Blog

Affichage des posts par catégorie

 

Posted by: | on mai 18, 2025

Les faux CAPTCHA : nouvelles armes des hackers pour diffuser des malwares.

Les CAPTCHA, ces tests censés distinguer les humains des robots sur Internet, sont normalement des outils de sécurité. Pourtant, une tendance inquiétante émerge : des cybercriminels créent de faux CAPTCHA dans le but de piéger les internautes et de propager des logiciels malveillants (malwares).
 
Captcha

Impossible de passer Ă  cĂŽtĂ© des CAPTCHA, ces outils de sĂ©curitĂ© qui visent Ă  Ă©vincer les bots et autres programmes d’accĂ©der Ă  certaines parties de sites internet ou services. L’idĂ©e est simple : proposer Ă  un intervenant humain de rĂ©aliser une opĂ©ration pour vĂ©rifier qu’il n’est pas un robot… Mais sous cette apparente sĂ©curitĂ© peut dĂ©sormais se cacher un vecteur redoutable de malwares.

Le captcha détourné de sa fonction

La fonction premiĂšre d’un CAPTCHA est de bloquer les bots automatisĂ©s tout en laissant passer les utilisateurs lĂ©gitimes. Cette fonction de barriĂšre de sĂ©curitĂ© inspire confiance. C’est prĂ©cisĂ©ment cette confiance que les pirates exploitent : en prĂ©sentant un test qui ressemble Ă  un vrai CAPTCHA, ils endorment la mĂ©fiance de l’utilisateur. Des experts en sĂ©curitĂ© de HP ont ainsi repĂ©rĂ© de faux CAPTCHA utilisĂ©s dans des campagnes de piratage.

reCAPTCHA

Comment fonctionne l’arnaque ?

L’utilisateur est confrontĂ© Ă  une imitation de test « Je ne suis pas un robot » ou Ă  une sĂ©lection d’images. Croyant effectuer une vĂ©rification de sĂ©curitĂ© standard, il interagit avec le faux module (en cochant une case, en cliquant sur des images). C’est cette interaction qui dĂ©clenche l’action malveillante : le tĂ©lĂ©chargement et/ou l’installation d’un malware sur son appareil.

Une arme redoutable pour les hackers

Cette technique baptisĂ©e « tolĂ©rance au clic » par HP se rĂ©vĂšle ĂȘtre un vecteur d’infection particuliĂšrement efficace, d’autant que peu d’utilisateurs sont en capacitĂ© de suspecter son rĂ©el but. En se faisant passer pour une Ă©tape lĂ©gitime, les hackers augmentent considĂ©rablement les chances que l’utilisateur interagisse et compromette ainsi sa propre machine. Le type de virus distribuĂ© peut varier allant des chevaux de Troie Ă  accĂšs distant (RAT), keylogger, infostealers et bien d’autres… Le panel Ă  disposition des hackers est consĂ©quent, et la menace d’autant plus importante pour les victimes potentielles.

CAPTCHA

L’objectif est toujours le mĂȘme : subtiliser des comptes utilisateurs, informations personnelles, donnĂ©es bancaires pour directement les exploiter dans des opĂ©rations d’usurpation d’identitĂ© ou la revente de donnĂ©es sur le Dark Web.

Les experts mettent en avant l’utilisation de cette attaque pour la propagation du cheval de Troie XenoRAT, un outil de contrĂŽle Ă  distance particuliĂšrement avancĂ© et disposant de nombreux outils aux actions variĂ©es.

Restez vigilant face aux faux captcha

Il devient donc nĂ©cessaire d’ĂȘtre vigilant mĂȘme face Ă  ces tests anti-robots. Sur des sites web inconnus ou suspects, un CAPTCHA doit inciter Ă  la prudence. Bien qu’il soit difficile de distinguer un faux d’un vrai au premier coup d’Ɠil sans analyse technique, la prĂ©sence d’un CAPTCHA sur une page au contenu douteux doit renforcer la mĂ©fiance et dissuader de toute interaction.

Source: Les faux CAPTCHA : nouvelles armes des hackers pour diffuser des malwares.

Posted in Blog | No Comments »

Posted by: | on mai 15, 2025

100 millions de titres en accĂšs direct : Apple bouscule totalement l’univers DJ

La scĂšne DJ s’apprĂȘte Ă  vivre une rĂ©volution. Apple vient d’annoncer une intĂ©gration majeure qui permettra aux DJ d’accĂ©der Ă  l’immense catalogue d’Apple Music pour crĂ©er leurs mix. Cette nouveautĂ© promet de transformer radicalement la façon dont les DJ travaillent et crĂ©ent.

Fini le temps oĂč il fallait passer des heures Ă  chercher et tĂ©lĂ©charger des morceaux. DĂ©sormais, les abonnĂ©s Apple Music pourront puiser directement dans une bibliothĂšque de plus de 100 millions de titres pour concocter leurs sets.

Un partenariat qui fait bouger les platines

Cette intĂ©gration ne se limite pas Ă  un seul logiciel. Apple a conclu des partenariats avec les plus grands noms de l’industrie DJ : AlphaTheta, Serato, Engine DJ, Denon DJ, Numark, RANE DJ et Algoriddim avec son logiciel djay Pro. Que vous soyez un DJ dĂ©butant ou un pro aguerri, vous trouverez forcĂ©ment une plateforme qui vous convient.

Stephen Campbell, responsable Dance, Electronic & DJ Mixes chez Apple Music, ne cache pas son enthousiasme : « On veut vraiment soutenir les DJ. Cette intĂ©gration, c’est un pas de gĂ©ant. On connecte Apple Music aux meilleurs outils du marchĂ©. Les DJ vont pouvoir accĂ©der, jouer et dĂ©couvrir de la musique en temps rĂ©el comme jamais auparavant Â».

Mais ce n’est pas tout. Apple lance aussi une nouvelle section « DJ with Apple Music Â» dans son app. Vous y trouverez des playlists spĂ©cialement conçues pour les DJ et des pages dĂ©diĂ©es Ă  chaque plateforme partenaire, avec des mix d’inspiration et des playlists pour s’entraĂźner.

Cette annonce s’inscrit dans la continuitĂ© du programme DJ Mixes, lancĂ© en 2021. Depuis, des milliers de mix ont Ă©tĂ© ajoutĂ©s sur la plateforme. Avec cette nouvelle intĂ©gration, Apple espĂšre attirer encore plus de DJ vers son service et stimuler la crĂ©ativitĂ©. Heureusement, les autres plateformes de streaming musical ne restent pas les bras croisĂ©s. SoundCloud a rĂ©cemment intĂ©grĂ© six outils d’édition et de remix. Spotify rĂ©flĂ©chirait aussi Ă  des fonctionnalitĂ©s similaires. Et des start-ups comme Hook tentent de crĂ©er un marchĂ© pour les remixes lĂ©gaux.

Source: 100 millions de titres en accĂšs direct : Apple bouscule totalement l’univers DJ

Posted in Blog | No Comments »

Posted by: | on mai 11, 2025

WhatsApp – Nouveau terrain de chasse des escrocs

Meta, la multinationale propriĂ©taire de Facebook, Instagram et WhatsApp, est plus que jamais accusĂ©e d’ĂȘtre la principale source des arnaques en ligne, notamment les fraudes bancaires. PrĂšs de 40 % des escroqueries signalĂ©es seraient en effet rĂ©alisĂ©es sur ses plateformes, selon le dernier rapport sur la sĂ©curitĂ© des consommateurs et la criminalitĂ© financiĂšre de la banque en ligne Revolut.

Facebook a longtemps Ă©tĂ© le canal privilĂ©giĂ© par les pirates. Mais le rĂ©seau social est dĂ©sormais talonnĂ© par WhatsApp et Telegram, la messagerie cryptĂ©e, cofondĂ©e par le milliardaire russe Pavel Durov. Les fraudes sur WhatsApp (dĂ©tournements de compte, fausses annonces, demandes de rançons
) auraient notamment bondi de 60 % au cours du second semestre 2024. La preuve, d’ailleurs, que les dispositifs de chiffrement mis en avant par ces sociĂ©tĂ©s ne protĂšgent pas des fraudeurs. Les arnaques Ă  la vente de billets de concert se dĂ©velopperaient tout particuliĂšrement sur les messageries cryptĂ©es, en ciblant un public jeune (les trois quarts des victimes sur ces plateformes seraient ĂągĂ©es de 15 Ă  34 ans).

Nouvelle voie pour les faux conseillers bancaires

L’arnaque au faux conseiller bancaire, que nous avons plusieurs fois dĂ©noncĂ©e, envahit elle aussi de plus en plus WhatsApp, alors qu’il y a peu, elle sĂ©vissait principalement via des mails ou SMS. L’opĂ©ration dĂ©marre gĂ©nĂ©ralement avec l’apparition du logo de son Ă©tablissement bancaire sur WhatsApp, accompagnĂ© du message Â« service fraude Â» ou « service client Â». Sous prĂ©texte d’aider Ă  parer une fraude, le pirate demande de se connecter Ă  son appli bancaire, en ayant bien fait valider, juste avant, l’option « partage d’écran Â». Le malfaiteur peut ainsi visualiser et enregistrer les codes.

 

Image
Exemple d’une tentative d’arnaque au faux conseiller bancaire sur WhatsApp.

 

La parade la plus efficace pour l’instant : ne pas entrer en contact avec les Ă©metteurs de ce type de messages, et modifier immĂ©diatement le mot de passe qui permet de se connecter Ă  son compte bancaire si on s’est laissĂ© berner. En attendant que les Gafam (Google, Amazon, Facebook, Apple, Microsoft) trouvent un jour des mĂ©thodes de protection efficaces de leurs utilisateurs.

Nombreux sont ceux qui, aujourd’hui, continuent de dĂ©noncer l’inaction de ces multinationales du numĂ©rique. Il y a tout juste un an, 41 procureurs amĂ©ricains avaient rappelĂ© Ă  l’ordre Meta, accusĂ©e de ne pas prendre les mesures adaptĂ©es pour Ă©viter les arnaques et de ne pas venir en aide aux victimes lĂ©sĂ©es
 Depuis, le nombre d’arnaques a flambĂ©.

 

Source: WhatsApp – Nouveau terrain de chasse des escrocs

Posted in Blog | No Comments »

Posted by: | on mai 6, 2025

Asus, Lenovo, Dell : les gĂ©ants de l’informatique stoppent leurs livraisons d’ordinateurs aux États-Unis Ă  cause des frais de douane

Depuis quelques jours, les consommateurs amĂ©ricains qui cherchent Ă  acheter un ordinateur portable neuf pourraient avoir du mal Ă  trouver leur bonheur. Alors que les tarifs douaniers amĂ©ricains sur les produits Ă©lectroniques fabriquĂ©s en Chine viennent d’entrer en vigueur, plusieurs fabricants majeurs ont dĂ©cidĂ© de suspendre temporairement leurs expĂ©ditions vers les États-Unis. AprĂšs Razer et Framework, c’est dĂ©sormais Ă  d’autres rivaux de rejoindre la liste des entreprises mettant en pause leurs ventes aux États-Unis.

Parmi eux, on retrouve Acer, Asus, Lenovo, Dell et HP. Ces cinq entreprises, qui dominent une large partie du marchĂ© mondial, ont indiquĂ© Ă  leurs fournisseurs le 9 avril qu’elles interrompaient toutes les livraisons de PC et de composants pendant au moins deux semaines. Objectif : Ă©valuer l’impact financier des nouvelles taxes, qui peuvent atteindre 104 % sur certains produits.

La valse des tarifs douaniers n’en finit plus

Cette dĂ©cision survient paradoxalement aprĂšs un premier trimestre 2025 plutĂŽt dynamique pour le secteur. Les ventes d’ordinateurs ont augmentĂ© de 4,9 % sur un an, notamment grĂące Ă  l’approche de la fin des mises Ă  jour de Windows 10, prĂ©vue en octobre 2025, et aux achats anticipĂ©s des entreprises souhaitant Ă©viter les surcoĂ»ts liĂ©s aux tarifs. Lenovo, leader du marchĂ© (24,1 % de parts), HP, Dell et Asus font d’ailleurs partie des cinq premiers vendeurs mondiaux.

Mais cet Ă©lan risque de s’essouffler. Les analystes d’IDC prĂ©voient un ralentissement des ventes pour le reste de l’annĂ©e, avec des prix en hausse et une demande fragilisĂ©e par l’incertitude Ă©conomique. Les consommateurs amĂ©ricains pourraient ainsi faire face Ă  des ruptures de stock et Ă  des augmentations de prix, comme l’a confirmĂ© le PDG d’Acer, qui Ă©voque une hausse d’au moins 10 %.

Seul gros acteur Ă  ne pas jouer la carte de la pause : Apple. La marque a rempli ses entrepĂŽts amĂ©ricains avant l’entrĂ©e en vigueur des taxes et importe dĂ©sormais une partie de ses iPhone depuis l’Inde, oĂč les tarifs sont moins Ă©levĂ©s. Une stratĂ©gie qui lui permet, pour l’instant, de maintenir ses prix stables.

Source: Asus, Lenovo, Dell : les gĂ©ants de l’informatique stoppent leurs livraisons d’ordinateurs aux États-Unis Ă  cause des frais de douane

Posted in Blog | No Comments »

Posted by: | on mai 4, 2025

Google Maps a pu supprimer Vos trajets

S’appuyant sur l’historique des positions, la fonctionnalitĂ© Vos trajets (Timeline) de Google Maps permet de remonter dans le temps et de se souvenir des dĂ©placements. Une carte personnelle des lieux frĂ©quentĂ©s et des itinĂ©raires empruntĂ©s est ainsi crĂ©Ă©e.

AprĂšs des signalements d’utilisateurs, Google confirme un problĂšme technique avec pour consĂ©quence la suppression des donnĂ©es Timeline.

« Nous avons briĂšvement rencontrĂ© un problĂšme technique qui a entraĂźnĂ© la suppression des donnĂ©es Timeline pour certains utilisateurs. Presque toutes les personnes disposant de sauvegardes chiffrĂ©es de Timeline pourront restaurer leurs donnĂ©es. Malheureusement, celles qui n’avaient pas activĂ© les sauvegardes ne pourront pas rĂ©cupĂ©rer leurs donnĂ©es perdues. Â»

Stockage cloud ou non ?

Par e-mail, Google a alertĂ© des utilisateurs touchĂ©s par le bug et a fourni des instructions pour rĂ©cupĂ©rer les donnĂ©es, dans la mesure oĂč la sauvegarde dans le cloud Ă©tait activĂ©e.

Afin de vĂ©rifier l’activation de la sauvegarde cloud, il suffit de se rendre dans l’application Google Maps pour Android ou pour iOS, puis d’appuyer sur la photo du profil. Dans « Vos trajets », une icĂŽne en forme de nuage est associĂ©e Ă  une flĂšche Ă  l’intĂ©rieur si la sauvegarde cloud est activĂ©e.

Dans le cas contraire, l’icĂŽne en forme de nuage est barrĂ©e et les trajets ne sont ainsi enregistrĂ©s qu’en local. Un simple appui sur l’icĂŽne permet de modifier les paramĂštres de sauvegarde.

Dans le contexte d’une Ă©volution pour Timeline

Depuis plusieurs mois, Google a prĂ©venu d’un changement concernant Timeline et dont le dĂ©ploiement est encore en cours. Si ce n’est pas encore le cas, des dispositions doivent ĂȘtre prises dans les prochaines semaines ou mĂȘme les prochains jours dĂ©sormais.

Pour le stockage des historiques de localisation, c’est la gestion en local sur l’appareil qui est privilĂ©giĂ©e. De fait, les trajets ne sont plus systĂ©matiquement stockĂ©s sur les serveurs de Google, Ă  moins d’avoir activĂ© la sauvegarde cloud.

Dans le cadre d’une mesure de confidentialitĂ©, l’intĂ©rĂȘt est que les donnĂ©es ne sont plus liĂ©es aux comptes Google, mais aux appareils utilisĂ©s. Il est possible de choisir de conserver les donnĂ©es de Timeline sur l’appareil jusqu’Ă  leur suppression manuelle ou d’opter pour une suppression automatique aprĂšs 3, 18 ou 36 mois.

google-maps-timeline-vos-trajets

Un bug qui raisonne comme un avertissement

Google Maps autorise l’exportation des donnĂ©es de l’historique des localisations vers un fichier, mais The Verge note que les instructions de Google pour rĂ©cupĂ©rer les donnĂ©es Timeline ne comprennent aucun moyen Ă©vident d’importer Ă  nouveau les donnĂ©es sans passer par les serveurs de sauvegarde cloud.

Le problĂšme technique est un rappel involontaire de l’importance des sauvegardes et pourrait aussi inciter Ă  ne pas se passer du cloud au final.

Source: Google Maps a pu supprimer Vos trajets

Posted in Blog | No Comments »

Posted by: | on mai 1, 2025

Doctissimo 2.0 : Google aimerait confier vos questions de santé à une IA

Google travaille sur une nouvelle fonctionnalitĂ© basĂ© sur l’IA pour rĂ©pondre Ă  des questions de santĂ© basĂ©es sur des commentaires de patients.

Google veut utiliser son intelligence artificielle Google Gemini pour la mettre au service de la santĂ©. AprĂšs avoir travaillĂ© pour un meilleur suivi des donnĂ©es de santĂ©, l’entreprise pourrait aller plus loin en dĂ©veloppant un Doctissimo 2.0. L’entreprise planche sur une fonctionnalitĂ© permettant de suggĂ©rer Ă  des patients des informations mĂ©dicales basĂ©es sur des donnĂ©es issues de patients prĂ©sentant des pathologies similaires.

Gemini au service de la santé

Pour le Dr Karen DeSalvo, directrice de la santĂ© chez Google, l’intelligence artificielle est suffisamment avancĂ© pour aller sur ce terrain. Cette technologie offre Â« l’opportunitĂ© de rĂ©imaginer l’expĂ©rience de la santĂ© dans son ensemble », a dĂ©clarĂ© DeSalvo dans des propos rapportĂ©s par CNBC.

IntitulĂ©e « What People Suggest » (Ce que les personnes suggĂšrent), cette fonctionnalitĂ© utilise Google Gemini pour regrouper les commentaires de patients prĂ©sents en ligne prĂ©sentant un diagnostic similaire Ă  celui que l’utilisateur Ă  indiquĂ© avoir. Selon CNBC, un patient pourrait ainsi consulter les traitements proposĂ©s Ă  d’autres patients souffrant de la mĂȘme pathologie. Pour le moment cent cette fonctionnalitĂ© n’est disponible que sur mobile et pour les utilisateurs aux Etats-Unis.

Prudence est mÚre de sûreté

Comme toujours face Ă  l’IA, la prudence reste de mise. Aussi spĂ©cialisĂ© que puisse l’ĂȘtre un LLM, il n’est aujourd’hui pas exempt d’hallucinations ou de fausses informations et ce n’est pas la fonction « Aperçus IA Â» de Google qui prouvera le contraire.

Conçue pour fournir des rĂ©ponses concises Ă  des questions de santĂ© comme « Comment savoir si j’ai la grippe ? » plutĂŽt que de rediriger vers des sources d’informations, prĂ©senterait de nombreuses erreurs. Un panel d’experts mĂ©dicaux interrogĂ©s en dĂ©cembre dernier dĂ©clarait que 70 % des aperçus IA de Google liĂ©s Ă  la santĂ© devaient ĂȘtre considĂ©rĂ©s comme risquĂ©s pour les personnes ĂągĂ©es, rapporte CNBC.

 

Source: Doctissimo 2.0 : Google aimerait confier vos questions de santé à une IA

Posted in Blog | No Comments »

Posted by: | on avril 27, 2025

Cyberattaque sur 2,3 millions de cartes : des Françaises touchées

Les cyberattaques se multiplient et mettent en danger la sĂ©curitĂ© de nos donnĂ©es perso et financiĂšres Ă  travers le monde. Plus de 2,3 millions de donnĂ©es de cartes bancaires ont fini sur le dark web ces deux derniĂšres annĂ©es. Ces incidents inquiĂštent pas mal, car ils touchent tant les particuliers que les entreprises qui se dĂ©mĂšnent pour garder leurs infos sensibles bien Ă  l’abri.

Données exposées et retombées mondiales

Les chiffres font froid dans le dos : 95% des numĂ©ros de cartes bancaires compromis restent utilisables, ce qui pose un sĂ©rieux risque pour les dĂ©tenteurs. MĂȘme si les fuites concernent moins de 1% des cartes en circulation mondiale, les consĂ©quences restent importantes. En France, par exemple, environ 40 000 personnes ont Ă©tĂ© touchĂ©es, soit 2% des cartes divulguĂ©es d’aprĂšs une Ă©tude rĂ©cente. Par ailleurs, presque 26 millions d’appareils ont Ă©tĂ© infectĂ©s par des logiciels malveillants entre 2023 et 2024, avec 9 millions d’appareils compromis rien qu’en 2023.

Infostealers et façons d’infecter

Les infostealers sont au cƓur de ces attaques. Ces programmes malicieux sont conçus pour piquer discrĂštement des infos sensibles et nourrissent un marchĂ© noir trĂšs actif sur le dark web, souvent par usurpation d’identitĂ©.

 

Les hackers se dĂ©brouillent de mille façons pour infecter les appareils, par exemple en faisant tĂ©lĂ©charger des fichiers malveillants dĂ©guisĂ©s en logiciels lĂ©gitimes et en utilisant des arnaques WhatsApp.

En moyenne, une infection sur quatorze mĂšne au vol d’informations bancaires, avec pour grande majoritĂ© des infections qui ciblent les smartphones.

Malwares en vedette

Parmi les programmes nocifs qui pullulent en 2024, on trouve Redline, qui reprĂ©sente 34% du nombre total d’infections. Risepro, de son cĂŽtĂ©, a connu une belle progression en passant de 1,4% en 2023 Ă  prĂšs de 23% en 2024. Et puis il y a Stealc, apparu en 2023, qui atteint aujourd’hui 13%. Ces chiffres montrent Ă  quelle vitesse le terrain se transforme.

Conseils pour se prémunir

Face Ă  ces menaces qui se multiplient, il est avisĂ© d’adopter quelques bons rĂ©flexes. Il faut agir vite dĂšs qu’on suspecte une infection ou une utilisation frauduleuse : surveille de prĂšs tes notifications bancaires et demande une nouvelle carte si besoin (mieux vaut prĂ©venir que guĂ©rir). Activer l’authentification Ă  deux facteurs et fixer des limites de dĂ©penses peut aussi aider Ă  diminuer les risques. Pour les entreprises, garder un Ɠil sur le dark web permet souvent de repĂ©rer rapidement une fuite d’informations.

Si tu as le moindre doute sur la sĂ©curitĂ© de ta carte bancaire, pense Ă  vĂ©rifier rĂ©guliĂšrement ton compte pour dĂ©nicher toute activitĂ© bizarre. En cas de paiement suspect, fais opposition Ă  la carte via le site ou l’application de ta banque sans tarder. Il faut aussi commander une nouvelle carte et changer les mots de passe liĂ©s Ă  ton compte.

Source: Cyberattaque sur 2,3 millions de cartes : des Françaises touchées

Posted in Blog | No Comments »

Posted by: | on avril 24, 2025

Cette faille dans GitHub menace la sécurité de milliers de projets

Un outil clĂ© des workflows GitHub a Ă©tĂ© modifiĂ©, exposant des milliers de projets Ă  des risques de sĂ©curitĂ© majeurs. Des identifiants sensibles ont probablement fuitĂ©, et l’ampleur de l’attaque inquiĂšte la communautĂ©.

 
Cette faille dans GitHub menace la sécurité de milliers de projets © Koshiro K / Shutterstock
Cette faille dans GitHub menace la sécurité de milliers de projets © Koshiro K / Shutterstock
 

Une action GitHub trĂšs utilisĂ©e dans les pipelines de dĂ©veloppement a discrĂštement Ă©tĂ© modifiĂ©e pour exposer des informations hautement sensibles. ClĂ©s AWS, tokens GitHub et npm
 Autant de sĂ©sames qu’un attaquant bien renseignĂ© pourrait exploiter Ă  grande Ă©chelle, alors que des milliers de projets ont potentiellement Ă©tĂ© affectĂ©s. RĂ©fĂ©rencĂ©e CVE-2025-30066 (CVSS 8.6) par le NIST, l’attaque aurait eu lieu avant le 14 mars.

 

23 000 dépÎts menacés par une action compromise

 

L’attaque a ciblĂ© tj-actions/changed-files, une action GitHub intĂ©grĂ©e dans plus de 23 000 dĂ©pĂŽts, chargĂ©e de suivre les modifications apportĂ©es aux fichiers entre deux commits.

 

À l’origine du problĂšme, un GitHub Personal Access Token (PAT) compromis, appartenant au bot @tj-actions-bot et stockĂ© comme secret GitHub Action, qui a permis aux attaquants de modifier le code source et d’y injecter un script Python malveillant. Ce PAT disposant de privilĂšges Ă©levĂ©s, il a par ailleurs Ă©tĂ© utilisĂ© pour modifier rĂ©troactivement plusieurs tags de versions existantes de l’action, les faisant pointer vers le code altĂ©rĂ©. Par consĂ©quent, toutes les anciennes versions rĂ©fĂ©rencĂ©es par des tags ont, elles aussi, Ă©tĂ© compromises.

Une fois activĂ© dans un workflow CI/CD (intĂ©gration et livraison continues), le script se chargeait d’imprimer les secrets dans les logs GitHub Actions. ClĂ©s AWS, tokens GitHub, identifiants npm, clĂ©s RSA privĂ©es, tout y est passĂ©. Une fuite d’autant plus critique que les logs de workflows publics ou mal configurĂ©s auraient pu exposer ces informations sensibles en clair, ouvrant potentiellement la porte Ă  d’autres attaques bien plus sĂ©rieuses.

À titre d’exemple, un attaquant disposant d’un token GitHub valide aurait pu – ou pourrait encore – modifier un dĂ©pĂŽt pour y injecter du code malveillant. Avec une clĂ© AWS, il aurait Ă©galement pu accĂ©der aux serveurs cloud associĂ©s, exfiltrer des donnĂ©es ou dĂ©ployer des charges malveillantes.

Bref, si aucune exploitation massive des secrets volĂ©s n’a Ă©tĂ© dĂ©tectĂ©e jusqu’ici, les risques sous-jacents persistent.

 
Le script malveillant a permis aux attaquants d'exposer clés secrÚtes et tokens dans des logs parfois accessibles au public © Tero Vesalainen / Shutterstock
Le script malveillant a permis aux attaquants d’exposer clĂ©s secrĂštes et tokens dans des logs parfois accessibles au public © Tero Vesalainen / Shutterstock

Des mesures de sécurité à prendre sans attendre

Fort heureusement, le token compromis a depuis Ă©tĂ© rĂ©voquĂ© par GitHub, empĂȘchant toute nouvelle modification malveillante. Les mainteneurs de tj-actions/changed-files ont renforcĂ© leurs contrĂŽles d’accĂšs et mis Ă  jour les permissions des comptes associĂ©s. Le gist malveillant utilisĂ© dans l’attaque a Ă©tĂ© supprimĂ© et une version propre de l’action (46.0.1) a Ă©tĂ© publiĂ©e.

Évidemment, toute organisation utilisant tj-actions/changed-files doit immĂ©diatement mettre Ă  jour l’action vers la version 46.0.1 pour Ă©viter tout risque d’exĂ©cution du code compromis. Une vĂ©rification des workflows exĂ©cutĂ©s entre le 14 et le 15 mars est Ă©galement nĂ©cessaire pour identifier d’éventuelles anomalies dans la section « changed-files ». Si des identifiants, clĂ©s, tokens ont fuitĂ©, il est impĂ©ratif de les rĂ©voquer et de les renouveler sans attendre pour Ă©viter tout risque d’exploitation.

 
 

Source: Cette faille dans GitHub menace la sécurité de milliers de projets

Posted in Blog | No Comments »

Posted by: | on avril 17, 2025

Microsoft va abandonner Publisher

Microsoft annonce que son outil Publisher ne sera plus pris en charge aprĂšs octobre 2026. « En octobre 2026, Microsoft Publisher atteindra sa fin de vie. AprĂšs ce dĂ©lai, il ne sera plus inclus dans Microsoft 365 et les suites locales existantes ne seront plus prises en charge. Les abonnĂ©s Microsoft 365 ne pourront plus ouvrir ou modifier les fichiers publisher dans Publisher. D’ici lĂ , la prise en charge de Publisher continuera et les utilisateurs peuvent s’attendre Ă  la mĂȘme expĂ©rience qu’aujourd’hui.  » indique l’Ă©diteur.

Publisher s’utilise pour crĂ©er des Ă©tiquettes, des bulletins, des cartes, etc. Microsoft prĂ©conise d’utiliser Word, PowerPoint et Designer pour remplacer Publisher.

Source: Microsoft va abandonner Publisher

Posted in Blog | No Comments »

Posted by: | on avril 10, 2025

ESP32 : une faille critique menace un milliard d’appareils IoT

Des puces ESP32, prĂ©sentes dans plus d’un milliard d’appareils IoT, contiennent des commandes non documentĂ©es exploitables par des hackers. Ces failles permettent la manipulation de mĂ©moire et l’usurpation d’identitĂ© des appareils et mettent ainsi Ă  mal la sĂ©curitĂ© de millions d’utilisateurs.
 
 
ESP32

Les puces ESP32, omniprĂ©sentes dans le monde des appareils connectĂ©s, font face Ă  une situation inquiĂ©tante : une faille critique a Ă©tĂ© dĂ©couverte, mettant potentiellement en danger plus d’un milliard d’appareils IoT. Cette vulnĂ©rabilitĂ© repose sur l’existence de 29 commandes non documentĂ©es qui permettent Ă  des attaquants de manipuler la mĂ©moire ou encore d’usurper l’identitĂ© des appareils. Alors que ces microcontrĂŽleurs sont largement utilisĂ©s pour leur connectivitĂ© Bluetooth et Wi-Fi, cette faille soulĂšve de graves questions sur la sĂ©curitĂ© des dispositifs connectĂ©s.

hacker

Qu’est-ce que la faille ESP32 ?

La faille repose sur l’existence de commandes cachĂ©es dans le firmware Bluetooth des puces ESP32. Ces commandes, non documentĂ©es par le fabricant Espressif, permettent :

  • La manipulation de la mĂ©moire RAM et Flash.
  • L’usurpation d’adresse MAC pour imiter un appareil lĂ©gitime.
  • L’injection de paquets malveillants via Bluetooth.

Ces fonctions ne sont pas accessibles par les utilisateurs ou dĂ©veloppeurs classiques et ont probablement Ă©tĂ© laissĂ©es dans le firmware Ă  des fins internes ou par erreur. Cependant, elles peuvent ĂȘtre exploitĂ©es par des acteurs malveillants pour compromettre la sĂ©curitĂ© des appareils connectĂ©s.

code-langage-informatique-securite-hack

Quels appareils sont concernés ?

Les puces ESP32 sont utilisĂ©es dans une vaste gamme d’appareils IoT grĂące Ă  leur faible coĂ»t et leur double connectivitĂ© Wi-Fi et Bluetooth. Parmi les dispositifs vulnĂ©rables figurent :

  • Les objets connectĂ©s domestiques (ampoules intelligentes, thermostats).
  • Les appareils mĂ©dicaux Ă©quipĂ©s de Bluetooth.
  • Les serrures intelligentes et autres dispositifs de sĂ©curitĂ©.
  • Les smartphones et ordinateurs utilisant ces puces pour leurs accessoires connectĂ©s.

En 2023, Espressif a annoncĂ© avoir vendu plus d’un milliard de ces microcontrĂŽleurs, soulignant leur omniprĂ©sence dans l’écosystĂšme technologique mondial.

Quels sont les risques associés ?

Les conséquences potentielles de cette faille sont multiples et préoccupantes :

  • Usurpation d’identitĂ© : un attaquant peut se faire passer pour un appareil lĂ©gitime afin d’accĂ©der Ă  des donnĂ©es sensibles ou Ă  un rĂ©seau sĂ©curisĂ©.
  • Piratage Ă  distance : bien que nĂ©cessitant un accĂšs physique initial ou une compromission prĂ©alable du firmware, ces commandes peuvent ĂȘtre utilisĂ©es pour installer des logiciels malveillants persistants.
  • SĂ©curitĂ© compromise : les dispositifs mĂ©dicaux ou de sĂ©curitĂ© utilisant ces puces pourraient ĂȘtre manipulĂ©s pour causer des interruptions ou collecter des informations confidentielles.
  • hacker 2

Comment se protéger face à cette menace ?

Face Ă  cette faille critique, plusieurs mesures peuvent ĂȘtre prises pour limiter les risques :

  • Mises Ă  jour logicielles : Espressif travaille sur un correctif logiciel destinĂ© Ă  dĂ©sactiver ou sĂ©curiser ces commandes non documentĂ©es, sans donner de date de dĂ©ploiement prĂ©cise toutefois.
  • SĂ©curisation physique : limiter l’accĂšs physique aux appareils vulnĂ©rables rĂ©duit considĂ©rablement les possibilitĂ©s d’exploitation.
  • Audit rĂ©gulier : les entreprises utilisant ces puces devraient effectuer des audits de sĂ©curitĂ© pour identifier toute activitĂ© suspecte liĂ©e aux commandes cachĂ©es.
  • SystĂšmes alternatifs : envisager l’utilisation de microcontrĂŽleurs dotĂ©s de meilleures garanties en matiĂšre de sĂ©curitĂ©.

La dĂ©couverte de cette faille dans les puces ESP32 rappelle aux professionnels et particuliers les dĂ©fis croissants liĂ©s Ă  la sĂ©curitĂ© des appareils IoT. Il devient ainsi plus qu’essentiel que les fabricants et utilisateurs adoptent une approche proactive pour prĂ©venir les risques.

Source: ESP32 : une faille critique menace un milliard d’appareils IoT

Posted in Blog | No Comments »

« Previous Entries
Next Entries »