Je ne connaissais pas le NanoKVM mais c’est un petit boîtier KVM chinois vendu entre 30 et 70€ qui permet de contrôler un PC à distance. Sauf qu’un chercheur en sécurité slovène a découvert qu’il embarquait un micro planqué capable d’enregistrer tout ce qui se dit autour. Ça craint !

En effet, Matej Kovačič a ouvert son NanoKVM et y a trouvé un minuscule composant de 2x1 mm dissimulé sous le connecteur. Un truc tellement petit qu’il faut une loupe ou un microscope pour le dessouder proprement. Et pourtant, ce micro MEMS est capable d’enregistrer de l’audio de “qualité surprenamment élevée” comme il le dit et le pire c’est que l’appareil est fourni avec tous les outils nécessaires (amixer, arecord) pour l’activer via SSH et même streamer le son en temps réel sur le réseau.

Alors comment c’est arrivé là ?

En fait le NanoKVM est basé sur un module LicheeRV Nano qui est prévu pour plein d’usages embarqués différents, dont certains nécessitent de l’audio. Quand Sipeed l’a transformé en KVM grand public, ils ont juste… gardé le micro. Sans le documenter. Sans le désactiver. Sympa hein ?

Et le chercheur a aussi trouvé que les premières versions arrivaient avec un mot de passe par défaut et SSH grand ouvert. L’interface web n’avait aucune protection CSRF, et la clé de chiffrement des mots de passe était codée en dur et identique sur TOUS les appareils vendus. En bonus, le bidule communiquait avec des serveurs chinois pour les mises à jour, sans aucune vérification d’intégrité du firmware téléchargé. Et cerise sur le gâteau, y’avait des outils de hacking préinstallés comme tcpdump et aircrack. Aïe aïe aïe…

Depuis la publication du rapport, Sipeed a quand même bougé et ils ont corrigé pas mal de failles, mis à jour la documentation pour mentionner (enfin) la présence du micro, et annoncé que les futures versions n’auraient plus ces composants audio. Les firmwares récents désactivent aussi les drivers correspondants.

Et comme le projet est à la base open source, des membres de la communauté ont commencé à porter dessus des distributions Linux alternatives (Debian, Ubuntu). Faut ouvrir le boîtier et reflasher la carte microSD, mais au moins vous savez exactement ce qui tourne dessus…

Bref, comme quoi ça vaut toujours le coup de démonter ses appareils et de jeter un œil à ce qu’il y a dedans. Merci à Letsar pour l’info !

Source

Vous vous souvenez de toutes ces fois où je vous ai expliqué comment renforcer la sécurité de Windows avec telle ou telle petite astuce ? Hé bien y’a un projet GitHub qui va vous faire plaisir si vous êtes du genre à vouloir blinder votre machine sans installer 50 logiciels tiers.

Ça s’appelle Harden Windows Security , et c’est signé par un dev qui se fait appeler HotCakeX. Son idée c’est de sécuriser Windows en utilisant uniquement les méthodes officielles de Microsoft. Pas de bidouilles, pas de composants externes qui pourraient eux-mêmes devenir une faille mais juste les outils natifs de Windows, configurés aux petits oignons.

Le projet se compose de deux applis disponibles sur le Microsoft Store. La première, c’est “Harden System Security” qui va “durcir” votre système, virer les trucs inutiles et vous donner une note de sécurité globale. La seconde s’appelle “AppControl Manager” et elle gère le WDAC, c’est-à-dire le contrôle des applications via Windows Defender. Vous pouvez ainsi décider quelles apps ont le droit de tourner sur votre bécane et tout le reste est bloqué automatiquement.

Et ce qui est top c’est qu’une fois configuré, vous n’avez plus besoin de courir après chaque nouveau malware. Vous définissez ce qui a le droit de s’exécuter, et tout le reste dégage. Fini le jeu du chat et de la souris avec les antivirus.

Le truc supporte plusieurs niveaux de sécurité, du perso jusqu’au militaire. Et si vous êtes parano (j’avoue y’a de bonnes raisons de l’être en ce moment), vous pouvez déployer des politiques signées avec AppControl Manager. Une fois en place, même un admin ne pourra pas les modifier sans avoir accès aux clés privées du certificat. Bref, c’est du sérieux.

Et en cadeau bonux, y’a même une intégration Intune pour déployer ça sur toute une flotte et vérifier la conformité de chaque machine. Pratique quand vous devez gérer des parcs entiers.

Niveau techno, c’est du .NET 9 avec une interface WinUI moderne sans dépendances tierces, puisque tout tourne via les APIs bas niveau de Windows. Le projet est d’ailleurs SLSA Level 3, ce qui veut dire que le processus de build est sécurisé et vérifiable et le code est scanné par CodeQL et le package final est envoyé sur VirusTotal automatiquement.

Pour l’installer, vous avez plusieurs options. Le plus simple c’est le Microsoft Store, mais vous pouvez aussi passer par Winget :

winget install --id 9p7ggfl7dx57 --exact --source msstore

winget install --id 9PNG1JDDTGP8 --exact --source msstore

Vous vous souvenez des histoires d’employés Samsung qui ont balancé du code source confidentiel dans ChatGPT en 2023 ? Hé bien ce genre de bourde n’a pas disparu, bien au contraire. Un rapport d’ Harmonic Security sorti en fin d’année dernière estimait que près de 80% des données exposées via les IA génératives passent par ChatGPT et plus de 40% des fichiers envoyés contiennent des infos sensibles. Email du boss, clé API, numéro de carte… on balance tout ça sans réfléchir dans nos prompts.

Du coup, y’a un super projet open source qui vient de sortir sur GitHub pour mettre un garde-fou entre vos doigts et vos conneries potentielles. Ça s’appelle PrivacyFirewall et c’est une extension Chrome qui intercepte ce que vous tapez ou collez dans ChatGPT, Claude ou Gemini avant que ça parte chez eux.

L’extension scanne en temps réel ce que vous écrivez et si elle détecte un email, un numéro de téléphone, une clé AWS, un token JWT ou n’importe quel pattern qui ressemble à une donnée sensible, elle bloque le collage et affiche une alerte. Vous pouvez bien sûr forcer l’envoi si vous êtes sûr de vous, mais au moins vous êtes prévenu.

Y’a deux modes de fonctionnement. Le mode “Lite” utilise des regex et tourne directement dans l’extension sans rien installer. C’est instantané et ça attrape déjà pas mal de trucs comme les emails, les numéros de cartes bancaires, les adresses IP, les clés privées et les patterns d’API. Et sinon, le mode “IA” est plus costaud puisqu’il fait tourner un modèle BERT en local sur votre machine via FastAPI mais là ça détecte aussi les noms de personnes, les organisations, les lieux… bref tout ce qui pourrait identifier quelqu’un dans vos données.

Et le truc important, vous l’aurez compris, c’est que tout se passe en local. Aucune données transmises à l’extérieur, zéro télémétrie, pas de tracking. Vous pouvez même vérifier dans les DevTools de Chrome que rien ne sort de votre machine.

Pour l’installation, vous clonez le repo GitHub , vous chargez l’extension en mode développeur dans Chrome, et c’est parti. Si vous voulez le mode IA, faut lancer un petit serveur Python en local qui va télécharger le modèle BERT la première fois (environ 400 Mo). Après ça, le serveur tourne sur localhost et l’extension communique avec lui.

Le projet est encore en beta mais il est déjà utilisable. Y’a aussi un concurrent qui s’appelle Prompt Firewall sur le Chrome Web Store si vous voulez comparer les approches mais PrivacyFirewall a l’avantage d’être totalement transparent niveau code et de proposer la détection NER en plus des regex.

Bref, c’est pas forcément pour tout le monde mais si vous manipulez des données sensibles au boulot et que vous utilisez des IA au quotidien, ça peut vous éviter de belles boulettes. Surtout que maintenant avec la mémoire persistante de ChatGPT, les infos que vous balancez par erreur peuvent rester stockées bien plus longtemps qu’avant.

Depuis le 3 novembre 2025 et la découverte d’une vulnérabilité React, une course effrénée s’est engagée dans l’écosystème cyber. D’un côté, les équipes de sécurité tentent de sécuriser leurs systèmes au plus vite ; de l’autre, les attaquants scannent l'Internet à grande échelle pour exploiter les retardataires. Les chercheurs suivent en temps réel l’évolution des campagnes d’attaque qui se greffent sur cette faille critique.

Depuis le 3 novembre 2025 et la découverte d’une vulnérabilité React, une course effrénée s’est engagée dans l’écosystème cyber. D’un côté, les équipes de sécurité tentent de sécuriser leurs systèmes au plus vite ; de l’autre, les attaquants scannent l'Internet à grande échelle pour exploiter les retardataires. Les chercheurs suivent en temps réel l’évolution des campagnes d’attaque qui se greffent sur cette faille critique.

Aéroports bondés et longs retards : les voyageurs sont des cibles faciles sur les réseaux Wi-Fi publics ; des experts en cybersécurité partagent 3 mesures de sécurité. Pour éviter d’être espionnés ou de se faire voler leurs comptes, les voyageurs devraient désactiver les connexions réseau automatiques, éviter d’utiliser le Wi-Fi public pour les transactions financières et utiliser […]

Les chercheurs en cybersécurité de Sentinel One ont mis en lumière le retour d’un groupe de hackers baptisé « CyberVolk ». Si cette résurgence, ainsi que les capacités d’automatisation du groupe, peuvent inquiéter, les chercheurs pointent aussi de grosses erreurs de conception qui permettent, parfois, de récupérer les fichiers chiffrés sans avoir à payer la rançon.

Les chercheurs en cybersécurité de Sentinel One ont mis en lumière le retour d’un groupe de hackers baptisé « CyberVolk ». Si cette résurgence, ainsi que les capacités d’automatisation du groupe, peuvent inquiéter, les chercheurs pointent aussi de grosses erreurs de conception qui permettent, parfois, de récupérer les fichiers chiffrés sans avoir à payer la rançon.

Cet article décrypte les points clés du guide ANSSI sur la définition d'une politique de filtrage réseau d'un pare-feu, pour vous aider à appréhender le sujet.

Le post Sécu en bref : définir une politique de filtrage réseau sur un pare-feu selon l’ANSSI a été publié sur IT-Connect.

Notepad++ 8.8.9 a été publié pour corriger une faille dans le processus de mise à jour : il peut être détourné pour déployer une mise à jour malveillante.

Le post Notepad++ 8.8.9 corrige une faille importante permettant d’injecter une mise à jour malveillante a été publié sur IT-Connect.

Microsoft a profité de l’édition 2025 de la conférence Black Hat Europe, organisée à Londres du 8 au 11 décembre 2025, pour dévoiler de nouvelles règles appliquées à ses programmes de bug bounty. Numerama a pu s’entretenir avec Tom Gallagher, vice‑président en charge de l’ingénierie au Microsoft Security Response Center (MSRC), afin de détailler ces nouvelles modalités d’attribution des primes.

Microsoft a profité de l’édition 2025 de la conférence Black Hat Europe, organisée à Londres du 8 au 11 décembre 2025, pour dévoiler de nouvelles règles appliquées à ses programmes de bug bounty. Numerama a pu s’entretenir avec Tom Gallagher, vice‑président en charge de l’ingénierie au Microsoft Security Response Center (MSRC), afin de détailler ces nouvelles modalités d’attribution des primes.

La récente panne de Cloudflare semble être due au déploiement dans l’urgence d’un patch correctif pour se protéger de la faille React2Shell. Tribune – Shachar Menashe, VP Security Research chez JFrog, nous explique les enseignements à en tirer : « La chaîne logistique des logiciels peut être un mécanisme complexe composé de multiples éléments et d’outils […]

Google et le CA/Browser Forum viennent d’annoncer la mise à mort de 11 méthodes de validation de domaine pour les certificats HTTPS. Bye bye les emails, les coups de fil, les fax (oui, y’en avait encore qui utilisaient ça) et le courrier postal pour valider les certificats car d’ici mars 2028, tout ça sera du passé.

Car quand vous demandez un certificat SSL/TLS pour votre site, l’autorité de certification doit vérifier que vous êtes bien le proprio du domaine. Historiquement, ça pouvait se faire via un email envoyé à l’adresse WHOIS, un coup de téléphone, ou même un courrier papier mais le problème, c’est que ces méthodes sont faciles à falsifier.

Des chercheurs en sécurité ont montré qu’il était possible de manipuler les données WHOIS ou d’intercepter les communications pour obtenir des certificats frauduleux et quand, malheureusement, un attaquant peut se faire passer pour le propriétaire légitime d’un domaine et obtenir un vrai certificat, ça ouvre la porte à des attaques man-in-the-middle bien méchantes.

Donc le CA/Browser Forum a voté le ballot SC-090 pour éliminer progressivement ces vieilles méthodes. Juin 2025 a vu la fin de la validation WHOIS par email, mars 2026 découragera l’utilisation des méthodes email en général, et mars 2028 ce sera le grand ménage final.

À la place, il faudra donc passer par des méthodes plus directes tels qu’un enregistrement DNS TXT avec une valeur aléatoire que l’autorité vérifiera, ou un fichier HTTP placé à un endroit précis de votre serveur. Ces méthodes permettent de prouver cryptographiquement que vous contrôlez bien le domaine, sans intermédiaire chelou.

Pour les utilisateurs lambda, ça ne change rien évidemment, vous continuerez à voir le petit cadenas dans votre navigateur. Mais pour les admins système et les responsables de sites, ça veut dire qu’il va falloir automatiser tout ça. Si vous utilisez encore des certificats validés par email, c’est donc le moment de migrer vers des outils comme ACME (le protocole derrière Let’s Encrypt).

Ce mouvement s’inscrit également dans une tendance plus large puisque le ballot SC-070 prévoit aussi de réduire la durée de validité des certificats pour les passer à 10 jours de réutilisation de la validation dès mars 2028, puis des certificats de 47 jours seulement en mars 2029. Donc autant dire que sans automatisation, ça va devenir ingérable.

Google pousse donc clairement l’écosystème vers plus de sécurité, quitte à forcer la main aux retardataires. Moins de maillons dans la chaîne, c’est moins d’opportunités pour les attaquants et je trouve que c’est plutôt une bonne nouvelle.

Source

Dans l’imaginaire collectif, la cybersécurité évoque encore des salles obscures remplies de serveurs, des lignes de code à perte de vue et des ingénieurs penchés sur des écrans clignotants. En réalité, le danger se trouve souvent bien plus près, parfois à un simple clic. Et les PME, longtemps persuadées d’être trop modestes pour attirer les […]

La période des fêtes est un moment très intense pour tous et les cybercriminels le savent. Tandis que les entreprises se concentrent sur la clôture de l’exercice financier et que les employés sont occupés par les vacances et les achats de cadeaux, les pirates planifient leurs attaques ciblées. Sören Schulte, expert en sécurité des e-mails […]

Pour bien préparer l'arrivée de l'offre Thunderbird Pro en 2026, Thunderbird Send a été audité : 2 vulnérabilités ont été patchées, et ce n'est pas tout.

Le post Un audit révèle 2 failles dans Thunderbird Send, un service clé dans la future offre Thunderbird Pro a été publié sur IT-Connect.

Si vous me lisez depuis longtemps, vous connaissez forcement le principe des honeypots. Si ce n’est pas le cas, je vous explique. Les honeypots, ce sont ces faux serveurs qu’on laisse traîner pour attirer les pirates afin de mieux étudier leurs techniques. Eh les honey tokens, c’est pareil mais en version credentials. En gros, ce sont des fausses clés AWS, des identifiants SSH bidons, des accès base de données qui n’existent pas… que vous planquez dans votre infra, et si quelqu’un les utilise, vous savez immédiatement que vous avez un problème.

DeceptIQ Starter vient donc de sortir une version gratuite de son service et c’est un outil qu’on devrait tous garder sous le coude. Ça permet de générer des tokens piégés que vous disséminez dans vos repos Git, vos fichiers de config, vos pipelines CI/CD… Et puis vous attendez. Et si un petit malin exfiltre ces credentials et essaie de les utiliser, vous recevez alors une alerte instantanée avec l’IP source, le timestamp, et tout le contexte qu’il faut.

L’astuce, c’est que ça exploite un truc fondamental dans le comportement des attaquants. Quand ils tombent sur une clé AWS dans un repo, leur réflexe c’est de la tester. Ils voient un pattern familier, genre AKIA-quelque-chose, et hop, validation automatique. Sauf que cette fois, c’est eux qui se font piéger…

La version gratuite propose 4 types de tokens : clés AWS IAM (jusqu’à 10), clés AWS Bedrock pour les services IA (2 max), accès S3 (2), et clés SSH (20). C’est pas mal pour commencer et couvrir les cas d’usage les plus courants. Et les tokens pro débloquent des trucs plus exotiques comme les credentials Azure, les API keys CrowdStrike, ou les users MySQL/PostgreSQL.

L’avantage par rapport à un honeypot classique, c’est qu’il n’y a aucun faux positif possible. Si quelqu’un utilise une de ces credentials, c’est forcément suspect puisque normalement, personne ne devrait les utiliser.

Après un attaquant peut très bien pénétrer votre système sans jamais toucher à vos tokens piégés mais ça reste un excellent filet de sécurité supplémentaire. Et combiné avec vos autres outils de détection, ça peut faire la différence entre découvrir une intrusion en quelques minutes ou plusieurs mois après les faits.

Pour ceux qui veulent tester, c’est sur starter.deceptiq.com

En 2016, je vous parlais de Gogs , ce petit serveur Git auto-hébergé super léger qui s’installe en 10 secondes et c’est encore aujourd’hui une alternative sympa à GitHub pour ceux qui voulaient garder leur code chez eux. Mais attention, si vous l’utilisez, il va falloir agir vite parce que là, c’est la catastrophe.

Des chercheurs de Wiz viennent de découvrir que plus de 700 instances Gogs exposées sur Internet ont été compromises via une faille zero-day baptisée CVE-2025-8110. Et le pire, c’est que cette faille est activement exploitée depuis juillet 2025 et qu’il n’existe toujours pas de patch.

L’attaque est vicieuse car un attaquant n’a besoin que d’un compte utilisateur standard pour compromettre votre serveur. Il crée un dépôt, y ajoute un lien symbolique pointant vers un fichier sensible, puis utilise l’API PutContents pour écrire à travers ce lien et modifier le fichier .git/config. Ensuite, en bidouillant la directive sshCommand, il peut alors exécuter n’importe quelle commande sur votre serveur. Voilà, c’est plié !

Cette faille est en fait un contournement d’un ancien correctif (CVE-2024-55947). Les développeurs avaient patché le problème mais avaient oublié de gérer le cas des liens symboliques. Et ce n’est même pas la première fois que Gogs se retrouve dans cette situation puisqu’en juillet 2024, quatre failles critiques avaient été publiées (CVE-2024-39930, CVE-2024-39931, CVE-2024-39932, CVE-2024-39933), toutes avec des scores CVSS de 9.9 sur 10, et au final, les mainteneurs avaient tout simplement… cessé de répondre aux chercheurs. C’est moche !

Sur les 1400 instances Gogs exposées sur Internet identifiées par Wiz, plus de 700 ont donc été compromises. Les attaquants utilisent le framework C2 Supershell pour garder le contrôle des machines et les chercheurs soupçonnent des cybercriminels basés en Asie vu l’usage de cet outil très particulier.

Donc si vous avez un serveur Gogs qui tourne, voici ce qu’il faut faire immédiatement : Vous devez désactiver l’inscription ouverte si vous n’en avez pas besoin (c’est activé par défaut) et mettre votre instance derrière un VPN. Après pour savoir si vous êtes déjà compromis, cherchez des dépôts créés le 10 juillet avec des noms bizarres de 8 caractères.

Après à ce stade, je vous conseille de migrer vers Gitea , le fork de Gogs qui est activement (et mieux) maintenu et qui n’est pas affecté par ces failles. Gogs semble être devenu un projet abandonné niveau sécurité, et c’est vraiment dommage parce que le concept était génial.

Source