Sur X, un chercheur en cybersécurité affirme avoir obtenu un accès illimité à Claude Opus 4.6 en exploitant l'infrastructure de Perplexity Computer. Si la démonstration technique est réelle, les conclusions sur la facturation sont à nuancer.
Sur X, un chercheur en cybersécurité affirme avoir obtenu un accès illimité à Claude Opus 4.6 en exploitant l'infrastructure de Perplexity Computer. Si la démonstration technique est réelle, les conclusions sur la facturation sont à nuancer.
Apple vient de publier iOS 16.7.15 et iOS 15.8.7 pour les anciens iPhone et iPad. Ces mises à jour corrigent des failles activement exploitées par Coruna, un kit d'espionnage qui combine 23 vulnérabilités pour compromettre un appareil simplement en chargeant une page web, je vous en parlais ici. Si vous avez encore un iPhone 6s, 7, 8 ou X, la mise à jour est urgente.
Google et iVerify ont rendu public le kit Coruna le 3 mars. Il regroupe 23 failles en cinq chaînes d'exploitation et cible les iPhone sous iOS 13 à iOS 17.2.1. L'outil aurait été conçu par une filiale de L3Harris Technologies, un sous-traitant de défense américain, et vendu à des agences gouvernementales alliées des États-Unis.
Sauf que voilà, le kit a fini par circuler bien au-delà de ce cercle. Un groupe d'espionnage russe l'a utilisé en juillet 2025 contre des cibles ukrainiennes, et un acteur chinois s'en est servi fin 2025 via de faux sites de cryptomonnaies et de paris en ligne. Plus de 50 domaines de distribution ont été identifiés.
Les mises à jour publiées par Apple couvrent deux générations d'anciens appareils. iOS 15.8.7 concerne les iPhone 6s, iPhone 7, iPhone SE première génération, l'iPad Air 2, l'iPad mini 4 et l'iPod touch septième génération. iOS 16.7.15 vise les iPhone 8, 8 Plus et iPhone X, ainsi que l'iPad cinquième génération et les premiers iPad Pro.
Les quatre CVE corrigées touchent le noyau et le moteur WebKit. Le kit exploite ces failles sans aucune interaction de l'utilisateur : il suffit de charger une page web piégée pour que l'appareil soit compromis.
Une fois l'appareil compromis, le malware PlasmaLoader s'attaque aux portefeuilles de cryptomonnaies comme MetaMask, Exodus ou Bitget Wallet. Google a qualifié Coruna de première exploitation de masse connue contre iOS.
Le kit détecte le modèle d'iPhone et la version d'iOS avant de choisir la bonne chaîne d'exploitation. Il évite aussi de s'exécuter si le mode Isolement est activé ou si la navigation est en mode privé.
Apple fait quand même bien le job en patchant des appareils qui ont jusqu'à dix ans, et c'est plutôt rassurant !
Source : The Hacker News
Microsoft vient de corriger 79 failles de sécurité dans son Patch Tuesday de mars 2026. Parmi elles, une vulnérabilité critique dans Excel qui permet d'utiliser l'agent Copilot pour exfiltrer des données sensibles, le tout sans aucune interaction de la victime. Oui oui, zéro clic.
Cette faille répondant au doux nom de CVE-2026-26144 est une vulnérabilité de type cross-site scripting dans Microsoft Excel, et elle a un petit truc en plus qui la rend franchement inquiétante : elle est capable de détourner le mode Agent de Copilot pour envoyer des données vers l'extérieur, via ce que Microsoft appelle un "unintended network egress".
Traduction : l'IA qui est censée vous aider à rédiger vos tableaux et vos formules devient, l'air de rien, un canal d'exfiltration de données.
Pas besoin que la victime clique sur quoi que ce soit. Pas besoin non plus d'élévation de privilèges. Il suffit d'un accès réseau. Les données qui peuvent fuiter sont loin d'être anodines : documents financiers, propriété intellectuelle, données opérationnelles. Dustin Childs, de la Zero Day Initiative, a qualifié cette faille de "fascinante". On veut bien le croire.
Ce Patch Tuesday de mars n'apporte pas que la CVE-2026-26144. Microsoft a aussi corrigé deux failles d'exécution de code à distance dans Office (CVE-2026-26110 et CVE-2026-26113) qui peuvent être exploitées via le simple volet de prévisualisation.
Ce qui veut dire qu'il suffit de survoler un fichier piégé dans l'explorateur pour déclencher l'attaque, sans même l'ouvrir.
Au total, ce sont 79 vulnérabilités corrigées ce mois-ci, dont trois classées critiques. Bonne nouvelle quand même : c'est le premier Patch Tuesday en six mois sans faille activement exploitée dans la nature. Après les épisodes avec APT28 et la CVE-2026-21509 exploitée par des groupes liés à la Russie en début d'année, ça fait une petite pause bienvenue.
Le truc un peu agaçant dans cette histoire, c'est que Microsoft pousse Copilot dans tous ses logiciels, et que PAF, une faille XSS permet de transformer cet assistant IA en mouchard.
C'est d'autant plus gênant que beaucoup d'entreprises ont activé Copilot sans forcément mesurer ce que ça implique en termes de surface d'attaque. Avec un agent IA qui a accès à vos fichiers et à votre réseau, le moindre trou dans la raquette prend une autre dimension.
Si vous utilisez Excel avec Copilot activé en entreprise, la mise à jour de mars est à installer sans traîner.
Source : Cyberscoop
Mark Russinovich, CTO de Microsoft Azure, a donné à Claude Opus 4.6 un programme qu'il avait écrit en assembleur 6502 pour Apple II en mai 1986. L'IA d'Anthropic y a trouvé des vulnérabilités. Une découverte possible grâce à Claude Code Security, un outil qui a déjà débusqué plus de 500 failles dans des projets open source.
Le programme en question s'appelle Enhancer. C'est un utilitaire écrit en langage machine 6502 qui ajoutait à l'Applesoft BASIC la possibilité d'utiliser des variables ou des expressions comme destination pour les commandes GOTO, GOSUB et RESTORE.
Claude Opus 4.6 a identifié un comportement silencieux incorrect : quand une ligne de destination n'était pas trouvée, le programme plaçait le pointeur sur la ligne suivante ou au-delà de la fin du programme, au lieu de signaler une erreur. L'IA a même suggéré le correctif : vérifier le carry flag (positionné quand une ligne n'est pas trouvée) et rediriger vers un gestionnaire d'erreurs.
L'anecdote a surtout valeur de démonstration. Russinovich l'a partagée pour montrer que les modèles d'IA sont désormais capables de décompiler du code embarqué d’un autre âge et d'y repérer des failles, ce qui pose un problème quand on sait que des milliards de microcontrôleurs tournent dans le monde avec du code qui n'a jamais été audité.
Cette histoire autour de l'Apple II est amusante, mais le vrai sujet est ailleurs. Anthropic a utilisé Claude Opus 4.6 pour scanner des bases de code open source en production et a trouvé plus de 500 vulnérabilités qui avaient échappé à des années de revue par des experts humains.
Parmi les projets touchés : GhostScript (traitement PostScript et PDF), OpenSC (utilitaires pour cartes à puce), CGIF (traitement d'images GIF) et le noyau Linux. Certaines de ces failles étaient là depuis des décennies, malgré des millions d'heures de fuzzing accumulées sur ces projets.
Côté Firefox, on vous en a parlé : 22 CVE dont 14 haute gravité, trouvées en deux semaines seulement.
On vous en a déjà parlé, Anthropic a lancé le 20 février Claude Code Security, un outil intégré à Claude Code sur le web, pour l'instant en accès limité. Le principe : l'IA scanne un dépôt de code, identifie les vulnérabilités, et propose des correctifs ciblés pour validation humaine.
Contrairement aux outils d'analyse statique classiques qui fonctionnent par pattern matching, Claude lit et raisonne sur le code comme le ferait un chercheur en sécurité, en traçant les flux de données et en comprenant comment les composants interagissent. Rien n'est appliqué sans validation humaine. L'outil est accessible aux clients Enterprise et Team, et les mainteneurs de projets open source peuvent demander un accès gratuit.
Tout ça pour dire que l'image du CTO d'Azure qui ressort son vieux code Apple II et se retrouve avec un rapport de failles, c'est quand même franchement rigolo, mais aussi intéressant. Mais le fond du sujet est plus sérieux : des milliards d'appareils embarqués tournent avec du code ancien que personne n'a jamais audité, et l'IA est désormais capable de les passer au peigne fin. Anthropic a quand même prévenu que cet écart entre la capacité à trouver les failles et celle de les exploiter ne durera probablement pas éternellement. On l’espère.
Source : The Register
Le Discord Game SDK, c'est ce petit bout de code que les devs de jeux vidéo intègrent pour afficher votre statut, gérer les invitations entre potes... sauf que dans ARC Raiders, le truc ouvrait carrément une connexion complète au serveur Discord. Du coup, vos DMs privés se retrouvaient jusqu'il y a peu, logués en clair sur votre disque dur.
C'est Timothy Meadows, un ingénieur en sécurité, qui a découvert le pot aux roses. En fouillant dans les fichiers de log du jeu (le chemin exact c'est AppData\Local\PioneerGame\Saved\Logs\discord.log), il est tombé sur des conversations privées Discord en clair.
Et cerise sur le gâteau, le fichier contenait aussi le Bearer token d'authentification Discord du joueur. En gros, la clé qui donne accès à TOUT votre compte !
Le problème vient du fait que le SDK se connecte avec un token utilisateur complet, exactement comme le ferait l'app Discord elle-même. La gateway pousse alors tous les events vers cette connexion, y compris les messages privés.
Sauf que le jeu ne filtre rien et balance TOUT dans un fichier log sur le disque. Ce n'est donc pas une backdoor volontaire mais juste du code mal branlé qui ne trie pas ce qu'il reçoit.
Meadows a bien sûr tenté de signaler la faille à Embark Studios un mois avant de rendre l'info publique. Mais comme d'hab, pas de réponse et pas de bug bounty non plus...
Du coup, il a publié tranquillou ses trouvailles sur son blog le 3 mars et Embark a réagi 2 jours plus tard avec un hotfix qui désactive enfin le logging du SDK.
Seuls les joueurs ayant lié leur compte Discord à ARC Raiders sont touchés et c'est peut-être votre cas.... Mais bon, vu que le jeu vous le propose dès l'installation, y'a probablement pas mal de monde dans le lot.
Le token Bearer avait une durée de validité d'environ 167 heures (en gros, une semaine), ce qui laisse une sacrée fenêtre pour quiconque aurait accès au fichier log. Un malware, un pote curieux, un PC partagé en LAN... les scénarios ne manquent pas... Suite à cela, Embark a sorti le communiqué classique en mode "vos données n'ont pas quitté votre machine, on n'a rien lu, on ne lira rien". OK, cool story bro, sauf que le vrai souci c'est pas Embark en fait, c'est Discord car leur SDK donne un accès beaucoup trop large aux devs tiers.
Car quand vous liez votre compte à un jeu, vous pensez autoriser l'affichage de votre pseudo et de votre statut et pas du tout l'accès à vos DMs. D'ailleurs, après l'incident, la page d'autorisations du jeu est passée de "cette application ne peut PAS lire vos messages" à "cette application PEUT lire et envoyer des messages". Hop, ni vu ni connu !
Côté protection, c'est pas la mer à boire, suffit de changer votre mot de passe Discord dans les réglages de l'app (ça invalide tous les tokens actifs), et désactivez l'intégration Discord dans les paramètres d'ARC Raiders, puis supprimez le fichier discord.log dans le dossier du jeu.
Attention, si vous êtes du genre parano, faites aussi le ménage dans vos autorisations Discord, parce que ARC Raiders est sûrement pas le seul jeu à avoir ce genre de problème...
Bref, méfiez-vous des jeux qui demandent à se connecter à votre Discord... c'est pas la première fois que ça tourne mal !
Des chercheurs en sécurité ont découvert deux failles dans Comet, le navigateur IA de Perplexity. Une simple invitation de calendrier piégée suffisait pour accéder aux fichiers locaux de la machine et prendre le contrôle d'un coffre-fort 1Password, le tout sans aucun clic de l'utilisateur.
L'attaque est d'une simplicité qui fait froid dans le dos. Les chercheurs de Zenity Labs, qui ont baptisé la faille « PleaseFix », ont montré qu'il suffisait d'envoyer une invitation de calendrier contenant des instructions malveillantes cachées. Quand l'utilisateur interagit avec cette invitation dans Comet, l'IA du navigateur exécute en toute décontraction les instructions, sans broncher. Pas besoin de cliquer sur un lien, pas besoin de télécharger quoi que ce soit : le simple fait de consulter l'événement suffisait. Le problème vient de ce qu'on appelle l'injection de prompt indirecte : l'IA ne fait pas la différence entre les instructions légitimes et le contenu malveillant planqué dans un calendrier.
Deux failles distinctes ont été identifiées. La première permettait d'accéder au protocole file:// sans restriction, ce qui veut dire que Comet pouvait lire n'importe quel fichier sur votre machine. Les navigateurs classiques bloquent logiquement cela depuis des années, mais les navigateurs IA comme Comet ne respectent pas encore, hélas, les mêmes règles de sécurité. La seconde est plus grave : quand l'extension 1Password était déverrouillée dans Comet, un attaquant pouvait naviguer dans le coffre-fort, récupérer les identifiants et même changer le mot de passe du compte pour un verrouillage total.
Perplexity a été prévenu du problème dès la fin octobre 2025, et un correctif a été déployé le 23 janvier 2026. Mais voilà, ce correctif n'était pas suffisant et les chercheurs ont réussi à le contourner sans trop de problème. Un second patch, plus efficace, a suivi le 13 février. L'accès au système de fichiers est désormais bloqué par défaut dans Comet. Mais attention : côté 1Password et blocage de domaines, les protections sont toujours à configurer manuellement par l'utilisateur.
On ne va pas se mentir, ce genre de faille rappelle que les navigateurs IA sont encore une technologie immature côté sécurité. Le fait qu'une invitation de calendrier puisse siphonner un coffre-fort 1Password est assez flippant. Et Comet n'est pas un cas isolé : LayerX a trouvé des problèmes comparables avec les extensions Claude Desktop, et Zenity avait déjà présenté des résultats similaires sur ChatGPT Enterprise et Gemini à la Black Hat en août dernier. Le vrai problème avec cette histoire, c'est que ces navigateurs veulent pouvoir tout faire à votre place, mais ils ne sont pas vraiment foutus de faire la différence entre une demande légitime et une vilaine attaque. Bref, prudence avec les navigateurs « intelligents ».
Sources : The Register , The Decoder
Si vous utilisez ExifTool sur macOS, j'ai une mauvaise nouvelle pour vous ! Une faille critique vient d'être découverte dans cet outil que tout le monde (moi y compris) utilise pour lire et modifier les métadonnées des fichiers et c'est pas joli joli.
Cette vulnérabilité, référencée en tant que
CVE-2026-3102
, touche toutes les versions jusqu'à la 13.49 et c'est spécifique à macOS. Cela permet à un attaquant de planquer des commandes système dans les tags de métadonnées d'un fichier image et quand ExifTool traite le fichier avec le flag -n... les commandes s'exécutent directement sur votre machine.
L'exploitation est ridiculement simple et 2 étapes suffisent. On vous envoie une image qui a l'air parfaitement normale, vous la passez dans l'outil pour lire ses métadonnées, et l'injection de commande se déclenche. L'attaquant peut alors ensuite télécharger des payloads malveillants ou carrément se servir dans vos fichiers sensibles.
C'est l'équipe GReAT de Kaspersky qui a trouvé le problème. Bon après, la bonne nouvelle c'est que Phil Harvey, l'auteur du soft, a déjà sorti le correctif dans la version 13.50, et ça depuis le 7 février dernier... donc ça fait presque un mois que le patch est dispo.
Du coup, si vous avez des scripts qui traitent automatiquement des images avec ExifTool sur votre Mac, par exemple dans un pipeline de
forensique
ou d'
analyse EXIF
, vérifiez ILLICO la version installée (exiftool -ver pour checker). Comme la complexité d'exploitation est faible, n'importe quel script kiddie pourrait s'en servir, donc autant agir vite.
Pour mettre à jour, un petit brew upgrade exiftool et c'est réglé (sinon, le .pkg est dispo sur le
site officiel
). Attention, pensez aussi à vos scripts automatisés qui lancent ExifTool en arrière-plan, car c'est souvent là que les vieilles versions trainent...
Allez, bonne soirée les amis !
Dans une étude publiée le 25 février 2026, les équipes de Check Point ont dévoilé trois vulnérabilités critiques affectant Claude Code, l'assistant de programmation IA développé par Anthropic.Ces failles exploitent la manière dont l'agent gère les fichiers de configuration du projet.
Un développeur vient de prendre le contrôle de plus de 10 000 appareils DJI (dont 7 000 robots aspirateurs Romo - lien affilié) répartis dans 24 pays... en voulant juste piloter le sien avec une manette PS5.
Oui oui c'est un grand malade ^^.
À la base, Sammy Azdoufal, responsable IA chez Emerald Stay, voulait juste s'amuser avec son aspi alors il a d'abord essayé d'y connecter sa manette DualSense en Bluetooth, et puis il a fini par utiliser Claude Code pour décompiler l'appli mobile DJI (version Android) et reverse-engineerer les protocoles MQTT de DJI. Bien sûr, il lui fallait un token d'auth pour prouver qu'il était bien proprio du Romo et jusque-là, rien de méchant...
Sauf que le broker MQTT de DJI n'avait AUCUN contrôle d'accès au niveau des topics (c'est la chaîne de caractères qui sert d'adresse pour router les messages entre les publishers et les subscribers). Du coup, avec un seul token TLS, il voyait le trafic de tous les appareils en clair sur le broker cloud de DJI. Pas de brute force, pas d'exploit sophistiqué mais juste un pauvre token et un client MQTT.
Et hop, le voilà avec les flux vidéo des caméras embarquées, les micros, les plans 2D des maisons, les adresses IP et les numéros de série de milliers de machines. Un journaliste de The Verge lui a même filé son numéro de série, et depuis Barcelone, Azdoufal a pris le contrôle de son Romo, a pu voir qu'il était à 80% de batterie et en train de nettoyer le salon, pour finir par générer le plan de l'appart. Flippant hein ??
En gros, DJI avait un problème de validation de permissions côté backend. Ils l'ont patché début février sauf que... Azdoufal a trouvé une DEUXIÈME faille (un bypass du PIN caméra) qui serait toujours pas corrigée. Et c'est pas fini, le bonhomme aurait encore 2 autres vulnérabilités majeures sous le coude qu'il n'a pas divulguées publiquement et sur lesquelles DJI bosse activement pour les corriger. Cerise sur le gâteau, les batteries DJI Power étaient aussi accessibles via cette archi MQTT. Ce sont de grosses batteries portables qu'on garde chez soit pour avoir un peu de jus en cas de coupure de courant ou quand on est off the grid..
Attention par contre, si vous avez un Romo, vérifiez bien que le firmware est à jour. Vous vous en doutez, DJI a d'abord nié le problème avant de finalement patcher mais bon, moi aussi j'ai une caméra sur mon aspi robot et comme j'adore me balader en slip chez moi, je plains le hacker qui passera par là... Et je vous raconte pas quand on aura des robots humanoïdes comme ce qu'on a vu avec la faille des robots Unitree , tiens...
Ce 24 février 2026, une affaire retient l’attention sur X : celle de Sammy Azdoufal, un ingénieur ayant découvert involontairement une faille de sécurité affectant les aspirateurs de la marque chinoise DJI.
Dans un article publié le 14 février 2026, le média américain The Verge revient sur la découverte involontaire d'une faille de sécurité affectant les appareils de la marque chinoise DJI. En bidouillant son aspirateur connecté pour le piloter avec une manette PlayStation, un utilisateur a pu accéder à des données de milliers d'appareils à travers le monde.
Quelques mois à peine après avoir intégré la prise en charge complète de Markdown dans son application Bloc‑notes, Microsoft révèle avoir identifié une faille permettant à cette fonctionnalité d’être exploitée pour exécuter du code à distance.
n8n a confirmé la présence de « failles supplémentaires » dans une vulnérabilité qui avait, pourtant, déjà fait l'objet d'un correctif fin 2025. Un épisode de plus dans la série d'incidents cyber qui touchent la plateforme d'automatisation open-source.
C'est un délire ça ! Je crois que je viens de lire le truc le plus improbable de l'année. Sérieux, vous vous souvenez de Command & Conquer : Generals ? Mais siiii, ce RTS de légende sorti en 2003 bien après C&C et Red Alert !! Hé bien accrochez-vous, car même s'il est techniquement mort depuis la fermeture de GameSpy en 2014, il fait encore parler de lui.
Et pas pour de bonnes raisons. Argh !
Une équipe de chercheurs de chez Atredis Partners s'est penchée sur le code source du jeu, libéré par Electronic Arts début 2025. Au début, j'ai pensé qu'ils avaient juste trouver quelques bugs mineurs, mais en fait, ils ont découvert une série de failles de sécurité totalement dingues qui permettent à n'importe qui de prendre le contrôle de votre PC via le jeu. Carrément...
En réalité le jeu utilise une architecture P2P (peer to peer, qu'on devrait renommer pour l'occasion Pire Trop Pire ^^) qui fait que chaque joueur est connecté directement aux autres. Les chercheurs ont alors mis au point un "ver" baptisé General Graboids qui exploite ces failles pour se propager d'un joueur à l'autre. Concrètement, il utilise une vulnérabilité dans la fonction NetPacket::readFileMessage pour provoquer un bon vieux stack overflow.
Et bim bam boum, une fois en place, l'attaquant peut faire ce qu'il veut. Le ver droppe une DLL malicieuse (genre dbghelp.dll) directement dans le dossier du jeu et l'exécute. Vous êtes en pleine partie et hop, un script force votre base à tout vendre ("Sell Everything"). Puis c'est Game Over et après ça devient la fête du slip avec exécution de commandes système, installation de malwares...etc Y'a qu'à demander, tout est possible.
Ça fait flipper, non ?
Bon alors bien sûr la communauté a réagi super vite (contrairement à EA qui a juste répondu "c'est EOL, salut bisou"). Des correctifs non officiels existent déjà pour boucher ces trous béants mais bonne nouvelle quand même, ça ne concerne que le multijoueur. Si vous jouez en solo dans votre coin, vous ne risquez rien (sauf de perdre contre l'IA qui triche de fou...).
Alors bien sûr, moi aussi j'ai été surpris, mais pour ceux qui se demandent si on peut encore jouer à Command & Conquer Generals, la réponse est oui, mais franchement, installez les patchs communautaires ou GenTool avant de vous lancer en multi sinon, vous risquez de finir avec un PC zombifié par ce jeu vieux de 20 ans.
Bref, si vous voulez voir les détails techniques tout est documenté ici . C'est quand même fou de voir à quel point le code de l'époque était une passoire.
Pour plus d'actu cybersécurité, vous pouvez aussi suivre Korben sur LinkedIn .
Et si vous cherchez d'autres histoires de vieux trucs qu'on démonte, jetez un œil à ce que j'écrivais sur le reverse engineering de Splinter Cell .
Les pare-feu Fortinet FortiGate, déployés dans des milliers d’entreprises et d’administrations à travers le monde, sont actuellement la cible d’une vaste campagne de cyberattaques automatisées. Ce qui inquiète particulièrement l’écosystème cyber : des correctifs avaient déjà été publiés pour contrer ce type d’attaques.
Les entreprises se concentrent souvent sur les correctifs CVE en se basant uniquement sur les scores CVSS, et ne traitent immédiatement que les vulnérabilités « critiques » (9,0+). Cependant, la CVE-2025-62507 présente un risque important en raison de son ciblage d’infrastructures stratégiques à un risque élevé, avec une exploitation d’une simplicité déconcertante. Tribune – Redis est bien […]
The post Étude JFrog – Vulnérabilité RCE dans Redis first appeared on UnderNews.
Un grave bug de sécurité met en danger des dizaines de milliers d’instances n8n exposées sur Internet. Notée 9,9 sur 10, la vulnérabilité CVE‑2025‑68613 permet à un utilisateur d’exécuter du code arbitraire sur le serveur, bien au-delà de ce que la plateforme est censée autoriser.
Depuis le 3 novembre 2025 et la découverte d’une vulnérabilité React, une course effrénée s’est engagée dans l’écosystème cyber. D’un côté, les équipes de sécurité tentent de sécuriser leurs systèmes au plus vite ; de l’autre, les attaquants scannent l'Internet à grande échelle pour exploiter les retardataires. Les chercheurs suivent en temps réel l’évolution des campagnes d’attaque qui se greffent sur cette faille critique.
Connexion