Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Fuites de données : comment savoir si vos données sont déjà sur le dark web [Sponso]

Par : humanoid xp
7 juillet 2026 à 14:52

Cet article a été réalisé en collaboration avec Bitdefender

La sécurité de vos données personnelles ne dépend pas que de vous. Découvrez comment Bitdefender Ultimate Security vous protège au-delà de votre navigation web.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Fuites de données : comment savoir si vos données sont déjà sur le dark web [Sponso]

Par : humanoid xp
7 juillet 2026 à 14:52

Cet article a été réalisé en collaboration avec Bitdefender

La sécurité de vos données personnelles ne dépend pas que de vous. Découvrez comment Bitdefender Ultimate Security vous protège au-delà de votre navigation web.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

« On doit accepter qu’un logiciel soit fini », le Flipper Zero laisse doucement la place au Flipper One

6 juillet 2026 à 10:14

Le 1er juillet 2026, un billet publié par Pavel Zhovner, fondateur de Flipper Devices, est venu clarifier l'avenir du Flipper Zero. Un texte qui laisse entrevoir un retrait progressif de l'appareil culte, au profit de son successeur.

« On doit accepter qu’un logiciel soit fini », le Flipper Zero laisse doucement la place au Flipper One

6 juillet 2026 à 10:14

Le 1er juillet 2026, un billet publié par Pavel Zhovner, fondateur de Flipper Devices, est venu clarifier l'avenir du Flipper Zero. Un texte qui laisse entrevoir un retrait progressif de l'appareil culte, au profit de son successeur.

« J’aurais pu rickroller toute la Coupe du monde » : une hackeuse professionnelle a mis la main sur les caméras du Mondial 2026

3 juillet 2026 à 11:50

Une hackeuse professionnelle, connue sous le pseudonyme « Bobdahacker », raconte comment le fait de s'inscrire comme agent de joueurs sur le portail public de la FIFA lui a permis en quelques clics de contrôler les flux vidéo de tous les matchs du Mondial 2026.

« J’aurais pu rickroller toute la Coupe du monde » : une hackeuse professionnelle a mis la main sur les caméras du Mondial 2026

3 juillet 2026 à 11:50

Une hackeuse professionnelle, connue sous le pseudonyme « Bobdahacker », raconte comment le fait de s'inscrire comme agent de joueurs sur le portail public de la FIFA lui a permis en quelques clics de contrôler les flux vidéo de tous les matchs du Mondial 2026.

Affaire YggTorrent : la gendarmerie française annonce le démantèlement du site, trois mois après sa fermeture

2 juillet 2026 à 17:22

ygg

Trois mois après l'effondrement d'YggTorrent, la Gendarmerie nationale revendique le démantèlement de la plateforme et douze interpellations. Un communiqué qui referme un dossier judiciaire, mais qui n'a pas manqué de faire tiquer une partie des internautes.

Affaire YggTorrent : la gendarmerie française annonce le démantèlement du site, trois mois après sa fermeture

2 juillet 2026 à 17:22

ygg

Trois mois après l'effondrement d'YggTorrent, la Gendarmerie nationale revendique le démantèlement de la plateforme et douze interpellations. Un communiqué qui referme un dossier judiciaire, mais qui n'a pas manqué de faire tiquer une partie des internautes.

Kim Dotcom - Son extradition aux USA se rapproche

Par : Korben ✨
1 juillet 2026 à 14:34

Le 20 janvier 2012, 76 policiers et deux hélicoptères débarquent sur le manoir de Coatesville, en Nouvelle-Zélande, pour coffrer un gros bonhomme allemand la veille de ses 38 ans. Ce bonhomme, c'est Kim Dotcom , le patron de Megaupload.

Et quatorze ans plus tard, la justice néo-zélandaise vient encore de lui claquer la porte au nez !

En effet, la Cour d'Appel de Nouvelle-Zélande a rejeté ce 1er juillet la totalité de ses recours contre son extradition vers les États-Unis. Tous ses arguments, balayés un par un et là, il ne lui reste plus qu'une seule cartouche à savoir la Cour suprême néo-zélandaise.

Vous vous demandez peut-être ce qu'on lui reproche exactement ?

Hé bien, aux États-Unis, Kim Dotcom traîne 12 chefs d'accusation sur les 13 du dossier initial, la charge de blanchiment ayant sauté en cours de route... Il est accusé de violation massive du copyright, de racket, de fraude électronique et j'en passe...

Le gouvernement américain parle de 175 millions de dollars de revenus criminels et de plus de 500 millions de préjudice pour les ayants droit. Et au bout du tunnel, une peine de 30 à 150 ans de prison fédérale pour lui. Donc autant dire la perpétuité.

Et c'est là que le dossier devient franchement bancal puisque ses 2 bras droits, Mathias Ortmann et Bram van der Kolk, ont plaidé coupable, eux, en Nouvelle-Zélande et ont obtenu chacun deux ans et demi de taule environ, purgés sur place. Mêmes accusations, même boîte, même raid pour Kim, sauf que lui a choisi de se battre bec et ongles. Du coup, pour punir une telle défiance, on lui promet un aller simple pour la Virginie et un demi-siècle derrière les barreaux.

Son avocat, Ron Mansfield, l'a pourtant martelé... soit on jugeait les trois en Nouvelle-Zélande, soit aucun et perso, je trouve que c'est difficile de lui donner tort sur ce point précis. Sauf que la Nouvelle-Zélande n'a pas de " forum bar ", une règle qu'on retrouve au Royaume-Uni, qui laisse un juge bloquer une extradition quand le pays aurait très bien pu organiser le procès lui-même.

Mais ça n'a pas d'importance. La réalité, c'est que la justice américaine a accepté de lâcher Ortmann et van der Kolk, mais pas Dotcom. Ils veulent sa tête car il est le visage de Megaupload et quelqu'un doit payer. Mais après tout ce temps, le bonhomme a vieilli, il a encaissé un AVC en cours de route, et vu défiler l'arrêt complet de ses sociétés, le gel de ses comptes aux quatre coins de la planète, avant finalement de relancer Mega le successeur de Megaupload en version "clean".

Alors est-ce que Dotcom est un enfant de chœur ?

Bien sûr que non.

Megaupload, c'était une belle pompe à fric qui carburait en partie au contenu piraté, tout le monde le sait. Mais j'avoue que le voir risquer 150 ans de prison alors que ses associés n'en ont pris que 30 mois, je trouve que ça manque un peu de dosage. Cette affaire sans fin ressemble plus à une vendetta que les studios d'Hollywood veulent obtenir qu'à de la justice.

Mais il lui reste la Cour suprême donc on verra bien. Encore quelques mois de sursis, peut-être un an ou deux... Force à lui.

Source : TorrentFreak

Des vidéos de l’iPhone 18 Pro ont fuité : Apple est victime d’un piratage de grande ampleur

30 juin 2026 à 08:17

Sur les réseaux sociaux, des vidéos et photos des iPhone 18 Pro, dont l'annonce est prévue en septembre, circulent. Certains documents dévoilent les composants internes et l'identité des fournisseurs d'Apple. Il ne s'agit pas d'une fuite ordinaire : Tata Electronics, l'assembleur choisi par Apple en Inde, a été victime d'un piratage et se retrouve à l'origine de la publication de documents confidentiels sur le dark web. Une situation délicate pour une marque habituée au secret absolu.

DNS4EU refuse de bloquer les sites pirates de la BREIN

Par : Korben ✨
27 juin 2026 à 17:19

DNS4EU dont je vous ai causé y'a pas longtemps, c'est le service de DNS co-financé par l'UE et opéré par une société tchèque nommée Whalebone. Et bizarrement, depuis des mois, cette société récupère auprès de l'organisation anti-piratage néerlandaise (la BREIN) des listes de sites pirates.

Du coup, les utilisateurs commencent à se poser des questions... Pourquoi faire ?

Et bien d'après les dernières nouvelles, ils ne s'en servent pas.

La BREIN envoie automatiquement sa liste contenant +300 sites bloqués vers DNS4EU comme ils le font déjà avec les FAI, et je pense qu'ils voyaient ça comme une bonne astuce pour bloquer un maximum de sites illégaux.

Mais pas de bol, Whalebone a fini par expliquer que comme la BREIN n'était pas une vraie autorité de régulation, bah y'avait aucune raison qu'ils utilisent leur liste pour faire du DNS filtrant. Hé ouiiii.

Vous allez voir la nuance... En fait dans le cadre de l'appel d'offre de la Commission européenne en 2022, il était demandé à ce que le prestataire filtre le contenu illégal "sur base légale", donc sur ordonnance d'un tribunal. Par exemple, ça a déjà été le cas avec la France, qui a ordonné par décision de justice de bloquer certains sites sur DNS4EU .

Mais cette liste de la BREIN s'appuie uniquement sur des décisions de justice obtenues CONTRE les FAI néerlandais et pas contre DNS4EU. Ah ils sont trop malins !

Après côté usage, ça reste un DNS classique avec cinq profils au choix, un qui bloque juste le malware et le phishing, un qui ajoute le blocage des pubs, un avec protection des enfants, la combinaison des deux, et un "unfiltered" sans le moindre filtre (86.54.11.100 si ça vous tente). Le filtrage, c'est vous qui choisissez, les blocages imposés par la justice mis à part.

Et sur les 63 millions de blocages décidés par DNS4EU lui-même, l'écrasante majorité c'est du phishing et des arnaques, pas du téléchargement. On est donc trèèèès loin de ces cinglés de flics du copyright. Pour l'instant en tout cas...

Je dis "pour l'instant" parce qu'actuellement, on est dans un contexte où la justice européenne serre la vis partout, avec par exemple la France qui ordonne aux VPN de filtrer ou encore l' Italie avec son Piracy Shield qui veut faire plier Cloudflare. Mais bon, pour le moment, ce DNS souverain a su dire qui dit "nee" (c'est comme ça qu'on dit "non" en néerlandais) à ces fifous d'ayants droit et pour ça, je les remercie.

Après, un DNS qui propose en option de bloquer ou non les pubs, ça ne me gêne pas une seconde. Mais si un jour c'est pour faire du DNS menteur histoire de faire plaisir aux ayants droit, là ce sera boycott direct pour moi. Bref, je surveille ça de près et je ne manquerai pas de vous tenir au courant.

Source

Relay attack - Ils volent une voiture avec un babyphone

Par : Korben ✨
22 juin 2026 à 20:36

Vous vous souvenez du streamer Twitch qui s'était fait piquer sa caisse en plein live, à cause d'un boîtier bizarre posé contre sa porte d'entrée ?

Tout le monde a crié au fake évidemment, sauf que dans une certaine mesure, c'était vrai ! Et le voleur, c'était Mark Rober en personne, l'ex-ingénieur de la NASA devenu YouTubeur, qui a inventé toute cette mise en scène pour démontrer une bonne fois pour toutes comment on vole une voiture récente sans même toucher à la serrure.

La méthode s'appelle la relay attack, l'attaque par relais, et le principe est tellement simple que c'en est gênant. En effet, les voitures passent leur vie à chuchoter, quatre fois par seconde environ, des petits "hé psst, t'es là, ma clé ?". Et quand la clé est assez proche pour entendre ce murmure, elle hurle en retour le mot de passe secret qui déverrouille les portes et permet de démarrer le véhicule. Sauf que ce chuchotement, une équipe de voleurs peut le capter depuis votre voiture, l'amplifier, et le balancer jusqu'à votre clé restée sur le meuble de l'entrée ou dans la poche de votre veste. La clé croit alors que la voiture est juste là, elle répond, et hop, la caisse s'ouvre. Ça prend 30 secondes chrono, ça ne déclenche aucune alarme, et surtout y'a aucune effraction, ce qui arrange bien ces inutiles d'assureurs.

Alors pour bien comprendre comment tout ceci fonctionne, Rober a voulu s'équiper comme un vrai voleur. Direction le dark web, où un certain Dimitri (un russe... Bah quoi les clichés ?) lui a vendu un boîtier de vol clé en main pour 12 000 dollars en Bitcoin. L'appareil arrive, il le passe au CT Scan pour voir ce qu'il y a dedans sans le faire péter, et le verdict tombe : il s'est fait escroquer comme un débutant.

En fait, tous les composants hors de prix de ce machin pouvaient être remplacés par la même chose que ce qu'on trouve dans un babyphone vidéo de 2004.

Le babyphone de 2004 dont les entrailles remplacent un boitier dark web a 12 000 dollars.

La caméra du babyphone capte un signal, l'antenne le transmet à l'écran déporté et il suffit de couper deux fils au bon endroit pour transformer ça en relais radio . Son clone maison lui est donc revenu à quelques centaines de dollars de matos au lieu des douze mille que Dimitri a empochés. Et surtout il fonctionnait mieux que l'original. Breeeef...

Avant ce genre d'attaque, voler une bagnole demandait quand même un peu de doigté. Le slim jim, une tige métallique qu'on glissait dans la portière, a été tué dans les années 90 par les constructeurs qui ont blindé les mécanismes de serrure. Le démarrage en pontant les fils façon Mac Gyver est devenu inutile le jour où un calculateur ECU a pris le contrôle du moteur. Et plus récemment, vous avez peut-être entendu parler des Kia Boys , ces ados qui ont fait le tour de TikTok en démarrant des Kia et Hyundai d'avant 2022 avec un simple câble USB enfoncé dans le contact.

C'était couillon, mais ces modèles n'avaient pas d'antidémarrage électronique... une économie de bout de chandelle des constructeurs qui leur a quand même coûté 8,3 millions de véhicules à patcher en urgence. Comme quoi, la sécurité par l'obscurité, ça finit toujours par se payer un jour ou l'autre...

Et est-ce que vous saviez ce que deviennent ces voitures une fois envolées ??

Eh bien, même si l'essentiel des vols est l'œuvre d'abrutis d'ados qui font joyride pour Instagram , le reste est récupéré par une filière criminelle très organisée, démonté en pièces détachées dans un atelier en moins d'une heure ou encore expédié en conteneur à l'autre bout du monde.

Maintenant, pour bloquer les attaques relais et toutes ses déclinaisons, il suffit d'empêcher votre clé d'entendre ce "chuchotement" de la voiture. La première règle, qui est aussi la plus bête, est donc de ne JAMAIS poser vos clés près de la porte d'entrée... Éloignez-les au maximum, à l'autre bout de votre logement si vous le pouvez

Et la deuxième règle, c'est d'empêcher la clé de capter quoi que ce soit... Une boîte à biscuits en métal fait par exemple parfaitement l'affaire. Ou alors un bout de papier alu pour l'emballer...

Une simple boite a biscuits en métal suffit a rendre la clé sourde.

C'est ce qu'on appelle une cage de Faraday dans laquelle le signal radio préfère filer dans le métal conducteur plutôt que de traverser. Les pochettes anti-RFID vendues une dizaine d'euros font pareil et sont quand même plus classe, mais testez-les avant de leur faire réellement confiance.

Ah et sinon, sur certains modèles comme ma Ioniq 5 , vous pouvez aussi désactiver l'ouverture automatique "à distance via la clé et "sans les mains" et exiger une pression sur le bouton de la clé. C'est plus safe même si c'est moins fun ^^.

Un grand merci à Lilian pour le partage.

FIFA - Un hacker pouvait rickroller le Mondial 2026 en direct

Par : Korben ✨
16 juin 2026 à 09:53

Avis aux fans de foot parmi vous qui comptent regarder cette Coupe du Monde 2026, j'ai une bonne et une mauvaise nouvelle à vous annoncer ! Non, je déconne, je n'ai que des mauvaises nouvelles à vous annoncer !

La première, c'est qu'un chercheur en sécurité qui se fait appeler BobDaHacker s'est inscrit comme agent de joueurs sur la plateforme publique de la FIFA, et s'est retrouvé, quelques clics plus tard, à prendre possession des commandes de TOUS LES FLUX caméra de la Coupe du Monde ! Oui, tous ces flux en direct diffusés sur toutes les chaînes du monde.

La deuxième mauvaise nouvelle, c'est que la FIFA n'a jamais pris la peine de lui répondre parce que visiblement, elle s'en branle que quelqu'un hack ses flux vidéo.

Et le pire les amis, c'est que c'était super fastoche à faire....

Tout commence donc sur le site agents.fifa.org, un portail où n'importe qui peut demander une licence d'agent en uploadant une pièce d'identité. BobDaHacker s'execute et après 2 refus pour une photo de mauvaise qualité, une troisième tentative est alors validée, et hop, notre chercheur en sécurité se retrouve automatiquement ajouté à l'annuaire d'identités de la FIFA. Avec ce sésame, il peut alors accéder à la "Football Data Platform", puis au panneau de gestion du streaming.

A partir de là, l'appli Angular du service lui affiche un joli "access denied"... sauf que c'est du flan car, tenez vous bien, le contrôle d'accès fonctionne côté client. Ouais, ouais, c'est de la folie. En fait, les APIs derrière acceptent gentiment n'importe quelle requête authentifiée sans jamais vérifier votre rôle.

Et au moment où il ouvre l'outil de gestion du streaming, le gars hallucine !! Devant lui, il peut voir chaque match du Mondial 2026 avec ses 5 flux caméra : le programme principal, le flux tactique, la Camera1 et les deux caméras placées en hauteur derrière les buts. Pour chacun d'entre eux, il y a l'adresse d'envoi du flux vidéo (l'URL RTMP d'ingestion), le manifest de preview et la sortie HLS.

Alors histoire d'être sûr de ne pas halluciner, il colle un des liens dans VLC et le flux vidéo s'affiche en live !

Pour bien comprendre l'enjeu, cette diffusion du Mondial est gérée par HBS, qui couvre 104 matchs dans 16 villes réparties entre les États-Unis, le Canada et le Mexique, avec 45 caméras par match. Ce sont littéralement les images que des milliards de gens, vous compris (mais pas moi), allez regarder. Et tout cela se monnaye à prix fort avec les chaines de TV par exemple.

Ce bon vieux BobDaHacker aurait pu balancer un rick roll, une vidéo de fesses, ou un faux discours de Trump annonçant l'arrivée des extraterrestre en direct, sur toutes les chaînes télé de la planète. Ou même tout couper...

Mais il ne l'a pas fait parce que c'est un professionnel ! (Sans parler de la certitude de finir en zonzon ^^.)

En prime, il pouvait aussi modifier les statistiques diffusées en temps réel, lire les notes préparées des commentateurs, et fouiller dans les fichiers planqués dans un blob storage Azure, à savoir des rapports de transferts, des comparatifs de revenus, des stats des arbitres et des coachs, et un mystérieux Debbie.xlsx dont on ne connaitra jamais le contenu...

Je me demande quand même dans quelle mesure, les mafias de l'IPTV n'étaient pas déjà au courant de ce "bug"... On ne le saura jamais.

Mais pour BobDaHacker, c'est là que commence la vraie galère, celle qui dure toute la nuit, parce que prévenir la FIFA d'un truc pareil, ça devrait être simple et pourtant, ça ne l'est pas du tout.

Il balance son rapport à plus de 10 adresses email de la FIFA, et 5 lui reviennent en erreur. Il tente alors un WhatsApp au responsable Football Technology & Data de la boîte, mais sans succès. Il appelle ensuite les bureaux de Zurich, mais pas de bol c'est fermé. Même la ligne téléphonique réservée à la presse est fermée aussi. Il laisse alors un simple message vocal au centre de diffusion de Dallas.

Et finalement, c'est MediaKind, le prestataire technique du streaming, qui décroche en pleine nuit. Puis la CISA américaine, dont la hotline 24/7 l'accueille plutôt bien. Et enfin le FBI, qu'il contacte carrément sur Signal.

Évidemment, la FIFA a été informée en suivant la règle du responsible disclosure et tout a été patché très rapidement.

Mais bizarrement, à ce jour, la FIFA n'a jamais répondu. Pas un merci, pas même un "vu". Voilà, le gars aura sauvé la Coupe du Monde mais n'aura même pas le droit à 2 places offertes pour aller voir un match, ni même une tape sur l'épaule.

La blague, c'est qu'ils ont même oublié de le retirer de la liste de diffusion de la Football Data Platform, du coup, il reçoit encore aujourd'hui les documents officiels des matchs du Mondial 2026 dans sa boîte mail.

Toute une analyse a été postée sur le blog du chercheur et je vous invite à la lire, parce que c'est un cas d'école.

Bravo à BobDaHacker qui a sans doute évité gratuitement l'un des plus gros bad buzz de l'histoire du foot.

Messagerie Tchap piratée : l’État rassure et le hacker jubile, pourquoi est-ce si difficile de dénicher la vérité ?

9 juin 2026 à 11:06

Le 8 juin 2026, la Direction interministérielle du numérique (DINUM) a confirmé la compromission de Tchap, la messagerie des agents publics. Depuis, la réalité de l'incident est coincée entre deux narratifs : celui d'une institution qui veut rassurer, et celui d'un cybercriminel qui veut vendre.

« La voie à suivre est de ne pas payer la rançon » : Grafana Labs subit un chantage, mais le choix s’avère facile

18 mai 2026 à 11:26

Dans une publication LinkedIn, le 17 mai 2026, l'éditeur d'outils de monitoring et de visualisation de données Grafana Labs a révélé que son environnement GitHub a été compromis par un acteur non identifié, qui a réussi à mettre la main sur un token permettant d'accéder à l'ensemble de ses dépôts de code.

Hadopi est presque mort : le dispositif anti-piratage ne peut plus vous envoyer devant un juge

30 avril 2026 à 17:17

Le Conseil d'État annule plusieurs dispositions du décret de 2010 qui permet à Hadopi de s'attaquer aux pirates en plusieurs étapes (le principe de riposte graduée, avec un envoi devant le juge au troisième mail). Saisie en 2019, la juridiction administrative juge que le cœur du dispositif anti-piratage n'est pas conforme au droit européen.

Il s’appelait « HexDex » : le hacker qui pillait les fédérations sportives françaises, a été arrêté

23 avril 2026 à 09:51

Il s'appelait « HexDex » sur les forums du dark web, et son nom est devenu familier des équipes de sécurité informatique françaises au fil des mois. Lundi 20 avril 2026, ce hacker de 21 ans a été interpellé en Vendée par la Brigade de lutte contre la cybercriminalité (BL2C), alors qu'il s'apprêtait à publier de nouvelles données volées.

Ils piratent des transporteurs et volent des cargaisons entières : dans les coulisses de la cyberattaque

19 avril 2026 à 16:02

Dans un article de blog publié le 16 avril 2026, les chercheurs de Proofpoint retracent la manière dont ils ont infiltré un groupe criminel spécialisé dans le vol de marchandises physiques via des cyberattaques ciblant l’industrie du transport routier.

L’appât était parfait : certains ont profité autrement du leak de Claude Code

3 avril 2026 à 11:10

Dans un article de blog publié le 1er avril 2026, les chercheurs de Zscaler ThreatLabz ont mis en lumière une campagne cybercriminelle opportuniste : des acteurs malveillants ont exploité la récente fuite du code source de Claude Code pour piéger des développeurs et leur faire télécharger des infostealers.

❌
❌