Europol, Microsoft et plusieurs agences de six pays européens viennent de mettre hors service Tycoon 2FA, une plateforme de phishing vendue sur abonnement qui contournait la double authentification. 330 domaines ont été saisis, et le développeur principal a été identifié au Pakistan.

Une machine à phishing sur abonnement

Pour mieux vous poser le tableau, le Tycoon 2FA fonctionnait comme un service clé en main pour cybercriminels. Pour 120 dollars les dix jours ou 350 dollars par mois, n'importe qui pouvait accéder à un panneau de contrôle avec des pages de phishing prêtes à l'emploi, qui imitent les interfaces de connexion de Microsoft 365, Outlook, Gmail ou même SharePoint.

Le kit interceptait les sessions d'authentification en temps réel, ce qui permettait de contourner la double authentification sans que la victime ne se doute de quoi que ce soit. Depuis août 2023, la plateforme a généré des dizaines de millions de mails de phishing par mois. Microsoft estime en fait que Tycoon 2FA représentait à elle seule 62 % des tentatives de phishing bloquées mi-2025, c'est faramineux.

100 000 organisations touchées dans le monde

64 000 incidents de phishing ont été reliés à la plateforme, et près de 100 000 organisations ont été compromises à travers le monde, dont des hôpitaux, des écoles et des administrations publiques.

Les États-Unis arrivent en tête avec 179 000 victimes, suivis du Royaume-Uni, du Canada, de l'Inde et de la France avec 6 823 victimes identifiées. Si vous utilisez Microsoft 365 ou Outlook au quotidien, c'est le genre de kit qui ciblait directement vos identifiants. Le développeur principal, un certain Saad Fridi basé au Pakistan, a été identifié par Trend Micro dès novembre 2025 sous les pseudos "SaaadFridi" et "Mr_Xaad".

L'opération a mobilisé les polices de six pays (Lettonie, Lituanie, Portugal, Pologne, Espagne et Royaume-Uni) sous la coordination du Centre européen de lutte contre la cybercriminalité d'Europol.

330 domaines saisis d'un coup

Microsoft a mené la partie technique en neutralisant 330 domaines qui servaient de pages de phishing et de panneaux de contrôle. Cloudflare, Coinbase, Intel 471, Proofpoint, SpyCloud et Trend Micro ont aussi participé à l'opération. La plateforme n'a toujours pas donné lieu à des arrestations à ce stade. Le développeur a été identifié, mais aucune interpellation n'a été annoncée.

Le fait que des boîtes privées comme Microsoft et Trend Micro travaillent main dans la main avec Europol est interessant, et ça produit des résultats. Mais 330 domaines saisis sur une infra qui en générait de nouveaux toutes les 24 à 72 heures, on peut se demander combien de temps ça va tenir.

La France est le cinquième pays le plus touché avec presque 7 000 victimes, et quand on sait que le phishing représente 43 % des cyberattaques déclarées par les entreprises françaises, ça donne une idée de l'ampleur du problème.

On espère que cette opération servira d'exemple, mais d'autres plateformes du même genre sont probablement déjà en train de prendre le relais.

Sources : The Hacker News , Europol

On entend beaucoup parler de l'IA générative ces derniers temps. Et dans les médias classiques, c'est souvent pour s'en inquiéter (pas ici, vous savez que j'essaye de rester positif). Il faut quand même reconnaitre que : phishing plus convaincant, deepfakes, malware qui s'adapte tout seul... la liste des risques est longue et légitime.

Mais il y a un angle qu'on oublie parfois : cette même technologie peut aussi renforcer sérieusement nos défenses. C'est exactement la position que défend Surfshark depuis quelques mois. Pas en mode "l'IA va tout résoudre", mais avec une approche pragmatique. À savoir comment utiliser ces outils pour anticiper, tester et contrer les menaces avant qu'elles n'arrivent jusqu'à vous. Je vous explique comment ça fonctionne, ce que ça change concrètement, et pourquoi c'est une bonne nouvelle pour votre sécurité au quotidien.

L'IA générative n'est pas juste un outil d'attaque

Quand on parle de cybersécurité et d'IA, le premier réflexe est de penser aux cybercriminels. C'est vrai, ils l'utilisent. Pour écrire du code malveillant plus vite, personnaliser des campagnes de phishing, ou générer des variantes de malware qui contournent les signatures classiques. Mais les équipes de défense ont accès aux mêmes capacités. La différence ? L'intention et le cadre d'utilisation.

La "generative AI", dans ce contexte, c'est la capacité à produire du contenu nouveau à partir de modèles entraînés. Cela peut être du texte, du code ou encore des scénarios d'attaque simulés. Ce n'est pas de la magie. C'est de l'ingénierie appliquée à la sécurité. Concrètement, ça permet trois choses essentielles :

D'abord, la détection proactive. Au lieu d'attendre qu'une menace soit identifiée pour la bloquer, les modèles peuvent simuler des milliers de variantes d'attaques plausibles, puis entraîner les systèmes de détection à les reconnaître. C'est comme faire des exercices d'incendie avant que le feu ne se déclare.

Ensuite, l'analyse comportementale. L'IA peut modéliser ce à quoi un trafic réseau "normal" ressemble pour votre infrastructure, puis signaler les écarts subtils qui échapperaient à des règles statiques. Pas besoin que l'attaque corresponde à une signature connue, si le comportement est suspect, le système alerte.

Enfin, l'automatisation des réponses. Quand un incident est détecté, chaque minute compte. L'IA peut résumer les alertes, suggérer des actions de confinement, isoler un compte compromis, générer un rapport pour l'équipe, etc. Les analystes gardent la main sur les décisions stratégiques, mais ne perdent plus de temps sur des tâches répétitives.

Comment Surfshark met ça en pratique

Surfshark n'utilise pas l'IA générative pour faire du marketing ou ajouter des fonctionnalités gadget. L'approche est plus terre-à-terre.

Leur équipe sécurité s'appuie sur ces modèles pour tester en continu leurs propres défenses. Ils génèrent des scénarios d'attaque réalistes, adaptés à leur infrastructure, puis vérifient que leurs systèmes réagissent comme prévu. C'est une forme de "pen-testing" augmenté, plus rapide et plus exhaustif que les méthodes manuelles.

Un autre usage concret c'est l'entraînement des équipes. Plutôt que de se baser uniquement sur des incidents passés, ils peuvent créer des simulations dynamiques, avec des variantes imprévisibles. Ça permet de préparer les analystes à des situations qu'ils n'ont jamais rencontrées, sans attendre qu'elles arrivent pour de vrai.

Côté produit, certaines fonctionnalités bénéficient indirectement de ces avancées. CleanWeb , par exemple, qui bloque pubs et trackers, s'appuie sur des modèles capables d'identifier des schémas de collecte de données de plus en plus sophistiqués. L'IA ne remplace pas les listes de blocage, mais elle aide à les mettre à jour plus vite, face à des acteurs qui adaptent leurs techniques en permanence.

Et pour ceux qui s'inquiètent de la confidentialité, Surfshark précise que les données utilisées pour entraîner ces modèles sont soit synthétiques, soit anonymisées. Rien de ce que vous faites via leur VPN ne sert à nourrir des modèles externes. La politique no-logs, auditée par Deloitte ou très récemment SecuRing (audit en janvier 2026), reste la règle.

Utiliser l'IA en sécurité sans se mettre en danger

Si vous êtes tenté d'expérimenter avec des outils d'IA générative dans votre propre environnement, quelques précautions s'imposent. Déjà, ne partagez jamais d'informations sensibles avec des plateformes publiques comme ChatGPT, Claude, etc. Même si l'outil semble inoffensif, vos requêtes peuvent être conservées, analysées, ou fuiter en cas de brèche. Pour du travail sur des configurations, des logs ou des politiques de sécurité, privilégiez des environnements contrôlés, en local ou avec des fournisseurs qui garantissent la confidentialité des données.

Formez vos équipes. L'IA peut générer du code, du texte, des scénarios très convaincants ... mais elle peut aussi se tromper, introduire des biais, ou proposer des solutions qui semblent logiques alors qu'elles créent des failles. Un œil humain reste indispensable pour valider, contextualiser et décider.

Enfin, gardez une approche critique. L'IA n'est pas une solution miracle. Elle amplifie les capacités humaines, mais ne les remplace pas encore. Une bonne hygiène de sécurité (mises à jour, authentification forte, segmentation réseau) reste la base. L'IA vient en couche supplémentaire, pas en fondation.

Vous le savez maintenant, je ne suis pas de ceux qui voient l'IA comme une menace absolue, ni comme une panacée. C'est juste un outil. Comme un marteau : ça dépend de la main qui le tient.

Ce qui me convainc dans l'approche de Surfshark depuis plusieurs années, c'est le pragmatisme. Pas de promesses grandioses, pas de discours "disruptif". Juste une volonté d'utiliser ce qui fonctionne pour améliorer la protection, tout en restant transparent sur les limites et les risques. Si vous cherchez un VPN qui intègre une réflexion sérieuse sur l'avenir de la cybersécurité, sans sacrifier la simplicité ni la confidentialité, Surfshark coche les cases. L'IA générative n'est pas l'argument principal de leur offre, cela dit c'est un atout discret qui renforce la crédibilité technique de l'ensemble.

L'offre du moment

Surfshark propose toujours son offre à 87% de réduction plus trois mois offerts sur l'engagement 24 mois. Cela revient à 1,99 euro HT par mois (2.39€/mois TTC), avec une garantie satisfait ou remboursé de trente jours. Vous pouvez tester le service, vérifier par vous-même les performances, la facilité d'usage, la réactivité du support et vous avez en plus l' Alternative ID inclus. Si ça ne correspond pas à vos attentes, vous êtes remboursé, sans justification. C'est le prix d'un sandwich triangle par mois pour protéger un nombre illimité d'appareils !

En plus, du 25 février au 23 mars (et dans la limite du stock disponible), Surfshark frappe fort encore plus fort avec une offre exclusive en partenariat avec CALM, l’application de méditation et de sommeil la plus téléchargée au monde. En choisissant un abonnement Surfshark de 1 ou 2 ans, vous obtenez automatiquement 12 mois de CALM Premium offerts, quelle que soit la formule choisie. Elle est pas belle la vie ?

Profitez de l'offre à prix cassé !

Note : il s'agit d'un lien affilié. Cela ne change rien pour vous, mais cela me permet de continuer à produire ce type de contenu indépendant, sans recourir à la publicité intrusive.

À l’approche des élections municipales les 15 et 22 mars prochains, la cybersécurité des mairies quitte la sphère purement technique pour s’inviter au cœur du débat démocratique. Les vagues de cyberattaques contre les collectivités françaises ont prouvé que la vulnérabilité d’un système d’information n’est plus un simple aléa administratif mais un risque politique réel, capable […]

À mesure que l’intelligence artificielle devient autonome, la question de la confiance numérique change d’échelle. Selon le dernier Digital Trust Digest de Keyfactor, consacré à l’identité à l’ère de l’IA, les entreprises déploient des agents autonomes plus vite qu’elles ne sont capables de les gérer et de les sécuriser. Tribune Keyfactor – L’étude met en […]

La publication du dossier YggLeak suite au piratage d'YggTorrent met en évidence la méthodologie utilisée par Grolum pour compromettre les serveurs.

Le post Comment s’est déroulé le piratage de YggTorrent ? a été publié sur IT-Connect.

J'avoue que faire tourner un agent IA en mode YOLO sur votre machine, y'a de quoi flipper un peu. Un mauvais prompt et hop, votre répertoire home part en fumée.

Mais heureusement, pour ça y'a Yolobox , un outil en Go qui fait tourner vos agents IA dans un conteneur Docker isolé. En gros, l'agent a les pleins pouvoirs dans son bac à sable par défaut comme ça, votre répertoire home reste intouchable. Claude Code, Codex, Gemini CLI, GitHub Copilot, tout est compatible, préconfiguré et prêt à l'emploi.

En fait avec Yolobox, seul votre dossier projet est monté en lecture-écriture avec le même chemin que sur votre machine et comme ça, l'agent bosse comme si de rien n'était. Sauf que tout le reste (vos clés SSH, vos credentials, vos photos de vacances à la plage naturiste et j'en passe...) est inaccessible depuis le conteneur. L'agent peut faire sudo, installer ce qu'il veut, déglinguer sa config... en fait RIEN ne s'échappe.

L'installation tient en une ligne :

brew install finbarr/tap/yolobox

Par contre, faut Docker Desktop qui tourne derrière, car sans ça, rien ne démarre. Ensuite c'est yolobox claude pour lancer Claude Code, yolobox codex pour Codex, yolobox gemini pour le CLI Google. Ou yolobox run suivi de n'importe quelle commande si vous avez un agent custom...

Côté sécu, y'a 4 niveaux qui vont du basique au parano. Le mode par défaut avec isolation conteneur standard. Un cran au-dessus avec --no-network et --readonly-project pour couper le réseau et passer le projet en lecture seule. Ensuite du Podman rootless. Et le niveau max avec isolation VM complète, parce que des fois faut pas déconner. Ça supporte aussi le runtime Apple Container pour ceux qui veulent rester full macOS.

Et les outils de dev sont déjà embarqués dans l'image : Node.js 22, Python 3, Go, Bun, ripgrep, fzf, jq... Les volumes persistants gardent également vos installations entre les sessions, donc pas besoin de tout réinstaller à chaque lancement.

Attention quand même, ça ne marche pas contre un escape de conteneur délibéré car hé, Docker reste Docker. Mais si vous utilisez Claude Code en mode autonome et que vous faites du vibe coding, c'est le minimum vital pour éviter qu'un agent aille fouiller là où il faut pas .

Bref, allez voir ça et merci à Lorenper pour le partage !

Google et une société de cybersécurité, iVerify, ont découvert un puissant outil de piratage d'iPhone baptisé Coruna. Visiblement développé par le gouvernement américain, il a fuité et se retrouve aujourd'hui entre les mains d'espions russes et de cybercriminels chinois. Plus de 42 000 iPhone ont été piratés à cause de lui.

Comment ça marche ?

Coruna est un programme capable d'exploiter 23 failles de sécurité différentes dans iOS, le système d'exploitation de l'iPhone. Il suffit qu'un utilisateur visite un site web piégé pour que l'outil analyse automatiquement son téléphone (modèle, version du système, réglages de sécurité) et choisisse la bonne méthode pour en prendre le contrôle. C'est Google qui l'a repéré en premier, en février 2025, quand un vendeur de logiciels espions a tenté de pirater un iPhone pour le compte d'un gouvernement. De son côté, iVerify a analysé le code source et estime qu'il a été développé aux États-Unis. Plusieurs indices pointent dans cette direction : Rocky Cole, le patron d'iVerify, décrit un code "superbe" et "élégamment écrit", truffé de blagues internes en anglais américain dans les commentaires. Et surtout, le kit partage des éléments communs avec l'Opération Triangulation, une campagne de piratage d'iPhone que le spécialiste en cybersécurité Kaspersky avait attribuée aux services de renseignement américains en 2023.

Des espions russes aux arnaqueurs chinois

Le vrai problème, c'est que Coruna a fuité bien au-delà de ses créateurs. Google a retracé la circulation de l'outil sur plus d'un an. Il a d'abord été récupéré par un groupe d'espions russes, qui l'a utilisé pour piéger des sites web fréquentés par des Ukrainiens : les visiteurs qui s'y connectaient avec un iPhone se faisaient pirater sans le savoir. L'étape suivante est encore plus préoccupante : un groupe de cybercriminels chinois a mis la main sur l'outil complet et l'a utilisé pour créer de faux sites d'échange de cryptomonnaies. Résultat : plus de 42 000 iPhone compromis, un chiffre qualifié de "massif" par les chercheurs. Google parle même d'un "marché de seconde main" pour ce type d'outils, ce qui rappelle d’ailleurs la fuite en 2017 d'un outil similaire de la NSA, qui avait permis des cyberattaques mondiales comme WannaCry.

Votre iPhone est-il concerné ?

Apple a travaillé avec Google pour corriger les failles et les mises à jour sont disponibles. Tous les iPhone sous iOS 18 ou plus récent ne sont plus vulnérables, et Apple indique que 74 % des iPhone compatibles sont déjà à jour. Le mode Isolement (Lockdown Mode) et la navigation privée dans Safari bloquent aussi l'attaque. En fait, Coruna cible les versions d'iOS sorties avant décembre 2023, ce qui veut dire que si vous n'avez pas mis à jour votre iPhone depuis un moment, il est potentiellement exposé.

C’est quand même assez pénible qu’un outil d'espionnage lié à un état se retrouve dans une arnaque aux cryptos, ça montre bien que personne ne contrôle la prolifération de ces trucs. Et Coruna n'est probablement pas le seul à circuler comme ça. Bref, si vous avez un vieil iPhone pas à jour, vous pouvez vous inquiéter (ou juste le mettre à jour).

Sources : Wired , Google

82 314 dollars, c'est l'incroyable facture que s'est mangé un dev mexicain après 48 heures d'utilisation frauduleuse de sa clé API Gemini. Sa dépense habituelle était de 180 dollars par mois environ, j'imagine que ça lui a fait un peu mal aux fesses. Et c'est une bonne raison pour moi de vous inciter une nouvelle fois à bien sécuriser vos clés API !

Le gars bosse dans une petite startup et de ce que j'ai compris, quelqu'un a chopé ses credentials et s'est lâché sur Gemini 3 Pro pendant deux jours. La réponse de Google ? "Responsabilité partagée". En gros, eux sécurisent l'infra, et vous sécurisez vos clés. Si vous vous faites plumer, c'est votre problème !

Et c'est pas un cas isolé car les chercheurs de Truffle Security ont scanné le web et trouvé 2 863 clés Google API exposées en clair sur des sites publics. Toutes identifiables par le préfixe AIza.

Sauf que comme je vous l'expliquais dans un article précédent, ces clés, à la base, étaient conçues comme de simples identifiants de projet pour Maps et Firebase et la doc Google disait carrément qu'elles n'étaient pas secrètes ! Et quand l'API Gemini a été activée sur ces projets, hé bien ces clés sont devenues des clés d'authentification, sans que personne ne réalise ce changement de paradigme.

Mais bon, plutôt que de chialer comme des fragiles, voyons comment éviter de se retrouver dans cette situation ^^.

Scanner vos secrets existants

Avant tout, faut savoir si vous avez déjà des fuites. Deux outils open source font ça très bien.

TruffleHog scanne vos dépôts Git, vos fichiers, et même vos buckets S3 pour trouver des secrets qui traînent. L'install est simple :

brew install trufflehog
trufflehog git https://github.com/user/project --only-verified

grep -r "AIza" . --include="*.js" --include="*.py" --include="*.env"

brew install git-secrets
cd mon-projet
git secrets --install
git secrets --register-aws

git secrets --add 'AIza[0-9A-Za-z_-]{35}'
git secrets --add 'sk-proj-[0-9a-zA-Z]{48}'

gcloud services api-keys list
gcloud services api-keys create --display-name="gemini-prod-$(date +%Y%m)"
gcloud services api-keys delete ANCIENNE_CLE_ID

C'est la grosse actu du jour ! YggTorrent, le plus gros tracker torrent francophone, a fermé DÉFINITIVEMENT ses portes après une cyberattaque survenue le 3 mars 2026. Un site de piratage qui se fait... pirater. Oups !

Un hacker du nom de Gr0lum a revendiqué l'opération baptisée YGGLeak. D'après lui, il aurait exfiltré la base de données complète du site, soit environ 6,6 MILLIONS de comptes utilisateurs. Il s'agit d'emails, de mots de passe hashés en bcrypt, d'adresses IP, d'historiques de navigation... genre, le package complet. Donc pas exactement le genre de truc que vous voulez voir traîner dans la nature.

De leur côté, l'équipe d'Ygg a publié un long communiqué où ils se posent en victimes. Selon eux, un ancien admin viré aurait gardé des accès et orchestré le sabotage de l'intérieur. Ils parlent de "trahison" et jurent que les mots de passe étaient "hashés et salés" (en gros, pas en clair... mais bon, ça rassure moyen quand toute votre base est dans la nature).

Sauf que la version de Gr0lum raconte une toute autre histoire. Le hacker accuse la plateforme d'avoir stocké pas moins de 54 776 numéros de cartes bancaires (sans qu'on sache si c'est des numéros complets ou tronqués), d'avoir mis en place du tracking comportemental poussé et même du fingerprinting de wallets crypto via un script (Sci.js) qui détectait Phantom, MetaMask ou Trust Wallet sur les machines des visiteurs. On est donc carrément loooooiiiiin du petit tracker communautaire sur lequel vous téléchargiez vos ISO Linux ^^.

Et le dossier complet publié par Gr0lum va encore plus loin. Un module baptisé Security.php aurait collecté les données de cartes bancaires COMPLÈTES... numéro, CVV, date d'expiration, nom du porteur, le tout relayé via un processeur de paiement tiers. Plusieurs utilisateurs sur Reddit ont d'ailleurs signalé des prélèvements frauduleux après avoir payé sur le site. En bonus, Ygg utilisait un service de DDoS (stresscat.ru) pour matraquer des trackers concurrents comme la-cale.space et sharewood.tv.

D'ailleurs, faut remettre un peu de contexte. Le 21 décembre 2025, Ygg avait lancé son fameux "Mode Turbo" qui limitait les utilisateurs gratuits à 5 téléchargements par jour... sauf si vous passiez à la caisse (86 euros). Résultat, d'après les données exfiltrées, le chiffre d'affaires a carrément TRIPLÉ en janvier 2026 pour atteindre ~490 000 euros sur le seul mois. Sur l'ensemble, on parle de 5 à 8,5 millions d'euros de revenus, avec près de 250 000 commandes traitées. Du coup, pour un site soi-disant "bénévole", ça fait beaucoup, j'avoue.

Côté technique, le hack est un cas d'école. Gr0lum a trouvé un port SphinxQL (9306) exposé sans authentification sur un serveur de pré-production. De là, lecture de fichiers arbitraires, récupération d'un mot de passe admin en clair dans un fichier sysprep, puis rebond de serveur en serveur via SMB et SSH. Trois jours seulement et 19 Go de données exfiltrées. Contrôle total. Le serveur de pré-prod tournait sous Windows Server 2019 avec le pare-feu désactivé et Defender coupé. Du grand art !

Pour le blanchiment des revenus crypto, ça passait par Tornado Cash avec conversion en Monero via ChangeNOW... le combo parfait pour disparaître de la blockchain. L'équipe avait même acheté le domaine warezfr.com fin décembre 2025 et bossait sur un nouveau tracker baptisé RageTorrent. Ils voyaient loin.

Si vous aviez un compte sur Ygg, surtout si vous utilisiez le même email et le même mot de passe sur d'autres services (oui, on sait que c'est votre cas ^^), changez le ailleurs, car même avec du hash salé, sur 6,6 millions de comptes y'a forcément des mots de passe type "123456" qui vont tomber en quelques secondes. Vérifiez aussi sur Have I Been Pwned si votre adresse a fuité.

Ah et bonne nouvelle, y'a déjà un successeur. Un collectif nommé Utopeer a récupéré le catalogue et lancé ygg.gratis. Attention, aucune garantie de fiabilité là non plus, hein.... Comme d'hab, méfiance.

C'est un peu comme Bato.to en janvier dernier... les géants du piratage tombent les uns après les autres... après T411 en 2017, après Zone-Téléchargement, après Bato.to, c'est donc au tour d'Ygg de tirer sa révérence, sauf que cette fois, c'est pas la police qui a frappé, mais visiblement un de leurs propres utilisateur avec quelques compétences...

Savez-vous que Meta a vendu 7 millions de paires de Ray-Ban Meta l'an dernier ? Le succès commercial est dingue, mais une enquête du quotidien suédois SVD montre que des sous-traitants basés au Kenya visionnent certaines vidéos privées, enregistrées par les lunettes pour entraîner l'IA de Meta. La CNIL a ouvert une enquête.

7 millions de paires en un an

EssilorLuxottica a confirmé le chiffre : plus de 7 millions de lunettes connectées vendues en 2025. C'est trois fois plus que les 2 millions écoulés entre le lancement fin 2023 et début 2025. La gamme s'est élargie avec les Oakley Meta et un modèle haut de gamme à 800 dollars, le Ray-Ban Meta Display, qui ajoute un affichage tête haute. Le marché des lunettes connectées n'est clairement plus un sujet de niche, et Meta domine le segment.

Des sous-traitants qui voient tout ?

Selon l'enquête du quotidien suédois SVD, des milliers d'annotateurs de données basés au Kenya, employés par le sous-traitant Sama pour le compte de Meta, visionnent les vidéos captées par les Ray-Ban Meta pour entraîner ses modèles d'IA. Et ce qu'ils voient n'est pas toujours anodin. Les travailleurs rapportent être tombés sur des scènes de salle de bain, des moments intimes et des cartes bancaires filmées par les utilisateurs. Un employé raconte qu'un utilisateur portait ses lunettes pendant que son partenaire se trouvait dans la salle de bain. Les conditions d'utilisation de Meta précisent que les interactions avec l'IA peuvent être "examinées de façon automatique ou manuelle", mais on doute que les utilisateurs aient bien compris ce que "manuelle" veut dire dans ce contexte.

La CNIL et la LED qui ne sert à rien

Côté protection des personnes filmées, la situation n'est pas mieux. Les Ray-Ban Meta ont une petite LED blanche qui s'allume pendant l'enregistrement, censée prévenir les gens autour. Sauf que certaines bidouilles permettent de la masquer, et la CNIL l'a bien noté. L'autorité française a ouvert une enquête après une plainte et considère que l'intrusion dans la vie privée est "possiblement énorme". Des créateurs de contenu ont d'ailleurs utilisé ces lunettes pour filmer des passants à leur insu, la BBC ayant documenté le cas de pick-up artists filmant des femmes dans des lieux publics. Et puisque filmer dans un espace public reste légal en France, les victimes n'ont quasiment aucun recours. Des étudiants de Harvard ont aussi démontré qu'on pouvait coupler les lunettes à un système de reconnaissance faciale pour identifier des inconnus dans la rue et accéder à leurs données personnelles.

On ne va pas se mentir, j'adore mes Ray-Ban Meta que j'utilise quotidiennement, mais 7 millions de caméras portées sur le nez de gens qui se baladent partout, avec des vidéos qui finissent chez des sous-traitants au Kenya, c'est quand même un problème. La politique de confidentialité de Meta reste volontairement floue sur ce qui est collecté et sur qui regarde ces images. La petite LED de sécurité qui se neutralise facilement n'aide en rien.

Sources : Clubic , UCStrategies

YggTorrent détruit par un pirate : une fuite de données de 11 Go révèle les mauvaises pratiques des admins allant jusqu'au vol de cartes bancaires.

Le post Fin de YggTorrent : un pirate détruit le site et révèle les pratiques mafieuses de ses admins a été publié sur IT-Connect.

Après avoir ouvert à tous l'accès à ses images durcies (DHI) en décembre dernier, Docker annonce le lancement des "Docker Hardened System Packages".

Le post Après les images durcies, Docker veut étendre la sécurité au niveau des paquets a été publié sur IT-Connect.

Le Service national des impôts sud-coréen a publié par erreur les phrases de récupération de portefeuilles crypto saisis lors d'une opération contre la fraude fiscale. Résultat, un inconnu a siphonné l'équivalent de 4,8 millions de dollars en quelques heures. Les fonds ont finalement été restitués, mais l'affaire fait quand même pas mal jaser.

La photo de trop

Il y a quelques jours, le fisc sud-coréen annonçait avoir mené des perquisitions chez 124 contribuables soupçonnés de fraude fiscale, pour un butin total de 8,1 milliards de wons, soit environ 5,6 millions de dollars en espèces, montres et biens de luxe. Pour communiquer sur l'opération, l'agence a partagé des photos des saisies avec la presse. On y voyait des liasses de billets, des objets de valeur, et plusieurs portefeuilles Ledger posés bien en évidence sur une table.

Sauf que sur au moins deux d'entre eux, la seed phrase, cette suite de mots qui donne le contrôle total d'un portefeuille crypto, était parfaitement lisible. Un inconnu a repéré l'aubaine, déposé un peu d'Ethereum sur le wallet pour couvrir les frais de transaction, puis exécuté trois transferts pour vider les 4 millions de tokens Pre-Retogeum qui s'y trouvaient. Valeur estimée : 4,8 millions de dollars quand même.

Un vol pour rien

Une vingtaine d’heures plus tard, les tokens ont été renvoyés à leur portefeuille d'origine. Pourquoi ? Parce que le Pre-Retogeum est un token quasiment invendable. Le volume de transactions quotidien sur les plateformes décentralisées ne dépassait pas 332 dollars au moment des faits. Concrètement, le voleur s'est retrouvé avec des millions en poche, mais sans aucun acheteur potentiel en face. Et comme toutes les transactions sont enregistrées sur la blockchain, toute tentative de revente aurait été immédiatement grillée.

Pas une première

C'est le deuxième incident du genre en Corée du Sud. En 2021, la police de Séoul avait perdu 22 bitcoins, soit environ 1,5 million de dollars, après les avoir confiés à un prestataire externe. Le vice-Premier ministre a donc ordonné un examen en urgence de la façon dont les administrations gèrent les actifs numériques saisis. Le fisc a présenté ses excuses, expliquant avoir voulu "fournir une information plus vivante au public", et a promis de revoir ses procédures de A à Z. La police a quand même été chargée de retrouver l'auteur du vol.

Franchement, publier la seed phrase d'un portefeuille crypto dans un communiqué de presse, il fallait quand même oser. C'est la deuxième boulette crypto du gouvernement sud-coréen, et visiblement, la gestion des actifs numériques par les administrations publiques est un sujet complexe pour les autorités.

Sources : the register , coindesk

Si vous utilisez Vaultwarden, la version self-hosted de Bitwarden, vous devez installer la nouvelle version : 1.35.4. Cette version patche 3 vulnérabilités.

Le post Vaultwarden 1.35.4 : trois failles de sécurité corrigées, mettez à jour votre instance ! a été publié sur IT-Connect.

Si vous utilisez ExifTool sur macOS, j'ai une mauvaise nouvelle pour vous ! Une faille critique vient d'être découverte dans cet outil que tout le monde (moi y compris) utilise pour lire et modifier les métadonnées des fichiers et c'est pas joli joli.

Cette vulnérabilité, référencée en tant que CVE-2026-3102 , touche toutes les versions jusqu'à la 13.49 et c'est spécifique à macOS. Cela permet à un attaquant de planquer des commandes système dans les tags de métadonnées d'un fichier image et quand ExifTool traite le fichier avec le flag -n... les commandes s'exécutent directement sur votre machine.

L'exploitation est ridiculement simple et 2 étapes suffisent. On vous envoie une image qui a l'air parfaitement normale, vous la passez dans l'outil pour lire ses métadonnées, et l'injection de commande se déclenche. L'attaquant peut alors ensuite télécharger des payloads malveillants ou carrément se servir dans vos fichiers sensibles.

C'est l'équipe GReAT de Kaspersky qui a trouvé le problème. Bon après, la bonne nouvelle c'est que Phil Harvey, l'auteur du soft, a déjà sorti le correctif dans la version 13.50, et ça depuis le 7 février dernier... donc ça fait presque un mois que le patch est dispo.

Du coup, si vous avez des scripts qui traitent automatiquement des images avec ExifTool sur votre Mac, par exemple dans un pipeline de forensique ou d' analyse EXIF , vérifiez ILLICO la version installée (exiftool -ver pour checker). Comme la complexité d'exploitation est faible, n'importe quel script kiddie pourrait s'en servir, donc autant agir vite.

Pour mettre à jour, un petit brew upgrade exiftool et c'est réglé (sinon, le .pkg est dispo sur le site officiel ). Attention, pensez aussi à vos scripts automatisés qui lancent ExifTool en arrière-plan, car c'est souvent là que les vieilles versions trainent...

Allez, bonne soirée les amis !

Source

Ce mardi 3 mars 2026, de nouvelles mises à jour de GLPI ont été mises en ligne : GLPI 11.0.6 et GLPI 10.0.24. Elles corrigent un ensemble de 7 failles.

Le post GLPI 11.0.6 et GLPI 10.0.24 : un total de sept vulnérabilités patchées par ces nouvelles versions a été publié sur IT-Connect.

Un développeur chinois a mis en ligne CyberStrikeAI, une plateforme open source qui combine IA générative et plus de 100 outils offensifs pour automatiser les cyberattaques. En parallèle, un pirate amateur russophone a compromis plus de 600 pare-feu FortiGate dans 55 pays avec l'aide de DeepSeek et Claude, le tout en à peine cinq semaines. Les hackers aussi ont visiblement droit à leur copilote.

Un arsenal offensif piloté par l'IA

CyberStrikeAI est l'œuvre d'un développeur chinois qui se fait appeler Ed1s0nZ. L'outil, écrit en Go et publié sur GitHub, intègre plus de 100 outils offensifs : nmap, Metasploit, hashcat, mimikatz et bien d'autres. Le tout est piloté par des modèles de langage comme GPT ou Claude, qui se chargent de planifier les attaques, analyser les résultats et adapter la stratégie au fil de l'attaque. Le développeur a des liens avec Knownsec 404, une équipe de recherche en sécurité rattachée au ministère de la Sécurité d'État chinois via la CNNVD.

600 pare-feu tombés en cinq semaines

L'autre affaire est tout aussi parlante. Entre le 11 janvier et le 18 février 2026, un pirate russophone a compromis plus de 600 pare-feu Fortinet FortiGate dans 55 pays. Amazon Threat Intelligence a repéré la campagne et découvert un serveur mal sécurisé contenant plus de 1 400 fichiers : identifiants volés, scripts d'exploitation, logs d'attaque. Le pirate utilisait un serveur MCP baptisé ARXON et un orchestrateur en Go appelé CHECKER2, les deux s'appuyant sur DeepSeek et Claude pour automatiser le travail. Le pirate n'a même pas eu besoin d'exploiter de faille logicielle : des mots de passe faibles et des ports de gestion ouverts sur Internet ont suffi.

L'IA compense le manque d'expérience

Le pirate derrière les FortiGate n'est pas un vétéran : ses erreurs de sécurité opérationnelle, comme un serveur ouvert à tous les vents, trahissent un manque d'expérience flagrant. Sauf que l'IA a compensé. Là où il aurait fallu des années de pratique pour mener une campagne de cette envergure, les modèles de langage ont comblé les lacunes. CrowdStrike a d'ailleurs noté une hausse de 89 % des attaques assistées par IA en 2025. Et avec des outils comme CyberStrikeAI qui mettent l'arsenal offensif à portée de n'importe qui, ça ne va pas s'arranger.

Franchement, on n'est plus dans la théorie. L'IA offensive est devenue accessible, et les dégâts sont bien réels. Le problème, c'est que les garde-fous des modèles de langage sont toujours une passoire, et que tout le monde fait semblant de ne pas le voir.

Sources : cyberinsider , thehackernews

Chaque semaine semble apporter son lot de nouvelles concernant un nouveau vecteur d’attaque, une campagne sophistiquée soutenue par un État ou un ransomware paralysant, le tout amplifié par la puissance de l’intelligence artificielle. Cette escalade a déclenché une demande insatiable de professionnels qualifiés, la France à elle seule prévoyant environ 25 000 postes vacants d’ici la […]

Les chercheurs du Threat Labs de Netskope ont analysé les principales cybermenaces qui ont touché les organismes de santé et leurs employés au cours des treize derniers mois et viennent de publier leurs conclusions dans leur rapport annuel sur le secteur de la santé. Tribune – Dans un contexte où de plus en plus de […]