Le Google Threat Intelligence Group (GTIG) publie son dernier rapport « AI Threat Tracker », détaillant les dernières tactiques des acteurs ciblant les plateformes d’IA et les mesures mises en œuvre par Google pour y faire face. Dans la continuité de l’analyse publiée par le GTIG en février 2026, le nouveau rapport met en lumière plusieurs conclusions […]
Si vous croisez un robot-chien Unitree dans un hall d'HLM, sur un parking, un chantier, ou en train de patrouiller dans votre ville, faut que vous sachiez 2 trucs quand même :
Un, n'importe qui peut le rooter en moins d'une minute avec son téléphone. Et de deux, le robot lui-même envoie en continu un flux chiffré vers un tunnel cloud opéré depuis la Chine. C'est en tout cas ce que Benn Jordan, musicien indépendant et chercheur amateur, vient de démontrer hier dans une enquête de 24 minutes qui fait, comme il le dit lui-même, un meilleur boulot que toute l'infrastructure cybersécurité du gouvernement américain.
Pour le hacker, suffit donc de se connecter au robot en Bluetooth, puis d'injecter une commande curl à la fin du mot de passe Wi-Fi, on éteint le toutou, on le rallume, et au reboot le robot exécute votre commande quand il active le Wi-Fi. C'est tout et c'est vraiment magique !! Pas besoin d'accès root physique donc mais juste un bon vieux téléphone et un Bluetooth pourri !
Le boss !
Alors vous pensez peut-être que ce n'est pas très grave parce que ces robots sont des gadgets mais c'est faux puisque les robots-chiens Unitree sont actuellement utilisés par les services de police de Pullman (Washington), Port St. Lucie (Floride) et Topeka (Kansas) et un peu partout ailleurs dans le monde.
Les Marines américains les déploient en test, certains armés de lance-roquettes, les forces chinoises leur sanglent diverses armes sur le dos depuis un moment et l'Ukraine s'en sert pour repérer des munitions non-explosées. Et dans le civil, ces robots circulent même dans des HLM d'Atlanta pour le compte de sociétés de surveillance privée...
En France, le tableau est un peu différent. Pas de déploiement confirmé par les forces de l'ordre ou l'armée pour l'instant. Chez nous, c'est Boston Dynamics Spot et l'
E-Doggy d'Evotech
(robot 100% français, utilisé au déminage pendant les JO 2024) qui tiennent ces marchés-là. Les Unitree restent encore dans les labos tels que l'
INRIA Paris
et le labo
HUCEBOT de Nancy
qui utilisent le Go2 pour leurs recherches en locomotion robotique.
En dehors de la recherche, le cas le plus avancé est celui d'Orano, qui a testé fin 2025 le G1 humanoïde d'Unitree sur son
site nucléaire de Marcoule
en partenariat avec Capgemini (c'est un humanoïde, pas un quadrupède, mais même fabricant, même firmware, mêmes questions). Côté distribution, INNOV8 Power est également partenaire officiel Unitree depuis VivaTech 2025 et INGEN Geosciences distribue la marque depuis 2020. Le réseau pour vendre ces robots à des boîtes de sécurité privées françaises est donc déjà bien en place.
Du coup quand un mec démontre qu'on peut en prendre le contrôle complet rapidement, ça mérite qu'on regarde ça d'un peu plus près...
Et quand je dis contrôle complet, c'est pas un excès de langage. Avec cet accès root, Benn Jordan a réussi à enregistrer, télécharger et live streamer l'audio et la vidéo captés par le robot. Sans authentification donc ni même sans passer par l'app officielle. C'est assez dingue... On peut même contrôler les mouvements du robot. Une belle merde donc !
Cette faille n'est d'ailleurs pas une nouveauté absolue puisque j'avais
déjà couvert le hack BLE des humanoïdes Unitree
en décembre dernier. Et ensuite
rebelote en mars dernier
avec deux nouvelles CVE sur le Go2, partiellement patchées. La répétition des conneries devient un peu lourdingue chez Unitree...
La deuxième partie de l'enquête, elle, atteint un autre niveau puisque Benn Jordan a entendu parler de rapports affirmant que d'autres robots Unitree contenaient une backdoor envoyant des données à des serveurs étrangers. Il a donc voulu vérifier ça lui-même.
Il a donc transformé un Raspberry Pi sous Linux en routeur avec le mode moniteur activé, et lancé BetterCap pour analyser chaque paquet sortant.
Et là, surprise, le robot refuse purement et simplement de s'authentifier. Le hic, c'est que quelque chose côté serveur cloud détecte que le routeur est anormal et bloque la connexion. En analysant un peu plus finement la connexion, il a remarqué que la première IP chopée au sniff pointait vers Odessa, en Ukraine... Vu qu'aucune doc fabricant ne mentionne ce point d'accès, le truc devient alors officiellement louche... Le robot semble savoir quand il est "analysé" et cette détection d'environnement anormal est précisément le truc qui transforme une affaire de faille classique en problème de sécurité nationale.
Benn Jordan a donc ensuite contourné ça avec un routeur de voyage standard avant de sniffer derrière les paquets, et il a fini par confirmer ce qu'on appelle officiellement la
CVE-2025-2894
. Il s'agit d'un tunnel P2P préinstallé sur le Go1 qui se connecte automatiquement au démarrage à une plateforme appelée CloudSail, opérée par une boîte chinoise nommée Zhexi Technology.
Le truc est référencé dans MITRE depuis le printemps 2025, soit environ un an. En 2025, les chercheurs Andreas Makris et Kevin Finisterre ont même chopé la clé API de CloudSail et identifié près de 2000 robots vulnérables sur ce réseau, dont des unités installées au MIT, à Princeton, à Carnegie Mellon et à l'université de Waterloo.
Côté américain, la seule action gouvernementale connue suite à ça, a été une mise en garde des Marines US concernant l'usage de produits Unitree en opérations militaires. Rien d'autre.
Et là on arrive à un point de blocage assez brutal. Les failles démontrées par Benn (le hack Bluetooth, la prise de contrôle complète) et la backdoor CloudSail ne peuvent pas être corrigées en même temps, parce que les solutions se neutralisent mutuellement.
Pour boucher les failles de Benn, il faut passer par une mise à jour firmware officielle d'Unitree. Mais cette mise à jour ferme aussi l'accès root au système. Sans accès root, impossible de détecter ou bloquer le tunnel CloudSail de l'intérieur. Du coup, on a un robot sécurisé contre les hackers, mais des données qui filent quand même vers la Chine.
À l'inverse, si vous gardez le firmware actuel pour maintenir l'accès root (et donc la capacité de surveiller et bloquer CloudSail), les failles restent béantes. N'importe quel inconnu avec un téléphone peut alors prendre le contrôle complet de votre flotte de robots clébards. Bien sûr, couper Internet sur le robot évite les deux problèmes à la fois, mais le rend inutilisable dans la plupart des déploiements opérationnels.
Si vous avez un Unitree à la maison ou en entreprise, voilà la recommandation perso de Benn Jordan. Selon lui, plutôt que d'installer la dernière mise à jour, mieux vaut ne plus jamais mettre à jour le firmware (gardez en tête que c'est son avis radical, pas une bonne pratique standard). Parce qu'à la prochaine mise à jour, vous risquez de perdre la capacité de rooter votre propre robot, et avec elle la capacité de détecter, bloquer ou rediriger la backdoor.
Vous perdrez aussi la possibilité d'écrire manuellement des services qui empêchent les hackers d'exploiter les autres failles. En clair, sa meilleure défense contre Unitree, c'est de figer le firmware actuel.
Anthropic avait jugé Mythos trop sensible pour être rendu public, mais l’accès a tout de même été obtenu en combinant des identifiants tiers et des schémas d’infrastructure exposés. Qu’est-ce que cela révèle du fossé qui existe entre la conception de systèmes d’IA avancés et leur contrôle effectif dans la pratique ? Tribune Tanium. Harman Kaur : […]
Vous voulez comprendre ce qui se passe dans le cerveau de votre bagnole ? Hé bien pour cela avant, il fallait du matos pro et des suites logicielles à licence annuelle. Mais maintenant, y'a
CANviz
.
Un pip install canviz, un module USB à quelques balles branché sur le bus CAN de la voiture, et hop, vous accédez à tous les secrets de votre voiture simplement en ouvrant votre navigateur sur localhost:8080. Toutes les trames qui circulent sur le réseau interne du véhicule s'affichent en direct dans un tableau qui défile sans ramer à 2000 fps si j'en crois le README, donc ça envoie !
Ce projet signé Chanchal Dhiman tourne sur n'importe quelle config équipée de Python 3.10 ou supérieur, et côté matériel, CANviz se branche sur plein de bazars tels que les modules à firmware Candlelight (genre FYSETC UCAN autour de 8 balles ou CANable 1.0 autour de 15), les périphériques slcan via port COM, et du matériel sérieux type PEAK PCAN-USB, Kvaser, Vector ou même socketcan sur Raspberry Pi. En gros, si votre clé USB CAN est compatible avec python-can, CANviz la gère !
L'interface décode alors les fichiers DBC (le format de base de données du CAN), donc au lieu de lire des paquets hexadécimaux chelous, vous voyez directement "vitesse moteur = 1450 rpm" ou "position accélérateur = 34%". Vous pouvez aussi filtrer par ID ou par nom de signal, et le filtre se garde dans l'URL. Comme ça, vous pouvez partager une vue à un pote en copiant simplement le lien.
Le truc vraiment pratique, c'est surtout la partie enregistrement. Vous capturez une session en .asc ou .csv, et vous la rejouez plus tard à vitesse variable (de 0.5x pour décortiquer lentement, jusqu'à 10x pour survoler), ou vous forgez vos propres trames depuis l'interface pour tester la réaction d'un module donné. Une API REST et du WebSocket ouvrent aussi la porte aux bricolages en Python, avec une doc interactive accessible sur /docs.
Autre truc malin, vu que c'est un serveur web derrière : vous pouvez déployer CANviz sur un Raspberry Pi planqué dans la bagnole et le consulter à distance en SSH. Par contre, pas de WebUSB ici. L'auteur a explicitement fait le choix de passer par python-can côté serveur pour des raisons de sécurité. L'accès USB reste donc dans le sandbox Python, et le browser ne touche rien. J'avoue, je préfère.
Le projet est sous licence MIT, et est encore jeune, mais l'approche est éprouvée. Pour ceux qui cherchent des alternatives desktop, y'a bien sûr
CANgaroo
côté Qt, ou SavvyCAN qui tourne aussi en natif. Et si vous voulez bidouiller votre voiture comme
Charlie Miller l'a fait avec la Jeep
, y'a toujours le Panda de Comma sorti en 2017 avec son soft Cabana.
Bref, pour quelques euros de module USB et un pip install des familles, vous pouvez transformer votre laptop en analyseur CAN niveau pro et ça c'est plutôt classe !
Les chercheurs du Threat Labs de NETSCOUT ont publié un nouveau blog révélant une explosion de l’activité malveillante lors des derniers Jeux d’hiver en Italie. En effet, les attaques visant les infrastructures italiennes ont bondi de 181 % par rapport à l’année précédente. Les cybercriminels planifient ainsi l’intensité de leurs attaques selon le calendrier de l’évènement, allant […]
Les chercheurs de l’entreprise de cybersécurité Proofpoint ont découvert en temps réel les activités post-compromission d’un acteur de menace spécialisé dans le vol de marchandises, révélant comment les attaquants passent de l’accès initial à des opérations de fraude financière et de vol de fret. Tribune – En surveillant une intrusion active pendant plus d’un mois dans […]
Flare révèle l’émergence de « Leak Bazaar » : une plateforme criminelle qui industrialise la revente de données volées. Tribune – Flare spécialiste du Threat Exposure Management, alerte sur l’apparition d’un nouvel acteur structurant au sein de l’écosystème cybercriminel : Leak Bazaar. Identifiée sur le forum russophone TierOne et opérée par l’acteur « Snow » […]
Les chercheurs Proofpoint publient aujourd’hui une nouvelle étude sur une technique de post-exploitation particulièrement insidieuse et largement sous-estimée : l’abus des règles de boîte mail dans Microsoft 365. Tribune – Les cybercriminels exploitent de plus en plus les règles de boîte aux lettres Microsoft 365 comme mécanisme de persistance furtif après avoir pris le contrôle […]
Suite à l’avertissement lancé hier par le NCSC selon lequel APT28 exploite les routeurs pour détourner le DNS, voici les réflexions d’Anastasia Tikhonova, responsable mondiale de la recherche sur les menaces chez Group-IB. Elle souligne que les attaques contre les routeurs ne constituent pas une nouvelle tactique pour APT28, mais montre comment ils continuent d’instrumentaliser […]
Juste avant l’accord de cessez-le-feu Iran-États-Unis, les États-Unis ont annoncé que des acteurs malveillants affiliés à l’Iran avaient attaqué des infrastructures américaines critiques via des systèmes de technologie opérationnelle (OT) connectés à Internet, utilisés pour contrôler des processus physiques tels que les systèmes d’eau et les réseaux énergétiques. Tribune – Dans ce contexte, voici quelques […]
Une immersion de quatre ans dans le darknet révèle la façon dont les vendeurs de drogue et les administrateurs de marchés noirs parlent de leur activité, à travers des témoignages exclusifs. Loin de la représentation chaotique qui est habituellement faite de cette partie invisible d’Internet, ils se décrivent comme des entrepreneurs et démontrent le caractère ultra organisé du trafic de drogues.
Pour vous tenir informé des derniers développements concernant la récente compromission de la chaîne d’approvisionnement de la bibliothèque axios distribuée via NPM, le Google Threat Intelligence Group (GTIG) indique avoir attribué l’incident à un acteur malveillant soupçonné d’être lié à la Corée du Nord, suivi sous le nom UNC1069. Cet incident est distinct des problèmes […]
L’équipe de recherche en sécurité de JFrog a analysé une attaque sophistiquée de la chaîne d’approvisionnement visant les utilisateurs de la bibliothèque Axios. Largement adoptée, cette bibliothèque cliente HTTP compte près de 300 millions de téléchargements hebdomadaires, ce qui confère à cette menace une portée particulièrement critique. Tribune – Ce malware met en évidence un […]
En 2025, des milliers de fuites et de violations de données ont été recensées, mais quelques incidents très médiatisés ont été à l’origine d’une majorité des préjudices. Le gestionnaire de mots de passe NordPass, en collaboration avec la plateforme de surveillance du dark web NordStellar, a identifié les cinq fuites les plus marquantes de l’année, […]
HPE : une étude du HPE Threat Labs révèle un changement de modèle des cybercriminels pour intensifier et accélérer leurs attaques. Oubliez l’image du pirate informatique isolé. En 2025, la cybercriminalité a définitivement basculé dans une ère industrielle. Tribune – HPE Threat Labs vient de publier son premier rapport inaugural, In the Wild, basé sur […]
Les chercheurs de Cybernews ont suivi une campagne malveillante ciblant OpenWebUI, une interface largement utilisée permettant d’interagir avec de grands modèles de langage (LLM) tels que ChatGPT ou des modèles hébergés localement, comme Ollama, via un tableau de bord web. Tribune – Voici les principales conclusions : Les chercheurs ont découvert 98 instances d’OpenWebUI où […]
Un nouveau rapport s’appuyant sur des renseignements exclusifs révèle comment le régime nord-coréen mobilise des milliers de professionnels experts de l’IT pour infiltrer des entreprises à travers le monde. Tribune – Flare, leader du Threat Exposure Management, vient de publier une nouvelle étude en collaboration avec IBM X-Force, une équipe internationale d’experts composée de hackers, […]
En mars 2026, l’équipe Threat Research de Kaspersky a identifié une nouvelle campagne malveillante ciblant les développeurs qui cherchent à installer Claude Code, l’agent d’IA créé par Anthropic. Lorsqu’un internaute tape «Claude Code download» dans un moteur de recherche, des annonces sponsorisées trompeuses apparaissent en tête des résultats. L’une de ces publicités redirige les utilisateurs […]
Connexion
