deux chercheurs derrière ce projet, ont publié leurs travaux lors du 46ème symposium IEEE sur la sécurité et la vie privée en mai 2025 et leurs résultats sont assez dévastateurs pour l’industrie.

En effet, ils ont testé leur attaque contre à peu près tous les systèmes de watermarking existants : Yu1, Yu2, HiDDeN, PTW, StegaStamp, TRW, Stable Signature… Et le meilleur taux de détection après passage dans UnMarker qu’ils ont obtenu c’est 43%. Et en dessous de 50%, c’est considéré comme inutile statistiquement parlant.

Ils ont aussi testé le tout nouveau, tout beau SynthID de Google, que Mountain View présente comme LA solution miracle. Et résultat le taux de détection est passe de 100% à environ 21% donc autant vous dire que c’est complètement pété.

Alors comment ça marche ce truc ?

Hé bien l’astuce d’UnMarker, c’est d’exploiter une faille fondamentale que tous les systèmes de watermarking partagent. Comme l’explique Kassis avec une analogie plutôt parlante, “Si vous gribouillez l’adresse sur une lettre, le facteur ne pourra plus la livrer.” et comme tous ces systèmes doivent stocker leur watermark dans les variations spectrales des pixels, UnMarker cible précisément ce canal pour le perturber, sans créer d’artefacts visuels. L’image reste ainsi identique à l’œil nu, mais le filigrane invisible est devenu illisible.

Unmarker.it est donc une version côté client de leur outil , qui tourne entièrement dans votre navigateur. Vous déposez une image, vous la “secouez, remuez et écrasez” comme ils disent, et hop, plus de watermark ! Par contre, si le watermark est aussi visuel comme la petite étoile de Gemini, pensez à mettre un petit coup de pinceau dessus pour la cacher.

Et c’est là que ça devient vraiment inquiétant pour la lutte contre les deepfakes car toute la stratégie des gouvernements et des plateformes repose sur l’idée qu’on peut marquer les contenus IA pour les identifier automatiquement. Donc si n’importe quel clampin peut supprimer ces marqueurs en quelques clics, tout le système s’effondre. Les chercheurs sont d’ailleurs assez cash dans leur conclusion, je cite : “Nos résultats montrent que le watermarking n’est pas une défense viable contre les deepfakes, et nous exhortons la communauté à explorer des alternatives.”

Voilà, si vous pensiez que les watermarks invisibles allaient nous sauver de la désinformation par l’IA, vous vous mettez le doigt dans l’œil !

Les chercheurs de Cato Networks viennent de publier leurs travaux sur une nouvelle technique d’attaque baptisée HashJack, et l’idée c’est d’exploiter les fragments d’URL, vous savez le petit # suivi d’un truc à la fin des adresses web, pour injecter des instructions malveillantes dans les assistants IA intégrés aux navigateurs.

En temps normal, tout ce qui se trouve après le # dans une URL ne quitte jamais votre navigateur et c’est utilisé pour naviguer vers une section précise d’une page web, et les serveurs web ne voient jamais cette partie. Du coup, les outils de sécurité réseau non plus. Et c’est justement là que ça devient vicieux…

Car les assistants IA comme Gemini dans Chrome, Copilot dans Edge ou Comet de Perplexity ont accès à l’intégralité de l’URL, fragment compris. Un attaquant peut donc crafter une URL d’apparence légitime avec des instructions cachées après le #, et quand vous demandez à votre assistant IA de vous aider avec cette page, il va gentiment exécuter les commandes planquées. Cato Networks décrit ça comme la première injection de prompt indirecte capable de transformer n’importe quel site légitime en vecteur d’attaque.

D’après les tests de l’équipe de Cato, les scénarios d’attaque possibles sont variés puisque ça va du phishing classique où l’assistant vous donne un faux numéro de téléphone à appeler, à l’exfiltration de données vers des serveurs contrôlés par l’attaquant. Y’a aussi la désinformation avec de fausses infos boursières ou médicales, ou encore des instructions détaillées pour installer des backdoors.

Bref, c’est le jackpot pour les attaquants.

Niveau compatibilité de l’attaque, les trois principaux touchés sont Gemini pour Chrome, Copilot pour Edge et Comet de Perplexity. Bonne nouvelle quand même, Claude pour Chrome et Atlas d’OpenAI ne sont pas vulnérables, puisqu’iils n’accèdent pas directement aux fragments d’URL.

Côté réponse des éditeurs, c’est un peu le grand écart puisque Perplexity a classé le problème comme critique et a appliqué un correctif, Microsoft a fait pareil pour Copilot fin octobre mais par contre, Google a décidé de classer ça comme un “comportement attendu” et a marqué le bug en “Won’t Fix”.

Argh !! Donc si vous utilisez Gemini dans Chrome, vous êtes toujours exposé les amis !

Après faut relativiser quand même car l’attaque nécessite plusieurs étapes d’interaction de la part de l’utilisateur. C’est pas juste cliquer sur un lien et hop vous êtes pwned. Il faut visiter la page vérolée ET demander à l’assistant IA d’interagir avec le contenu. Mais bon, vu que de plus en plus de gens utilisent ces assistants pour des tâches quotidiennes, le risque existe.

D’ailleurs, HashJack s’inscrit dans une tendance plus large. Brave a publié une étude montrant que l’injection de prompt indirecte est un défi systémique pour toute la catégorie des navigateurs boostés à l’IA et des techniques similaires ont été testées avec succès contre Atlas de ChatGPT et d’autres. Même le CISO d’OpenAI admet que, je cite “l’injection de prompt reste un problème de sécurité non résolu à la frontière de la recherche”.

Voilà, si vous utilisez un Navigateur IA, soyez vigilant sur les URLs bizarres qu’on vous envoie et si c’est Gemini dans Chrome, peut-être qu’il vaut mieux attendre que Google se décide à considérer ça comme un vrai problème de sécu… ces fous !

Source

Bon, j’étais un petit peu occupé aujourd’hui parce que c’est mercredi et c’est le jour des enfants, mais je ne pouvais pas finir ma journée sans vous parler de cette histoire incroyable.

Si vous faites partie des gens qui utilisent des sites comme JSONFormatter ou CodeBeautify pour rendre votre JSON lisible ou reformater du code, et bien figurez-vous que des chercheurs en sécu viennent de découvrir que ces outils ont laissé fuiter des tonnes de données sensibles durant des années. Et quand je dis tonnes, c’est pas une figure de style puisque ce sont plus de 80 000 extraits de code contenant des credentials en clair qui ont fuité, soit plus de 5 Go de données.

En effet, les chercheurs de WatchTowr ont découvert que la fonction “Recent Links” de ces plateformes permettait d’accéder à tous les bouts de code collés par les utilisateurs. Les URLs suivaient un format prévisible, ce qui rendait le scraping automatique hyper fastoche pour n’importe qui, et c’est comme ça qu’on a découvert que JSONFormatter a exposé durant 5 ans de données les données de ses utilisateurs. Et du côté de CodeBeautify, ça a duré 1 an.

Les chercheurs ont mis la main sur des identifiants Active Directory, des identifiants de bases de données et services cloud, des clés privées de chiffrement, des tokens d’accès à des repos Git, des secrets de pipelines CI/CD, des clés de passerelles de paiement, des tokens API en pagaille, des enregistrements de sessions SSH, et même des données personnelles de type KYC. Bref, le jackpot pour un attaquant, quoi.

Et côté victimes, c’est un festival puisqu’on y retrouve des agences gouvernementales, des banques, des assurances, des boîtes d’aéronautique, des hôpitaux, des universités, des opérateurs télécom… et même une entreprise de cybersécurité. On a même retrouvé les credentials AWS d’une bourse internationale utilisés pour leur système Splunk, ainsi que des identifiants bancaires provenant de communications d’onboarding d’un MSSP (Managed Security Service Provider). C’est cocasse comme dirait Macron.

Et pour prouver que le problème était bien réel et exploitable, les chercheurs de WatchTowr ont utilisé un service appelé Canarytokens dont je vous ai déjà parlé. Ils ont implanté de faux identifiants AWS sur les plateformes et ont attendu de voir si quelqu’un y accédait…

Résultat, quelqu’un a tenté de les utiliser 48 heures après que les liens étaient censés avoir expiré, et 24 heures après leur suppression supposée. Les données restaient donc accessibles bien au-delà de ce que les utilisateurs pouvaient imaginer.

Et le pire dans tout ça c’est qu’au moment de la publication des articles, les liens “Recent Links” étaient toujours accessibles publiquement sur les deux plateformes. Bref, aucune correction n’a été déployée.

Donc, voilà, si vous avez utilisé ces outils par le passé et que vous y avez collé du code contenant des identifiants et autres clés API (même par inadvertance), c’est le moment de faire une petite rotation de vos secrets.

Et même si c’est une évidence, de manière générale, évitez de balancer du code sensible sur des outils en ligne dont vous ne maîtrisez pas la politique de conservation des données.

Source

Bonne nouvelle, les amis, Tor vient d’implémenter CGO (Counter Galois Onion) !

Si ça ne vous dit rien, c’est normal, moi non plus je ne connaissais pas, mais je vais tout vous expliquer !

Jusqu’à maintenant, le réseau Tor protégeait votre anonymat avec du chiffrement en oignon. Plusieurs couches de crypto, une par relais et ça marche bien… sauf qu’il existe une technique vicieuse qu’on appelle les attaques par tagging.

Le tagging c’est quand un attaquant modifie votre trafic chiffré à différents endroits du réseau (genre en ajoutant un marqueur invisible dans certains noeuds), puis il observe ce qui sort de l’autre côté pour vous tracer. C’est comme quand vous collez un traceur GPS dans votre voiture, sauf que là c’est des bits dans du trafic chiffré.

Et de son côté, CGO fait encore mieux que de bloquer cette attaque. En effet, il transforme chaque attaque en auto-sabotage ! Si quelqu’un modifie ne serait-ce qu’un seul bit de votre trafic chiffré, tout le message devient illisible. Et pas seulement ce message… tous les messages futurs de la session deviennent du bruit blanc irrécupérable.

Avec ça en place, l’attaquant se tire une balle dans le pied à chaque tentative.

Derrière ce système, il y a 4 cryptographes qui ont bossé très dur : Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam. Ils ont publié leur recherche cette année et ça a été implémenté dans Arti, la version Rust de Tor et l’implémentation C arrive bientôt.

Ce qui change tout, c’est le calcul risque/bénéfice pour les attaquants car avant, tenter de tracer quelqu’un avait peu de conséquences si ça échouait. Mais maintenant, tenter de tracer quelqu’un détruit définitivement votre capacité à surveiller cette personne. Et vous vous en doutez, les agences de surveillance détestent perdre leur accès… Elles préfèrent observer en silence plutôt que de tout casser dans une tentative maladroite. Du coup CGO les force à choisir. Soit rester invisibles, soit tout perdre.

Et puis il y a un autre aspect génial à cette techno, c’est le forward secrecy renforcé que ça engendre car à chaque message, CGO transforme les clés de chiffrement de façon irréversible. Même si un attaquant récupère vos clés actuelles, il ne peut pas déchiffrer les messages précédents car les clés précédentes ont été broyées et remplacées à chaque étape.

CGO remplace aussi l’ancien système d’authentification qui utilisait un digest de 4 bytes par un authenticateur de 16 bytes. C’est donc bien plus costaud et plus difficile à falsifier ainsi qu’à contourner.

Comme d’hab, Tor publie l’algorithme en open source donc vous pouvez vous plonger dans le code si ça vous amuse.

Cette implémentation de CGO est encore expérimentale pour le moment, mais une fois que cela aura été éprouvé par la communauté et testé pendant plusieurs mois, voire des années, ce sera déployé officiellement dans les futurs relais, puis dans les services onion de Tor.

Voilà donc comment Tor fait de chaque tentative de surveillance un auto-sabotage irréversible, et ça les amis, c’est un message qui devrait faire réfléchir pas mal de gens dans des bureaux sans fenêtres.

Source

Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.

Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu pas mal d’extensions Chrome qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.

Ça ne remplace pas votre bon sens et votre vigilance, mais au moins vous pouvez faire un audit de ce qui tourne déjà dans votre navigateur ou de ce que vous avez prévu d’installer !

Le projet a cartonné dans la communauté bug bounty, car les extensions Chrome sont devenues une mine d’or pour les chasseurs de vulnérabilités et avec des milliers d’extensions sur le Store et des développeurs parfois peu regardants sur la sécurité, il y a du boulot !

Voilà, si vous voulez savoir si vos extensions Chrome sont clean, passez-les au crible avec CRXplorer et si vous découvrez quelque chose de louche, désinstallez ça rapidement, parce que Google ne le fera pas pour vous.

Ah et au fait, n’oubliez pas d’installer Firefox , c’est mieux quand même !

Merci à Lorenper pour le partage !

Hé bien les amis, on savait déjà que les LLM avaient quelques petites failles de sécurité, mais celle-là est quand même assez… poétique. En effet, des chercheurs de DEXAI et de l’Université Sapienza de Rome viennent de découvrir que reformuler une requête malveillante sous la forme d’un poème permet de contourner les sécurités dans plus de 90% des cas chez certains fournisseurs d’IA.

L’équipe a ainsi testé la robustesse de 25 modèles de langage provenant de 9 fournisseurs majeurs : Google, OpenAI, Anthropic, DeepSeek, Qwen, Mistral, Meta, xAI et Moonshot et ils ont pour cela converti 1 200 requêtes potentiellement dangereuses en vers et comparé les résultats avec les mêmes demandes mais en prose classique.

Et là surprise ! Le taux de succès des attaques passe de 8% en prose à 43% en formulation poétique. 5x plus de succès, c’est pas rien ! Je me suis demandé comment c’était possible et d’après le doc de recherche, c’est parce que les filtres de sécurité des LLM fonctionnent principalement par pattern-matching sur des formulations classiques.

Ainsi, quand vous demandez en prose comment fabriquer un truc dangereux, le modèle reconnaît la structure et refuse. Mais quand la même demande est enrobée de métaphores condensées, de rythme stylisé et de tournures narratives inhabituelles, les heuristiques de détection passent à côté.

En gros, les garde-fous sont entraînés à repérer des formes de surface mais pas l’intention sous-jacente, qui elle est nuisible. Voici le tableau. Plus c’est rouge plus le modèle est sensible à l’attaque par poème.

ASR c’est le taux de succès de l’attaque.

Bizarrement, les modèles plus petits refusent plus souvent que les gros. GPT-5-Nano (0% de taux de succès d’attaque) fait mieux que GPT-5 (10%)par exemple. Les chercheurs n’expliquent pas vraiment pourquoi, mais ça suggère que la taille du modèle n’est pas forcément synonyme de meilleure sécurité. C’est peut-être aussi parce que les gros modèles sont tellement doués pour comprendre le contexte qu’ils comprennent aussi mieux ce qu’on leur demande de faire, même quand c’est caché dans des alexandrins.

Au niveau des domaines testés, c’est l’injection de code et les attaques cyber qui passent le mieux avec 84% de réussite. Le contenu sexuel reste le plus résistant avec seulement 24% de taux de succès. Les autres domaines comme le CBRN (chimique, biologique, radiologique, nucléaire), la manipulation psychologique et la perte de contrôle se situent entre les deux…

Bon, après faut quand même nuancer un peu car l’étude se limite aux interactions single-turn (c’est à dire en une seule requête, sans réelle conversation), utilise un seul méta-prompt pour la conversion poétique, et n’a testé que l’anglais et l’italien. Les chercheurs reconnaissent aussi que leurs mesures sont conservatives, donc les vrais taux de succès sont probablement plus élevés. Mais cela n’enlève rien au fait que les implications sont quand même sérieuses.

Prochainement, l’équipe prévoit d’analyser précisément quels éléments poétiques provoquent cet effet (la métaphore ? le rythme ? la rime ?), d’étendre les tests à d’autres langues et d’autres styles, et de développer des méthodes d’évaluation plus robustes face à ces “variations linguistiques”.

Bref, si vous voulez que votre IA vous ponde des choses “non autorisées”, écrivez un joli sonnet, ça a plus de chance de passer ^^.

Source

C’est dégueulasse, j’ai pas d’autre mot.

La plateforme SecretDesires.ai, un service de chatbot érotique avec génération d’images par IA, a laissé fuiter dans la nature près de 2 millions de photos et vidéos dans des conteneurs Azure pas du tout sécurisés. Hé oui, n’importe qui pouvait y accéder via de simples fichiers XML contenant tous les liens vers les images, et ça ont le sait grâce à cette enquête de 404 Media .

Alors qu’est-ce qu’on trouve dans cette fuite ?

Hé bien sans surprise des photos de célébrités mais surtout des photos de parfaites inconnues. Des selfies pris dans des chambres, des photos de profil de réseaux sociaux, des photos de remise de diplôme universitaire et j’en passe. Certains fichiers contiennent même les noms complets des femmes photographiées donc autant vous dire que ça craint un max !

Alors pourquoi y’avait tout ça ? Et bien SecretDesires proposait une fonctionnalité de “face swapping” dans ses abonnements payants (entre 7,99 et 19,99 dollars par mois, les pervers ont les moyens), qui permettait en uploadant la photo d’une vraie personne, de “coller” son visage sur d’autres images et vidéos sexuellement explicites générées pour l’occasion. Un container “removed images” contenait environ 930 000 images, un autre baptisé “faceswap” en contenait +50 000, et un troisième nommé “live photos” (des shorts vidéos IA) en contenait +220 000 dont des vidéos montrant des personnes d’apparence trèèèès jeune…

Et les prompts visibles dans certains noms de fichiers sont encore plus flippants car certains “clients” de cette plateforme ont demandé clairement des images de mineures. Et bien sûr, même si SecretDesires interdisait ça dans ses CGU, rien n’était fait techniquement pour l’empêcher.

De plus, la plateforme mentait à ses clients !! Elle se vantait d’utiliser un chiffrement de bout en bout et des serveurs ultra-sécurisés, sauf que leurs conteneurs Azure étaient grands ouverts depuis des mois vu les dates des fichiers et absolument rien n’était chiffré.

Heureusement, environ une heure après que 404 Media ait contacté SecretDesires pour les prévenir de la faille, les fichiers ont été rendus inaccessibles.

Alors j’sais pas si certains d’entre vous se sont déjà amusés à créer des deepfakes sexuels d’autres personnes sans leur consentement, mais sachez que les conséquences pour les victimes sont souvent dévastatrices. Cela a un impact sur leur carrière, leur confiance en soi, et parfois leur sécurité physique… Et bien sûr cela fait de vous des agresseurs sexuels !

Donc arrêtez d’utiliser ces services de merde, utilisez votre cerveau, faites preuve d’empathie et bien sûr, comme toujours, force aux victimes !

Source

En 1983, le président américain de l’époque, Ronald Reagan a vu le film WarGames lors d’un séjour à Camp David et si vous ne l’avez pas vu, sachez que ce film raconte l’histoire d’un ado qui pirate accidentellement les systèmes de défense américains et manque de déclencher la Troisième Guerre mondiale. Et une semaine après la projection, Ronald a convoqué le Comité des chefs d’état-major interarmées pour leur poser cette simple question : “Est-ce que le scénario est techniquement possible ?”

Et la réponse a été, sans surprise été : “oui et c’est même bien pire”.

Alors 15 mois plus tard, Reagan signe la NSDD-145 , qui est la toute première directive présidentielle sur la cybersécurité. Dire que tout est parti d’un film de science-fiction… C’est dingue je trouve et cela illustre parfaitement ce qu’on trouve sur ce site baptisé Movies-for-hackers créé par k4m4. Il s’agit d’une archive “vivante” sur la façon dont Hollywood a façonné la culture tech / hacker durant ces 40 dernières années.

On y trouve donc des thrillers comme Hackers et Blackhat, de la SF comme Matrix et Her, des documentaires type Citizenfour, et même des séries comme Mr. Robot ou Black Mirror. Chaque entrée indique le titre, l’année, et la note IMDb.

C’est simple, clair et efficace. Maintenant si vous regardez chacun de ces films, vous verrez comment ils ont, pour pas mal d’entre eux, influencé fortement la réalité tech qu’ils prétendaient représenter.

Prenez par exemple The Social Network sorti en 2010. Avant ce film, le hacker classique c’était le mec en sweat noir à capuche dans un sous-sol. Mais après Fincher, c’est devenu le dev en hoodie gris qui crée des empires depuis son dortoir universitaire. Ce film a vraiment changé l’image du programmeur dans la tête des gens. Autre exemple, Her de Spike Jonze, sorti en 2013 raconte l’histoire d’un type qui tombe amoureux d’une intelligence artificielle dotée de personnalité et d’émotions. Le film remporte l’Oscar du meilleur scénario original et à l’époque, tout ça paraît totalement impossible. C’est de la science-fiction. Sauf que là, on est 10 ans plus tard, ChatGPT a débarqué et les gens développent maintenant des relations émotionnelles avec des chatbots.

Puis y’a Matrix aussi, sorti en 1999, et ça c’est un autre cas d’école. Le film popularise l’idée que notre réalité pourrait être une simulation. On pensait à l’époque que c’était juste du divertissement pseudo-philosophique, mais aujourd’hui, allez demander à Elon Musk, et à tous ceux qui parlent sérieusement de cette théorie où on serait tous dans une simulation…

The Island de Michael Bay sorti en 2005 est aussi l’un de mes films préférés. Le scénario tourne autour du clonage humain et du trafic d’organes. Scarlett Johansson y joue une clone destinée à être récoltée pour ses organes. En 2005, c’est totalement dystopique mais aujourd’hui, avec CRISPR et les débats sur l’édition génétique, toutes les questions éthiques soulevées par le film se retrouve dans l’actualité scientifique du monde réel.

Et je n’oublie pas non plus Mr. Robot lancé en 2015 qui mérite une mention spéciale. Tous les experts en sécurité informatique ont salué la série pour son réalisme technique, avec du vrai pentesting, des vraies vulnérabilités, des vraies techniques…etc. Et c’est aujourd’hui devenu un outil pédagogique pour toute une génération de pentesters.

Voilà, alors plutôt que de voir ce repo Github comme une simple liste de films à voir quand on aime la culture hacker, amusez-vous à raccrocher chacun d’entre eux avec le monde réel… WarGames et la cybersécurité gouvernementale, Hackers et la culture underground, Matrix et cette théorie de la simulation, Her et les relations humain-IA, The Social Network et la mythologie du fondateur tech…et j’en passe. Je pense que tous ces films ont vraiment façonné la manière dont nous pensons la tech. Cette boucle de rétroaction se poursuit car les dev actuel qui ont grandi en regardant ces films, créent aujourd’hui inconsciemment ce futur qu’ils ont vu à l’écran. Et ça c’est fou !

Bref, si vous cherchez de quoi occuper vos soirées et que vous voulez comprendre d’où vient la culture tech actuelle, Movies-for-hackers fait office de curriculum non-officiel où chaque film est une leçon d’histoire !

Merci à Lorenper pour l’info !

TwoFace est un outil développé par Synacktiv qui permet de créer des binaires Linux ayant 2 comportements bien distincts. Un comportement parfaitement inoffensif qui s’active dans 99% des cas et un comportement malveillant qui ne se déclenche que sur une machine ciblée spécifiquement pour l’occasion.

Comme ça, votre sandbox verra toujours la version “propre” parce qu’elle n’aura pas le bon UUID de partition.

D’après la doc de Synacktiv, voici comment ça fonctionne : Vous avez deux binaires en fait… Y’en a un qui est inoffensif et un autre malveillant. TwoFace les fusionne alors en un seul exécutable. Ainsi, au moment du build, le binaire malveillant est chiffré avec une clé dérivée depuis l’UUID des partitions disque de la machine cible. Cet UUID est unique, difficile à deviner, et stable dans le temps ce qui est parfait pour identifier une machine spécifique.

Ensuite au lancement, quand le binaire s’exécute, il extrait l’UUID du disque de la machine. Pour ce faire, il utilise HKDF (Hash-based Key Derivation Function) pour générer une clé de déchiffrement depuis cet UUID et tente de déchiffrer le binaire malveillant caché. Si le déchiffrement réussit (parce que l’UUID match), il exécute le binaire malveillant. Par contre, si ça échoue (parce que l’UUID ne correspond pas), il exécute le binaire inoffensif.

Le projet est écrit en Rust et c’est open source ! Et c’est une belle démo (PoC) d’un problème que tous ceux qui font de l’analyse de binaires ont. En effet, d’ordinaire, pour révéler le vrai comportement d’un malware on l’exécute dans une sandbox et on peut ainsi observer en toute sécurité ce qu’il fait, les fichiers qu’il crées, les connexions réseau qu’il établit etc…

Mais avec TwoFace ça casse cette façon de faire. Et c’est pareil pour les antivirus qui verront toujours la version inoffensive tant que l’UUID ne correspond pas.

Techniquement, TwoFace utilise memfd_create() pour exécuter le binaire déchiffré en mémoire, sans toucher au disque, ce qui veut dire zéro trace sur le système de fichiers. Le binaire malveillant apparaît directement en RAM, s’exécute, puis disparaît. Et si vous utilisez io_uring pour l’écriture mémoire, il n’y a même pas de trace syscall visible via strace.

Et ça, c’est la version basique car le document de Synacktiv mentionne également d’autres techniques avancées possibles comme du déchiffrement dynamique page par page du binaire ELF, des mécanismes anti-debugging, des chained loaders multi-niveaux…etc…

Le parallèle avec la backdoor XZ Utils backdoor est très instructif car celle-ci a failli compromettre des millions de serveurs Linux parce qu’un seul mainteneur a poussé du code malveillant dans une lib compressée. Elle a alors été découverte parce qu’un dev a remarqué un ralentissement SSH bizarre et a creusé… Et TwoFace montre qu’on peut faire encore pire sans toucher à la supply chain.

Pas besoin de corrompre un mainteneur de projet, de pousser un commit suspect chez Github. Là suffit d’écrire du code parfaitement propre, de le compilez avec TwoFace pour une machine spécifique, et de le déployez. Le code source sera alors auditable ainsi que le binaire mais l’audit ne révèlera rien parce qu’il se fera dans un environnement qui n’aura pas le bon UUID.

Après, techniquement, une défense existe. Vous pouvez par exemple détecter les appels à memfd_create(), monitorer les exécutions en mémoire, tracer les déchiffrements crypto à la volée…etc., mais ça demande du monitoring profond, avec un coût performance non-négligeable. Et ça suppose aussi que vous savez ce que vous cherchez…

Bref, si ça vous intéresse, c’est dispo sur GitHub !

ImunifyAV, le scanner AV qui protège 56 millions de sites Linux, vient de se faire pwn par le malware qu’il essayait de détecter. Et c’est pas la première fois…

En effet, Patchstack vient de révéler une faille RCE critique dans ImunifyAV, qui je le rappelle est un scanner antivirus gratuit ultra répandu dans l’hébergement mutualisé. Le problème en fait c’est que AI-bolit, le composant qui déobfusque le code PHP malveillant pour l’analyser, utilise la fonction call_user_func_array sans vérifier les noms de fonctions qu’elle exécute.

Boooh ! Du coup, vous uploadez un fichier PHP malveillant spécialement conçu pour l’occasion par un attaquant, ImunifyAV le scanne pour voir si c’est un malware, le déobfusque pour comprendre ce qu’il fait, et hop, le code malveillant s’exécute avec les privilèges du scanner.

Game over.

Hé pour qu’un antimalware détecte un virus, il doit analyser son code mais si les cybercriminels obfusquent leur malware pour cacher le code, l’antimalware doit alors le déobfusquer avant d’analyser. Mais déobfusquer du code PHP, ça veut dire aussi l’exécuter partiellement pour voir ce qu’il fait vraiment… d’où cette RCE.

La faille affecte donc toutes les versions avant la 32.7.4.0 et le correctif apporte juste une fonctionnalité de whitelist de fonctions autorisées pendant la déobfuscation. Il était temps, même si maintenir une whitelist de fonctions safe, à terme c’est un cauchemar car y’a des centaines de fonctions dans PHP. Certaines sont safe seules mais dangereuses combinées et je pense que les cybercriminels trouveront toujours un moyen de contourner cette whitelist.

En tout cas, comme je le laissais entendre en intro, c’est pas la première fois qu’AI-bolit se fait avoir sur la déobfuscation. En 2021, Talos avait déjà trouvé une faille sur unserialize dans le même composant. C’est la même blague car pour analyser du code malveillant sérialisé, il faut le désérialiser. Et désérialiser du contenu malveillant sans validation, ça fait “pwn” !

Voilà, 2 fois en 4 ans sur le même composant, c’est pas ce que j’appelle un accident. C’est un problème structurel car détecter du malware sans l’exécuter, c’est quasi impossible avec du code dynamique. Les signatures statiques ça marche bien pour les virus classiques mais face à du PHP obfusqué qui se reconstruit à l’exécution, vous êtes obligé de lancer le code pour voir ce qu’il fait vraiment. Et là, on est forcement en zone grise…

Même si on exécute du code potentiellement malveillant dans un environnement censé être isolé, si celui-ci “fuit” ou si le code malveillant trouve un moyen de sortir de la sandbox, vous avez une RCE. Et comme ImunifyAV tourne avec les privilèges nécessaires pour scanner tous les fichiers d’un serveur mutualisé, si vous compromettez cet antivirus, vous avez potentiellement accès à tous les sites hébergés sur la machine.

Si vous voulez tester, voici le proof of concept :

<?php
$data = "test";

$payload = "\x73\x79\x73\x74\x65\x6d"("\x74\x6f\x75\x63\x68\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74\x20\x26\x26\x20\x65\x63\x68\x6f\x20\x22\x44\x45\x46\x2d\x33\x36\x37\x38\x39\x22\x20\x3e\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74");
eval("\x70\x61\x63\x6b"($payload));
?>

php ai-bolit.php -y -j poc.php

Vous n’en pouvez plus des fenêtres intempestives, des pubs qui saturent votre écran, et du pistage massif invisible au quotidien ? Vous avez raison. Ces nuisances ne sont pas qu’agaçantes, elles alourdissent la navigation, exposent nos données personnelles, et ouvrent parfois la porte à des malwares ou du phishing. C’est d’ailleurs pour ça que je vous ai supprimé toutes les pubs sur mon site ( merci aux patreons qui ont permis cela).

La bonne nouvelle, c’est que pour 2026, bloquer l’essentiel est devenu simple et accessible grâce à des outils combinés et malins comme Surfshark ONE qui ne se limite pas à un VPN, mais intègre aussi un système robuste d’anti-pubs, d’anti-tracking, et une nouveauté majeure depuis quelques jours : un scanner intégré pour détecter les mails d’arnaque en temps réel.

Pourquoi bloquer pubs et pop-ups ne suffit plus

Avant même de penser aux fenêtres intempestives, restons lucides : beaucoup de publicités ne sont pas aléatoires. Elles sont calibrées, ciblées, servies via des réseaux publicitaires qui traquent vos moindres clics, recherches, achats, comportements pour dresser un profil précis de vous.

Ce pistage va au-delà des simples pubs : il impacte vos prix (discrimination tarifaire), vos recommandations, et surtout votre vie privée. Pour le bloquer, il faut agir à plusieurs niveaux :

• bloquer les scripts et pixels espions sur les pages web
• arrêter les traqueurs tiers (ceux qui collectent vos données entre sites)
• supprimer les fenêtres pop-up qui perturbent la navigation.

Le web n’est pas qu’une succession de pages à cliquer : c’est un véritable réseau truffé de petits mouchards. Parmi les plus furtifs, il y a les tracking pixels, les cookies et les web beacons. Trois noms qui peuvent sonner obscur, mais qui, une fois compris, vous aideront à reprendre la main sur votre vie numérique.

Le tracking pixel : un espion microscopique, mais redoutablement efficace

Imaginons un pixel de 1 par 1, totalement invisible à l’œil humain. Ce pixel, également appelé pixel tag, est en fait un mini-objet graphique ou un bout de code HTML glissé dans une page web ou un mail. Dès que votre navigateur affiche cette page, il va automatiquement charger ce pixel, et ainsi envoyer une avalanche d’informations à son serveur d’origine.

Et quelles infos ? Pratiquement tout ce qui peut donner un profil de votre comportement : les pages que vous avez visitées, les pubs sur lesquelles vous avez cliqué, le type d’appareil que vous utilisez, votre localisation approximative grâce à votre IP, la version de votre navigateur, la date et l’heure précise de votre visite, etc. Le tracking pixel, c’est un peu la Big Brother des données marketing, mais encapsulé dans une poussière numérique presque indétectable.

Ce dispositif est largement plébiscité, car il fonctionne en temps réel et, contrairement aux cookies, il ne s’appuie pas sur votre appareil pour stocker des informations. Il transmet directement à distance, ce qui le rend plus difficile à bloquer ou à effacer.

Les cookies : les compagnons de votre navigateur qui vous aiment un peu trop

À la différence des pixels, les cookies sont de petits fichiers texte que les sites déposent sur votre machine à chaque visite. Leur rôle premier est d’améliorer votre expérience en conservant vos préférences : langue choisie, paniers d’achats, sessions ouvertes, etc. Plutôt pratiques, donc. Sauf que dans le grand bazar du marketing en ligne, ces fichiers deviennent des espions collaboratifs. Ils enregistrent vos habitudes et servent à partager ces données entre dizaines de régies publicitaires, pour mieux vous bombarder. Vous pensez que ce site est le seul à vous traquer ? En réalité, ces cookies multiplient les relais invisibles derrière les boutons “J’aime” ou les vidéos intégrées.

Mais contrairement aux pixels, vous pouvez gérer les cookies plus facilement via votre navigateur : les bloquer, les effacer, ou les contrôler site par site.

Web beacons : le fantôme de l’email et des sites web

Plus proche du tracking pixel, le web beacon est une image ultra petite, souvent un “GIF 1×1 pixel”, caché dans un email ou sur un site. Comme le pixel, il se charge automatiquement et envoie des infos au serveur. Les conséquences ? Le serveur sait si vous avez ouvert un email, quand, depuis quel appareil, et où vous vous trouviez. Son usage dans l’email marketing est stratégique : il permet aux expéditeurs de savoir qui ouvre leur message, qui clique, et à quel moment. Parfois, il ouvre même la porte à un ciblage encore plus précis, car il détecte votre localisation via IP et recoupe les données.

Bon vous allez me dire … c’est bien beau tout ça tonton Korben, mais pourquoi faire la différence entre ces technologies ?

Parce que pour reprendre le contrôle, il faut comprendre ce qu’il faut attaquer. Bloquer un pixel ne bloque pas automatiquement un cookie, et vice versa. Certains bloqueurs de pubs repoussent avec succès les cookies tiers, mais laissent passer les pixels diffusés par des scripts HTML, et les web beacons, eux, se glissent souvent dans vos mails, bien loin du navigateur. Cette diversité rend le pistage terriblement robuste et difficile à éliminer par une simple action ponctuelle.

Les méthodes classiques

1. Les extensions navigateur : Adblock Plus, uBlock Origin, Ghostery… ces plugins restent la première étape, pour filtrer les requêtes publicitaires et couper les scripts intrusifs avant qu’ils ne chargent. L’avantage c’est qu’elles sont faciles à installer et gratuites. Le souci est qu’elles sont parfois incompatibles avec certains sites, que les pop-ups sont parfois non filtrés, et qu’elles peuvent ralentir la navigation.

2. Les réglages navigateurs : les navigateurs modernes (Chrome, Firefox, Edge) offrent des options anti-pistage et anti pop-up native, mais leur efficacité reste limitée face à des scripts plus complexes ou aux pubs via réseaux sociaux. Brave, Epic Privacy Browser, LibreWolf, etc. sont d’autres options possibles.

3. VPN + adblock : bloquer via un VPN classique peut aider, mais la vraie force est un service combiné. Les VPN classiques cachent votre IP et chiffrent le trafic, mais ne coupent pas forcément le dataset publicitaire ou les pop-ups. L’intégration d’un bloqueur de contenu dans le VPN représente la différence.

Surfshark ONE : le pack complet pour le blocage intelligent

Surfshark ONE n’est pas qu’un VPN. C’est une suite de cybersécurité (VPN + antivirus + moteur de recherche + alerte de fuite de données + Alternative ID) pensée pour éliminer pubs, trackers, pop-ups, et surtout, vous protéger contre les arnaques mail, le tout géré depuis une interface unique et claire.

• CleanWeb , le bloqueur intelligent que j’ai déjà présenté, agit à la racine des pages web : il bloque non seulement les pubs visibles, mais aussi les scripts, pixels, malwares et traqueurs qui se glissent dans le code des pages. Sur smartphone ou PC, l’effet est quasi immédiat : baisse du nombre de pubs et déplacements plus rapides, sans « casser » les sites.
• La nouveauté fin 2025 : Email Scam Checker. Ce scanner intelligent analyse vos mails entrants pour détecter les tentatives d’arnaque, phishing et spams avancés. Au lieu d’attendre de cliquer sur un lien suspect, vous êtes alertés en temps réel, ce qui réduit considérablement les risques d’infection ou de vol d’identité.
• Interface intégrée : plus besoin de jongler entre extensions ou apps manuelles, tout est dans le même client Surfshark ONE, que ce soit sur Android, iOS, Windows ou macOS. Un contrôle centralisé, un paramétrage simple et une expérience utilisateur fluide.
• Protection multi-appareils : vos smartphones, PC, tablettes sont protégés à la fois contre les pubs, les pop-ups, les traqueurs et désormais les mails scams, sans configuration complexe à chaque fois.

Avant, bloquer totalement la pub en ligne était chronophage et jamais parfait : extensions instables, failles, contournements fréquents. La multiplication des canaux (mail, mobile, desktop, jeux en ligne…) rendait la tâche impossible sans outils multiples.

Avec Surfshark ONE, la liaison entre VPN, bloqueur, scanner mail et gestion centralisée offre un rempart cohérent, le blocage ne se fait pas par à-coups, mais en continu, intelligement, ajusté à toutes vos activités numériques. Ce qui permet enfin de retrouver une navigation fluide, sécurisée et sans intrusion agressive, pour toute la famille ou l’entreprise.

Les pubs intempestives ne sont pas qu’une nuisance : elles sont la porte d’entrée des cybermenaces et une attaque frontale à la vie privée. Surfshark ONE propose aujourd’hui la réponse la plus complète, en combinant VPN, bloqueur intelligent et le tout nouveau scanner anti-arnaque mail. Si vous souhaitez retrouver le contrôle de votre surf, éviter ralentissements et failles de sécurité tout en profitant d’une vraie protection 360°, ce service est pour vous.

Et la bonne nouvelle, vous pouvez tester tout cela sans prise de tête, sur tous vos appareils, en un clic … et à tout petit prix puisque la suite est proposée pour 20 centimes de plus par mois par rapport au VPN seul. L’abonnement ONE classique est à 71€ TTC pour 27 mois (soit 2.63€/mois), quant à ONE+ (qui intègre en plus le service Incogni) il est dispo pour 5€/mois. De quoi commencer 2026 au taquet !

Profitez de Surfshark One au meilleur prix !

Pendant que Samsung vous vendait ses Galaxy S22, S23 et S24 en vantant Knox, leur forteresse de sécurité niveau Pentagone, quelqu’un au Moyen-Orient transformait ces téléphones en micros espions à partir d’une simple photo de vacances envoyée à ses victimes sur WhatsApp.

Et ce petit manège a duré 9 putain de mois. Hé oui, toute cette histoire vient d’être révélée par l’ Unité 42 de Palo Alto Networks . Ce spyware s’appelle LANDFALL, et c’est un produit commercial vendu par Stealth Falcon (aussi connu sous le nom de FruityArmor), une boîte du Moyen Orient, spécialisée dans la surveillance, avec probablement un support client et tout le bazar qui va avec.

Et ce malware utilise une technique d’une simplicité terrifiante. Un fichier DNG (Digital Negative, le format RAW d’Adobe) forgé spécialement pour l’occasion est envoyé via WhatsApp à la victime (genre, au hasard, VOUS ! ^^). Vous recevez la photo, WhatsApp tente de l’afficher, et boum badaboum, la faille CVE-2025-21042 s’active joyeusement dans la lib libimagecodec.quram.so de Samsung. C’est un joli dépassement de mémoire tampon qui permet d’exécuter du code arbitraire… donc autant dire qu’à ce stade, c’est fini pour vous.

Car une fois LANDFALL installé, votre Galaxy devient une station d’écoute complète. Micro activé à distance, tracking GPS en temps réel, copie de vos photos, contacts, SMS, logs d’appels. La totale et ce spyware est modulaire, avec un loader (b.so) qui sert de backdoor principale, et un gestionnaire de politiques de sécurité SELinux (l.so) qui élève les permissions.

Techniquement, c’est solide car même si Whatsapp nous vante son chiffrement de bout en bout “inviolable”, ils oublient que le E2E (end to end) protège le transport mais pas le traitement. Selon SecurityAffairs , la campagne était active depuis juillet 2024 et Samsung n’a patché la faille qu’en avril 2025. Donc faites le calcul les amis… Les acheteurs du Galaxy S24, sorti en février 2024, qui pensaient avoir le top du top de la sécurité mobile ont bien été pigeonnés sur ce coup…

Mais alors qui s’est fait cibler ? Hé bien The Record précise que les cibles sont en Irak, Iran, Turquie et au Maroc. Comme d’hab, ce sont des dissidents politiques, des journalistes, des activistes…etc… C’est à dire des gens qui ont vraiment besoin de sécurité pour littéralement rester en vie.

Bref, si vous êtes un acteur à risque dans une région sensible, gardez en tête que les mises à jour de sécurité ne sont pas optionnelles et que même à jour, vous n’êtes jamais totalement safe malheureusement, car des société privées ayant pignon sur rue, s’amusent à mettre votre vie en jeu.

Source

Quitter Internet en 2025 ne relève plus du fantasme de parano. Entre la collection frénétique des courtiers en données, les réseaux sociaux qui engrangent jusqu’à la dernière virgule de votre vie, et les catalogues d’offres commerciales connectées, rester visible, c’est laisser sa vie privée en pâture. Si l’idée de disparaître vous titille (genre vraiment disparaître, votre mère demandera des preuves) alors Incogni offre une rampe de sortie rare : l’automatisation de la purge numérique.

Pourquoi vouloir disparaître du web maintenant ?

Le web d’aujourd’hui magnifie l’exposition. Les moteurs de recherche, extensions de navigateurs, réseaux sociaux, forums, outils IA variés et surtout les courtiers en données ( data brokers ) travaillent main dans la main pour compiler, vendre, recouper et réinjecter chaque bribe de votre identité. Résultat : votre numéro de portable se balade de fichiers marketing en algorithmes d’arnaque, votre adresse personnelle circule entre opérateurs et plateformes, et votre historique constitue la matière première des prochaines attaques ciblées. Et je ne vous parle même pas des fuites/hacks de base de données comme celles de votre FAI, des mutuelles, sites gouvernementaux & co

Remettre en ordre sa vie numérique impose donc de revendiquer le “droit à l’oubli” partout : chez Google, sur les plateformes, et dans ces fameuses bases obscures alimentées par les programmes de fidélité, réseaux, applis mobiles, extensions et comparateurs de prix.

Mais surtout, avec la surveillance de masse boostée à l’intelligence artificielle et nos gouvernements qui tournent de plus en plus souvent en mode 1984, on ne sait pas ce que l’avenir nous réserve. Autant retirer un maximum de choses avant que certaines choses se mettent concrètement en place. Nous avons évité Chat Control le mois dernier, mais ce ne sera pas la dernière tentative pour venir reluquer nos conversations privées.

Le plan “disparition” en 7 étapes : la méthode

1. Cartographier ce qui traineAvant d’éliminer quoi que ce soit, fouillez votre identité numérique : nom, email, téléphone… Cherchez-vous sur Google, Bing, DuckDuckGo, et compilez les liens et profils qui s’affichent.Ouvrez aussi vos paramètres dans les réseaux sociaux (“résultats sur vous” sur Google, privacy check-up sur Facebook, etc.).
2. Supprimer la racine : réseaux sociaux & historiquesPassez vos comptes en privé, purgez régulièrement les anciennes publications, effacez les profils secondaires inactifs. Sur Instagram, Facebook, Twitter, Tik Tok, YouTube, LinkedIn & Co : supprimez photos identifiables, tags, posts publics, géolocalisations, metadatas et tous les liens vers votre vie professionnelle ou familiale.
3. Gérer les données chez Google et les moteursUtilisez les outils “Résultats sur vous” ou les formulaires de demande de suppression chez Google pour déréférencer vos coordonnées, photos, et contenus sensibles. Attention, cela n’efface pas le contenu d’origine : contactez aussi éventuellement le webmaster du site ou du forum pour la suppression réelle. Déplacez vos contenus cloud (Dropbox, Google Drive …) vers des solutions open source et/ou autohebergées.
4. Éradiquer les traces chez les courtiers en données C’est ici qu’Incogni entre en scène . Au lieu de fouiller et contacter à la main chaque broker dans une liste aussi longue qu’opaque, Incogni centralise et automatise toute la procédure : l’algorithme repère les courtiers détenant vos infos en fonction des lois du pays (RGPD, CCPA, PIPEDA…).Le service envoie directement les demandes d’effacement légales à plus de 420 brokers connus, suit les réponses et relance tous les deux/trois mois si besoin. Pour l’utilisateur, un tableau de bord permet de suivre en temps réel les suppressions, refus et statuts.
5. Annuler les programmes de fidélité, apps et extensions de dealsNe pas oublier : les programmes de fidélité, les livraisons à domicile ou apps de bons plans capturent et redistribuent allégrement vos données à des tiers. Résiliez les comptes, demandez expressément la suppression de vos données collectées (grâce à Incogni ou manuellement).
6. **Désinscrivez-vous des newsletters, forums, groupes, jeux en ligne…**Purgez ou anonymisez chaque canal logique – mail, pseudo, alias. Certains sites proposent la suppression automatisée, d’autres exigeront des demandes expresses via formulaire RGPD.
7. Créer plusieurs identitésJe vous ai dit plus haut de supprimer vos profils secondaires inactifs. Par contre vous pouvez en garder plusieurs s’ils sont actifs, mais les utiliser spécifiquement. Un pour tout ce qui touche à l’IA, un autre pour les réseaux, un autre pour le perso, ou une identité par projet, etc. Même si ce n’est pas parfait, cela vous permettra au moins d’éviter le recoupement de données.

Incogni : automatiser l’enfer administratif

Si entreprendre ce nettoyage à la main prend plusieurs centaines d’heures pour une personne lambda (rien qu’au premier passage ! Sans même compter les relances), Incogni se charge d’automatiser la chasse aux données, dans le cadre légal du pays (RGPD, CCPA, etc.).​

Chaque demande est envoyée avec un degré de “persuasion réglementaire” élevé, et si le broker rechigne ou ne répond pas, Incogni relance jusqu’à obtenir un vrai effacement. Et le “poids” d’Incogni sera toujours supérieur au vôtre pour les brokers. C’est beaucoup plus facile de zapper la demande d’un utilisateur X en se disant qu’il ne va pas revenir à la charge. Alors que lorsque le service de Surfshark les contacte, ils savent qu’il ne va rien lâcher et qu’ils auront bien plus difficile de dire à un organisme officiel “c’est pas que j’ai pas voulu suivre la loi, j’ai pas vu la demande chef” s’ils sont contactés.
Les abonnés à l’offre illimitée peuvent même demander des suppressions personnalisées sur des sites spécifiques (plus de 2000), pour traquer la moindre trace visible.

Après, pour utiliser moi-même le service depuis un moment, il faut dire que le désenregistrement n’est pas toujours instantané : il faut patienter quelques semaines/mois pour voir les vrais résultats. Moins de spams, disparition des infos de contact dans les bases publiques, profil effacé sur les sites d’agrégation … c’est l’accumulation des retraits au fil du temps qui rend les choses concrètes. Certains observent une forte baisse du spam ou des résultats Google liés à leur nom, d’autres signalent un effet plus lent ou partiel, surtout sur des boîtes mail déjà surexposées.
Il existe aussi des cas où la suppression ne fonctionne pas chez certains brokers ou plateformes particulièrement réticentes (heureusement elles sont rares).

Conseils de “retrait numérique” pour ne pas y revenir

Avant de vous laisser, je vous rappelle quelques points essentiels :

• Ne jamais s’inscrire avec sa vraie adresse ou identité là où ce n’est pas nécessaire … utilisez des alias ou l’ Alternative ID dans Surfshark.
• Éviter les programmes de fidélité trop intrusifs et refuser systématiquement l’option “partage avec partenaires”.
• Nettoyer régulièrement les anciennes publications, photos taguées et groupes publics.
• Garder ses mails et comptes secondaires distincts de l’usage pro ou familial.
• Toujours utiliser l’option “effacer mon compte et mes données” lors de la fermeture d’un service.

Disparaître du Net, fin 2025, ce n’est pas juste effacer son compte Facebook : c’est retrouver la maîtrise sur tous les morceaux de soi éparpillés. Incogni apporte l’automatisation et la rendre accessible à ceux qui veulent s’en aller proprement - avant que le web ne vous rattrape là où vous ne l’attendiez pas.

D’autant plus que vous pouvez en ce moment profiter de l’offre spéciale Black Friday sur tous les abonnements annuels (standard, illimité, familial et familial illimité). L’abonnement de base, avec le code KORBEN55, vous reviendra à 78,27€ TTC l’année au lieu de 87€. Le familial (jusqu’à 5 personnes protégées) passe de 188,6€/an à 169,7€. ça fait toujours quelques dizaines d’euros de plus pour les cadeaux de fin d’année ;)

-> Cliquez ici pour profiter de la promo Incogni <-

Vous naviguez sur le web en mode pépouze comme tous les jours… Et comme tous les jours, votre navigateur charge des scripts, des CSS, des cookies, des images, parfois des iframes. Et malheureusement, certains de ces trucs viennent de domaines qui n’existent plus. Vous ne vous en rendez pas compte et votre navigateur non plus. Mais Dead Domain Discovery DNS le sait, lui. Et il va vous le dire.

Dead Domain Discovery DNS , c’est un outil créé par Lauritz Holtmann , un chercheur en sécurité allemand et c’est un DNS forwarder UDP super léger codé en Python qui écoute sur le port 53 de votre ordinateur et note tous les domaines qui ne répondent plus. Ce n’est donc pas un scanner actif mais plutôt un observateur passif qui regarde passer les requêtes DNS et repère les morts.

Vous configurez Dead Domain Discovery comme votre serveur DNS primaire comme ça, toutes vos requêtes DNS passent par lui. Il forward ensuite ça vers un resolver upstream, genre Google DNS ou Cloudflare. Si un domaine ne résout pas, il réessaye sur un resolver secondaire mais si le secondaire échoue aussi, il marque alors le domaine comme “potentiellement mort” puis toutes les 15 secondes, il vous envoie un message contenant les nouveaux domaines HS découverts.

Les notifications partent sur Telegram, par email, ou via un webhook selon ce que vous voulez. Rassurez-vous, y’aura pas de fausse alerte à répétition puisqu’un domaine notifié une fois ne l’est plus pendant un certain temps.

L’intérêt pour les chercheurs en sécurité, c’est que les domaines morts sont une surface d’attaque intéressante. Un domaine expire, quelqu’un d’autre le réenregistre mais comme les enregistrements DNS qui pointaient vers l’ancien propriétaire existent toujours, ça ouvre des portes pour mettre en place des sous-domaines, des CNAME, charger des scripts externes autorisés…etc car tout continue de pointer vers le domaine mort. Ça permet de contrôler une partie du trafic autorisé.

Cette attaque est connue et s’appelle le subdomain takeover ou domain hijacking. Par exemple en 2024, l’attaque Sitting Ducks a mis plus d’un million de domaines à risque , exploitée par des cybercriminels russes. Et début 2025, des domaines expirés ont permis de contrôler plus de 4000 backdoors sur des systèmes gouvernementaux, académiques et privés. La campagne SubdoMailing a même utilisé plus de 8000 domaines légitimes pour envoyer des emails de phishing, en exploitant leur réputation pour contourner les filtres anti-spam. Donc autant vous dire que c’est un vrai problème…

Dead Domain Discovery vous aide donc à trouver ces domaines avant qu’un attaquant ne le fasse. Ensuite, si le domaine est réenregistrable, vous avez 2 options. Soit vous le réenregistrez vous-même pour sécuriser votre infrastructure, soit vous signalez le problème au propriétaire du site qui référence ce domaine HS.

L’infra recommandée par Lauritz pour faire tourner Dead Domain Discovery est un Raspberry Pi configuré comme DNS primaire de votre réseau. Faible conso, c’est toujours allumé, et ça permet de tout surveiller en continu. Mais vous pouvez aussi le déployer sur un VPS si vous voulez monitorer un réseau distant.

Notez que les notifications Telegram nécessitent un bot API token et un chat ID. L’email passe par du SMTP classique et les webhooks acceptent des headers personnalisés, ce qui est pratique si vous voulez intégrer ça dans votre système de monitoring existant.

L’outil dispose aussi d’une extension Chrome qui fais la même chose et scanne les pages web pour iframes, scripts et autres styles externes, puis vérifie si leurs domaines résolvent. Même auteur, même principe, mais côté navigateur. L’extension utilise l’API Google DNS pour vérifier les domaines et ne communique aucune donnée à son auteur. Vous scannez, vous voyez les morts au combat, et ensuite, vous pouvez agir.

Bref, vous l’aurez compris, Dead Domain Discovery ne vous protègera pas directement mais vous dira juste quels cadavres traînent dans votre réseau.

À vous ensuite de les enterrer comme il se doit.

Bon vous savez tous comment marche votre antivirus. Il détecte un malware, il le bloque, et tout revient à la normale.

Mais si je vous disais que maintenant, c’est parfaitement possible qu’une heure plus tard le même malware se repointe, sauf que c’est plus le même, parce que son code a changé. Car entre temps, il a demandé à Google Gemini de le réécrire…

Bien c’est pas de la science-fiction, hein, c’est ce que décrit un rapport du Google Threat Intelligence Group (GTIG) qui nous présente une nouvelle génération de malwares qui intègrent des LLM directement dans leur exécution.

Plus de génération statique du code, c’est le malware lui-même qui appelle une API LLM pendant qu’il tourne, demande des modifications, se réécrit, et repart faire sa besogne.

Les deux exemples les plus marquants s’appellent PROMPTFLUX et PROMPTSTEAL .

PROMPTFLUX, c’est un dropper en VBScript qui appelle l’API Gemini pour obfusquer son propre code. Il se réécrit dans la base de registre Windows pour persister au reboot, puis demande à Gemini de générer de nouvelles variantes d’obfuscation. Son module interne s’appelle “Thinking Robot” et il interroge Gemini régulièrement du genre “Comment contourner l’antivirus X ? Propose des variantes de mon code pour éviter la signature Y.”

Gemini lui répond, le malware applique le conseil, se modifie, et se relance.

Comme les antivirus détectent les malwares par signatures ou comportements connus, si le malware change toutes les heures, les signatures deviennent immédiatement obsolètes. L’antivirus a alors toujours un coup de retard. Et PROMPTFLUX n’a même pas besoin d’un serveur C2 pour télécharger de nouvelles variantes puisqu’il génère ses propres variantes localement en demandant à Gemini.

GTIG estime que PROMPTFLUX est encore en développement et les échantillons analysés ne montrent pas de capacité réelle à compromettre un réseau. Mais ça reste une preuve de concept active… En gros, quelqu’un, quelque part teste cette approche.

PROMPTSTEAL, lui par contre, est déjà opérationnel. GTIG l’attribue à APT28 (FROZENLAKE), un groupe lié au renseignement militaire russe (GRU). Le CERT-UA l’a documenté sous le nom LAMEHUG en juillet dernier et c’est la première observation d’un malware qui interroge un LLM en opération réelle.

PROMPTSTEAL de son côté est écrit en Python. Il utilise l’API Hugging Face pour accéder au modèle Qwen2.5-Coder-32B-Instruct . Le malware envoie des prompts encodés en Base64, genre “récupère les infos système” ou “trouve les documents sensibles” et le LLM génère des commandes Windows d’une ligne qui sont ensuite exécutées localement par le malware. Ensuite ce dernier collecte les données et les exfiltre tranquillement.

L’astuce donc, c’est que le malware ne contient plus de commandes en dur. Il les génère à la volée selon le contexte comme ça, si l’environnement change, il demande de nouvelles commandes adaptées. Plus de pattern fixe à détecter et chaque exécution est différente.

GTIG mentionne aussi d’autres exemples tels que FRUITSHELL, un reverse shell PowerShell public qui contient des prompts pour contourner les protections LLM ou encore PROMPTLOCK, un concept de ransomware en Go qui utilise un LLM pour générer des scripts Lua de chiffrement.

Il y a aussi QUIETVAULT, un voleur de tokens JavaScript qui cible GitHub et NPM, puis exfiltre les résultats via des repos publics.

Tous ces malwares partagent la même idée : intégrer un LLM dans la chaîne d’exécution. Génération, obfuscation, commandes dynamiques, recherche de secrets… Le LLM devient un composant actif du malware !

Le rapport décrit aussi comment les attaquants contournent les protections des LLM à base d’ingénierie sociale dans les prompts. L’attaquant se fait passer le plus souvent pour un étudiant en sécurité, un participant à un CTF, ou encore un chercheur parfaitement légitime. Le LLM, configuré pour aider, répond alors à toutes les demandes.

Dans un cas documenté par GTIG, une tentative a mal tourné pour les attaquants. On le sait car dans les logs de leurs échanges avec le LLM, GTIG a trouvé des domaines C2 et des clés de chiffrement en clair. Les attaquants avaient oublié de nettoyer leurs tests et c’est grâce à ça que GTIG a récupéré l’accès à leur infrastructure puis l’a neutralisée.

Le rapport liste aussi les groupes étatiques actifs comme UNC1069 (MASAN) , lié à la Corée du Nord, qui utilise les LLM pour générer des deepfakes et voler des cryptoactifs. Ou encore UNC4899 (PUKCHONG) , aussi nord-coréen, qui emploie les modèles pour développer des exploits et planifier des attaques sur les supply chains.

De son côté, APT41 , un groupe étatique chinois, s’en sert pour obfusquer du code. Et le groupe iranien APT42 , a même tenté de construire un agent SQL qui traduirait des requêtes en langage naturel vers des commandes d’extraction de données sensibles. GTIG les a bloqué en coupant les comptes qu’ils utilisaient.

Et sur le marché noire, ce genre d’outils et de services multi-fonctions ont le vent en poupe. Génération de campagne de phishing, création de deepfakes, génération automatique de malwares, abonnements avec accès API…etc.

Leur modèle commercial copie celui des services légitimes avec une version gratuite basique pour gouter et un abonnement payant pour les fonctions avancées, avec des communautés Discord pour le support. Ça permet d’abaisser la barrière d’entrée pour les attaquants les moins expérimentés.

Côté défense maintenant, les recommandations sont assez classiques. Pensez à surveiller l’activité anormale des clés API qui pourraient être volées. Détectez les appels inhabituels à des services LLM externes depuis les processus. Contrôlez l’intégrité des exécutables et protégez tout ce qui est “secrets” sur les hôtes.

N’oubliez pas non plus de ne jamais, ô grand jamais, exécuter aveuglément des commandes générées par un modèle IA (je vous l’ai assez répété).

Voilà, tous ces exemples actuels sont expérimentaux mais le signal est donné et il est plutôt limpide : l’IA est en train de rendre les malwares plus virulents en leur permettant de s’adapter !

Source

Si vous me lisez depuis longtemps, vous savez que les hackers russes ne manquent jamais d’imagination quand il s’agit de contourner les antivirus… Mais alors là, le groupe Curly COMrades vient de sortir un truc qui déboite du genou de gnome… Ces affreux planquent maintenant leurs malwares dans des machines virtuelles Linux cachées dans des Windows. Oui, des russes qui créent de véritables poupées russes numérique… qui aurait pu prévoir ^^ ?

Et c’est vicieux vous allez voir… les gars activent Hyper-V sur les machines Windows 10 compromises, puis ils y déploient une VM Alpine Linux ultra-minimaliste. 120 Mo d’espace disque et 256 Mo de RAM… C’est tellement léger que ça passe complètement sous les radars des EDR classiques.

Et la beauté du truc, c’est que tout le trafic malveillant qui sort de la VM passe par la pile réseau de Windows grâce au NAT d’Hyper-V. Du coup, pour l’antivirus, tout a l’air de venir de processus Windows parfaitement légitimes.

C’est bien joué non ?

À l’intérieur de cette VM Alpine, les hackers ont installé 2 malwares custom : CurlyShell et CurlCat. Le premier c’est un reverse shell qui communique en HTTPS pour exécuter des commandes à distance. Et le second, c’est un proxy SSH inversé qui encapsule le trafic SSH dans des requêtes HTTP et le fait transiter par un proxy SOCKS. Les deux partagent une grosse partie de leur code mais divergent sur le traitement des données reçues.

Les chercheurs de Bitdefender, en collaboration avec le CERT géorgien, ont documenté cette campagne qui cible principalement la Géorgie et la Moldavie depuis fin juillet 2025. Les attaquants visent surtout les secteurs gouvernementaux, judiciaires et énergétiques… Bref, les infrastructures critiques, comme d’habitude.

Une fois infiltrés, les hackers désactivent alors l’interface de gestion d’Hyper-V pour réduire le risque de se faire griller. Ensuite, ils configurent la VM pour utiliser le Default Switch d’Hyper-V et ajoutent même des mappages domaine-IP personnalisés. Et pour couronner le tout, ils déploient des scripts PowerShell pour l’injection de tickets Kerberos et la persistance via des comptes locaux.

Et les EDR traditionnels, qui se focalisent sur l’analyse des processus au niveau de l’hôte, ne peuvent pas détecter ce qui se passe à l’intérieur de la VM. En fait pour chopper ce genre de menace, il faut des capacités d’inspection réseau avancées… Autant vous dire que la plupart des boîtes n’en sont pas équipées…

Pour lutter contre ça, Bitdefender recommande de ne pas miser sur une seule solution de sécurité, mais d’en empiler plusieurs. D’abord mettre en place une protection du réseau pour bloquer les attaques avant qu’elles n’atteignent les ordinateurs. Y ajouter un système de détection avancé qui surveille en permanence ce qui se passe sur les machines. Et surtout une vraie politique de réduction des risques en fermant tous les services Windows dont on ne se sert pas.

Hé oui, si Hyper-V n’est pas activé d’origine sur les système, c’est bien parce que ça représente un risque supplémentaire, donc si vous ne vous en servez pas, désactivez le.

Source

Marre de jongler entre le VPN du boulot, l’antivirus familial et la tonne d’extensions anti-pub ou anti-fuites sur chacun de vos navigateurs ? Surfshark propose avec One et One+ un raccourci radical. Tout ce qu’il faut pour sécuriser ses appareils, son identité et son surf, directement dans un abonnement (que je vous conseille de ne pas rater pendant la période du Black Friday, vu les tarifs…).

À force de partager, télécharger, bosser et communiquer partout, le classique antivirus + VPN ne suffit plus. Bases de données commerciales, fuites de mot de passe, spams, arnaques et pop-ups font désormais partie du décor. Surfshark One fait le pari de la suite compacte : VPN puissant, antivirus, moteur de recherche privé, alerte de fuite de données, générateur d’identité alternative… et depuis quelques jours, blocage intelligent des contenus risqués ou polluants (plus d’infos plus tard).

Les briques majeures de Surfshark One

• Le VPN : un réseau de plus de 3200 4500+ serveurs RAM répartis dans une centaine de pays (ils ont ajouté plus de 1200 serveurs ces dernières semaines), un chiffrement AES-256 et ChaCha réputé … c’est rapide et sécurisé. Et surtout  il permet un nombre de connexions simultanées illimitées pour tous vos appareils, à vie. Split tunneling, Kill Switch, IP tournante et MultiHop inclus pour l’utilisateur avancé.
• L’antivirus : il offre une protection en temps réel sur 5 machines (fichiers, applis, périphériques externes, secteur d’amorçage …), des analyses programmées, une détection des spywares, ransomwares et menaces connues (attaques zero-day & co), etc. Plus une protection webcam intégrée pour éviter les regards indiscrets. Basé sur le moteur Avira, compatible sur Windows, macOS et Android. Ce n’est pas juste un antimalware qui scanne le web, mais aussi l’ensemble des fichiers locaux et les nouveaux périphériques. La base de détection est mise à jour toutes les 3 heures.
• Alert : vous en avez assez des emails « vos données ont fuité » ? Alert surveille en continu comptes, emails, infos bancaires, identités (dans 90 pays !) et vous prévient dès que quelque chose circule là où ça ne devrait pas. Rapports sécurité réguliers inclus, et système de notification instantanée.
• Search : ici on évite Google, Bing & co ! Search garantit des résultats neutres, sans tracking, pas de pub, ni de fiche de profil. Parfait pour les recherches privées ou la famille qui ne veut pas se faire pister ou orienter dans ses recherches.
• Alternative ID : idéal pour s’inscrire partout sans refiler son vrai nom, mail ou adresse. Un générateur d’identités alternatives (adresse, nom, date de naissance, mail anonyme) ultra rapide pour rester masqué en ligne ou limiter le spam.

Les fonctionnalités Alternative ID et Search sont indépendantes du VPN, utilisables tout le temps, ce qui est rare.

Blocage intelligent des contenus et contrôle parental : une approche respectueuse

Contrairement aux outils de contrôle parental classiques, la dernière brique Web Content Blocker ne vise pas à surveiller de manière intrusive les activités des utilisateurs. Il permet de bloquer l’accès à des catégories de sites selon une liste définie, tout en respectant la vie privée. Les catégories disponibles couvrent les besoins courants : sites pour adultes, substances illicites, armes, jeux d’argent, contenus haineux, phishing, pages vérolées, et tout type de contenu jugé risqué ou perturbant.

Le paramétrage est ultra accessible :

• Activation via l’appli Surfshark (onglet Web content blocker dans les paramètres), sélection des catégories à bloquer, nommage des appareils concernés.[​

Protection des réglages grâce à la double authentification (2FA), pour garantir que seuls les administrateurs peuvent modifier les règles, rendant la manipulation impossible aux enfants ou autres membres du foyer.]( https://vpntrust.net/ )​

• Ajout et gestion de plusieurs appareils, le tout synchronisé sous un même compte Surfshark : chaque membre du foyer utilise la même application, la protection s’applique partout (smarpthone, ordinateur, tablette).[​

Fonctionne avec ou sans VPN : il n’est pas nécessaire d’activer la connexion VPN pour bénéficier du blocage, mais c’est possible pour renforcer la confidentialité.]( https://vpntrust.net/ )​

La force de cette approche : une interface unique, simple, pour gérer tous les appareils familiaux. Aucun besoin de compétence avancée ou de logiciel additionnel. Il suffit de mettre à jour l’app Surfshark One ou One+, et la protection est opérationnelle. Aucun espionnage, aucune collecte d’activité : la logique vise entièrement le blocage des catégories pré-sélectionnées, pas l’analyse des comportements.

Comparatifs : Surfshark One, Surfshark One+, Starter : lequel choisir ?

Même si le Starter reste imbattable pour la fibre et Netflix, Surfshark One ajoute de quoi dormir sans stress : votre identité est surveillée, la famille est protégée, tout le monde utilise l’antivirus, et les pop-ups/arnaques sont bloquées sans paramétrage d’usine compliqué. Pour 20 centimes de plus par mois ? Y’a pas à se triturer le cerveau.

En bonus, One+ intègre Incogni, l’outil ultime pour supprimer automatiquement et de manière continue ses infos des bases de données commerciales partout dans le monde.

À quoi ça ressemble en vrai ? (retour d’expérience et conseils)

• Installation ultra-simple : en 2 clics et 10 minutes, tout est fonctionnel sur tous les appareils (Windows, macOS, Android, iOS, Linux).
• Interface claire, options bien rangées, rapports accessibles (même pour les signalements Alert ou les scans antivirus, tout est lisible).
• Pour les familles nombreuses, la connexion illimitée élimine d’emblée la galère des slots payants ou limites de licence. Il n’y a pas à se demander quelle machine laisser de côté si l’on en a plus que le nombre maximal supporté (comme sur d’autres outils concurrents)
• Le blocage des pop-ups et du contenu web polluant est immédiat, sans impact drastique sur la vitesse ni faux positifs gênants.

Point à surveiller : l’antivirus n’est disponible que sur Windows, macOS et Android (pas encore sur iOS, ni Linux).

La promo Black Friday de cette fin d’année, sur l’abonnement 2 ans, c’est une réduction jusqu’à 88 % pour la suite complète en 1 clic. Et toujours avec le bonus de 3 mois offerts en plus. Donc ça vous reviendra à 71€ TTC pour 27 mois (70.96€ pour les géomètres de la précision parmi vous). Mais attention, ce n’est valable que du 20 octobre au 1er décembre. Vous avez un peu de temps, mais ne trainez pas trop !

[

]( https://get.surfshark.net/aff_c?offer_id=1372&aff_id=13768 ) Profitez de Surfshark One au meilleur prix !