Le principal problème est qu’il semble, en l’état, impossible de sécuriser un compte. Sony doit, en toute urgence, mettre en place un système plus coriace pour vérifier une identité. Pouvoir supprimer un vieux reçu du registre devrait être possible : en l’état, n’importe quelle facture permet de voler un compte (je ne crois pas que les autres grands groupes soient aussi simples). Et le passkey et le 2FA, bien que vivement recommandés, ne changent rien. Peut-être qu’il faudrait obliger une vérification de l’identité et un croisement de données personnelles ?
Sacrée histoire ! Toujours se méfier de ce qu'on publie sur internet.
PS J'essaye de ne plus trop partager de lien vers Numerama, à cause de leur politique éditoriale que je trouve discutable (multiplication des articles sur un même sujet pour faire du clic, opportunisme sur des sujets mineurs, nombre de trackers, etc.), mais il y a toujours des articles ou enquêtes qui valent le coup.
J’espère que ces monstrueux “truc” n’arriveront pas de si tôt par ici.
C’est un changement de paradigme dans la défense des infrastructures critiques. Jusqu’ici, la stratégie dominante reposait sur la détection et la correction (patching) des vulnérabilités. Face à l’automatisation des attaques et à la rapidité des vecteurs basés sur l’IA, cette course est perdue d’avance. Le 24 novembre, la Linux Foundation a dévoilé une nouvelle initiative majeure : l’Open Robust Compartmentalization Alliance (ORCA). Son objectif est technique et radical : standardiser le cloisonnement des logiciels pour qu’une faille, inévitable, ne devienne jamais fatale pour l’ensemble du système.
L’intention est claire, il s’agit de rester discret. Selon les chercheurs, le code est « fonctionnel à 99 % » et tous les paquets fournissent en premier lieu des fonctionnalités légitimes. Puis, de façon aléatoire, ils injectent ensuite le code malveillant lorsqu’une requête est effectuée.
Pour brouiller les pistes, le sabotage ne survient que lors de 20 % des requêtes. À cela s’ajoutent des déclenchements différés : certains sabotages démarrent 30 minutes après l’installation, d’autres, des années plus tard.
Des dates fixes sont ainsi disséminées dans le code, la dernière étant programmée pour le 29 novembre 2028.
La première, CVE-2025-9491, a été découverte en mars dernier par Trend Micro et réside dans le format binaire Windows Shortcut (les fichiers .LNK). Affichant un score CVSS de 7,8 sur 10, elle peut être exploitée depuis une page web malveillante pour provoquer l’exécution d’un code arbitraire à distance, avec les droits de l’utilisateur en cours.
La seconde, CVE-2025-59287, est beaucoup plus dangereuse. Affichant un score CVSS de 9,8, elle affiche le niveau presque maximal de dangerosité. Elle réside dans le Windows Server Update Service (WSUS) de Windows Server et permet la désérialisation de données non approuvées, avec à la clé la possibilité d’exécuter du code arbitraire.
No single measure can eliminate supply chain risk. But choosing fewer dependencies, shallow graphs, exact version pins, no postinstall, and a slow, review-heavy upgrade cadence together make Obsidian much less likely to be impacted, and give us a long window to detect problems before code reaches users.
On Reddit, Proton’s official account stated that “Proton did not knowingly block journalists’ email accounts” and that the “situation has unfortunately been blown out of proportion.” Proton did not respond to The Intercept’s request for comment.
To summarise:
The 16B headline distils down to a much smaller number of unique values of actual impact
The data is largely from stealer logs that have been circulating for some time now
It's certainly not fresh and doesn't pose any new risks that weren't already present
Le rapport avec les webcams de Lenovo, comme la 510 et la Performance ? Les deux caméras — comme probablement d'autres — sont des ordinateurs sous Linux. Elles intègrent un système sur puce ARM de chez SigmaStar, qui intègre deux cœurs Cortex A7, de la mémoire vive, un peu de stockage, etc. Le système GNU/Linux qui anime les webcams emploie une technologie appelée Linux USB Gadget. Elle permet à un système d'être vu comme un périphérique USB, tel qu'un clavier, une souris… ou une webcam.
We are observing stealth crawling behavior from Perplexity, an AI-powered answer engine. Although Perplexity initially crawls from their declared user agent, when they are presented with a network block, they appear to obscure their crawling identity in an attempt to circumvent the website’s preferences. We see continued evidence that Perplexity is repeatedly modifying their user agent and changing their source ASNs to hide their crawling activity, as well as ignoring — or sometimes failing to even fetch — robots.txt files.
La chasse continue ! Quelle plaie…
Pas moins de 689 modèles d’imprimantes Brother sont touchés par 8 vulnérabilités dont certaines sont carrément flippantes. Et la plus critique d’entre elles permet à n’importe quel pirate de générer le mot de passe administrateur de votre imprimante sans même avoir besoin de s’authentifier !
💀
it’s about time.
Comme le dit Doctorow, il n’y a de liberté que si on peut choisir de partir dans « coût ».
So if we want meaningful behavioral change, it needs a lot more than just a pause. It needs cognitive scaffolding and system designs that account for all the dynamic interactions that go into a decision to click, download, or share. And that takes real work—more work than just an ad campaign and a slick video.
Every few weeks, I come across an article telling us how passwords are bad and how we need to go "passwordless". These pieces are written by mostly well-intended nerds who think technology can solve basic problems in human behavior. But when the likes of Microsoft and Google and Facebook start spamming you to "increase your security with passkeys", you instantly know this isn't what you want. And so, tragically, the nerds end up supporting data-hungry companies in trying to get an ever greater hold on our personal lives.
Les avis contre les passkeys sont rares, mais il y en a. Autant je peux être d'accord avec certains points (l'ergonomie, l'absence d'interopérabilité pour l'import/export… Et encore, ça prend du temps mais ils sont résolus petit à petit), autant j'ai du mal avec d'autres arguments.
Comme ici. Il y a suffisamment de solutions pour stocker et utiliser des passkeys aujourd'hui pour qu'il me semble difficile de pointer du doigts les fabricants de matériel/écosystème.
Ma perspective n'est peut être pas la bonne sur l'ergonomie (j'ai l'habitude, je suis à à l'aise avec un ordinateur et j'ai un gestionnaire de mot de passe depuis longtemps), donc je peux entendre que cet usage semble encore complexe pour d'autres utilisateurs.
Mais une fois que l'import/export sera correctement en place (cela a été normalisé), que l'essentiels des services s'y mettrons, je ne vois pas d'inconvénients majeurs.
The next time someone tries this stunt on us it could be someone with less good intentions, but now ideally our CI will tell us.
From the department of head scratches comes this counterintuitive news: Microsoft says it has no plans to change a remote login protocol in Windows that allows people to log in to machines using passwords that have been revoked.
Je peux laisser la machine travailler, et quatre heures après, j’ai cassé environ 10% des mots de passe de mes utilisateurs.
Security-wise, this is a very powerful mitigation. An attacker must have kernel code execution to prevent an inactivity reboot. This means that a forensic analyst might be able to delay the reboot for the actual data extraction, but the initial exploit must be run within the first three days.
La différence ? L’épaisseur de la carrosserie. En bas de la pyramide des usagers de la route, il y a le marcheur, le plus exposé (y compris aux collisions avec les deux-roues). Juste après arrivent les cyclistes puis les deux-roues motorisés, dont le seul casque ne pèse pas lourd face aux voitures dont le poids moyen ne cesse d’augmenter (1). Les vulnérabilités sont inégales. Alors quand survient l’incident, aggravé par une colère noire, il serait bon que le plus fort de la jungle urbaine n’oublie pas ce que l’on enseigne aux enfants qui partagent la même aire de jeu : aux plus grands de faire attention aux plus petits.