Depuis le 15 décembre 2025, Meta ne propose plus d'application Messenger officielle sur Mac et Windows. Une décision frustrante pour des millions d'utilisateurs qui avaient pris l'habitude de l'utiliser tous les jours sur leur ordinateur.
Vous voyez cette liseuse Kindle qui traîne sur votre table de chevet depuis des années ? Mais si, ce truc que vous avez oublié dans un coin parce que vous n'aimez pas lire, qui est toujours connecté au Wi-Fi, et qui contient votre numéro de carte bleue pour acheter des bouquins en un clic ?
Hé bien un chercheur en sécu vient de découvrir qu'un simple ebook vérolé pouvait lui permettre de prendre le contrôle total de votre compte Amazon.
Valentino Ricotta, un hacker éthique qui bosse chez Thalium (la division recherche de Thales à Rennes), a présenté ses trouvailles à la conférence Black Hat Europe à Londres avec un titre qui résume bien le délire : "Don't Judge an Audiobook by Its Cover".
Histoire de rentrer un peu plus dans les détails, sachez que cette faille exploite du code qui n'a rien à faire sur une Kindle de base. Ricotta s'est attaqué au système qui parse les fichiers audiobooks Audible, un format multimédia proche du MP4. Ainsi, même sur les Kindle qui ne peuvent pas lire d'audio, le système scanne quand même ces fichiers pour en extraire les métadonnées comme le titre, l'auteur et la couverture.
En analysant le code de parsing proprio d'Amazon, il a alors découvert une erreur de calcul classique dans l'estimation de la mémoire nécessaire par le logiciel. Du coup, en bricolant un faux fichier audiobook avec des valeurs bien choisies, il a pu déclencher un heap overflow qui lui permet d'écrire des données là où il ne devrait pas.
L'exploit tourne silencieusement en arrière-plan sans que la victime ne s'en aperçoive. Ricotta a ensuite enchaîné avec une deuxième vulnérabilité dans le service interne qui gère le clavier virtuel de la Kindle. Ce service tournait avec des privilèges élevés mais sans contrôle d'accès correct, ce qui lui a permis de charger du code malveillant et de prendre le contrôle complet de l'appareil. À partir de là, il a pu voler les cookies de session Amazon, ces fameux tokens qui vous maintiennent connecté à votre compte.
Bref, une fois qu'un attaquant a mis la main sur une Kindle et ces tokens, les possibilités sont plutôt larges : accès aux données perso, infos de carte bancaire, et même pivot vers votre réseau local ou d'autres appareils liés à votre compte Amazon. Les victimes potentielles sont donc tous ceux qui font du "side-loading", c'est-à-dire qui téléchargent des ebooks sur des sites tiers et les balancent sur leur Kindle via USB. Avec ça, même sans avoir de connexion internet, le mal est vite fait.
C'est pas la première fois que quelqu'un découvre une faille sur les Kindle via des ebooks vérolés, puisque des chercheurs de Realmode Labs et Check Point avaient déjà fait le coup en 2021 et là aussi les deux failles ont été jugées "critiques" par Amazon et corrigées depuis... Et Ricotta a empoché 20 000 dollars de bug bounty que Thales a reversé à une asso caritative.
Bravo à lui !
Malgré de très nombreuses améliorations ces dernières années, Meta a décidé de tuer la version Mac et Windows de Facebook Messenger. Depuis le 16 décembre, il est obligatoire de passer par le site messenger.com depuis un navigateur ou d'utiliser son smartphone.
Amazon vient de lancer une nouvelle fonctionnalité dans son app Kindle iOS qui risque de faire grincer pas mal de dents du côté des auteurs et éditeurs. Ça s'appelle "Ask this Book" et c'est un chatbot IA intégré directement dans vos bouquins.
Le principe c'est de pouvoir poser des questions sur le livre que vous êtes en train de lire. Genre "c'est qui déjà ce personnage ?", "il s'est passé quoi dans le chapitre 3 ?" ou "c'est quoi le thème principal ?". Et l'IA vous répondra instantanément avec des réponses "sans spoilers" basées sur le contenu du livre.
Notez que les réponses de l'IA ne peuvent être ni copiées ni partagées, et seuls les acheteurs ou abonnés Kindle Unlimited y ont accès.
Bon, sur le papier, c'est plutôt pratique pour ceux qui comme moi, reprennent un bouquin après plusieurs semaines et qui ont oublié la moitié des personnages, sauf que voilà, y'a un gros problème.
Amazon a confirmé que cette fonctionnalité est activée par défaut et qu'il n'y a aucun moyen pour les auteurs ou les éditeurs de retirer leurs livres du truc. Et même si certains auteurs râlent, Amazon refuse de leur dire quoi que ce soit, aussi bien sur les conditions légales qui leur permettent de proposer ça ni au sujet des détails techniques sur comment ils empêchent les hallucinations de l'IA ou si les textes sont utilisés pour entraîner leurs modèles. Encore une fois, du grand art niveau transparence.
Du côté de l'industrie du livre, ça passe donc plutôt mal. Beaucoup de détenteurs de droits vont probablement considérer ça comme une œuvre dérivée non autorisée, voire une violation directe du copyright et ça tombe plutôt mal niveau timing, vu que récemment, plusieurs auteurs ont déjà attaqué des boîtes d'IA en justice pour avoir aspiré leurs textes sans permission.
Alors pour l'instant, la fonctionnalité n'existe que sur l'app Kindle iOS aux États-Unis mais Amazon a déjà annoncé vouloir l'étendre aux liseuses Kindle et à Android l'année prochaine et pour le monde entier.
Bref, Amazon continue de faire du Amazon... déployer d'abord, poser des questions jamais.
Dans un avis officiel publié le 10 décembre 2025, le Service des douanes et de la protection des frontières des États-Unis propose une refonte majeure de la demande d’ESTA, destinée aux voyageurs exemptés de visa (dont la France). Parmi les changements envisagés : la possibilité pour les autorités d’examiner l’historique de vos réseaux sociaux sur les cinq dernières années.
Connexion