Microsoft a publié la version 10.0.7 d'ASP .NET sous la forme d'une mise à jour hors bande afin de patcher une faille de sécurité critique : CVE-2026-40372.
Le post Microsoft a publié un patch pour une faille critique dans ASP.NET : CVE-2026-40372 a été publié sur IT-Connect.
La date de sortie du 19 novembre 2026 serait maintenue, d'après les informations relayées par un podcast spécialisé.
L’article GTA 6 : le jeu devrait bien sortir le 19 novembre, sans nouveau report est apparu en premier sur Tom’s Hardware.
Le Vector V150 INF est un boîtier compact orienté Micro-ATX qui mise à fond sur l’esthétique RGB et le flux d’air. Il débarque le 30 avril au Japon.
Cet article Vector V150 INF, Lian Li propose du Micro-ATX à effet miroir infini a été publié en premier par GinjFo.
Un logiciel malveillant destiné à effacer définitivement les données de postes informatiques vient de faire surface dans le secteur énergétique vénézuélien.
La bête a été baptisée "Lotus" par les chercheurs de Kaspersky qui l'ont analysé en premier, il a été mise en route en décembre 2025 depuis un ordinateur vénézuélien, et sa cible principale semble être PDVSA, la compagnie pétrolière d'État.
Côté technique, Lotus ne fait pas dans la dentelle. Deux scripts batch préparatoires, OhSyncNow.bat et notesreg.bat, désactivent toutes les défenses, coupent les comptes utilisateurs et ferment les interfaces réseau, histoire de bien tout bloquer.
Ensuite, le binaire principal passe en mode destruction avec diskpart, robocopy et fsutil pour manipuler le système de fichiers, puis descend au niveau IOCTL pour écraser directement des secteurs physiques du disque. Les points de restauration sont supprimés, le journal USN est effacé. Aucune récupération possible.
LKaspersky ne pointe personne, et aucun élément technique ne désigne un État ou un groupe criminel en particulier. Le timing est quand même troublant : fin 2025 et début 2026, le Venezuela a traversé une crise politique majeure avec la capture de l'ancien président Nicolás Maduro le 3 janvier, et les tensions toujours fortes autour des infrastructures énergétiques. Coïncidence ou coordination, on ne saura probablement pas avant longtemps.
En pratique, un wiper qui cible PDVSA, ça rappelle immédiatement les attaques contre les infrastructures critiques qu'on a vues en Ukraine avec Stryker ou contre des clusters Kubernetes avec la variante TeamPCP.
L'objectif n'est pas le chantage ni le vol, c'est la destruction pure. Les opérateurs ne cherchent pas à exfiltrer quelque chose, ils veulent rendre l'infrastructure inutilisable le plus vite possible, pour déstabiliser ou punir.
Un réseau d'alimentation électrique ou de distribution de carburant paralysé quelques jours, ça a des conséquences directes sur la vie quotidienne et sur la stabilité politique d'un régime.
Ce qui inquiète, c'est aussi la qualité du code. Lotus n'est pas un script amateur collé à la va-vite : il enchaîne plusieurs étapes de sabotage méthodique, de la désactivation des défenses à la destruction bas niveau du disque.
Pour un pays qui n'a déjà pas la réputation d'avoir la cybersécurité la plus pointue du continent, encaisser ce genre d'outil, ça fait mal. Et la probabilité que d'autres échantillons du même auteur circulent déjà ailleurs est loin d'être nulle.
Bref, un wiper bien fichu sur une compagnie pétrolière d'État dans un pays en crise, c'est rarement l'œuvre d'un adolescent dans son garage. Affaire à suivre donc.
Source : Bleeping Computer
Vous voulez comprendre ce qui se passe dans le cerveau de votre bagnole ? Hé bien pour cela avant, il fallait du matos pro et des suites logicielles à licence annuelle. Mais maintenant, y'a CANviz .
Un pip install canviz, un module USB à quelques balles branché sur le bus CAN de la voiture, et hop, vous accédez à tous les secrets de votre voiture simplement en ouvrant votre navigateur sur localhost:8080. Toutes les trames qui circulent sur le réseau interne du véhicule s'affichent en direct dans un tableau qui défile sans ramer à 2000 fps si j'en crois le README, donc ça envoie !
Ce projet signé Chanchal Dhiman tourne sur n'importe quelle config équipée de Python 3.10 ou supérieur, et côté matériel, CANviz se branche sur plein de bazars tels que les modules à firmware Candlelight (genre FYSETC UCAN autour de 8 balles ou CANable 1.0 autour de 15), les périphériques slcan via port COM, et du matériel sérieux type PEAK PCAN-USB, Kvaser, Vector ou même socketcan sur Raspberry Pi. En gros, si votre clé USB CAN est compatible avec python-can, CANviz la gère !
L'interface décode alors les fichiers DBC (le format de base de données du CAN), donc au lieu de lire des paquets hexadécimaux chelous, vous voyez directement "vitesse moteur = 1450 rpm" ou "position accélérateur = 34%". Vous pouvez aussi filtrer par ID ou par nom de signal, et le filtre se garde dans l'URL. Comme ça, vous pouvez partager une vue à un pote en copiant simplement le lien.
Le truc vraiment pratique, c'est surtout la partie enregistrement. Vous capturez une session en .asc ou .csv, et vous la rejouez plus tard à vitesse variable (de 0.5x pour décortiquer lentement, jusqu'à 10x pour survoler), ou vous forgez vos propres trames depuis l'interface pour tester la réaction d'un module donné. Une API REST et du WebSocket ouvrent aussi la porte aux bricolages en Python, avec une doc interactive accessible sur /docs.
Autre truc malin, vu que c'est un serveur web derrière : vous pouvez déployer CANviz sur un Raspberry Pi planqué dans la bagnole et le consulter à distance en SSH. Par contre, pas de WebUSB ici. L'auteur a explicitement fait le choix de passer par python-can côté serveur pour des raisons de sécurité. L'accès USB reste donc dans le sandbox Python, et le browser ne touche rien. J'avoue, je préfère.
Le projet est sous licence MIT, et est encore jeune, mais l'approche est éprouvée. Pour ceux qui cherchent des alternatives desktop, y'a bien sûr CANgaroo côté Qt, ou SavvyCAN qui tourne aussi en natif. Et si vous voulez bidouiller votre voiture comme Charlie Miller l'a fait avec la Jeep , y'a toujours le Panda de Comma sorti en 2017 avec son soft Cabana.
Bref, pour quelques euros de module USB et un pip install des familles, vous pouvez transformer votre laptop en analyseur CAN niveau pro et ça c'est plutôt classe !
Apple a publié hier une mise à jour iOS qui ferme une faille utilisée par les forces de l'ordre américaines pour récupérer des messages supprimés dans des applications comme Signal.
La faille concernait la base de données des notifications : quand vous supprimiez un message dans l'appli, la version cachée dans le cache des notifications pouvait rester accessible jusqu'à un mois.
Concrètement, un message Signal effacé côté appli restait lisible par quiconque avait la main sur le téléphone et savait fouiller au bon endroit.
Le FBI, selon les documents repérés par 404 Media début avril, a utilisé cette faiblesse sur plusieurs affaires pour remonter des conversations pourtant explicitement effacées par les utilisateurs, y compris celles utilisant la fonction messages éphémères.
Apple a reconnu le problème, mais si ça a été fait avec les pincettes habituelle, avec une phrase du genre... "les notifications marquées pour suppression pouvaient être conservées sur l'appareil de manière inattendue", ce qui ne veut pas dire grand chose, ou au contraire, tout dire...
Dit plus simplement, il y avait un écart entre ce que l'utilisateur voyait disparaître et ce qui restait réellement sur le disque. Le patch a été rétroporté sur les anciennes versions d'iOS 18, ce qui suggère que la faille existait depuis un bon moment et a probablement été exploitée dans des affaires que l'on ne connaîtra jamais.
Meredith Whittaker, présidente de Signal a rappelé publiquement que les notifications pour des messages effacés ne devraient jamais rester dans la base de notifications d'un OS. C'est une évidence technique. Sauf que dans la pratique, la chaîne cache des notifications plus indexation iOS laisse des traces que les outils forensiques comme Cellebrite ou GrayKey savent exploiter depuis des années.
Le problème dépasse Signal. Toute application qui envoie une notification contenant le texte d'un message entier sur iOS pouvait voir ses contenus persistés dans le cache, même après un effacement explicite. Du coup, pour les journalistes, les avocats, les activistes ou simplement les gens qui tiennent à leur vie privée, mettre à jour le plus vite possible n'est pas une option mais une priorité.
Bref, quand on parle de messagerie chiffrée, la vraie surface d'attaque n'est plus le protocole mais tout ce que l'OS fait autour dans votre dos.
Source : The Hacker News
S’il y a bien une chose pour laquelle les jeux Ecco the Dolphin étaient si connus à l’époque, c’était leur difficulté élevée. Le jeu, édité par Sega, et qui aura fait crisser bien des manettes, sera bientôt de retour.
[Précommande] Neo Geo et Plaion s'associent pour ressortir la mythique Neo Geo, à temps pour le 35e anniversaire de la console. La Neo Geo Aes+ va faire vibrer la corde sensible des plus nostalgiques, avec un engin au plus près de l'original, déjà disponible en précommande.
La marque haut de gamme de Hyundai, Genesis, ouvre ses carnets de commandes en France. La gamme est composée de trois modèles : GV60, GV70 et G80. Seules les motorisations électriques sont au menu.
Samsung Galaxy Connect n'est plus réservée aux ordinateurs Galaxy Book : la nouvelle version est compatible avec les machines Intel et AMD sous Windows 11.
Le post Windows 11 : Samsung Galaxy Connect débarque enfin sur les PC Intel et AMD a été publié sur IT-Connect.
Microsoft détaille le nouveau transfert PC à PC de Windows 11. L’outil permet de copier fichiers, réglages et préférences d’un ancien ordinateur vers un nouveau.
Cet article Comment fonctionne la fonction Transférer vers un nouveau PC de Windows 11 ? a été publié en premier par GinjFo.
Vous bossez sur un Dockerfile et vous avez besoin de la dernière version de nginx. Vous ouvrez GitHub, vous cliquez sur Releases, vous copiez-collez. Et 3 minutes plus tard, rebelote pour curl. Puis pour PHP. Sans parler du fait que dans votre script d'auto-update, vous avez hardcodé une "v3.2.1" qui dort là depuis 2023 parce que personne n'a pris le temps de mettre à jour le fichier.
Lastversion
, c'est le petit CLI Python signé Danila Vershinin qui remplace cette corvée par une seule ligne. Vous tapez lastversion apache/incubator-pagespeed-ngx et vous récupérez le numéro de la dernière version.
Le truc marche sur GitHub, GitLab, BitBucket, PyPI, Wikipédia, les flux RSS, les plugins WordPress, Helm charts, Gitea, SourceForge... et même sur des sites qui publient leurs versions comme ils veulent, genre nginx.org.
La beauté du bazar, c'est qu'il comprend les humains, parce que, c'est vrai, les mainteneurs font un peu n'importe quoi avec leurs tags. Ils étiquettent release-1.2.3 au lieu de 1.2.3, ils marquent des release candidates en stable sans le faire exprès, ils changent de format entre v20150121 et v2.0.1 sans prévenir. lastversion détecte toutes ces incohérences et vous renvoie la véritable dernière stable, celle que vous vouliez dès le départ. C'est pénible à gérer à la main quand vous avez vingt dépendances à suivre. Maintenant c'est réglé tout seul avec ce petit bidule.
Et les sources exotiques, c'est tout un délire. lastversion windows vous crache le build Windows en cours, lastversion ios pour iOS, lastversion rocky vous renverra 8.4 et lastversion https://en.wikipedia.org/wiki/Rocky_Linux aussi, parce que le bidule va carrément parser la page Wikipédia pour vous.
Alors certains d'entre vous me diront que ce n'est pas utile au quotidien. Peut-être jusqu'au jour où vous devez scripter une vérif de version d'OS sans dépendre d'un outil système. Par contre, si vous enchaînez cinquante requêtes par heure sur un token GitHub anonyme, faudra pas s'étonner de manger un rate limit dans la tronche.
Côté one-liners qui tuent, y'a déjà de quoi faire.
wget $(lastversion --assets mautic/mautic) télécharge direct la dernière archive.
lastversion --pre Aircoookie/WLED --format assets --filter ESP32.bin -d ESP32.bin récupère le dernier firmware ESP32 WLED.
Pour Nginx, lastversion https://nginx.org --major stable renvoie 1.16.1 pendant que --major mainline renvoie 1.17.9.
Vous voyez l'idée, c'est du pipe-friendly pur jus.
Et le mode install, c'est un autre délire. Vous tapez lastversion install mailspring et hop, il récupère l'AppImage ou le RPM du dépôt, il l'installe, et c'est fini. Attention quand même, sur les dépôts un peu bordéliques il va parfois se vautrer sur le packaging et juste vous balancer le tarball brut. Bon, c'est pas la mort, vous dézippez à la main et vous passez à la suite...
Combiné avec cron, @daily /usr/bin/lastversion install mailspring -y et votre bureau sera toujours à jour sans passer par un store. Pour tous les outils qui ne sont ni dans apt, ni dans un snap, ni dans un flatpak, c'est l'alternative la plus propre à avoir sous la main.
L'install se fait via pip install lastversion sur à peu près tout, ou yum install lastversion après avoir ajouté le repo GetPageSpeed si vous êtes sur CentOS, RHEL, Rocky, Alma, Fedora ou Amazon Linux.
Le projet est publié sous licence BSD-2, codé en Python, et il y a aussi une API utilisable directement (from lastversion import latest) si vous préférez appeler ça dans vos scripts plutôt que de piper dans un subprocess.
Bref, un chouette outil à ranger entre vos redirections bash et votre gestionnaire SSH , catégorie petits trucs qui font gagner 10 minutes par semaine.
C’est le projet le plus colossal du cinéma français pour 2026. Exit le biopic poussiéreux, Antonin Baudry injecte l’adrénaline du Chant du Loup dans l’histoire de France. Le diptyque La Bataille de Gaulle vient de balancer une bande-annonce impressionnante et une stratégie de sortie inédite.
Lors de la conférence de résultats du premier trimestre 2026, Tesla n’avait d’yeux que pour Optimus, les puces IA et la conduite autonome. Au point de pouvoir compter les mentions de voitures électriques sur les doigts d’une main.
Vos stories ne font aucune vue ? C'est normal. Depuis 9 heures le 23 avril, de nombreux internautes signalent une panne partielle du réseau social. L'interface reste disponible, mais la publication des contenus est bloquée.
Connexion