Je ne connaissais pas le NanoKVM mais c’est un petit boîtier KVM chinois vendu entre 30 et 70€ qui permet de contrôler un PC à distance. Sauf qu’un chercheur en sécurité slovène a découvert qu’il embarquait un micro planqué capable d’enregistrer tout ce qui se dit autour. Ça craint !

En effet, Matej Kovačič a ouvert son NanoKVM et y a trouvé un minuscule composant de 2x1 mm dissimulé sous le connecteur. Un truc tellement petit qu’il faut une loupe ou un microscope pour le dessouder proprement. Et pourtant, ce micro MEMS est capable d’enregistrer de l’audio de “qualité surprenamment élevée” comme il le dit et le pire c’est que l’appareil est fourni avec tous les outils nécessaires (amixer, arecord) pour l’activer via SSH et même streamer le son en temps réel sur le réseau.

Alors comment c’est arrivé là ?

En fait le NanoKVM est basé sur un module LicheeRV Nano qui est prévu pour plein d’usages embarqués différents, dont certains nécessitent de l’audio. Quand Sipeed l’a transformé en KVM grand public, ils ont juste… gardé le micro. Sans le documenter. Sans le désactiver. Sympa hein ?

Et le chercheur a aussi trouvé que les premières versions arrivaient avec un mot de passe par défaut et SSH grand ouvert. L’interface web n’avait aucune protection CSRF, et la clé de chiffrement des mots de passe était codée en dur et identique sur TOUS les appareils vendus. En bonus, le bidule communiquait avec des serveurs chinois pour les mises à jour, sans aucune vérification d’intégrité du firmware téléchargé. Et cerise sur le gâteau, y’avait des outils de hacking préinstallés comme tcpdump et aircrack. Aïe aïe aïe…

Depuis la publication du rapport, Sipeed a quand même bougé et ils ont corrigé pas mal de failles, mis à jour la documentation pour mentionner (enfin) la présence du micro, et annoncé que les futures versions n’auraient plus ces composants audio. Les firmwares récents désactivent aussi les drivers correspondants.

Et comme le projet est à la base open source, des membres de la communauté ont commencé à porter dessus des distributions Linux alternatives (Debian, Ubuntu). Faut ouvrir le boîtier et reflasher la carte microSD, mais au moins vous savez exactement ce qui tourne dessus…

Bref, comme quoi ça vaut toujours le coup de démonter ses appareils et de jeter un œil à ce qu’il y a dedans. Merci à Letsar pour l’info !

Source

Pour bien préparer l'arrivée de l'offre Thunderbird Pro en 2026, Thunderbird Send a été audité : 2 vulnérabilités ont été patchées, et ce n'est pas tout.

Le post Un audit révèle 2 failles dans Thunderbird Send, un service clé dans la future offre Thunderbird Pro a été publié sur IT-Connect.

En 2016, je vous parlais de Gogs , ce petit serveur Git auto-hébergé super léger qui s’installe en 10 secondes et c’est encore aujourd’hui une alternative sympa à GitHub pour ceux qui voulaient garder leur code chez eux. Mais attention, si vous l’utilisez, il va falloir agir vite parce que là, c’est la catastrophe.

Des chercheurs de Wiz viennent de découvrir que plus de 700 instances Gogs exposées sur Internet ont été compromises via une faille zero-day baptisée CVE-2025-8110. Et le pire, c’est que cette faille est activement exploitée depuis juillet 2025 et qu’il n’existe toujours pas de patch.

L’attaque est vicieuse car un attaquant n’a besoin que d’un compte utilisateur standard pour compromettre votre serveur. Il crée un dépôt, y ajoute un lien symbolique pointant vers un fichier sensible, puis utilise l’API PutContents pour écrire à travers ce lien et modifier le fichier .git/config. Ensuite, en bidouillant la directive sshCommand, il peut alors exécuter n’importe quelle commande sur votre serveur. Voilà, c’est plié !

Cette faille est en fait un contournement d’un ancien correctif (CVE-2024-55947). Les développeurs avaient patché le problème mais avaient oublié de gérer le cas des liens symboliques. Et ce n’est même pas la première fois que Gogs se retrouve dans cette situation puisqu’en juillet 2024, quatre failles critiques avaient été publiées (CVE-2024-39930, CVE-2024-39931, CVE-2024-39932, CVE-2024-39933), toutes avec des scores CVSS de 9.9 sur 10, et au final, les mainteneurs avaient tout simplement… cessé de répondre aux chercheurs. C’est moche !

Sur les 1400 instances Gogs exposées sur Internet identifiées par Wiz, plus de 700 ont donc été compromises. Les attaquants utilisent le framework C2 Supershell pour garder le contrôle des machines et les chercheurs soupçonnent des cybercriminels basés en Asie vu l’usage de cet outil très particulier.

Donc si vous avez un serveur Gogs qui tourne, voici ce qu’il faut faire immédiatement : Vous devez désactiver l’inscription ouverte si vous n’en avez pas besoin (c’est activé par défaut) et mettre votre instance derrière un VPN. Après pour savoir si vous êtes déjà compromis, cherchez des dépôts créés le 10 juillet avec des noms bizarres de 8 caractères.

Après à ce stade, je vous conseille de migrer vers Gitea , le fork de Gogs qui est activement (et mieux) maintenu et qui n’est pas affecté par ces failles. Gogs semble être devenu un projet abandonné niveau sécurité, et c’est vraiment dommage parce que le concept était génial.

Source

Personne ne s’en doutait, mais durant 3 ans, les communications entre la Terre et les sondes de la NASA étaient totalement vulnérables au piratage du moindre script kiddy ! Et personne n’était au courant évidemment, et aucun des multiples audits de code qui se sont succédé depuis 2022 n’avait mis à jour ce problème jusqu’à ce qu’une IA s’en mêle !

La faille découverte au bout de 4 jours d’analyse, se trouvait dans CryptoLib , une bibliothèque de chiffrement open source utilisée pour sécuriser les échanges entre les stations au sol et les satellites en orbite. Cette bibliothèque implémente le protocole SDLS-EP (Space Data Link Security Protocol - Extended Procedures) de la norme issue du CCSDS , qui est utilisé un peu partout dans le spatial, y compris pour des missions comme les rovers martiens ou le télescope James Webb.

Le souci donc c’est que ce code contenait une vulnérabilité d’injection de commande. En gros, des données non validées pouvaient être interpolées directement dans une commande shell et exécutées via system() sans aucune vérification. C’est le genre de faille basique qu’on apprend à éviter en première année de développement, sauf que là elle était planquée dans un code quand même bien critique…

C’est la startup AISLE , fondée par des anciens d’Anthropic, Avast et Rapid7, qui a été mandatée pour auditer le code et c’est comme ça que leur système de “cyber reasoning” basé sur l’IA s’est retrouvé à scanner la base de code. Résultat, une jolie faille débusquée par IA 3 ans après des dizaines d’audits et d’analyses humaines.

Bon, avant de paniquer sur une éventuelle chute de satellite en plein sur la tête de votre belle-mère, faut quand même nuancer un peu la chose… Pour exploiter cette faille, un attaquant aurait d’abord eu besoin d’un accès local au système, ce qui réduit significativement la surface d’attaque selon les chercheurs . Donc oui, j’ai abusé en intro avec mon histoire de script kiddy ^^ chè ! Mais quand même, on parle de satellites et de sondes spatiales qui valent des milliards de dollars donc si elle avait été exploitée, ça aurait fait mal à beaucoup de monde.

Et ce n’est pas la seule mauvaise nouvelle pour la sécurité spatiale cette année puisqu’en août dernier, 2 chercheurs allemands de VisionSpace Technologies, Milenko Starcik et Andrzej Olchawa, ont présenté, lors des confs Black Hat USA et DEF CON à Las Vegas, pas moins de 37 vulnérabilités découvertes dans l’écosystème spatial . Sans oublier Leon Juranic de ThreatLeap qui a trouvé diverses failles plus tôt dans l’année.

Le Core Flight System (cFS) de la NASA, ce framework open source déployé sur des missions comme le James Webb ou le lander lunaire Odysseus d’Intuitive Machines, contenait également 4 failles critiques. Deux bugs de déni de service, une Path Traversal, et une vulnérabilité d’exécution de code à distance (RCE). Milenko Starcik a déclaré avoir trouvé des vulnérabilités permettant par exemple de crasher tout le logiciel de bord avec un simple message distant non authentifié .

Lors d’une démo, ils ont montré qu’ils pouvaient envoyer une commande à un satellite pour activer ses propulseurs et modifier son orbite, sans que le changement de trajectoire apparaisse immédiatement sur l’écran du contrôleur au sol. Imaginez le bordel si quelqu’un faisait ça pour de vrai !!

CryptoLib elle-même était criblée de failles : 4 dans la version utilisée par la NASA, 7 dans le package standard dont 2 critiques. Et le système de contrôle de mission Yamcs développé par la société européenne Space Applications Services et utilisé notamment par Airbus présentait aussi 5 CVE permettant une prise de contrôle totale. Sans oublier OpenC3 Cosmos, un autre système utilisé pour les stations au sol, qui comptait à lui seul, 7 CVE incluant de l’exécution de code à distance.

Heureusement les amis, toutes ces horribles vulnérabilités ont été corrigées et la NASA prépare même une mise à jour majeure du cFS pour bientôt avec de meilleures fonctionnalités de sécurité, le support de l’IA et des capacités d’autonomie améliorées.

AISLE affirme que leur outil peut examiner systématiquement des bases de code entières , signaler des patterns suspects et fonctionner en continu à mesure que le code évolue, bref, pour du code critique comme celui des systèmes spatiaux, c’est le top !

Encore une victoire de l’IA ^^

Source

Vous pensiez encore que WhatsApp était secure grâce au chiffrement de bout en bout ?

Pauvres fous ^^ !

En fait, des chercheurs de l’Université de Vienne viennent (!!) de démontrer qu’on peut vous espionner à distance via Whatsapp sans que vous receviez la moindre notif.

L’attaque s’appelle “Careless Whisper” (oui, comme la chanson de George Michael) et elle exploite un truc tout bête : les accusés de réception, ces petits checks bleus qui vous indiquent qu’un message a été délivré puis vu…

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

Et en analysant ces temps de réponse, on peut savoir si votre écran est allumé ou éteint, si WhatsApp est ouvert au premier plan, quel système d’exploitation vous utilisez, combien d’appareils sont connectés à votre compte, et même déduire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu’on vous surveille, évidemment !

La recherche, disponible ici , a d’ailleurs reçu le Best Paper Award à la conférence RAID 2025. Les chercheurs ont testé sur WhatsApp et Signal, et les deux sont vulnérables. Mais sur WhatsApp, c’est le pire, car l’application autorise des payloads de réaction jusqu’à 1 Mo, ce qui permet de générer 13 Go de trafic par heure sur le téléphone de la victime, donc ça permet même de vider tranquillement sa batterie de 15 à 18% par heure sans qu’elle ne s’en rende compte.

Un développeur a même créé un outil open source pour tester la faille de manière responsable et en respectant la loi évidemment. Si vous voulez tester, faites-le uniquement sur votre matériel. L’interface de ce PoC permet de traquer en temps réel l’activité d’un numéro de téléphone. En dessous d’un certain seuil sur le délai de réponse, la personne est active, et au-dessus, elle dort ou son téléphone est en veille.

Les chercheurs ont bien sûr signalé la faille à Meta en septembre 2024, qui a “accusé réception” (lol), mais aucune correction n’a été apportée depuis. Et chez Signal ils n’ont pas répondu du tout.

Alors comment on fait pour se protéger de ça ? Et bien dans Whatsapp, il y’a une option qui se trouve dans Paramètres → Confidentialité et autoriser seulement “Mes Contacts” à voir ce qu’on partage, ce qui permet de limiter les accusés de réception à vos contacts uniquement. Ça ne règle pas tout, mais ça complique la tâche des inconnus qui voudraient vous traquer.

Voilà, une fois encore, même sur les apps avec du chiffrement de bout en bout qui protège le contenu des messages, ça ne fait pas tout, car il y a toujours des métadonnées qui peuvent être exploitées de manière frauduleuse, donc soyez vigilant :)

QNAP vient de publier des correctifs de sécurité pour QTS, QuTS Hero et des applications, afin de patcher 7 failles zero-day découvertes lors du Pwn2Own 2025.

The post QNAP corrige 7 failles zero-day exploitées lors du concours Pwn2Own Ireland 2025 first appeared on IT-Connect.

Ce serait cool si on pouvait réunir les Avengers des LLMs pour les faire bosser ensemble sur de la recherche de faille de sécurité ? OpenAI, Anthropic, X.AI et Meta ensemble contre les forces du mal, c’est maintenant possible avec Deep Eye , un super scanner de vulnérabilités qui transforme les quatre IA rivales en équipe de pentesteurs. Vous allez voir, c’est assez génial !

Deep Eye, c’est donc un outil Python open source qui scanne les sites web et les API pour trouver des vulnérabilités. SQL injection, XSS, command injection, SSRF, path traversal, authentication bypass, au total y’a plus de 45 méthodes d’attaque automatisées. Vous lui indiquez une URL, et il teste tout en switchant entre les services d’IA selon le contexte.

Dans le contexte d’un pentest légitime, Deep Eye a même trouvé comment parler aux IA pour qu’elles acceptent de pondre du code un peu sensible. Et ça tombe bien car chaque IA a ses forces et ses faiblesses. GPT-4 par exemple excelle sur les payloads créatifs et les contournements de filtres. Claude lui est plus méthodique, et capable de mieux analyser le contexte et de génèrer des attaques adaptées au framework détecté. LLAMA en local quand à lui est rapide et ne coûte rien en appels API. Et Grok ? Bah il a le mérite d’être dispo même s’il est loin d’être le meilleur.

Deep Eye en tout cas est capable des les utiliser toutes selon la situation. Pour l’installer, ça se passe en 3 commandes :

Vous installez ça comme ceci :

git clone https://github.com/zakirkun/deep-eye.git
cd deep-eye

cd scripts
./install.ps1

chmod +x scripts/install.sh
cd scripts
./install.sh

python deep_eye.py -u https://example.com

Veeam Backup & Replication est affecté par deux failles critiques (CVSS v3.1 de 9.9 sur 10) : CVE-2025-48983 et CVE-2025-48984. Un patch est disponible.

The post Patchez Veeam Backup & Replication : 2 nouvelles failles critiques RCE ont été découvertes ! first appeared on IT-Connect.