Une campagne cybercriminelle pour le moins étonnante circule massivement sur les réseaux sociaux. Son objectif ? Dérober vos identifiants. Son leurre ? L’approche du mois des fiertés.
Une campagne cybercriminelle pour le moins étonnante circule massivement sur les réseaux sociaux. Son objectif ? Dérober vos identifiants. Son leurre ? L’approche du mois des fiertés.
Coup de théâtre dans le duel judiciaire de l'année. Le jury a balayé la plainte du milliardaire contre Sam Altman pour une simple question de prescription légale. Elon Musk s'est réveillé beaucoup trop tard, mais il annonce déjà sa riposte en appel.
Dans une publication LinkedIn, le 17 mai 2026, l'éditeur d'outils de monitoring et de visualisation de données Grafana Labs a révélé que son environnement GitHub a été compromis par un acteur non identifié, qui a réussi à mettre la main sur un token permettant d'accéder à l'ensemble de ses dépôts de code.
Dans une publication LinkedIn, le 17 mai 2026, l'éditeur d'outils de monitoring et de visualisation de données Grafana Labs a révélé que son environnement GitHub a été compromis par un acteur non identifié, qui a réussi à mettre la main sur un token permettant d'accéder à l'ensemble de ses dépôts de code.
Contacté par Numerama, Mistral AI dément le piratage massif de 5 Go de code source revendiqué sur un forum cybercriminel. L'entreprise française reconnaît cependant qu'un de ses systèmes de gestion de code a été temporairement compromis le 12 mai, dans le cadre de l'attaque supply chain TanStack, sans accès aux données clients ni à ses environnements de recherche.
Contacté par Numerama, Mistral AI dément le piratage massif de 5 Go de code source revendiqué sur un forum cybercriminel. L'entreprise française reconnaît cependant qu'un de ses systèmes de gestion de code a été temporairement compromis le 12 mai, dans le cadre de l'attaque supply chain TanStack, sans accès aux données clients ni à ses environnements de recherche.
Le 13 mai 2026, Samsung a répondu aux accusations de Dua Lipa concernant l’utilisation présumée non autorisée de son image sur des emballages de téléviseurs vendus aux États-Unis. La marque affirme avoir agi de bonne foi, en s’appuyant sur les garanties fournies par un partenaire tiers de Samsung TV Plus.
Le gouvernement veut-il sacrifier les VPN sur l'autel de la vérification de l'âge ? Face aux menaces sur le télétravail et la sécurité, le député Philippe Latombe somme la ministre de clarifier sa position.
Le gouvernement veut-il sacrifier les VPN sur l'autel de la vérification de l'âge ? Face aux menaces sur le télétravail et la sécurité, le député Philippe Latombe somme la ministre de clarifier sa position.
J'sais pas si vous avez vu passer ça, mais vous pouvez désormais déclencher la guerre Iran-USA directement depuis votre navigateur, tout ça en pixel art, en incarnant ce bon vieux Donald Trump. C'est gratuit, accessible sur epicfurious.com , et c'est signé The Secret Handshake , le collectif anonyme déjà responsable des statues Trump-Epstein qui poppent et disparaissent un peu partout.
Le jeu s'appelle Operation Epic Furious : Strait to Hell, et il a en fait deux vies. D'abord, une version jouable depuis n'importe quel navigateur et aussi dans 3 bornes d'arcade installées devant le War Memorial de Washington le 11 mai dernier.
Dans ce jeu, vous spawnez à la Maison-Blanche avec un choix initial : Diet Coke ou invasion de l'Iran ? Et ensuite, ça part en sucette !
Le moteur, c'est du RPG Maker MZ , l'outil japonais qui sert habituellement à pondre des JRPG indé sympas sur itch.io. Et The Secret Handshake l'a tout simplement utilisé pour faire ce qu'on appelle du culture jamming , et je trouve ça chouette. Comme ça plutôt que de monter un énième Wordpress tout nul avec un manifeste politique que personne ne lira, leur jeu se diffuse tout seul en faisant le buzz (la preuve j'en parle ici).
Le look pixel des années 90 crée un décalage immédiat avec ce sujet très actuel et la guerre y est vendue comme un produit joliment packagé, soit exactement le reproche que le collectif fait à l'administration Trump.
Et côté gameplay, ça part dans tous les sens ! Vous prenez un hélicoptère pour aller en Iran, vous combattez le Pape, des collégiennes et des wokes au passage, vous lootez du lubrifiant dans Téhéran en ruines, et vous croisez Pete Hegseth et Kash Patel en chemin... Ah, et si vous tentez de tenir la main de Melania, hop, Game Over instantané.
Et n'oubliez pas de commander 6 Diet Cokes... il va se passer un truc dont je vous laisse la surprise. Et pour finir, le jeu vous fera forcément perdre la guerre (désolé hein ^^), avec cette punchline : "You'll lose this war, too, but at least it'll only cost a quarter."
Faut dire que The Secret Handshake n'en est pas à son coup d'essai. En septembre 2025, comme je vous disais en intro, ils ont installé Best Friends Forever, une statue grandeur nature de Trump et Epstein main dans la main, sur le National Mall qui s'est faite démontée en moins de 24 heures par la police.
Ils ont remis ensuite ça quelques semaines plus tard, puis en mars 2026 avec King of the World, une variante en pose Titanic, et même une carte d'anniversaire géante reproduisant la lettre que Trump aurait envoyée à Epstein, sortie en janvier dernier.
Vous l'aurez compris, ce collectif de zinzins ce sont vraiment des spécialistes du détournement en mode guerilla qui ont même rendu leur statue téléchargeable en creative commons sur Printables pour que n'importe qui puisse l'imprimer en 3D.
Quant au message du nouveau jeu, il est explicite : "In Trump's America, war isn't just patriotic, it's gamified."
Ce que The Secret Handshake critique, ce sont donc également ces posts de réseaux sociaux qui font le buzz et où l'administration mélange images réelles de bombardements avec des séquences de Call of Duty ou GTA pour vendre la guerre comme un divertissement. C'est de la protestation par l'art et on dirait que ça fonctionne plutôt bien.
En tout cas, c'est plus efficace qu'un communiqué de presse d'ONG...
Bref, à jouer pour le geste autant que pour le gameplay, tant que c'est dispo.
La CNIL a publié ce 11 mai 2026 un communiqué appelant à la vigilance sur les lunettes connectées, incluant micros et caméras, que Meta, entre autres, vend déjà avec Ray-Ban et Oakley. L'autorité ne légifère pas encore, mais elle ouvre un plan d'action au niveau européen et publie six recommandations pour les utilisateurs.
Selon une plainte déposée le 9 mai 2026 devant un tribunal fédéral de Californie, la chanteuse Dua Lipa accuse Samsung d'avoir utilisé son image sans autorisation sur les emballages de plusieurs téléviseurs vendus aux États-Unis.
Si vous faites tourner WireGuard depuis un réseau filtré par DPI (Genre en Russie, Iran, Chine, et autres pays défenseurs de la libertéééé (non)), vous avez sans doute remarqué que les tunnels tombent rapidement. En effet, les signatures des protocoles et notamment du protocole WireGuard sont devenues facilement identifiables. Les filtres modernes de censure sont ainsi capable de les bloquer en quelques secondes. C'est pour ça que wg-obfuscator , sorti par Alexey Cluster (le dev derrière le mod hakchi de la NES Classic Mini dont je vous parlais en 2017), m'a tapé dans l'œil.
Concrètement, c'est un petit proxy en C qui se glisse entre votre WireGuard et le réseau. Vous le lancez aux deux bouts du tunnel, et lui déguise les paquets pour qu'ils ressemblent à du STUN (le protocole utilisé par les outils de visioconf, rarement bloqué) ou à un flux random pas reconnaissable. WireGuard continue ainsi de tourner sans aucune modification...
C'est vraiment bien fichu son truc et surtout, par rapport à AmneziaWG (un célèbre fork de WireGuard souvent cité comme référence en obfuscation), hé bien y'a juste un binaire à rajouter, alors que AmneziaWG, lui, modifie TOUT le protocole. Il faut donc remplacer les client ET le serveur ce qui est bien relou.
Comme wg-obfuscator se contente uniquement de faire le proxy, vous gardez votre setup WireGuard classique et donc ça fonctionnera partout... Sur OpenWrt, MikroTik avec RouterOS 7.4+ sur ARM64/x86_64 via Docker, NixOS, Android, ou un simple Raspberry.
Par contre, l'outil utilise une clé symétrique en texte clair donc c'est pas du chiffrement fort, mais du camouflage.
Côté config, on est sur du fichier INI tout simple :
Connexion[main]
source-lport = 13255
target = 10.13.1.100:13255
key = votre_secret
masking = STUN
verbose = 2
Après c'est pas dit dans la doc mais je pense que c'est compatible IPv4 seulement... Donc oubliez l'IPv6 pour le moment. Ensuite il faut les deux extrémités sous votre contrôle, donc oubliez les VPN commerciaux type NordVPN ou ProtonVPN tant qu'ils ne déploient pas wg-obfuscator côté serveur.
Ah et un dernier détail qui vaut le coup d'être noté, c'est le mode two-way avec static-bindings. En fait si vos deux peers ont une IP publique, vous pouvez parfaitement configurer à la main vos mappings NAT pour permettre à chacun d'initier la connexion, sans dépendre d'un serveur central.
C'est une faille vieille comme le web qui aurait permis d'exploiter l'une des bases de données les plus sensibles de l'État français. Le piratage de l'ANTS en avril 2026 aurait été permis par une faille IDOR. Mais, c'est quoi, au juste ?
Une vulnérabilité découverte par des chercheurs en sécurité permet à n'importe quel utilisateur local de prendre le contrôle total d'un système Linux, sur la quasi-totalité des distributions existantes. L'exploit tient en 732 octets de Python.
Cet article a été réalisé en collaboration avec Nordnet
Jusqu’à 200 Mb/s de débit et des options intéressantes pour les familles comme les professionnels : la connexion haut débit par satellite de Nordnet est un service 100 % français qui offre une solution viable pour les oubliés de la fibre.
Cet article a été réalisé en collaboration avec Nordnet
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
Martin J., lecteur de Numerama, a souhaité nous faire part de sa mésaventure survenue lors d'une vente sur Leboncoin, la plateforme d'annonces numéro 1 en France. Une arnaque rendue possible par une faille structurelle du site, mêlant phishing particulièrement retors et ingénierie sociale bien rodée.
En octobre 2025, un attaquant a exfiltré les données personnelles de centaines de milliers de candidats inscrits sur Parcoursup en Occitanie. Le ministère de l'Enseignement supérieur n'en a été informé que cinq mois plus tard.
