Le FBI, la CISA, la NSA, l'EPA, le département de l'Énergie et le Cyber Command américain ont publié un avis conjoint qui ne laisse pas beaucoup de place au doute. Des hackers affiliés à l'Iran ciblent activement les automates programmables connectés à internet sur le sol américain.

Plus précisément, ce sont les contrôleurs Rockwell Automation / Allen-Bradley qui sont visés, et si vous ne comprenez pas de quoi on parle, ce sont en fait les petits ordinateurs industriels qui pilotent des vannes, des pompes ou des turbines dans les usines.

Le groupe en question, déjà connu sous le nom de CyberAv3ngers et lié au Corps des Gardiens de la révolution islamique, scanne le web à la recherche de PLC exposés sur plusieurs ports (44818, 2222, 102, 502).

Une fois en place, les attaquants peuvent manipuler les interfaces homme-machine et les écrans SCADA, modifier des fichiers de projet et, dans certains cas, tenter de déployer des malwares de type "wiper" pour effacer les données des systèmes compromis.

Eau, énergie, collectivités locales, la totale

Les secteurs touchés sont ceux qu'on redoute le plus dans ce genre de scénario : stations de traitement d'eau, installations énergétiques (centrales, raffineries), et même des collectivités locales. Plusieurs victimes ont subi des arrêts de production forcés, avec un basculement en mode manuel et des pertes financières que le FBI n'a pas voulu chiffrer publiquement.

Ce n'est pas la première fois que ce groupe fait parler de lui. Fin 2023, CyberAv3ngers avait déjà piraté des automates Unitronics dans une station d'eau en Pennsylvanie, tout simplement en exploitant des mots de passe par défaut.

Dès 2024, ils sont passés à la vitesse supérieure avec du malware sur mesure contre des systèmes d'eau et de carburant. La campagne actuelle, qui est active depuis mars 2026, marque un nouveau cran dans l'escalade.

Même s'il baisse un peu en intensité depuis quelques heures, le conflit entre les États-Unis, Israël et l'Iran a débuté le 28 février 2026 avec des frappes aériennes. Depuis, les opérations cyber iraniennes se sont accélérées, aussi bien contre des cibles américaines qu'israéliennes.

"Les acteurs iraniens bougent plus vite, plus largement, et ciblent désormais à la fois les infrastructures IT et OT", a résumé Sergey Shykevich, chercheur chez Check Point.

Côté recommandations, les agences américaines demandent aux opérateurs de déconnecter immédiatement tous les équipements industriels d'internet, d'appliquer les correctifs Rockwell, d'activer l'authentification multifacteur et de surveiller le trafic entrant sur les ports concernés. Le b.a.-ba donc, mais visiblement pas encore appliqué partout.

En tous cas, six agences fédérales qui publient un avis commun, ça donne une idée de la gravité du truc. Le fait que des hackers puissent encore trouver des automates industriels directement accessibles depuis internet en 2026, c'est quand même assez idiot. Surtout quand ils contrôlent des stations d'eau ou des centrales énergétiques.

Source : CNN

ChipSoft, l'éditeur qui fournit le logiciel de dossiers médicaux à environ 80 % des hôpitaux aux Pays-Bas, vient d'être touché par un ransomware. Le site de l'entreprise est hors ligne depuis le 7 avril, et on ne sait pas encore si des données de patients ont été volées.

Ce qu'il s'est passé

L'attaque a été confirmée le 7 avril par Z-CERT, l'agence néerlandaise qui surveille la sécurité informatique dans le secteur de la santé. ChipSoft développe le logiciel HiX, qui gère les dossiers médicaux de patients dans la grande majorité des hôpitaux du pays. Le site web de l'entreprise est tombé dans la journée et reste inaccessible.

Z-CERT a envoyé un mémo confidentiel aux clients de ChipSoft pour leur demander de couper leur connexion VPN vers les systèmes de l'éditeur. Onze hôpitaux ont déconnecté leurs systèmes par précaution. Les autres ont indiqué que leurs données patients étaient en sécurité et que leurs services continuaient de fonctionner.

Des données patients potentiellement compromises

ChipSoft a confirmé qu'il y avait eu un "incident de données" avec un "possible accès non autorisé". L'entreprise ne peut pas garantir que des données de patients n'ont pas été consultées ou copiées. Le groupe de hackers derrière l'attaque n'a pas été identifié, et aucun montant de rançon n'a été rendu public.

Plusieurs hôpitaux, dont le Rijnstate Hospital, l'Antoni van Leeuwenhoek (spécialisé en cancérologie) et le Franciscus Hospital ont déclaré ne pas être affectés. Mais la portée réelle de l'attaque reste floue.

Le secteur de la santé toujours en première ligne

Z-CERT classe les ransomwares et l'extorsion comme les menaces principales pour les organisations de santé néerlandaises dans son rapport annuel.

Le secteur reste une cible privilégiée parce que les données médicales ont une valeur élevée sur le marché noir, et que les hôpitaux ne peuvent pas se permettre de rester longtemps sans accès à leurs systèmes.

Quand un seul éditeur gère les dossiers médicaux de 80 % des hôpitaux d'un pays, une attaque sur cet éditeur prend une dimension un peu inquiétante.

Pour l'instant les dégâts semblent contenus, mais le fait que ChipSoft ne puisse pas exclure un vol de données, c'est quand même un gros point d'interrogation. Et ça rappelle qu'un système de santé aussi centralisé, ça peut vite devenir une faiblesse.

Source : NL Times

Le noyau Linux 7.1 devrait supprimer la possibilité de compiler un noyau pour les processeurs Intel 486. C'est la première fois depuis 2012 qu'une architecture processeur est retirée du noyau, et le minimum requis passera du 486 au Pentium. L'Intel 486 a 37 ans.

Un processeur de 1989

L'Intel 486 est sorti en 1989. C'est le processeur qui a fait passer les PC de la ligne de commande au monde graphique, et il a été vendu pendant une bonne partie des années 90.

Le 486SX, sa version sans coprocesseur mathématique, et l'AMD Elan, une variante embarquée, sont aussi concernés par cette suppression. Le patch a été proposé par Ingo Molnar, un des développeurs historiques du noyau Linux.

La dernière fois que Linux a retiré le support d'une architecture processeur, c'était en 2012, quand le 80386 avait été abandonné. Ca fait donc 14 ans que personne n'avait touché à ce genre de nettoyage.

Du ménage dans le code

Le patch supprime trois options de configuration du noyau : M486, M486SX et MELAN. Sans ces options, il ne sera plus possible de compiler un noyau Linux spécifiquement pour un 486. Le processeur minimum deviendra le Pentium, qui supporte les instructions TSC et CMPXCHG8B, deux fonctions que le 486 ne gère pas.

Molnar explique que le code de compatibilité pour ces vieux processeurs pose régulièrement des problèmes et demande du temps de maintenance que les développeurs préfèrent consacrer à autre chose. Linus Torvalds avait d'ailleurs déclaré dès 2022 que les processeurs 486 n'étaient plus utilisés que comme pièces de musée.

Et le 32 bits, alors ?

Le retrait du 486 ne veut pas dire que Linux abandonne le 32 bits. Le noyau continue de supporter les architectures 32 bits, et il y a encore suffisamment de processeurs Atom et de systèmes embarqués 32 bits en circulation pour que ça reste le cas un moment.

Mais la tendance est claire : l'avenir de Linux sur x86 est en 64 bits, et le code 32 bits finira par suivre le même chemin que le 486.

Aucune distribution Linux récente ne proposait de toute façon un noyau compilé pour 486. Les utilisateurs qui font tourner Linux sur ce type de matériel pourront continuer avec des noyaux plus anciens.

Ca concerne très peu de monde en pratique, mais c'est quand même un petit moment d'histoire informatique. Le 486 a été le premier vrai processeur grand public chez Intel, et le voir disparaître du noyau Linux après 37 ans de bons et loyaux services, ça fait quelque chose.

En tout cas les développeurs du noyau semblent soulagés de pouvoir enfin faire le ménage. Pour la petite histoire, mon premier PC était un 386 SX25, et je suis ensuite passé directement au Pentium 60 (celui qui avait le bug de la virgule flottante), je trouve ça dingue qu'avec tous les ordinateurs que j'ai eu chez moi, je n'ai jamais eu de 486 !

Source : Phoronix

60 Mo de source maps (ces fichiers qui permettent de remonter du code minifié à l'original) ont été oubliés dans un paquet npm. Et voilà comment Anthropic a involontairement balancé en public le code source complet de Claude Code, son outil à 2.5 milliards de dollars de revenus annuels.

Alors qu'est-ce qui s'est passé exactement ?

Hé bien hier, la version 2.1.88 du package @anthropic-ai/claude-code sur le registre npm embarquait un fichier .map de 59.8 Mo. Un truc normalement réservé au debug interne, sauf que ce fichier .map contenait les pointeurs vers les 1 900 fichiers TypeScript originaux, en clair. Chaofan Shou, un développeur chez Solayer Labs, a alors repéré la boulette et l'a partagée sur X. Le temps qu'Anthropic réagisse, le code était déjà mirroré partout sur GitHub, avec 41 500+ forks en quelques heures. Autant dire que le dentifrice ne rentrera pas dans le tube !

Pour ma part, j'avais un petit dépôt à moi assez ancien avec quelques trucs relatifs à Claude Code, qui n'avait rien à voir avec tout ça, qui s'est même retrouvé striké... Ils ratissent large avec leur DMCA donc.

Et là, c'est la fête pour les curieux comme moi parce que les entrailles de l'outil révèlent pas mal de surprises. Côté architecture, on découvre environ 40 outils internes avec gestion de permissions, un moteur de requêtes de 46 000 lignes de TypeScript, un système multi-agents capable de spawner des essaims de sous-tâches en parallèle, et un pont de communication entre le terminal et votre éditeur VS Code ou JetBrains. Le tout tourne sur Bun (pas Node.js ^^) avec Ink pour l'interface terminal. Par contre, pas de tests unitaires visibles dans le dump.

Côté mémoire, c'est plutôt bien pensé puisqu'au lieu de tout stocker bêtement dans la fenêtre de contexte du modèle, l'outil utilise un fichier texte MEMORY.md ultra-léger (genre 150 caractères par entrée) qui sert d'index de pointeurs. Les vraies données, elles, sont distribuées dans des fichiers thématiques chargés à la demande, et les transcripts bruts ne sont jamais relus entièrement, mais juste fouillés à la recherche d'identifiants précis. L'agent traite en fait sa propre mémoire comme un "hint" ce qui le force à vérifier toujours le vrai code avant d'agir. En gros, il a une mémoire sceptique, et pour moi c'est clairement le truc le plus intéressant du dump.

Y'a aussi un truc qui s'appelle KAIROS (mentionné 150 fois dans le code) qui est un genre de mode daemon autonome. En fait, pendant que vous allez chercher votre café, l'agent tourne en arrière-plan et fait ce qu'ils appellent autoDream : il consolide sa mémoire dans des fichiers JSON, vire les contradictions et transforme les observations vagues en données structurées. Comme ça, quand vous revenez devant votre écran, le contexte est nettoyé.

Et puis le code balance aussi la roadmap interne d'Anthropic (bon courage au service comm ^^). On y trouve les noms de code des modèles... Capybara pour un variant de Claude 4.6, Fennec pour Opus 4.6, et un mystérieux Numbat qui n'est pas encore sorti. D'ailleurs, les commentaires internes révèlent que Capybara v8 a un taux de fausses affirmations qui tourne autour de 30%, ce qui est une grosse régression par rapport aux 17% de la v4. Y'a même un "Undercover Mode" qui permet à l'agent de contribuer à des repos publics sans révéler d'infos internes (c'est sympa pour les projets open source).

Anthropic a confirmé la fuite : "C'était un problème de packaging lié à une erreur humaine, pas une faille de sécurité. Aucune donnée client n'a été exposée." Mouais, attention quand même, parce que le code est déjà partout et n'en repartira pas. Et même si aucun secret client n'a fuité, exposer l'architecture complète d'un agent IA à 2.5 milliards de revenus, c'est pas rien non plus.

Bon, et maintenant qu'est-ce qu'on peut en faire ? Bah pas mal de choses en fait.

Par exemple, le système de mémoire auto-correcteur est un pattern directement réutilisable pour vos propres agents IA. L'architecture "index léger + fichiers à la demande" résout élégamment le problème de la pollution de contexte qui fait halluciner les LLM sur les longues sessions. Les +40 outils internes permettent aussi de comprendre comment structurer un système de permissions granulaires dans un agent autonome . Et le concept KAIROS/autoDream, la consolidation mémoire pendant l'idle, c'est une idée qu'aucun outil open source n'implémente encore. Autant dire que les alternatives open source à Claude Code ou Codex vont monter en gamme dans les jours qui viennent. Et le code est déjà nettoyé, réécris en Rust et mis sur GitHub si vous voulez fouiller. Bon, pas sûr que le pattern autoDream soit simple à reimplémenter, mais le système de mémoire oui.

Je trouve ça assez marrant que le code proprio d'une boite qui a aspiré tout l'open source du monde voire plus, sans autorisation, pour le revendre sous la forme de temps machine / tokens, devienne lui aussi en quelque sorte "open source" sans qu'on leur demande leur avis ^^. La vie est bien faite.

Maintenant, pour les développeurs qui publient sur npm, la leçon est limpide : Vérifiez votre .npmignore et votre champ files dans package.json. Ou plutôt, lancez la commande npm pack --dry-run dans votre terminal avant chaque publish. Ça prend 2 secondes et ça vous montre exactement ce qui sera inclus dans le paquet. Ça aurait évité 60 Mo de secrets industriels qui partent en public.

Bref, un .npmignore bien configuré, ça coûte 0 euro. Alors qu'une fuite de propriété intellectuelle évaluée à 2.5 milliards... un peu plus !

Source

Le fichier national qui recense toutes les armes détenues en France vient de se faire trouer en version XXL !

En effet, un affreux pirate a réussi à exfiltrer les données liées à la possession de plus de 62 000 armes, et parmi elles, les noms, prénoms, dates de naissance, adresses email et surtout les adresses postales de leurs propriétaires. Mais ce n'est pas tout puisque le fichier contiendrait également le détail complet de chaque arme (modèle, calibre, numéro de série, classement) ainsi que l'historique des transactions (ventes, cessions, réparations, destructions).

Donc on a maintenant dans la nature un joli tableur Excel avec en colonne A le numéro de série de votre Beretta, et en colonne B votre adresse.

J'vois vraiment pas ce qui pourrait mal tourner... 🤡

Alors pour ceux qui débarquent, le SIA (Système d'Information sur les Armes) c'est LA base de données du ministère de l'Intérieur dans laquelle tous les détenteurs d'armes doivent obligatoirement s'enregistrer. Que vous soyez chasseur avec votre Browning, tireur sportif avec votre Glock ou que vous ayez hérité du vieux Manufrance de papy, vous êtes dedans !!

Le ministère a d'ailleurs confirmé l'intrusion dans un courrier envoyé aux personnes concernées (environ 41 000 détenteurs selon les dernières estimations).

En fait, le cybercriminel a compromis les identifiants d'un armurier situé dans le département 84 (c'est le Vaucluse pour les nuls en géo) et a accédé à son Livre de Police Numérique (LPN), le registre dématérialisé qui liste toutes les transactions d'armes du professionnel et qui est directement interconnecté avec le SIA.

Les identifiants de l'armurier auraient pu être récupérés via du phishing, un logiciel espion ou même le vol d'un ordinateur... bref, les classiques, et cerise sur le gâteau, le pirate affirme même avoir été interrompu en pleine exfiltration, ce qui veut dire qu'il aurait pu aspirer encore plus de données s'il n'avait pas été coupé dans son élan.

Le ministère se veut rassurant (lol) en précisant que "le système d'information sur les armes n'a pas été atteint" directement. Mouais... techniquement c'est vrai, c'est le compte pro de l'armurier qui a sauté et pas le SIA en lui-même. Mais en vrai le résultat est le même pour les gens dont l'adresse postale se balade maintenant sur un forum du dark web.

Côté butin, le pirate revendique pas moins d'un listing de 62 511 armes se composant de 46% de carabines, 29% de fusils de chasse, 11% de fusils à pompe et 8% d'armes de poing, le tout allant de la catégorie B (soumise à autorisation) à la catégorie C (sur déclaration).

L'Union Française des amateurs d'Armes (UFA) tempère en rappelant que la base contient plusieurs millions d'armes, et que ces chiffres "tendent à faire penser que la fuite ne concerne pas l'ensemble du système". Heureusement les gars ! Après 41 000 détenteurs avec leurs adresses et le numéro de série de leurs joujoux dans la nature, c'est quand même pas rien non plus.

Et surtout c'est pas la première fois. C'est même la troisième fuite liée au milieu des armes en 6 mois. En octobre 2025, la Fédération Française de Tir (FFTir) s'était déjà fait trouer, puis en janvier 2026 c'était au tour de la Fédération Nationale des Chasseurs (FNC), et maintenant le SIA. Le trio gagnant !!

Les conséquences avaient d'ailleurs été très concrètes après la fuite FFTir puisque la préfecture de police avait alerté sur des repérages et prises de renseignement suspects signalés aux forces de l'ordre, avec des cambrioleurs qui débarquaient chez des tireurs sportifs pour récupérer leurs armes.

Le ministère a déposé plainte et notifié la CNIL et recommande de changer régulièrement de mot de passe et ne jamais communiquer ses identifiants. Merciiiii on n'y avait pas pensé ! Mais le plus beau c'est la mesure d'urgence annoncée en réaction car à partir du 1er avril 2026 (oui, demain), tous les professionnels devront activer la double authentification pour accéder à leur compte SIA. Oui, y'en n'avait pas... un simple identifiant + mot de passe suffisait pour accéder à une base qui gère les données de millions de détenteurs d'armes en France. Ça laisse rêveur.

Après, si vous êtes inscrit au SIA et que vous n'avez pas reçu le courrier du ministère, ça ne veut pas forcément dire que vous n'êtes pas touché alors dans le doute, méfiez-vous de tout appel ou visite prétendument officielle vous demandant de remettre ou montrer vos armes car la police, la gendarmerie et les douanes ne viendront jamais chez vous récupérer vos armes suite à une fuite de données. Donc si quelqu'un sonne à votre porte avec ce prétexte, c'est forcément une arnaque (ou pire...) comme ça s'est passé après la fuite FFTir.

Bref, entre le pistage permanent de nos données en ligne et toutes ces bases gouvernementales qui fuient comme des passoires , j'imagine que la prochaine étape, ça sera le vol et la diffusion du fichier des codes nucléaires mis à dispo sur un forum de script kiddies...

Source

Des milliers de faux messages imitant des notifications de sécurité Visual Studio Code ont été postés sur GitHub. Le but : rediriger les développeurs vers un site malveillant qui collecte leurs données système. La méthode est franchement vicieuse.

Une campagne massive sur GitHub Discussions

Les chercheurs en sécurité de Socket viennent de mettre le doigt sur une opération d'ampleur. Des centaines, voire des milliers de messages quasi identiques ont été publiés en quelques minutes sur la section Discussions de nombreux dépôts GitHub.

Chaque message reprend le même modèle : un titre alarmiste du type "Vulnérabilité grave Mise à jour immédiate requise", un faux identifiant CVE pour faire sérieux, et un lien vers une prétendue extension VS Code corrigée hébergée sur Google Drive.

Les comptes utilisés sont soit tout neufs, soit quasi inactifs, mais ils se font passer pour des mainteneurs de projets ou des chercheurs en sécurité. Et comme GitHub envoie des notifications par e-mail aux personnes qui suivent un dépôt ou qui sont taguées, les fausses alertes arrivent directement dans la boîte mail des développeurs. Vous pouvez donc vous faire avoir sans même ouvrir GitHub.

Un système de filtrage avant le malware

Bien sûr, le lien Google Drive ne vous amène pas d'un coup vers un fichier infecté. Il déclenche avant une série de redirections qui vous emmènent inlassablement vers un domaine bien foireux, où un script JavaScript va se charger du sale boulot.

Ce script collecte automatiquement le fuseau horaire, la langue, le système d'exploitation, l'identifiant du navigateur et même des indicateurs d'automatisation. Tout est envoyé vers un serveur de commande sans que vous n'ayez à cliquer sur quoi que ce soit.

L'idée derrière ce dispositif, c'est de trier les visiteurs. Les robots et les chercheurs en sécurité sont écartés, et seuls les vrais humains reçoivent la suite de l'attaque. Les chercheurs de Socket n'ont d'ailleurs pas réussi à capturer le malware de deuxième étape, ce qui montre que le filtrage fonctionne plutôt bien.

Ce n'est pas la première fois

GitHub a déjà été ciblé par ce genre de campagne. En mars 2025, une attaque similaire avait touché 12 000 dépôts avec de fausses alertes de sécurité qui poussaient les développeurs à autoriser une application OAuth malveillante.

Cette fois-là, les pirates obtenaient un accès direct aux comptes GitHub des victimes. En juin 2024, c'était via des commentaires et des demandes de fusion bidon que les attaquants redirigeaient vers des pages d'hameçonnage.

Le procédé est malin. Utiliser les notifications GitHub pour donner une apparence officielle à des messages bidons, c'est le genre d'astuce qui marche bien sur des développeurs pressés. 

Bon par contre, un lien Google Drive dans une alerte de sécurité, ça devrait quand même mettre la puce à l'oreille. Si vous recevez ce type de message, vérifiez toujours le CVE sur le site du NVD ou de MITRE avant de cliquer où que ce soit. Et si le lien pointe ailleurs que sur la boutique officielle de VS Code, passez votre chemin.

Source : Bleeping Computer

Le groupe de hackers Handala, lié au gouvernement iranien, affirme avoir piraté le compte Gmail personnel de Kash Patel, le directeur du FBI. Des photos privées et plus de 300 emails ont été publiés en ligne.

Le FBI confirme l'incident mais assure qu'aucune donnée gouvernementale n'a été compromise. Une prime de 10 millions de dollars est offerte pour identifier les responsables.

Ce qui a été volé

Le groupe Handala a mis en ligne des photos de Kash Patel posant avec des cigares, au volant d'un cabriolet ancien ou encore à côté de voitures immatriculées à Cuba. Le groupe a aussi publié un échantillon de plus de 300 emails datés de 2010 à 2019, un mélange de correspondances personnelles et professionnelles.

Tous ces messages sont antérieurs à l'arrivée de Patel au sein de l'administration Trump. Le FBI a réagi rapidement en précisant que les données étaient anciennes et qu'aucune information gouvernementale n'était concernée. Le bureau fédéral propose d'ailleurs jusqu'à 10 millions de dollars de récompense pour toute information sur les hackers de Handala.

Handala ?

Le groupe se présente comme des hackers pro-palestiniens, mais les chercheurs occidentaux et le département de la Justice américain le considèrent comme une façade du renseignement iranien, rattachée au ministère du Renseignement et de la Sécurité.

Ces dernières semaines, Handala a aussi revendiqué le piratage de Stryker, un fabricant américain de matériel médical, et la publication des données personnelles de dizaines d'employés de Lockheed Martin basés au Moyen-Orient.

Le piratage du compte de Patel serait une riposte directe à la saisie par le FBI de plusieurs domaines web du groupe après l'attaque contre Stryker.

Un contexte géopolitique tendu

Cette cyberattaque arrive dans un climat de tensions extrêmes entre les États-Unis, Israël et l'Iran. L'objectif, selon les analystes, est d'embarrasser les responsables américains et de leur donner le sentiment d'être vulnérables.

Côté technique, le piratage ne concerne que le Gmail personnel de Patel, pas ses communications officielles. Google n'a pas répondu aux demandes de commentaires. Les métadonnées des fichiers volés indiquent que le piratage aurait eu lieu avant le début des frappes américano-israéliennes contre l'Iran.

Quoi qu'il en soit, le directeur du FBI qui se fait pirater sa boîte mail perso, ça fait un peu désordre. Après, il faut reconnaître que ce sont des emails vieux de plus de six ans et des photos de vacances, pas des secrets d'État de zinzins.

Handala cherche visiblement à faire du bruit plus qu'à obtenir des renseignements. Mais bon, quand on dirige le FBI, on s'attend quand même à ce que le compte Gmail soit un peu mieux verrouillé, non ?

Source : CNBC

Canonical vient de publier la bêta d'Ubuntu 26.04 LTS, nom de code Resolute Raccoon. Au menu de cette future version longue durée : le noyau Linux 7.0, GNOME 50, l'abandon pur et simple de X11 au profit de Wayland, et un bon lot de nouveautés côté sécurité avec chiffrement TPM, cryptographie post-quantique et même sudo réécrit en Rust. La version finale est attendue le 23 avril.

Ce qui change

Ubuntu 26.04 LTS embarque le noyau Linux 7.0, qui apporte la prise en charge des processeurs Intel Nova Lake, AMD Zen 6, et les premières bases pour les puces Qualcomm Snapdragon X2. Le pilote graphique Mesa passe en version 26.0.2, et les pilotes NVIDIA grimpent à la version 590.

Côté langages, on retrouve Python 3.14, GCC 15.2 et OpenJDK 25 par défaut. Et gros changement pour les développeurs : les dépôts AMD ROCm et NVIDIA CUDA sont désormais intégrés directement dans les sources officielles d'Ubuntu. Plus besoin d'aller les chercher à la main, ce qui devrait simplifier pas mal de configurations pour ceux qui bossent avec du GPU.

Wayland seul aux commandes

C'est la grosse rupture de cette version. Ubuntu 26.04 abandonne complètement la session X11 native. GNOME 50 ne la prend plus en charge, et Canonical a suivi le mouvement. Si vous avez des applications qui tournent encore sous X11, elles passeront par la couche de compatibilité XWayland, qui reste présente.

Mais le message est clair : X11, c'est terminé. GNOME 50 en profite pour ajouter le taux de rafraîchissement variable, la sauvegarde et restauration de session après un redémarrage, et un meilleur scaling des applications X11 héritées. Côté visuel, le thème Yaru a été retravaillé avec des icônes de dossiers colorées, un dock complètement opaque, une nouvelle animation de démarrage et un papier peint inédit.

Le lecteur vidéo Totem cède sa place à Showtime, le moniteur système est remplacé par Resources, et le visionneur PDF Evince laisse la main à Papers.

La sécurité passe un cap

Le chiffrement complet du disque via TPM sort enfin du statut expérimental. C'est désormais une fonctionnalité pleinement supportée, ce qui devrait rassurer ceux qui hésitaient à l'activer. La cryptographie post-quantique est activée par défaut sur SSH, avec l'algorithme hybride mlkem768x25519-sha256.

Et détail qui va plaire aux puristes : la commande sudo classique est remplacée par sudo-rs, une réécriture en Rust qui renforce la sécurité mémoire. Les paquets firmware, jusqu'à présent livrés en un seul gros bloc, sont maintenant découpés en 17 paquets spécifiques par constructeur, ce qui réduit la bande passante nécessaire pour les mises à jour.

Visiblement, Canonical a décidé de tout faire bouger d'un coup sur cette LTS. La fin de X11, le passage à GNOME 50, sudo en Rust, la crypto post-quantique par défaut, ça fait un gros paquet de changements pour une version censée rester stable pendant cinq ans.

On apprécie l'intégration directe de CUDA et ROCm dans les dépôts, parce que jusqu'à présent c'était une galère à configurer pour qui voulait faire tourner du machine learning sur Ubuntu. Le passage forcé à Wayland va probablement faire grincer des dents certains utilisateurs qui dépendent encore d'outils graphiques un peu anciens, mais bon, il fallait bien que ça arrive. La version finale est prévue le 23 avril, et le support court jusqu'en 2031, ou 2036 avec Ubuntu Pro. À voir si la bêta tient ses promesses d'ici là.

Source : Phoronix

Les fraudeurs n'ont plus besoin de vrais téléphones pour vider des comptes bancaires. Des smartphones virtuels hébergés dans le cloud, louables quelques centimes de l'heure, imitent sans problème de vrais appareils et passent sous le radar des systèmes anti-fraude.

Un smartphone qui n'existe pas

Group-IB vient de publier un rapport qui fait froid dans le dos. Des plateformes comme GeeLark, Redfinger ou LDCloud proposent de louer des smartphones Android virtuels hébergés dans des datacenters, pour 0,10 à 0,50 dollar de l'heure. À la base, ils sont prévus pour tester des apps ou gérer plusieurs comptes.

Sauf que les fraudeurs ont très vite compris l'intérêt du truc. Ces téléphones fantômes reproduisent tout ce qui fait un vrai smartphone : identifiant unique, adresse IP locale, géolocalisation crédible, et même des données de capteurs comme l'accéléromètre ou le gyroscope.

Votre banque croit parler à un iPhone à Paris. En réalité, c'est un serveur quelque part en Asie. Et le pire, c'est que ça marche. Les systèmes anti-fraude qui se basent sur l'empreinte de l'appareil n'y voient que du feu.

Revolut et Wise en vitrine sur le darknet

Là où ça devient concret, c'est quand on regarde ce qui se vend sur les forums criminels. Des comptes bancaires pré-vérifiés sur Revolut ou Wise, créés via ces cloud phones, s'échangent entre 50 et 200 dollars.

On parle de comptes mules utilisés pour recevoir et faire transiter de l'argent volé. Le tout à échelle industrielle. Côté chiffres, c'est vertigineux : 485 millions de livres de pertes liées à la fraude au Royaume-Uni en 2022.

Aux États-Unis, Deloitte projette 14,9 milliards de dollars d'ici 2028, contre 8,3 milliards en 2024. Et la France n'est pas épargnée, avec 618 millions d'euros de fraude bancaire au premier semestre 2025, en hausse de 7 % par rapport à 2024.

Comment les détecter ?

Group-IB a quand même identifié quelques indices. Un cloud phone n'a en général aucune application par défaut installée. Sa batterie reste bloquée à 100 %. Et surtout, les capteurs de mouvement ne bougent jamais, ce qui est impossible avec un vrai téléphone que quelqu'un tient dans la main.

Le problème, c'est que ces indices sont marginaux face à l'ampleur du phénomène. Les solutions proposées passent par de l'analyse comportementale, de la modélisation par graphes et une meilleure corrélation entre l'appareil et son environnement réseau.

Les banques vont devoir arrêter de se fier uniquement à l'empreinte du téléphone pour vérifier que vous êtes bien vous.

Le modèle de sécurité des banques basé sur l'identification de l'appareil est en train de prendre l'eau. Ces cloud phones sont en location libre, parfaitement légaux, et n'importe qui peut en louer un.

Et puis il faut le dire, les néobanques qui ont misé à fond sur la fluidité d'ouverture de compte se retrouvent avec le revers de la médaille. Quand ouvrir un compte prend deux minutes depuis un téléphone virtuel à 50 dollars, on imagine bien que les fraudeurs ne se privent pas.

Source : Info Security

Europol vient de coordonner un coup de filet massif contre le dark web. En dix jours, 23 pays ont fermé plus de 373 000 sites frauduleux qui proposaient des contenus pédocriminels.

Le plus ironique : l'opérateur n'a jamais livré la moindre donnée, il arnaquait ses propres clients. Et ces clients sont désormais dans le viseur de la police.

Une opération dans 23 pays

L'opération Alice a été lancée le 9 mars et a duré dix jours. Sous la direction des autorités allemandes et avec le soutien d'Europol, des policiers de 23 pays ont participé à ce coup de filet, de la France aux États-Unis en passant par la Suisse, l'Australie et le Royaume-Uni.

L'enquête avait démarré en 2021 autour d'une plateforme baptisée "Alice with Violence CP", qui proposait des contenus pédocriminels à la vente sur le dark web. Au total, 105 serveurs ont été saisis, tous hébergés en Allemagne, et l'opérateur a été identifié : un homme de 35 ans basé en Chine, visé par un mandat d'arrêt international.

L'arnaqueur arnaqué

Le détail qui rend cette affaire si particulière : le suspect n'a jamais livré les contenus qu'il vendait. Il gérait environ 90 000 sites sur le réseau Tor qui proposaient des "packs" de 17 à 215 euros, payables en Bitcoin. Les acheteurs recevaient en échange... rien du tout.

En cinq ans d'activité, il a encaissé 345 000 euros auprès de 10 000 clients qui pensaient acheter des contenus pédocriminels. Un escroc qui arnaque des criminels, en somme.

440 suspects identifiés

Sauf que ces clients, même s'ils n'ont rien reçu, ont quand même tenté d'acheter des contenus illégaux. Europol a donc remonté les paiements en cryptomonnaies et identifié 440 personnes à travers le monde.

Plus de 100 d'entre elles font l'objet d'enquêtes actives. En Suisse, cinq personnes ont été placées en détention. En Allemagne, 14 suspects sont visés par des procédures. La France a mobilisé l'Office de protection des mineurs pour sa part de l'enquête.

On a quand même un type qui a monté 373 000 faux sites depuis la Chine et qui a encaissé 345 000 euros en arnaquant des gens qui voulaient acheter les pires contenus imaginables. Et grâce à lui, la police a maintenant une liste de 440 noms.

Source : Techspot

Les autorités américaines viennent de démanteler quatre réseaux de botnets qui contrôlaient plus de trois millions d'appareils dans le monde. Caméras, routeurs Wi-Fi, enregistreurs vidéo : le matériel du quotidien servait à lancer des attaques DDoS records, dépassant les 30 térabits par seconde.

Pas un petit réseau

Le bureau du procureur fédéral de l'Alaska a annoncé l'opération le 19 mars. Le département de la Justice américain, le FBI et le Defense Criminal Investigative Service ont travaillé avec les autorités canadiennes et allemandes pour mettre hors service quatre botnets : Aisuru, KimWolf, JackSkid et Mossad.

Des domaines et des serveurs virtuels hébergés aux États-Unis ont été saisis, et une vingtaine d'entreprises tech ont aidé à neutraliser l'infrastructure. Les appareils infectés étaient des caméras de surveillance, des enregistreurs vidéo et des routeurs Wi-Fi grand public, le genre d'équipements que des millions de foyers utilisent sans trop se soucier des mises à jour de sécurité.

Des attaques records et le Pentagone parmi les cibles

Côté chiffres, plus de trois millions d'appareils compromis dans le monde, dont des centaines de milliers aux États-Unis. Aisuru, le plus actif, a lancé plus de 200 000 commandes d'attaque DDoS depuis son apparition fin 2024.

JackSkid en a envoyé plus de 90 000, KimWolf environ 25 000 et Mossad un millier. Le réseau du département de la Défense américain figurait parmi les cibles, ce qui donne une idée du niveau de la menace. Mi-2025, les attaques ont atteint des volumes jamais vus, avec un pic à 31,4 térabits par seconde mitigé par Cloudflare en novembre.

Les victimes signalent des pertes en dizaines de milliers de dollars, et encore, on parle de ceux qui ont porté plainte.

Un Canadien de 22 ans et un Allemand de 15 ans dans le viseur

Un Canadien de 22 ans a été identifié comme opérateur principal de KimWolf, une variante d'Aisuru capable de se propager sur un réseau interne dès qu'un seul appareil est compromis.

Un ado Allemand de 15 ans est suspecté d'avoir piloté un autre de ces botnets. Sauf que voilà, ces réseaux ne servaient pas qu'à leurs créateurs. Les opérateurs vendaient l'accès aux appareils piratés à d'autres criminels, qui pouvaient lancer leurs propres attaques DDoS sans aucune compétence technique.

Du cybercrime as a service, une sorte de location de puissance de frappe numérique accessible à n'importe qui avec quelques centaines de dollars.

Un ado de 15 ans qui pilote un botnet capable de mettre à genoux des infrastructures militaires, c'est quand même révélateur du problème de fond. La facilité d'accès à ces outils est grotesque.

Le démantèlement est une bonne nouvelle, mais tant que des millions de routeurs et de caméras resteront branchés avec leurs mots de passe par défaut, d'autres prendront le relais. Bref, la vraie faille, elle est dans votre salon.

Source : Wired

Google durcit le ton avec Android 17. La prochaine version de l'OS mobile va empêcher les applications non certifiées d'accéder aux services d'accessibilité, une API très puissante et régulièrement détournée par les malwares pour espionner les utilisateurs et vider des comptes bancaires.

Ce qui change avec Android 17

La nouveauté est apparue dans la Beta 2 d'Android 17, repérée la semaine dernière. Quand le mode Advanced Protection est activé, le système bloque automatiquement l'accès à l'API AccessibilityService pour toutes les apps qui ne sont pas de vrais outils d'accessibilité.

Seules les applications qui portent le marqueur technique isAccessibilityTool restent autorisées : lecteurs d'écran, outils de saisie vocale, systèmes d'entrée par contacteur et applications braille.

Les autres, et la liste est longue, sont mises de côté : antivirus, outils d'automatisation, assistants, nettoyeurs système, gestionnaires de mots de passe et lanceurs alternatifs.

Et si une de ces apps avait déjà l'autorisation, Android 17 la révoque automatiquement au moment où le mode Advanced Protection est activé. L'utilisateur ne peut pas non plus forcer l'accès manuellement tant que la protection est active.

Pourquoi c'est un vrai sujet ?

L'API AccessibilityService est l'une des plus sensibles d'Android. Elle permet de lire le contenu de l'écran, d'intercepter les frappes clavier, de cliquer sur des boutons à la place de l'utilisateur et d'accorder des autorisations sans que personne ne s'en rende compte.

Les malwares bancaires l'exploitent depuis des années pour voler des identifiants et vider des comptes. Google a longtemps fermé les yeux sur le problème, ou en tout cas laissé la porte grande ouverte. Avec ce mode, c'est un peu le retour à la raison.

Le mode Advanced Protection, lancé avec Android 16, regroupe aussi d'autres verrous : blocage du sideloading (l'installation d'apps en dehors du Play Store), restriction des transferts de données par USB et scan obligatoire via Google Play Protect.

Android 17 ajoute donc cette brique supplémentaire sur l'accessibilité. Côté développeurs, Google met à disposition une API AdvancedProtectionManager qui permet aux apps de détecter si le mode est actif et d'adapter leur comportement en conséquence.

On ne va pas se mentir, quand on utilise un iPhone, ce genre de problème ne se pose pas vraiment puisque iOS a toujours été bien plus restrictif sur ce que les apps peuvent faire en arrière-plan. Mais pour les utilisateurs Android, c'est une avancée qui était attendue depuis un moment. Le revers de la médaille, c'est que des apps tout à fait légitimes vont se retrouver bloquées.

Un émulateur de Dynamic Island comme dynamicSpot ne fonctionne plus avec le mode activé, et c'est le genre de petite frustration qui risque de pousser pas mal de monde à désactiver la protection. On espère que Google trouvera un juste milieu entre la sécurité et la flexibilité qui fait la force d'Android, en tout cas pour le moment ce n'est pas encore tout à fait ça.

Source : The Hacker News

Non mais c'te blague ! Y'a des hackers qui viennent de lancer une cyber-attaque sur des parcmètres. Ouais des parcmètres ! Et voilà comment Perm, une ville d'un million d'habitants dans l'Oural en Russie, s'est retrouvée à offrir le parking gratuit aux automobilistes durant 4 longues journées.

En effet, du 10 au 13 mars dernier, le système de stationnement automatisé de Perm et son portail permparking.ru se sont pris une attaque par déni de service tellement massive que plus personne ne pouvait payer sa place. Et c'est à ce moment que les autorités locales ont eu une réaction d'une logique implacable, en décrétant le stationnement gratuit pour tout le monde pendant la durée de la panne, week-end compris !

Ah les veinards !

Pour ceux qui débarquent, le principe d'un DDoS c'est de noyer les serveurs sous un déluge de trafic réseau, souvent via un botnet, c'est-à-dire un réseau de machines infectées qui envoient toutes des requêtes en même temps. En fait, c'est comme si 500 000 personnes essayaient d'entrer en même temps dans une cabine téléphonique ^^. C'est un classique cyber plutôt brutal mais diablement efficace. Si le sujet vous intéresse, j'avais d'ailleurs fait un article complet là-dessus .

Ce qui est "cocasse" dans l'histoire, c'est qu'on ne sait toujours pas qui est derrière tout ça. Un groupe d'hacktivistes qui voulait faire passer un message ? Un ado qui testait un stresser (ces outils de DDoS clé en main) trouvé sur un forum ? Ou tout simplement un automobiliste bien énervé par le prix du stationnement qui aurait tout simplement décidé de régler le problème à sa manière ? On ne sait pas mais l'hypothèse n°3 est ma préférée ^^.

Après, j'avoue que dans le contexte actuel, c'est difficile de ne pas penser au hacktivisme. En effet, en octobre 2024, c'est le parking de Tver qui s'était fait démonter. Une attaque ensuite revendiquée par l' Ukrainian Cyber Alliance , puis la ville de Krasnodar a suivi en janvier 2025. Et enfin Perm, qui devient donc la 3ème ville russe à se faire offrir le parking gratos par des hackers.

Parcmètres, feux de signalisation, systèmes de transport... faut dire que tout ce qui est connecté et pas assez protégé finit tôt ou tard par se faire taper dessus.

C'est un concept que certains (j'imagine) aimeraient bien voir arriver à Paris, mais bon, rêvez pas, chez nous c'est ULTRA SECURISÉ (lol)

En tout cas, si un jour le parking devient gratuit chez vous, demandez-vous si c'est pas un affreux botnet qui est en train de vous faire économiser quelques euros.

Source

La reconnaissance faciale vient encore de montrer ses limites aux États-Unis. Angela Lipps, 50 ans, grand-mère du Tennessee, a passé près de six mois en prison après qu'un algorithme l'a désignée à tort comme suspecte dans une affaire de fraude bancaire au Dakota du Nord.

Ses relevés bancaires ont prouvé qu'elle se trouvait à 2 000 kilomètres des faits. Elle attend toujours des excuses.

Un algorithme, une arrestation

Le 14 juillet 2025, des agents fédéraux américains débarquent chez Angela Lipps au Tennessee. Ils l'arrêtent sous la menace d'une arme, alors qu'elle garde quatre enfants. La police de Fargo, dans le Dakota du Nord, à environ 2 000 kilomètres de là, la soupçonnait d'avoir utilisé une fausse carte d'identité militaire pour retirer des dizaines de milliers de dollars dans plusieurs banques entre avril et mai 2025.

Pour identifier la suspecte filmée par les caméras de surveillance, les enquêteurs ont passé les images dans un logiciel de reconnaissance faciale. Le système a désigné Angela Lipps. Un détective a ensuite comparé la photo avec le permis de conduire et les réseaux sociaux de la quinquagénaire, et a validé l'identification. Sauf que ce n'était pas du tout elle.

108 jours sans la moindre audition

Classée comme fugitive, Angela Lipps est restée quatre mois en prison au Tennessee, sans caution et sans possibilité de se défendre. Elle n'a été transférée dans le Dakota du Nord que le 30 octobre, soit 108 jours après son arrestation.

Sa première comparution devant un tribunal a eu lieu le lendemain. Et c'est seulement le 19 décembre, cinq mois complets après l'arrestation, que la police de Fargo l'a interrogée pour la première fois.

Son avocat, Jay Greenwood, avait entre-temps obtenu ses relevés bancaires. Les documents montraient qu'Angela achetait des cigarettes et déposait ses chèques de sécurité sociale au Tennessee au moment même où la police la plaçait à Fargo. Les charges ont été abandonnées le 24 décembre, la veille de Noël. Cinq mois et dix jours d'incarcération pour une erreur de machine.

Tout perdu, zéro indemnisation

À sa sortie, Angela Lipps n'avait plus rien. Pas de manteau, pas d'argent, pas de moyen de rentrer chez elle. Pendant sa détention, elle a perdu sa maison, sa voiture et son chien. La police de Fargo n'a pris en charge aucun frais.

Ce sont des avocats de la défense locaux qui lui ont donné de quoi payer une chambre d'hôtel et de la nourriture le soir de Noël. Le lendemain, Adam Martin, fondateur de l'association F5 Project, l'a conduite en voiture jusqu'à Chicago pour qu'elle puisse regagner le Tennessee.

Un habitant de West Fargo, Michael Nessa, a depuis lancé une cagnotte GoFundMe en son nom, qui a récolté près de 20 000 dollars. Angela Lipps attend toujours des excuses de la police.

Ce n'est pas la première fois qu'une personne se retrouve derrière les barreaux à cause d'un faux positif de reconnaissance faciale aux États-Unis. Et dans la grande majorité des cas rendus publics, les victimes sont des femmes ou des personnes issues de minorités.

Côté procédure, qu'un détective ait "confirmé" l'identification en comparant une photo de surveillance avec un permis de conduire, ça en dit quand même long sur la rigueur du processus.

Si vous pensiez que ce genre de technologie était encadré par des garde-fous solides, l'affaire Lipps prouve le contraire. Six mois de prison, une vie brisée, et pas la moindre excuse. Franchement, on espère que ça fera réagir là-bas, mais on n'y mettrait pas notre main à couper. Un grand merci à Skribascode de nous avoir envoyé cette info !

Sources : Upper Michigan Source , KVRR

Le canton de Bâle-Ville a suspendu son projet pilote de vote électronique après qu'une clé USB défectueuse a empêché le déchiffrement de 2 048 bulletins lors des votations fédérales du 8 mars. Une enquête pénale est ouverte.

Trois clés USB, zéro résultat

Le soir du 7 mars, veille du scrutin, la chancellerie du canton de Bâle-Ville a annoncé un problème technique sur son système de vote électronique. Le lendemain, 2 048 votes restaient bloqués dans l'urne numérique.

Le porte-parole du canton, Marco Greiner, a expliqué que trois clés USB contenant les codes de déchiffrement avaient été utilisées, toutes avec le bon code, mais qu'aucune n'avait fonctionné. Les experts de La Poste suisse et la police de Bâle n'ont pas réussi à récupérer les données.

Le problème ne vient pas du système de La Poste, mais du service informatique cantonal. Les votes concernés sont ceux d'environ 10 300 Suisses de l'étranger et de 30 personnes en situation de handicap, qui sont les seuls autorisés à voter par voie électronique dans ce canton.

Quatre objets fédéraux étaient soumis au vote ce jour-là, dont l'initiative sur le maintien du cash et celle sur le fonds climat.

Un projet suspendu et une enquête pénale ouverte

Bâle-Ville a suspendu le vote électronique jusqu'à fin décembre 2026 et commandé une analyse externe. Le ministère public a ouvert une procédure pénale pour suspicion de manipulation électorale, et l'unité "criminalité numérique" a trouvé des indices allant dans ce sens. Les résultats définitifs du canton ne seront confirmés que le 21 mars.

Les 2 048 bulletins perdus n'auraient pas changé l'issue des votations fédérales. Mais le précédent est gênant. En 2015, la loi sur la radio et la télévision avait été adoptée avec seulement 3 649 voix d'écart. En 2017, le financement complémentaire de l'AVS était passé à 2 361 voix près.

Avec des marges aussi serrées, 2 048 votes qui disparaissent, ça pose quand même un vrai problème. Les trois autres cantons pilotes (Thurgovie, Grisons et Saint-Gall) n'ont pas été touchés.

La Suisse avait déjà abandonné un premier système de vote électronique en 2019 après la découverte de failles de sécurité dans le code source. Et voilà que le deuxième essai trébuche sur une clé USB. Le politologue Michael Hermann résume bien la situation : cette panne fait reculer le vote électronique de plusieurs années.

On peut comprendre l'idée de dématérialiser le vote pour les Suisses de l'étranger, c'est même assez logique. Mais quand le maillon faible du système, c'est un bout de plastique avec une puce dedans, on se demande quand même si la bonne vieille enveloppe n'avait pas quelques avantages. Et oui, je sais que ce « 2048 » vous fait clairement tiquer comme chiffre, moi aussi, pas de doute, on est des vrais nerds.

Source : Swiss Info

La Pologne vient d'identifier sept adolescents soupçonnés de vendre des outils d'attaque DDoS en ligne. Le plus jeune avait 12 ans au moment des faits. Leurs cibles : des sites d'enchères, des hébergeurs et des plateformes de réservation. Tous passent devant le tribunal pour mineurs.

Sept ados, quatre régions, un business bien rodé

L'enquête a démarré en 2025 quand le Bureau central de lutte contre la cybercriminalité polonais a identifié un adolescent de 14 ans comme administrateur présumé des outils vendus par le groupe. Le fil a été tiré et six autres mineurs ont été retrouvés dans quatre régions du pays.

Lors des perquisitions à leurs domiciles, les enquêteurs ont saisi des smartphones, des ordinateurs portables, des disques de stockage, un registre comptable et de la documentation manuscrite.

Les suspects se connaissaient, restaient en contact régulier et coopéraient pour administrer et déployer les outils. Le tout dans un but purement lucratif vous l’imaginez bien.

Des attaques sur des gros sites

Les outils vendus par le groupe ont servi à attaquer des sites plutôt fréquentés : portails d'enchères et de ventes en ligne, domaines liés à l'informatique, services d'hébergement web et plateformes de réservation d'hébergement. On parle de DDoS-for-hire, un modèle où n'importe qui peut acheter une attaque par déni de service contre la cible de son choix.

La justice polonaise mise sur l'éducation

Côté justice, la loi polonaise prévoit qu'un enfant de moins de 13 ans ne peut pas être poursuivi pénalement. Pour les 13-17 ans, le système privilégie la rééducation plutôt que la sanction. Les dossiers des sept suspects ont été transmis aux tribunaux pour mineurs, qui décideront des suites.

Pas de prison donc, mais une prise en charge adaptée. Ce dossier n'est d'ailleurs pas le seul. En février, la Pologne avait déjà arrêté un jeune de 20 ans qui opérait un service de DDoS depuis sa chambre, dans le cadre de l'opération internationale PowerOFF coordonnée par le FBI et Europol.

Cette histoire fait sourire quand on imagine des hackers de 12 ans devant leurs ordis, mais le profil des suspects interpelle quand même. Tout ceci laisse songeur sur la facilité d'accès à ce type de ressources en ligne. La Pologne fait partie des pays européens les plus actifs sur la cybercriminalité ces derniers mois, avec plusieurs coups de filet successifs.

L'approche éducative plutôt que répressive pour les mineurs a du sens, mais elle pose une vraie question : est-ce que ça suffit à dissuader des gamins qui généraient déjà des revenus conséquents avec leurs plateformes ?

Source : Helpnetsecurity

Les services de renseignement néerlandais ont révélé qu'une campagne de hackers russes cible les comptes Signal et WhatsApp de hauts fonctionnaires, militaires et journalistes dans le monde entier.

Des employés du gouvernement néerlandais ont déjà été compromis, et le chiffrement de bout en bout n'a même pas eu besoin d'être cassé. Eh oui, là on parle de social engineering, tout simplement.

Des codes de vérification, pas du piratage

La méthode est assez simple, et c'est peut-être ça le pire. Les hackers contactent directement leurs cibles en se faisant passer pour le support technique de Signal. Ils demandent de partager le code de vérification à six chiffres ou le code PIN, sous prétexte de « sécuriser » le compte.

Une fois le code récupéré, ils se connectent et accèdent à l'ensemble des conversations. L'autre technique est un peu plus discrète : les attaquants envoient un QR code piégé qui lie un appareil supplémentaire au compte de la victime, via la fonction « appareils liés » de Signal ou WhatsApp. À partir de là, les messages arrivent en temps réel sur un appareil qu'ils contrôlent, sans que la victime ne s'en rende compte. Pratique.

Des comptes gouvernementaux déjà touchés

L'AIVD et le MIVD, les deux agences de renseignement néerlandaises, ont confirmé que des employés du gouvernement et des journalistes avaient été piégés. Simone Smit, directrice générale de l'AIVD, a tenu à préciser que Signal et WhatsApp en tant que plateformes n'étaient pas compromis : ce sont des comptes individuels qui ont été visés. Le chiffrement tient bon, mais ça ne sert à rien quand c'est l'utilisateur qui donne la clé.

Le vice-amiral Peter Reesink, directeur du MIVD, a de son côté rappelé que ces messageries ne devaient tout simplement pas être utilisées pour échanger des informations classifiées ou sensibles. Les hackers auraient déjà accédé à des données sensibles.

Comment savoir si vous êtes touché

Quelques signaux doivent vous alerter : un contact qui apparaît en double dans une conversation de groupe, ou un numéro connu qui affiche soudainement « compte supprimé ». La règle de base reste simple : ne jamais communiquer un code de vérification, même si la demande semble venir du support officiel. Et pensez à faire un tour dans les paramètres de Signal ou WhatsApp pour vérifier la liste des appareils liés à votre compte.

C'est couillon parce que ce type d'attaque n'a rien de sophistiqué, et c'est bien ça le problème. Pas besoin de casser le chiffrement quand il suffit de demander poliment le code à la personne en face.

C'est du social engineering, ça marche depuis des années, et ça continuera de marcher parce qu'on a quand même tendance à faire confiance à un message qui a l'air officiel (et c'est bien normal).

Le fait que des fonctionnaires gouvernementaux soient tombés dans le piège en dit long sur le niveau de sophistication requis : aucun. Mais bon, il serait peut-être bon de former un peu plus les gens qui manipulent des données sensibles à ce genre de risques.

Source : Reuters