Extrait: « We're shifting from being architects to being interior decorators. An architect understands the foundations, the structural integrity, the load-bearing walls. A decorator can make a room look good, but has no idea if the entire building is about to collapse. »

Je m'attends à voir de plus en plus de merde et de failles de sécurité dans les logiciels privateurs.

Sous le coude pour examen ultérieur : un firewall pour Linux conçu pour donner sélectivement le droit aux applications d'aller sur internet (comme l'époque de ZoneAlarm sous Windows).
À utiliser si vous n'avez pas confiance dans les applications que vous avez installées (mais si elles sont installées et que vous n'avez pas confiance en elles, vous avez déjà un problème).

Sous Linux, j'utilise déjà Firejail pour empêcher les applications d'accéder au réseau ou non, ainsi que d'accéder à mon répertoire personnel ou non.
(Je m'en sers surtout pour que les jeux n'aillent pas mettre leurs fichiers de configuration et leur sauvegardes partout dans mon répertoire perso.)

Ah ben bravo !

Un article que je garde car il résume parfaitement bien tous les problèmes liés aux Passkeys (et pourquoi je n'en veux absolument pas).

On entend que Steam s'est fait pirater, avec 89 millions de mots de passe dans la nature. Steam dément et annonce que ce qui a été piraté, ce sont des SMS de second facteur pour la connexion à Steam, un code qui n'est valable que 15 minutes et ne peut pas être réutilisé. Il n'y avait que le code et le numéro de téléphone, non associé au compte Steam correspondant. C'est le prestataire SMS de Steam, Twilio, qui aurait eu une fuite. Valve estime qu'il n'est pas nécessaire de changer son mot de passe Steam.

Bon, les américains de la défense qui ont utilisé Signal ont en fait utilisé une version bidouillée de Signal. Avec des failles de sécurité. Qui s'est fait pirater. Duh.
EDIT: Article en français : https://next.ink/brief_article/signalgate-episode-372-lapplication-telemessage-a-ete-hackee/

« La liste ne cesse de s’allonger. Ce 16 avril 2025, c’est déjà plus de 2 millions de voitures qui ont été rappelés par les constructeurs au cours de ces derniers mois, en raison du danger qu’ils représentent. Ford, Honda, Skoda... 30 marques sont désormais visées.
Leurs modèles, construits entre 1998 et 2019, sont équipés d’airbags de la marque Takata pouvant occasionner des blessures graves, voire mortelles, au conducteur et au passager avant. Plusieurs accidents fatals ont déjà eu lieu. »

Le gouvernement américain coupe son financement à CVE 😱
CVE, c'est *LA* base de données de recensement des vulnérabilité et failles de sécurité, une organisation critique pour la cyber-sécurité mondiale que tout le monde utilise (entreprises, gouvernements, organisations). Certes ce n'est pas la seule, mais tout le monde se basait dessus.

Voir aussi sur le sujet :
https://www.bleepingcomputer.com/news/security/mitre-warns-that-funding-for-critical-cve-program-expires-today/
https://gcve.eu/

Edit : ils reviennent sur leur décision : https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/

Allez hop, encore une fuite de données.

Fuite de données chez Europcar (ainsi que leur code source).

Le cloud Oracle a eu une très sérieuse fuite de données de ses clients. Mais ils tentent de cacher tout ça. Ce qui en matière de sécurité informatique est l'un des pires comportements.

Voir aussi :
https://www.theregister.com/2025/04/02/oracle_breach_disaster_planning/
https://www.usine-digitale.fr/article/oracle-alerte-certains-clients-de-sante-d-une-fuite-de-donnees-le-fbi-ouvre-une-enquete.N2230000

Edit : Oracle finit par admettre :
https://www.theregister.com/2025/04/08/oracle_cloud_compromised/

En vrac : des outils concernant la sécurité sous Linux.

Vous reprendrez bien une petite faille ?
Édit : complément : https://next.ink/174624/une-porte-derobee-dans-une-puce-bluetooth-tres-populaire-pas-si-vite/
https://hackaday.com/2025/03/10/the-esp32-bluetooth-backdoor-that-wasnt/

Je plussoie ce coup de gueule : Virez la publicité de votre site web. Ce n'est pas juste un problème d'offrir vos visiteurs aux GAFAM (ce qui est déjà moche), c'est aussi les exposer à des risques de sécurité.

C'est pas con, comme arnaque.

Tiens une idée pas conne du tout.
Au téléphone, comment être certain de parler à la bonne personne ? Vous pouvez créer deux codes TOTP, un chacun, et le partager avec l'autre. Quand il faut parler au téléphone, il suffit de donner son TOTP et vérifier que celui de l'autre correspondant est bon. C'est simple et astucieux.
Et vous savez quoi ?  Même à l'ère des visioconférence et des IA qui gènèrent des fake, ça pourrait être très utile.

Sous le coude : Syd, un logiciel conçu pour faire du sandboxing d'applications (j'utilise souvent firejail pour ça).
https://gitlab.exherbo.org/sydbox/sydbox

Comme je le dis souvent, combler les failles de sécurité des LLM, c'est comme boucher les trous d'une passoire chaque fois que vous en trouvez un. Une passoire avec un nombre infini de trous.
Là ils ont parvenus (encore) à contourner toutes les protections mises en place pour éviter qu'on demande à l'IA comment fabriquer des armes, des malwares ou des armes nucléaires.
Il ne semble pas exister pour le moment de moyen de rendre les LLM sûres.  (voir également : https://sebsauvage.net/links/?aWxI2w)

Des équipes chez Microsoft se sont penchées sur la sécurité des produits suite à l'introduction des LLM. Leur conclusion ?  « Les LLM amplifient les risques de sécurité et en introduisent de nouveaux. »
(De manière amusante, c'est Mark Russinovich qui a conduit l'étude. Si vous avez beaucoup travaillé sous Windows, vous connaissez les outils fantastiques qu'il a créés avant d'être embauché par Microsoft (filemon, regmon, ProcessXP, etc.))

😯

Encore une fuite de données chez LDLC/Materiel.net/Top Achat/Rue du Commerce/Hardware.fr...

Et c'est PCMCIA all over again !
Et je pense que ce n'est probablement pas le seul contrôleur de bus qui fait de la merde (je serais curieux de voir les bugs dans les firmwares des hub USB intégrés aux PC).

Sous le coude pour lecture ultérieure.