Les chercheurs d’ESET ont récemment identifié une nouvelle campagne de l’opération DreamJob, menée par le groupe APT Lazarus, aligné avec la Corée du nord. Cette offensive a visé plusieurs entreprises européennes du secteur de la défense, notamment celles impliquées dans la conception de drones et de véhicules aériens sans pilote (UAV). Tribune ESET – Ce […]
Les chercheurs en cybersécurité de Proofpoint viennent de percer à jour une tactique de plus en plus répandue chez les cybercriminels, qui consiste à utiliser les applications OAuth pour maintenir un accès à long terme aux environnements cloud. Tribune – Cette technique permet de conserver un accès même après la réinitialisation des identifiants ou la […]
Début 2025, l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky a identifié une nouvelle campagne menée par le groupe APT « Mysterious Elephant ». Ce groupe cible principalement les entités gouvernementales et les organisations chargées des affaires étrangères en Asie-Pacifique, à plus forte raison au Pakistan, au Bangladesh, en Afghanistan, au Népal, et au […]
Vous avez une caméra de surveillance connectée chez vous ? Du genre petite caméra Yi à 15 balles achetée sur AliExpress pour surveiller le salon ou le chat quand vous n’êtes pas là ? Alors tenez-vous bien parce qu’un chercheur a réussi à faire tourner DOOM dessus. Et sans toucher au firmware s’il vous plait ! Il a juste exploité le stream vidéo et quelques bugs bien sentis de l’appareil.
Luke M a publié son
projet Yihaw sur GitHub
et ça fait un peu peur car si quelqu’un peut hijacker le stream de votre caméra pour y balancer un FPS des années 90, il peut aussi faire pas mal d’autres trucs beaucoup moins rigolos.
Le hack est assez cool d’ailleurs car ces caméras Yi tournent sur un petit processeur ARM sous Linux. Elles ont donc une app mobile qui vous permet de voir le stream en temps réel et Luke M a trouvé plusieurs vulnérabilités dans la stack réseau de la caméra. Je vous passe les détails mais avec ces bugs, il peut injecter du code arbitraire sans modifier le firmware.
Il peut alors créer trois threads qui tournent en parallèle. Le premier récupère les frames YUV420p directement depuis le capteur de la caméra. Le deuxième convertit ça en h264. Le troisième, au lieu d’envoyer le flux vidéo normal, envoie DOOM. Du coup, vous ouvrez l’app Yi IoT sur votre smartphone et vous voyez le Doomguy buter des demons au lieu de voir votre salon. C’est rigolo, hein ?
Ces caméras Yi, il y en a des millions installées partout dans le monde. Bureaux, maisons, magasins…etc car elles sont pas chères, elles marchent plutôt bien, elles ont une app correcte, mais leur sécurité c’est une vraie passoire. C’est bourré de bugs qu’on trouve en une après-midi avec un fuzzer basique.
Luke M liste plusieurs exploits dans son repo GitHub et c’est un vrai buffet à volonté pour quelqu’un qui veut prendre le contrôle de ces caméras. Bien sûr ce serait illégal alors personne ne le fait, surtout parce que ça demande quand même un peu de boulot pour chaque modèle de caméra. Mais les outils existent, les vulnérabilités sont connues, et si un chercheur solo peut le faire pour s’amuser avec DOOM, imaginez ce qu’un botnet bien pensé pourrait faire.
Tous ces trucs qu’on a chez nous, qui tournent sur du Linux embarqué avec des stacks réseau écrites à l’arrache par des équipes chinoises sous-payées qui doivent sortir un produit tous les trois mois.
Vous connaissez peut-être ces machines à mélanger les cartes qu’on trouve dans tous les casinos américains ?
Moi je ne savais même pas que ça existait, mais apparemment, le Deckmate 2, fabriqué par Shufflemaster (devenu depuis Light and Wonder), c’est la Rolls des shufflers. Un shuffler c’est pas un légume dégeu, c’est un mélangeur de cartes et on en trouve notamment au World Series of Poker (La biz à Patrick Bruel ^^), et dans tous les grands poker rooms de Vegas.
Cela permet d’automatiser le mélange pour accélérer le jeu et surtout éviter que ceux qui distribuent les cartes (les dealers) trichent avec de faux mélanges. La machine a même une caméra intégrée qui scanne chaque carte pour détecter si quelqu’un essaie de retirer un as ou d’ajouter un sept de pique.
En septembre 2022, il y a eu un scandale qui a secoué le monde du poker. Au Hustler Casino Live de Los Angeles, une joueuse relativement débutante, Robbi Jade Lew, gagne un pot de 269 000 dollars avec un call complètement fou. Elle avait valet-quatre dépareillés (un truc nul), et son adversaire Garrett Adelstein bluffait avec huit-sept. Techniquement, son call était correct, mais aucun joueur sensé n’aurait misé 109 000 dollars sur une main pareille sans savoir que l’adversaire bluffait… Le casino a donc lancé une enquête et conclu que le shuffler ne pouvait pas être compromis.
Mais même si ce n’était pas le cas pour cette affaire, est ce que c’est vrai ? Est ce qu’un Deckmate 2 peut être hacké ? Pour le chercheur en sécurité, Joseph Tartaro, ça s’est présenté comme un nouveau défi personnel !
Il a donc acheté un Deckmate 2 d’occasion avec deux collègues et a passé des mois à le démonter… pour finalement trouver quelques trucs intéressants, vous allez voir.
Il a découvert que la machine a un port USB accessible sous la table, là où les joueurs posent les genoux. Tartaro a donc créé un mini-ordinateur de la taille d’une clé USB qui, une fois branché, réécrit le firmware de la machine. La seule sécurité qu’il y a, c’est au démarrage, quand la machine vérifie que le code n’a pas changé en comparant son empreinte à une valeur connue.
C’est une simple comparaison de hash et le problème est que Tartaro peut modifier cette valeur de référence aussi… Du coup, le système de vérification contrôle que le code piraté correspond au hash piraté. C’est ballot ^^. Et une fois le firmware modifié, la machine continue à fonctionner normalement sauf qu’elle transmet maintenant l’ordre exact des 52 cartes via Bluetooth vers une app smartphone. Et comme la caméra interne de ce Deckmate 2 scanne déjà toutes les cartes pour détecter les fraudes, il suffit d’exploiter cette fonctionnalité.
Un journaliste de Wired a décidé de mettre ça en pratique dans des conditions réelles et vous allez voir, c’est sympa à voir.
Le truc génial, c’est que même si le dealer coupe le paquet (ce qui est obligatoire), l’app peut recalculer l’ordre final. Il suffit alors de regarder ses deux premières cartes et de les entrer dans l’app pour qu’elle déduise où le paquet a été coupé. À partir de là, vous connaissez toutes les mains de tous les joueurs et les cartes communes qui vont sortir.
Quand Tartaro a présenté ses résultats à Black Hat en 2023, Light and Wonder a réagi en disant que le hack était “non réaliste en conditions de casino”. Puis en 2024, la boîte a affirmé avoir patché le firmware de “virtuellement tous les shufflers” dans le monde.
Mais Tartaro reste quand même sceptique car les machines n’ont pas de connexion internet. Un technicien doit physiquement mettre à jour chaque appareil et même si le port USB est désactivé, le port Ethernet reste exploitable. Et si l’un de ces techniciens de maintenance décide de pirater la machine, aucun patch ne pourra l’en empêcher…
Bref, encore une fois, plus c’est complexe, plus c’est vulnérable.
Y’a plein de problèmes avec les IA, mais y’en a un encore un peu trop sous-estimé par les vibe codeurs que vous êtes… Ce problème, c’est qu’on leur fait confiance comme à un collègue, on leur montre notre code, nos repos privés, nos petits secrets bien planqués dans les variables d’environnement…
Par exemple, quand vous passez en revue une pull request sur GitHub, vous faites quoi ? Vous lisez le code ligne par ligne, vous cherchez les bugs, les failles de sécu, les optimisations possibles. Mais les commentaires vous les lisez ? Au mieux on les survole, c’est vrai, car c’est de la comm’ entre devs, et pas du code exécutable.
Sauf pour Copilot Chat pour qui un commentaire c’est un texte comme un autre. Et
selon Omer Mayraz
, chercheur en sécurité chez Legit Security, c’est exactement ce qui en fait une zone de confiance aveugle parfaite pour une attaque.
Ce qu’a découvert Omer Mayraz c’est donc une vulnérabilité critique dans GitHub Copilot Chat avec un score CVSS de 9.6 sur 10. Cela consiste à planquer des instructions malveillantes dans des commentaires markdown invisibles comme ça, ces commentaires ne s’affichent pas dans l’interface web de GitHub, mais Copilot Chat les voit parfaitement et les traite comme des prompts légitimes.
Du coup, l’attaquant peut forcer Copilot à chercher des secrets dans vos repos privés, à extraire du code source confidentiel, voire à dénicher des descriptions de vulnérabilités zero-day non publiées. Tout ça sans que vous ne voyiez rien venir évidemment !
Voici une démo complète de l’attaque en vidéo :
La première étape c’est donc l’injection de prompt via un commentaire caché. Rien de révolutionnaire, mais efficace. Ensuite, deuxième étape : le bypass de la Content Security Policy de GitHub. Normalement, Copilot Chat ne peut charger que des ressources depuis des domaines appartenant à GitHub. Il est donc impossible d’envoyer des données vers un serveur externe.
Mais c’était sans compter sur le fait que GitHub dispose d’un proxy appelé Camo, conçu à l’origine pour sécuriser l’affichage d’images externes en les servant via HTTPS et en évitant le tracking. C’est donc ce proxy de sécurité qui devient l’outil d’exfiltration. Avec ce proxy, toutes les URLs d’images externes sont automatiquement transformées en URLs Camo du type https://camo.githubusercontent.com/[hash unique] et Mayraz a simplement utilisé l’API GitHub pour pré-générer un dictionnaire complet de ces URLs Camo, chacune pointant vers un emplacement unique sur son serveur.
Troisième étape, l’exfiltration des données. Au lieu de faire passer les secrets directement dans les URLs (trop visible), Mayraz a eu l’idée d’utiliser l’ordre des requêtes. Chaque lettre de l’alphabet correspond à une URL Camo unique. En faisant charger ces URLs dans un ordre précis, on peut ainsi transmettre des données texte comme avec un alphabet ASCII artisanal. C’est plutôt créatif comme approche, je trouve.
C’est exactement le même principe que les attaques ultrasoniques contre Alexa ou Siri. Si vous ne vous en souvenez pas, des chercheurs avaient démontré qu’on pouvait envoyer des commandes vocales à des fréquences inaudibles pour l’oreille humaine, mais parfaitement comprises par les assistants vocaux.
Bah ici, c’est pareil… On a des prompts invisibles pour les humains mais que l’IA voit et exécute sans broncher. Comme pour les enceintes, on parle à la machine sans que l’humain ne s’en aperçoive et la différence, c’est qu’au lieu de jouer sur les fréquences sonores, on joue sur le markdown et les commentaires cachés.
Du coup, chaque pull request externe est un potentiel cheval de Troie. Un contributeur externe soumet par exemple une PR apparemment légitime, avec un commentaire invisible qui ordonne à Copilot de chercher “AWS_KEY” dans vos repos privés. Vous de votre côté, vous ouvrez la PR dans votre éditeur, Copilot Chat s’active bien sûr automatiquement, et hop, vos clés API partent chez l’attaquant.
Quand on sait que GitHub a créé Camo justement pour améliorer la sécurité, ça fout un peu les boules. Bref, grâce à son proof-of-concept, Mayraz a réussi à exfiltrer des clés AWS, des tokens de sécurité, et même la description complète d’une vulnérabilité zero-day stockée dans une issue privée d’une organisation et tout ça sans aucune interaction suspecte visible par la victime.
Heureusement, notre joyeux chercheur a prévenu GitHub qui a réagi assez vite. Le 14 août l’entreprise a complètement désactivé le rendu d’images dans Copilot Chat, comme ça plus d’images, plus de problème. C’est radical, c’est sûr mais c’est efficace !
Quoiqu’il en soit, ces histoires de prompt injection c’est un problème fondamental propre aux LLM qui sont encore actuellement incapable de distinguer de manière fiable les instructions légitimes des instructions malveillantes. Ça reste donc un problème de confiance…
Dans ce cas précis, on fait confiance à GitHub pour héberger notre code du coup, on fait confiance à Copilot pour nous aider à développer, tout comme on fait confiance aux contributeurs externes pour soumettre des PR de bonne foi. Et nous voilà avec une jolie chaîne de confiance prête à être exploitée…
Bref, CamoLeak c’est que le début de cette nouvelle vague de vuln liées aux assistants IA qui se retrouvent intégrés dans nos outils de développement… Donc ouvrez l’oeil car on ne sait jamais ce qui sa cache vraiment dans une pull request.
L’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky a découvert des publicités sur le Darknet proposant des services de deepfake vidéo et audio en temps réel. Les prix commencent à 50 dollars pour les vidéos falsifiées et à 30 dollars pour les messages vocaux fabriqués, les coûts augmentant en fonction de la complexité et […]
Si vous faites du pentest, il doit vous arriver parfois de lancer un petit bruteforce sur un formulaire un peu pourri, pour tester les mots de passe classiques gens 1234, ou admin…etc. Mais parfois, certains formulaires de connexion donnent envie de se flinguer… Les sélecteurs CSS changent à chaque rafraîchissement, les noms des champs sont aléatoires…etc bref, ça peut vite être un véritable labyrinthe pour automatiser quoi que ce soit.
Heureusement pour vous les amis, le développeur Mor David s’est occupé du problème et a inventé BruteForceAI, un outil de bruteforce qui comme son nom l’indique, embarque une bonne dose d’intelligence artificielle.
La petite subtilité donc avec BruteForceAI, c’est qu’il ne se contente pas de lancer des milliers de combinaisons en mode berserk. Non, l’outil étudie d’abord la page HTML avec un modèle de langage qui comprend la structure du formulaire. Cette première phase atteint un joli 95% de précision dans l’identification des éléments de connexion, comme ça plus besoin de passer des heures à mapper manuellement les sélecteurs CSS.
C’est un système en deux temps où l’IA déchiffre d’abord le HTML et génère automatiquement les sélecteurs CSS nécessaires. Puis seulement après, l’attaque démarre avec des comportements qui imitent un humain : délais aléatoires, rotation des user-agents, logique de retry intelligente. L’outil peut même détecter les changements dans le DOM pour valider qu’une connexion a réussi.
Pour faire tourner la bête, il vous faudra Python 3.8+, Playwright pour l’automatisation du navigateur, et un modèle LLM. Vous avez le choix entre Ollama en local avec llama3.2:3b (pratique pour rester discret) ou Groq dans le cloud avec llama-3.3-70b-versatile si vous voulez plus de puissance.
Les modes d’attaque proposés sont assez classiques mais efficaces… Par exemple, le mode Brute-Force teste exhaustivement toutes les combinaisons possibles, tandis que le mode Password-Spray est plus subtil puisqu’il teste chaque mot de passe sur plusieurs comptes pour éviter les blocages après X tentatives échouées. Cette dernière technique est d’ailleurs redoutable contre les entreprises qui imposent des politiques de mots de passe uniformes.
D’après
une analyse récente de CipherX Labs
, l’IA rend le cracking de mots de passe 100 fois plus rapide qu’avec les méthodes traditionnelles. Un mot de passe de 10 caractères, même avec majuscules, minuscules et symboles, est maintenant considéré comme faible. L’aspect éthique est évidemment crucial ici et Mor David insiste sur le fait que l’outil est uniquement destiné aux tests de sécurité autorisés, à la recherche et aux programmes de bug bounty. Si vous faites des choses illégales avec ça, vous irez obligatoirement en prison et ce sera bien fait pour vous !
BruteForceAI dispose aussi d’un système de notifications plutôt bien pensé. Quand l’outil trouve des identifiants valides, il peut vous prévenir via Discord, Slack, Teams ou Telegram. Tout est loggé dans une base SQLite pour l’analyse post-attaque. Le côté multi-threadé permet aussi de lancer plusieurs attaques en parallèle, avec des timing humains pour éviter la détection.
Alors pour se défendre contre ce genre d’outils, les méthodes classiques ne suffisent plus… Par exemple, compter les tentatives de connexion échouées, c’est un peu has been… Non, maintenant il vous faut des systèmes de détection comportementale qui analysent les patterns d’accès en temps réel, du type
UEBA
(User and Entity Behavior Analytics). Les entreprises qui n’ont pas encore intégré ce genre de solutions sont aujourd’hui des cibles faciles pour les cybercriminels.
En plus,
PassGAN
et d’autres outils similaires apprennent à partir des bases de données de mots de passe qui ont fuité…. Plus il y a de fuites, plus l’IA devient efficace pour prédire les prochains mots de passe. C’est un cercle vicieux où chaque fuite de données nourrit la machine qui causera les prochaines fuites de données…
Maintenant si vous voulez tester BruteForceAI (sur vos propres systèmes, hein), l’installation est simple :
clonez le repo, installez les dépendances avec pip, téléchargez un des navigateurs Playwright, et c’est parti. Les commandes de base ressemble à ça :
# Etape 1: Analyser le formulaire
python main.py analyze --urls targets.txt --llm-provider ollama --llm-model llama3.2:3b
# Etape 2: Attaquer avec 20 threads
python main.py attack --urls targets.txt --usernames users.txt --passwords passwords.txt --threads 20 --delay 5 --jitter 2
Mais avant de vous lancer, assurez-vous bien d’avoir l’autorisation écrite du propriétaire du système que vous testez.
Bref, si vous utilisez encore des mots de passe de moins de 14 caractères ou si vous n’avez pas activé la double authentification partout où c’est possible, je pense que vous devriez rapidement reconsidérer vos choix de sécurisation…
Comme vous l’avez peut-être vu, le NCSC et ses alliés internationaux ont publiquement établi un lien entre trois entreprises technologiques basées en Chine et « une campagne mondiale cybermalveillante visant des réseaux critiques ». Tribune – Ci-dessous, la déclaration de John Hultquist, analyste en chef, Google Threat Intelligence Group, à ce sujet : « Mandiant s’est engagé dans […]
Les chercheurs de Proofpoint publient aujourd’hui un nouveau rapport de recherche concernant l’exploitation d’un outil d’Intelligence Artificielle pour la génération de site web frauduleux. Appelé Lovable, ce dernier est utilisé par les cybercriminels pour créer de faux sites destinés au phishing d’identifiants et à la diffusion de logiciel malveillants. Tribune Proofpoint. Voici les principales conclusions […]
Les autorités sud-coréennes ont annoncé avoir procédé à l'extradition d'un ressortissant chinois basé en Thaïlande. L'homme de 34 ans sera jugé pour avoir commandité une vaste campagne de hacking financier. Ses cibles de prédilections ? Des célébrités sud-coréennes, dont le membre du groupe de k-pop BTS, Jungkook.
Une enquête menée par 404 Media révèle les dessous d'un marché peu scrupuleux qui ne cesse d'évoluer. Celui des Flipper Zero, ou plus précisément celui des logiciels que cet outil peut embarquer. Les dernières versions, disponibles à l'achat sous le manteau, permettent de déverrouiller une très large gamme de modèles de voitures, sans qu’il existe de correctif de la part des constructeurs.
Un ressortissant chinois vivant dans l'Ohio vient d'être condamné à 4 ans de prison par la justice américaine. Ce développeur de logiciels, un brin revanchard, est reconnu coupable d'avoir implémenté un logiciel malveillant avant d'avoir été licencié par son employeur.
Lors de la conférence DEFCON 33 en août 2025, le chercheur indépendant en cybersécurité Marek Tóth a démontré qu’une attaque de type clickjacking pouvait mettre en danger des millions d’utilisateurs de gestionnaires de mots de passe parmi les plus populaires au monde. Un procédé qui permettrait à un acteur malveillant de subtiliser précisément les identifiants que ces solutions sont censées protéger. Comment ça marche ? Quels gestionnaires de mots de passe sont concernés ?
Lors d'une conférence au Black Hat à Las Vegas, deux chercheurs allemands ont réalisé une démonstration marquante sur la cybersécurité spatiale. Pirater un satellite moderne pourrait s’avérer bien plus simple et bien moins coûteux que de le détruire avec un missile.
Une équipe de chercheurs en cybersécurité a démontré, à l’été 2025, les risques liés à l'intégration du LLM de Google Gemini au cœur des objets connectés du quotidien. Leur recherche, intitulée « Invitation Is All You Need », prouve que l'injection d'un simple prompt malveillant dans une invitation Google Calendar pourrait suffire à compromettre des systèmes censés rester sous le seul contrôle des utilisateurs.
Les chercheurs de SentinelLabs ont dévoilé une campagne d’escroquerie Ethereum particulièrement élaborée. Détournant les principes du trading automatisé sur blockchain, cette opération repose sur de faux bots MEV (Maximal Extractable Value) et les outils sont ici détournés à des fins frauduleuses. Tribune – Sous couvert de contenus pédagogiques très techniques, diffusées via des vidéos YouTube générées par […]
Les deepfakes ont évolué en escroqueries en temps réel basées sur l’IA : ils alimentent la fraude, l’usurpation d’identité et l’ingénierie sociale. Tribune CheckPoint. Assez réaliste pour tromper : l’évolution des deepfakes Il n’y a pas si longtemps, les deepfakes étaient des curiosités numériques – convaincants pour certains, bancals pour d’autres, et souvent plus proches […]
Connexion
