Pas jolie, comme faille. Mettez à jour vers la version 25.01 ou plus récente.

Ça fait quelques temps qu'il y a des controverses sur Ventoy (un outils pour faire des clés USB bootables).
Je note les 3 sources mentionnées :
- https://discuss.privacyguides.net/t/ventoy-security-concerns/20058
- https://biggo.com/news/202508061917_Ventoy_Binary_Blobs_Security_Concerns
- https://en.ubunlog.com/iventoy-under-suspicion-for-replacing-drivers-and-certificates/

Ce n'est pas que Ventoy est *activement* malveillant, mais ils contient des blobs binaires non documentés et bidouille des choses pour permettre l'installation de Windows qui ne sont pas 1) documentées.  2) à sources ouverts.

PS: Personnellement, il m'est arrivé d'avoir des soucis en installant Linux depuis une Ventoy. Pour les installations, préférer le "Créateur de clés USB" fourni dans la plupart des distributions.

Sous le coude en alternative à firejail pour lancer des applications dans une sandbox.

Quelqu'un a trouvé une faille de sécurité dans le système d'authentification de Microsoft qui aurait permis d'accéder à TOUS les services (dans le cloud et on-premise : Exchange, SharePoint, Azure...) de TOUS les clients de Microsoft.
On est passés à deux doigts d'un incident sécurité mondial MAJEUR.

Où on voit que laisser actif d'anciens algos de hashage (ou chiffrement) c'est une mauvaise idée.

Comme dit le développeur curl : « Who could have figured out that automatically downloading half the internet and ten thousand always-changing dependencies every time you build could actually be a weakness? »
(https://mastodon.social/@bagder/115218787867536141)

Encore.
(cf. https://sebsauvage.net/links/?6BNYLA)

Ouch. Je me demande combien d'entreprises ou de développeurs ont leur machine ou compte compromis.

Je vais être chiant mais cette attaque ne fait que confirmer une chose: Plus vous avez de dépendances dans votre appli, plus grands sont les risques de sécurité (et je ne vous parle même pas de la dette technique, des problèmes de maintenance et de migration que vous allez trainer).

Soyez KISS. (Mais évitez quand même de coder certaines choses piégeuses vous-mêmes : crypto, csv...)

Cet article est un rappel de la faille xz : C'était une attaque préméditée, construite dans le temps (sur des *années*) en apportant de l'aide à un Logiciel Libre, utilisant une ingénierie sociale très progressive et patiente.

Et comme trop de Logiciel Libres sont tenus à bout de bras par une seule personne (https://sebsauvage.net/links/?Hx2mTQ) ce genre d'attaque pourrait encore fonctionner dans le futur. Pire que ça: Les LLM pourront même aider à construire ces attaques, aussi bien en construisant de toute pièces des personnalités et des échanges d'apparence humaine, mais aussi en fournissant des patchs pour les logiciels.

➡️ Le fait de ne pas soutenir les développeurs de Logiciels Libres nous met tous en danger.

La technologie des Passkeys permet à des services de *refuser* les Passkeys de clients qu'li juge comme "non fiables". On imagine assez rapidement que seules les Passkeys des GAFAM (Google/Apple/Microsoft) seront acceptés, car ces environnements sont verrouillés.

La spécification des Passkeys permet donc très facilement d'exclure par exemple - hasard - les Logiciels Libres.
C'est justement ce que pointe l'auteur de cet article : Les Passkeys sont incompatibles avec le Logiciel Libre, parce qu'ils permettent de bannir sélectivement les logiciels.

Encore une fois, c'est une spécification ouverte, documentée, mais qui dans la pratique permet de verrouiller massivement les utilisateurs dans des systèmes privateurs.

EDIT: Voir aussi https://lucumr.pocoo.org/2025/9/2/passkeys/

Intéressant comme technique pour faire du RCE (Remode Code Execution): Un fichier dont le nom contient un script shell.
Un simple for f in *; echo “$f” dans le répertoire contenant le fichier déclenche l'exécution.

Source : https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/

Après les airbags, les freinages qui se déclenchent tout seuls.
Je suis méfiant envers le fait qu'on mette de plus en plus d' «intelligence» dans les voitures, parce que ça donne des fois des choses très très connes.

La fatigue...

Un graaaaaannnd guide de sécurisation de Linux (plutôt orientée Debian)

Le résultat de cette enquête me surprend un peu.

Merde merde merde. C'est le truc auquel on avait échappé jusque là et que je craignais de voir arriver : Des packages malveillants dans les distributions Linux (Juste Arch pour le moment, et les dépôts AUR, c'est à dire des dépôts pas approuvés par Arch).
Je pense que nous n'en sommes qu'au début 🙁

*FACEPALM*

Une bonne explication de Secure Boot et ses composants (et comment ça impacte le chargement de Linux).

Analyse cryprographique de Signal.
(Et j'adore absolument l'auteur qui, se prenant des remarques sur les furries, décide d'en ajouter encore plus dans l'article. 😄)

Après SharePoint (https://sebsauvage.net/links/?yl9IXw), c'est au tour d'Office365 de subir des failles de sécurité à cause de l'IA CoPilot qui a accès à tout. En envoyant un mail correctement formulé, l'IA vous renvoie plein de données confidentielle de l'entreprise, sans même avoir besoin de l'intervention d'un employé. 😆

Microsoft n'a déjà pas un passif formidable en matière de sécurité, avec en voulant introduire son IA partout, elle introduit des failles partout.

Extrait: « We're shifting from being architects to being interior decorators. An architect understands the foundations, the structural integrity, the load-bearing walls. A decorator can make a room look good, but has no idea if the entire building is about to collapse. »

Je m'attends à voir de plus en plus de merde et de failles de sécurité dans les logiciels privateurs.

Sous le coude pour examen ultérieur : un firewall pour Linux conçu pour donner sélectivement le droit aux applications d'aller sur internet (comme l'époque de ZoneAlarm sous Windows).
À utiliser si vous n'avez pas confiance dans les applications que vous avez installées (mais si elles sont installées et que vous n'avez pas confiance en elles, vous avez déjà un problème).

Sous Linux, j'utilise déjà Firejail pour empêcher les applications d'accéder au réseau ou non, ainsi que d'accéder à mon répertoire personnel ou non.
(Je m'en sers surtout pour que les jeux n'aillent pas mettre leurs fichiers de configuration et leur sauvegardes partout dans mon répertoire perso.)

Ah ben bravo !

Un article que je garde car il résume parfaitement bien tous les problèmes liés aux Passkeys (et pourquoi je n'en veux absolument pas).

On entend que Steam s'est fait pirater, avec 89 millions de mots de passe dans la nature. Steam dément et annonce que ce qui a été piraté, ce sont des SMS de second facteur pour la connexion à Steam, un code qui n'est valable que 15 minutes et ne peut pas être réutilisé. Il n'y avait que le code et le numéro de téléphone, non associé au compte Steam correspondant. C'est le prestataire SMS de Steam, Twilio, qui aurait eu une fuite. Valve estime qu'il n'est pas nécessaire de changer son mot de passe Steam.

Bon, les américains de la défense qui ont utilisé Signal ont en fait utilisé une version bidouillée de Signal. Avec des failles de sécurité. Qui s'est fait pirater. Duh.
EDIT: Article en français : https://next.ink/brief_article/signalgate-episode-372-lapplication-telemessage-a-ete-hackee/

« La liste ne cesse de s’allonger. Ce 16 avril 2025, c’est déjà plus de 2 millions de voitures qui ont été rappelés par les constructeurs au cours de ces derniers mois, en raison du danger qu’ils représentent. Ford, Honda, Skoda... 30 marques sont désormais visées.
Leurs modèles, construits entre 1998 et 2019, sont équipés d’airbags de la marque Takata pouvant occasionner des blessures graves, voire mortelles, au conducteur et au passager avant. Plusieurs accidents fatals ont déjà eu lieu. »

Le gouvernement américain coupe son financement à CVE 😱
CVE, c'est *LA* base de données de recensement des vulnérabilité et failles de sécurité, une organisation critique pour la cyber-sécurité mondiale que tout le monde utilise (entreprises, gouvernements, organisations). Certes ce n'est pas la seule, mais tout le monde se basait dessus.

Voir aussi sur le sujet :
https://www.bleepingcomputer.com/news/security/mitre-warns-that-funding-for-critical-cve-program-expires-today/
https://gcve.eu/

Edit : ils reviennent sur leur décision : https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/

Allez hop, encore une fuite de données.

Fuite de données chez Europcar (ainsi que leur code source).

Le cloud Oracle a eu une très sérieuse fuite de données de ses clients. Mais ils tentent de cacher tout ça. Ce qui en matière de sécurité informatique est l'un des pires comportements.

Voir aussi :
https://www.theregister.com/2025/04/02/oracle_breach_disaster_planning/
https://www.usine-digitale.fr/article/oracle-alerte-certains-clients-de-sante-d-une-fuite-de-donnees-le-fbi-ouvre-une-enquete.N2230000

Edit : Oracle finit par admettre :
https://www.theregister.com/2025/04/08/oracle_cloud_compromised/

En vrac : des outils concernant la sécurité sous Linux.

Vous reprendrez bien une petite faille ?
Édit : complément : https://next.ink/174624/une-porte-derobee-dans-une-puce-bluetooth-tres-populaire-pas-si-vite/
https://hackaday.com/2025/03/10/the-esp32-bluetooth-backdoor-that-wasnt/

Je plussoie ce coup de gueule : Virez la publicité de votre site web. Ce n'est pas juste un problème d'offrir vos visiteurs aux GAFAM (ce qui est déjà moche), c'est aussi les exposer à des risques de sécurité.

C'est pas con, comme arnaque.

Tiens une idée pas conne du tout.
Au téléphone, comment être certain de parler à la bonne personne ? Vous pouvez créer deux codes TOTP, un chacun, et le partager avec l'autre. Quand il faut parler au téléphone, il suffit de donner son TOTP et vérifier que celui de l'autre correspondant est bon. C'est simple et astucieux.
Et vous savez quoi ?  Même à l'ère des visioconférence et des IA qui gènèrent des fake, ça pourrait être très utile.

Sous le coude : Syd, un logiciel conçu pour faire du sandboxing d'applications (j'utilise souvent firejail pour ça).
https://gitlab.exherbo.org/sydbox/sydbox

Comme je le dis souvent, combler les failles de sécurité des LLM, c'est comme boucher les trous d'une passoire chaque fois que vous en trouvez un. Une passoire avec un nombre infini de trous.
Là ils ont parvenus (encore) à contourner toutes les protections mises en place pour éviter qu'on demande à l'IA comment fabriquer des armes, des malwares ou des armes nucléaires.
Il ne semble pas exister pour le moment de moyen de rendre les LLM sûres.  (voir également : https://sebsauvage.net/links/?aWxI2w)

Des équipes chez Microsoft se sont penchées sur la sécurité des produits suite à l'introduction des LLM. Leur conclusion ?  « Les LLM amplifient les risques de sécurité et en introduisent de nouveaux. »
(De manière amusante, c'est Mark Russinovich qui a conduit l'étude. Si vous avez beaucoup travaillé sous Windows, vous connaissez les outils fantastiques qu'il a créés avant d'être embauché par Microsoft (filemon, regmon, ProcessXP, etc.))

😯

Encore une fuite de données chez LDLC/Materiel.net/Top Achat/Rue du Commerce/Hardware.fr...

Et c'est PCMCIA all over again !
Et je pense que ce n'est probablement pas le seul contrôleur de bus qui fait de la merde (je serais curieux de voir les bugs dans les firmwares des hub USB intégrés aux PC).

Sous le coude pour lecture ultérieure.

Une faille de sécurité a été découverte dans 7-Zip : on peut lui faire exécuter du code en lui fournissant des archives spécifiquement modifiées. Le code est exécuté à la décompression de l'archive.
Passez en version 24.07 ou supérieure pour corriger.

Sans Let's Encrypt, on serait moins en sécurité, parce que moins de sites seraient en https.
Avant Let's Encrypt, se payer un certificat c'était couteux et complexe.

Aux USA les forces de l'ordre ont du mal à casser la protection de certains iPhone. Pourquoi ? Parce que Apple a eu une excellente idée : Si le téléphone n'est pas utilisé depuis un certain temps... il reboot tout seul !
Ce qui fait que les clés de déchiffrement ne sont plus en mémoire et qu'il ne suffit plus d'outrepasser l'écran de verrouillage : il faut déchiffrer tout le téléphone, ce qui est nettement plus difficile.
Pour le coup, c'est vraiment une super idée d'Apple !
Je vais peut-être implémenter ça dans Automate sous Android (qui dispose de sécurités similaires, sauf la partie "reboot automatique").

"Une enquête révèle que le gouvernement américain s'appuie sur un puissant outil appelé « Locate X » pour localiser les téléphones n'importe où dans le monde. Locate X utilise l'identifiant publicitaire..."

Relisez bien : L'IDENTIFIANT PUBLICITAIRE.
C'est le capitalisme de surveillance.

Bloquer les publicités et trackers n'est plus juste une question de "confort". C'est une question d'auto-défense numérique, de protection de vous et votre famille, de sécurité.
Voilà pourquoi on milite pour des solutions hors GAFAM. Pas juste par lubie de "libriste", hein. Parce que ça porte directement atteinte à nos libertés.