Nothing2Hide organise un festival décentralisé autour du numérique : le Nothing2Hide Decentralized Festival (#N2HDF) avec des ateliers dans toute la France les 27, 28, 29 et 30 mai.
Intéressant tout ça !
Les apps générées par IA publiées sur internet sont souvent peu sécurisées. Selon Red Access : plus de 5 000 d’entre elles ne présentent aucune authentification ni véritable sécurité.
L'#IA et le vibe-coding ne remplaceront jamais la connaissance et la culture de la sécurité.
Bref, la #cybersécurité est morte, tuée par l'#IA.
Grosse faille (à la suite de #DirtyPipe et #CopyFail)) !
Malheureusement, à cause de la rupture d'embargo, il n'y a pas encore de patchs disponibles !!!
Le mieux est de supprimer les modules concernés :
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
This is a report on "Dirty Frag", a universal LPE that allows obtaining root privileges on all major distributions.
Après #CopyFail, voici #DirtyFrag, la nouvelle faille #linux qui va faire trembler l'informatique mondiale jusqu'à la prochaine update dans 3...2...
C’est une faille vieille comme le web qui aurait permis d’exploiter l’une des bases de données les plus sensibles de l’État français. Le piratage de l’ANTS en avril 2026 aurait été permis par une faille IDOR. Mais, c’est quoi, au juste ?
Agence NATIONALE des titres SÉCURISÉS.
On nous fout des empreintes digitales partout, des photos numérisés partout et au final, toutes ces données sont accessibles avec une erreur de conception tellement banale que plus personne n'est censée la faire !
Sans réelle surprise, le renseignement français confirme sa volonté d’avoir accès à l’ensemble des messages privés, y compris ceux qui sont chiffrés.
Et donc, la question de la backdoor dans les messageries reviendra jusqu'au jour où ils réussiront à faire passer la pilule...
Un chouette petit outil d'autodiagnostic de sécurité numérique basé sur un formulaire #cryptpad.
Un bon outil pour apprendre deux-trois trucs !
La fuite de données de médicales qui a touché des millions de Français découle d’une négligence inouïe. Quelques semaines après la mise en ligne des données sur le dark web, on apprend que l’éditeur Cegedim n’avait pas pris toutes les mesures adéquates pour protéger les informations en sa possession.
-> pas de double-authentification (par SMS ou appli ou 2FA). Pour accéder à des données de santé, c'est dommageable tout de même. Heureusement que ce sont des pro, hein.
Une fuite de données passée sous les radars pendant dix‑huit mois frappe l’un des principaux tiers de confiance du numérique en France. En exploitant une faille, un pirate est parvenu à consulter les données personnelles détenues par la société Sumsub.
AH BAH ON EST BIEN LÀ !
On est un peu sur du leader de vérification d'identité sur internet, pas de la fuite d'une startup née la veille...
Discord utilise un prestataire externe pour vérifier l'âge de ses utilisateurs.
Ce prestataire exige des copies de la carte d'identité. 70000 de ces cartes viennent de fuiter sur le net, y compris des mineurs. Copies de cartes d'identité qui sont maintenant accessibles des escrocs et des éventuels pédophiles.
Alors, ça y est, est-ce que ça a bien protégé les enfants, là ?
Lors de la réception d'un courriel pour la prise de rendez-vous RSA, j'ai voulu me fier au protocole indiqué par le site CyberMalveillance.gouv.fr pour savoir s'il s'agissait d'un phishing.
Si j'avais suivi les recommandations du site CyverMalveillance, ce mail aurait fini à la corbeille. Et j'aurai perdu du temps, de l'énergie et cette précieuse aide financière...
« Faites ce que je dis, pas ce que je fais », l'analyse ⬇️
L’émergence et la démocratisation de l’intelligence artificielle (IA) au quotidien, notamment dans le monde de l’entreprise, peut amener à un changement radical de la manière de travailler. Les gains de productivité très importants permis par l’IA en font un outil de plus en plus incontournable. Sous-domaine de l’intelligence artificielle, l’IA générative représente une avancée considérable pour les entreprises, offrant des perspectives inédites en matière d’automatisation, d’optimisation et d’innovation.
Ce développement rapide de l’IA suscite à la fois fascination et inquiétudes. Ces craintes peuvent découler d’une méconnaissance des mécanismes de l’IA, de doutes concernant ses conséquences sur l’emploi, ou encore de préoccupations éthiques liées à la confidentialité et à l’automatisation de la prise de décision.
Dans le cadre de sa mission de sécurité économique, la DGSI accompagne les sociétés et les établissements de recherche dans la prise en compte des risques d’ingérences étrangères liés à ces outils novateurs. Ce « flash ingérence » évoque le cas de trois entreprises françaises ayant été confrontées à des dérives ou des comportements à risque associés ou permis par l’usage de l’IA.
je suis tombé sur une discussion sur les réseaux sociaux qui se résumait à "Savez-vous combien il y a d'ordinateurs dans votre ordinateur ?"
Parce que désormais, une carte Ethernet n'est plus juste une carte Ethernet. C'est un CPU ARM qui choisit de passer les paquets à l'OS (via PCI ou autre). Et notre matériel est littéralement rempli de mini-ordinateurs en charge de gérer tout un tas de choses : audio, vidéo, réseau, bluetooth, wifi, USB, stockage, connectique...
Et chacun de ces mini-ordinateurs a son propre OS... et donc aussi ses failles de sécurité. Ces "OS embarqués" peuvent très bien être infecté sans la moindre trace, sans même que le système d'exploitation principal de la machine (Windows, Linux...) le voit, puisque ce sont des mémoires auxquelles l'OS n'a pas d'accès.
Les implications sont absolument énormes.
Ce qui m'amène à cet article : https://currentindia.com/channels/timesofindia/toi-world/yes-they-can-former-cia-spy-warns-agencys-tools-can-takeover-your-phone-tv-and-even-your-car/
Oui les possibilités de piratage de nos appareils sont colossales, et probablement déjà exploitées.
A massive WhatsApp security flaw exposed the phone number of almost every user on the planet – despite the fact that parent company Meta had been alerted to the vulnerability way back in 2017.
(commentaire piqué à Tristan Nitot @nitot@framapiaf.org)
WhatsApp, le produit de Meta (ex-Facebook), vous savez, la messagerie qui prétend protéger la vie privée, a laissé fuiter 3,5 milliards de numéros de téléphone suite à une faille de sécurité...signalée il y a 8 ans
Pour faire face à la répression et la surveillance (par exemple le 10 septembre prochain), pourquoi ne pas suivre une formation de base sur la sécurité militante ?
XR a mis en ligne sa documentation
Un intéressant tableau comparatif des applications de messagerie chiffrées. En particulier on y trouve les informations : Forme juridique, juridiction (pays de rattachement), chiffrement des méta-données, etc.
C'est très complet.
(via SebSauvage à qui j'ai piqué la description)
Alors là, Amazon vient de se prendre une sacrée claque. Leur assistant IA pour coder, Amazon Q, s’est fait pirater et a failli transformer des milliers d’ordinateurs en grille-pain. Le pire c’est que le hacker l’a fait exprès pour leur donner une leçon sur la sécurité.
Imaginez un peu la scène… vous êtes tranquillement en train de coder avec votre extension VS Code préférée, celle qui vous aide à pondre du code plus vite grâce à l’intelligence artificielle. Sauf que là, sans le savoir, vous venez de télécharger une version qui contient littéralement une instruction pour tout effacer sur votre machine. C’est sympaaaaa non ?
Mélangez de l'IA et une sécurité défaillante pour obtenir une belle catastrophe !
Tableau comparatif entre différentes messageries plus ou moins sécurisées (Google Messages, Apple iMessage, Facebook
Messenger, Element (Matrix), Signal, Telegram, Threema, Viber)
Les victimes potentielles sont partout dans le monde. Les hackeurs s’en sont pris à une “importante vulnérabilité” de SharePoint, un logiciel collaboratif du géant américain qu’utilisent des millions d’entreprises et d’administrations dans le monde.
Selon les chercheurs, ces données constituent d'emblée « un plan directeur pour l'exploitation de masse ». Car contrairement aux fuites recyclant d'anciennes brèches, ces informations seraient quasi-intégralement inédites. Seule exception : la base de 184 millions mentionnée précédemment, qui fait déjà partie de cet ensemble colossal.
Le format standardisé URL-identifiants-mot de passe transforme ces données en arsenal redoutable. Les experts avertissent d'ailleurs et insistent : « Ce ne sont pas de vieilles brèches recyclées, mais de l'intelligence fraîche et exploitable à grande échelle. » Une mine d'or pour cybercriminels aguerris.
TL;DR : CHANGEZ TOUS VOS MOTS DE PASSE !