Alertes

Aqara : dix vulnérabilités CVE exposaient serrures, caméras et capteurs connectés

Aqara : dix vulnérabilités CVE exposaient serrures, caméras et capteurs connectés

Introduction : Aqara, fabricant d’appareils connectés populaires dans l’univers HomeKit, a récemment corrigé la bagatelle de 26 défaillances de sécurité détectées principalement au niveau de la plateforme cloud qui sous-tend ses services. Dix des failles découvertes ont donné lieu à publication d’une CVE. L’exploitation combinée des quatre premières aboutit à une vulnérabilité notée 10, le niveau maximal de sévérité.

Le régulateur définit enfin ce qu’est une donnée sensible, et pose un référentiel pour le privé

Le régulateur définit enfin ce qu’est une donnée sensible, et pose un référentiel pour le privé

Introduction : Le décret du 14 avril 2026, pris en application de la loi pour la sécurisation et la régulation de l’espace numérique, rend la qualification SecNumCloud obligatoire pour l’hébergement des données sensibles de l’État, de ses opérateurs et de six groupements d’intérêt public. Au-delà de cette contrainte publique, le texte apporte ce qui manquait depuis des années, une définition juridique de la donnée sensible. Cette définition, fondée sur deux conditions cumulatives, dépasse le seul périmètre étatique et fournit aux entreprises privées un référentiel concret pour arbitrer l’exposition de leurs propres traitements aux droits extraeuropéens.

Les données de 550 000 Français ont été volées sur un site du gouvernement

Les données de 550 000 Français ont été volées sur un site du gouvernement

Introduction : La plateforme JeVeuxAider.gouv.fr, qui met en relation bénévoles et associations, a été victime d’une cyberattaque. Le gouvernement a suspendu le service, mais le mal était fait : des données ont été volées. Environ 550 000 comptes sont concernés… Parmi les informations compromises, on trouve par contre « les noms, adresses électroniques, numéros de téléphone, dates de naissance et historiques d’engagement des utilisateurs »… Les données d’engagement associatif peuvent révéler des convictions, des centres d’intérêt, voire des affiliations politiques ou religieuses. Les informations peuvent servir à orchestrer des campagnes de phishing personnalisées, taillées pour endormir la méfiance des cibles.

Ce que les e-mails de Jeffrey Epstein révèlent d’une élite américaine qui a perdu pied

Ce que les e-mails de Jeffrey Epstein révèlent d’une élite américaine qui a perdu pied

Introduction : Derrière ces jeux de statut se cache une vérité simple : tous ces gens jouent dans la même équipe. Devant les caméras, ils peuvent s’écharper, défendre des politiques opposées. Certains se disent même horrifiés par ce que d’autres font. Mais les e-mails dévoilent un groupe dont la priorité absolue est leur survie collective dans la classe qui décide de tout. Quand les principes entrent en conflit avec la préservation du réseau, c’est le réseau qui l’emporte.

Un million de passeports et de cartes d’identité exposés sur Internet, que s’est-il passé ?

Un million de passeports et de cartes d’identité exposés sur Internet, que s’est-il passé ?

Introduction : Pendant plusieurs semaines, des pièces d’identité et d’autres données personnelles de près d’un million de personnes ont été exposées sur le web. Aux origines de la fuite de données, on trouve une faille dans le système informatique utilisé par des clubs de cannabis en Espagne.

Le chercheur Sammy Azdoufal s’est rendu compte que des pièces d’identité et d’autres données personnelles de près d’un million de personnes se sont retrouvées exposées sur Internet, et ce pendant plusieurs semaines, au cours d’une enquête. Interrogé par The Verge, le chercheur explique avoir découvert les données exposées en se penchant sur les outils numériques utilisés par Cannabis Club Systems (CCS). Il s’agit d’une société irlandaise qui fournit des logiciels, du matériel et des solutions sur mesure pour les clubs et associations liés au cannabis en Espagne. L’expert comprend rapidement que les documents confidentiels se trouvent sur des serveurs accessibles publiquement, sans la moindre mesure de protection.

À lire aussi : Nouvelle fuite massive – 45 millions de données françaises exposées sur Internet, dont des infos bancaires

Des documents récupérés par des clubs

Les documents ont été communiqués volontairement par des personnes qui visitent des endroits où l’on peut consommer du cannabis en toute légalité sur le sol espagnol. Lorsqu’un visiteur entre dans un club, son identité est vérifiée et ses documents peuvent être scannés puis envoyés vers le cloud de Cannabis Club Systems, autrefois connu sous le nom de Nefos Solutions. Cette procédure devait permettre de reconnaître les membres lors de leurs visites ultérieures.

En parallèle, l’entreprise proposait une application intitulée PuffPal, qui était censée accélérer et faciliter l’accès aux clubs grâce à des QR codes.Dans le code de cette application, Sammy Azdoufal a débusqué une série de défaillances de sécurité préoccupantes. Il a pu consulter des profils de membres, dont des informations comme des numéros de téléphone, des adresses, des préférences de consommation ou encore des données liées aux usages mensuels. 5 000 nouvelles pièces d’identité par jour

Sur des adresses web publiques, le chercheur a débusqué des passeports, des cartes d’identité et des photos d’identité. En fait, il suffisait d’accéder au bon lien pour consulter à loisir des documents d’identité très sensibles. Dans l’enquête publiée par The Verge, Azdoufal estime que ce système défaillant pouvait exposer environ 5 000 nouvelles pièces d’identité par jour. On parle de 985 000 photos d’identité à la portée de n’importe quel hacker. Des célébrités sont répertoriées dans la base de données, de même que des visiteurs provenant du monde entier. Des gens « qui préfèrent rester discrets sur leur consommation de cannabis » sont concernés, souligne l’expert. Une sécurité défaillante

Au fur et à mesure de ses investigations, le chercheur a compris que le problème était plus vaste qu’un simple défaut de configuration des serveurs. Un portail d’administration était lui aussi accessible en ligne, et les mots de passe semblaient trop faibles pour résister à une tentative d’intrusion. Par ailleurs, le chercheur a également identifié des échanges de messages privés entre les clubs et les membres par le biais de PuffPal, ce qui accroît le périmètre de la fuite. Une application enterrée

Une fois alertée, l’entreprise n’a pas immédiatement mis ses services hors ligne. Selon The Verge, Cannabis Club Systems a d’abord tenté de corriger les points techniques défaillants sans interrompre complètement le service. Dos au mur, elle a fini par suspendre totalement ses outils, le temps de les sécuriser. L’entreprise indique avoir signalé l’incident aux autorités concernées, à savoir l’Autorité irlandaise de protection des données (DPC).

Cannabis Club Systems explique que certaines des vulnérabilités épinglées pourraient venir, du moins en partie, d’un sous-traitant, 9Series. Celui-ci était fortement impliqué dans la conception de PuffPal. La firme s’engage à « informer toutes les personnes potentiellement concernées » par la fuite. Sauf surprise, la société ne compte pas relancer PuffPal, dont l’infrastructure est considérée comme trop vulnérable. Sans surprise, l’entreprise s’est séparée de 9Series.

Quoi qu’il en soit, il s’avère que les données exposées ont bel et bien été sécurisées. Il n’est plus possible d’y accéder. Rien n’indique que des cybercriminels aient profité de la faille pour subtiliser la montagne de données laissées sans protection. Néanmoins, on rappellera que les cybercriminels scannent continuellement Internet à la recherche d’informations laissées sans surveillance.

👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.

Source : The verge carte d’identité fuite de données internet passeport Florian Bayard Sur le même sujet

Crypto France Kidnapping Arrestations

336 millions d’euros de crypto blanchies : la police démantèle AudiA6, la plateforme de blanchiment des ransomwares
Hackers Caf Piratage

Fuite de données : la France arrête 7 jeunes hackers après plus de 1500 cyberattaques
Fuite Donnees Medicales Medecin

L’Assurance Maladie dément la fuite des données médicales de 34 millions de Français

Meilleur Antivirus 01net

Meilleur antivirus 2026 : lequel choisir ?
Meilleur Vpn Nord

Quel est le meilleur VPN ?
Meilleur Stockage Cloud 01net

Meilleur stockage cloud en 2026 : lequel choisir ?
Acceder Dark Web Darknet

Comment accéder au Dark Web ? Tutoriel 3 étapes 2026
Gestionnaire Mots De Passe 01net

Meilleur gestionnaire de mots de passe : le guide en juin 2026
Vpn Gratuit 01net Guide

Meilleur VPN gratuit : 7 options à choisir + 2 à fuir

NordVPN

9.8 Notre test 1 ProtonVPN

9.5 Notre test 2 ExpressVPN

9.4 Notre test 3 Actus cybersécurité Faux Passeports Permis Veriftools Un million de passeports et de cartes d’identité exposés sur Internet, que s’est-il passé ?

Le premier d’une longue lignée : Eurosky lance « mu », le réseau social microblogging façon souveraineté européenne

Le premier d’une longue lignée : Eurosky lance « mu », le réseau social microblogging façon souveraineté européenne

Introduction : Encore un nouveau réseau social ? Oui, mais celui-là est né en Europe et fait partie d’une stratégie bien plus vaste. Eurosky lance officiellement « mu » (mu.social), une application de microblogging éthique bâtie sur le protocole AT (l’écosystème Atmosphere). Pas besoin de recréer un compte : vos identifiants Bluesky fonctionnent déjà nativement. On vous explique pourquoi cette initiative s’inscrit dans la nouvelle doctrine de souveraineté numérique européenne…. Plutôt que de confier à une seule entreprise commerciale le droit de vie ou de mort sur la certification, mu permet à des organisations crédibles et auditées (institutions politiques, médias, universités, fédérations sportives) de devenir des « vérificateurs de confiance » (trusted verifiers). Ces entités pourront certifier elles-mêmes leurs propres membres ou journalistes. Pour le lancement, la phase pilote se concentre en priorité sur les parlementaires (députés et eurodéputés) ainsi que sur les organisations médiatiques de plusieurs pays moteurs, dont la France, la Belgique, l’Allemagne, les Pays-Bas et l’Espagne.

Alerte rouge sur l'AUR : 400 paquets Arch Linux infectés ! (UPDATE : 900)

Alerte rouge sur l'AUR : 400 paquets Arch Linux infectés ! (UPDATE : 900)

Introduction : En effet, l’alerte a été donnée : plus de 400 paquets sur l’AUR ont été compromis. Merci à MrSlayers pour ce lien dans le sujet sécurité du Discord : https://discourse.ifin.network/t/400-aur-packages-compromised-with-infostealer-and-rootkit/577 Concrètement, qu’est ce qui s’est-il passé ? Les attaquants ont utilisé deux techniques bien connues dans les attaques de la “supply chain” :

  • Le typosquatting : Ils créent des paquets avec des noms presque identiques à des logiciels très populaires (par exemple, firfox vs firefox), espérant qu’un utilisateur fasse une faute de frappe en tapant sa commande d’installation.
  • La récupération de paquets orphelins : Sur l’AUR, un paquet peut être abandonné par son mainteneur d’origine. N’importe qui peut alors en revendiquer la maintenance. Les attaquants ont simplement récupéré des paquets sains mais abandonnés, puis ont poussé une mise à jour malveillante.
Elon Musk billionnaire, symbole “d’une ère d’ultra-richesse et d’aggravation des inégalités”

Elon Musk billionnaire, symbole “d’une ère d’ultra-richesse et d’aggravation des inégalités”

Introduction : L’introduction en Bourse de SpaceX, la compagnie aérospatiale et d’IA de l’homme le plus riche du monde, a permis à sa fortune de franchir, vendredi 12 juin, le seuil symbolique des 1 000 milliards de dollars. Cette opération de tous les records revêt aussi “une dimension politique considérable”, relève notamment “The New York Times”.

Espionnage matériel et puces truquées  : Realtek s’allie à OpenTitan pour sécuriser nos objets du quotidien

Espionnage matériel et puces truquées : Realtek s’allie à OpenTitan pour sécuriser nos objets du quotidien

Introduction : Halte au piratage à la racine ! Le géant des semi-conducteurs Realtek rejoint officiellement OpenTitan, une coalition mondiale pour le « silicium » open source. L’objectif ? Intégrer une « racine de confiance » transparente dans des milliards de puces Wi-Fi, audio et IoT pour auditer la sécurité du matériel informatique. On vous explique cette technologie cruciale.

Faille kernel Linux - Un seul caractère et vous voilà root

Faille kernel Linux - Un seul caractère et vous voilà root

Introduction : CVE-2026-23111 est une faille use-after-free dans nf_tables du noyau Linux qui permet à un utilisateur sans privilège de devenir root et de sortir d’un conteneur, corrigible par un seul caractère (un ! inversant un test dans nft_map_catchall_activate). Le patch date du 5 février, l’exploit de FuzzingLabs du 16 avril et le write-up détaillé d’Exodus du 8 juin, ce qui signifie que le code d’exploitation circule publiquement depuis des semaines avant que la majorité des machines ne soit patchée. Pour se protéger immédiatement sans attendre le patch, désactiver les user namespaces non privilégiés via user.max_user_namespaces=0 (ou kernel.unprivileged_userns_clone=0 sur Debian/anciennes Ubuntu), sachant que cela peut casser Chrome sandbox ou Flatpak.

La Document Foundation (LibreOffice) s’agace de la présentation d’Euro-Office

La Document Foundation (LibreOffice) s’agace de la présentation d’Euro-Office

Introduction : La fondation s’agace en particulier des annonces relayées dans la presse autour d’Euro-Office, parfois présentée comme la première suite souveraine développée en Europe. Faux, rappelle la fondation : OpenOffice.org a été créée en 2001, en partant du code de StarOffice, puis LibreOffice a pris le relais en 2010. Les deux sont développées en Europe.

Des députés européens réclament le retrait de l'Ordre du mérite à Zelensky à cause de son hommage aux nazis ukrainiens

Des députés européens réclament le retrait de l'Ordre du mérite à Zelensky à cause de son hommage aux nazis ukrainiens

Introduction : Dans une lettre adressée à la présidente du Parlement européen, une trentaine d’eurodéputés ont demandé de déchoir Volodymyr Zelensky de sa distinction européenne, dénonçant la glorification officielle par Kiev de l’Armée insurrectionnelle ukrainienne, une organisation impliquée dans des massacres de civils durant la Seconde Guerre mondiale.

Alerte malware : pourquoi télécharger vos outils open source sur Google est devenu un piège vicieux

Alerte malware : pourquoi télécharger vos outils open source sur Google est devenu un piège vicieux

Introduction : Une vaste campagne cyber d’une sophistication redoutable cible actuellement les professionnels de la tech à l’échelle mondiale en détournant les résultats de recherche Google. Selon une étude approfondie publiée par les chercheurs de Check Point, les attaquants ont déployé un écosystème de plus de 100 sites frauduleux parfaitement soignés pour usurper l’identité de logiciels open source et d’outils de sécurité hautement respectés par la communauté, à l’instar des plateformes de rétro-ingénierie Ghidra et dnSpy, ou de l’outil de reconnaissance réseau SpiderFoot. Le piège est si vicieux qu’il parvient à contourner les réflexes de vigilance les plus élémentaires des administrateurs système et des développeurs…. Pourtant, les charges utiles finales de l’infrastructure visent exclusivement l’environnement Windows. Le système de tri analyse le profil de la victime à la volée. Si le visiteur utilise Linux, navigue depuis un environnement de recherche suspect ou rafraîchit simplement sa page, le script désactive le piège et le laisse télécharger le vrai fichier sain depuis le GitHub officiel. Ce comportement rend l’analyse et la reproduction de l’infection extrêmement complexes pour les équipes de sécurité, le piège ne se refermant sélectivement que sur les cibles Windows idéales.

Oubliez la « place publique » à la Elon Musk : pourquoi le virage secret de Bluesky à la Reddit est un coup de génie

Oubliez la « place publique » à la Elon Musk : pourquoi le virage secret de Bluesky à la Reddit est un coup de génie

Introduction : Bluesky s’apprête à bousculer les règles du jeu des réseaux sociaux décentralisés. Intervenant cette semaine dans les allées du prestigieux festival SXSW à Londres, la directrice des opérations de la plateforme, Rose Wang, a lâché une véritable bombe stratégique : l’application abandonne définitivement l’ambition de cloner le fonctionnement de X (ex-Twitter) ou de Threads. Selon CNBC, au lieu de s’épuiser dans une course à la timeline universelle et centralisée, le réseau social au papillon blanc va pivoter vers un modèle de fonctionnement directement inspiré d’un autre géant du web : Reddit.

HTTP/2 Bomb : une mini-requête suffit pour faire tomber nginx, Apache ou IIS

HTTP/2 Bomb : une mini-requête suffit pour faire tomber nginx, Apache ou IIS

Introduction : HTTP/2 Bomb (CVE-2026-49975) exploite la compression d’en-têtes HTTP/2 et le blocage de réponse pour faire enfler la mémoire du serveur jusqu’à saturation avec seulement quelques kilo-octets, causant un DoS. Sur Envoy, les chercheurs ont mesuré un rapport de plus de 5 000 pour 1 avec 32 Go engloutis en une dizaine de secondes ; Apache craque en moins de vingt secondes, nginx et IIS en moins d’une minute. nginx a corrigé en version 1.29.8 avec une option pour brider les en-têtes, Apache dans mod_http2 2.0.41, mais Microsoft IIS, Envoy et Cloudflare Pingora attendaient encore leur correctif au moment de la divulgation.

Le collectif OpenLLM France publie Luciole, une nouvelle lignée de modèles d’IA entièrement ouverts

Le collectif OpenLLM France publie Luciole, une nouvelle lignée de modèles d’IA entièrement ouverts

Introduction : L’écosystème européen de l’intelligence artificielle franchit une étape importante en matière de transparence et de reproductibilité scientifique. Le consortium OpenLLM France et la société LINAGORA viennent d’annoncer la mise à disposition de Luciole, une famille de trois modèles de langage fondations multilingues massivement entraînés sur le français. Conçus comme de véritables communs numériques pour la communauté des développeurs et des chercheurs, l’intégralité de ces modèles est accessible au téléchargement au sein de la collection Luciole sur Hugging Face…. Le président et fondateur de LINAGORA, Alexandre Zapolsky, insiste sur la nature purement scientifique de cette initiative en rappelant qu’il ne s’agit pas d’outils commerciaux destinés aux utilisateurs finaux. Ce sont des instruments de recherche fondamentale développés intégralement à partir de zéro (from scratch).

Shai-Hulud : un ver vole les identifiants planqué dans des paquets Red Hat

Shai-Hulud : un ver vole les identifiants planqué dans des paquets Red Hat

Introduction : Du code malveillant glissé dans des paquets npm signés Red Hat et téléchargés environ 80 000 fois par semaine a volé des identifiants (clés cloud, tokens Kubernetes, clés SSH) via un script qui s’exécute automatiquement à l’installation. Le ver “Miasma” (variante de Shai-Hulud) s’auto-propage en utilisant les tokens npm volés pour republier d’autres paquets vérolés au nom de leurs vrais propriétaires, créant une chaîne d’infection auto-alimentée. L’attaque remonte à un compte GitHub d’employé Red Hat piraté et a touché une trentaine de paquets ; Red Hat a précisé que le code visait des outils internes sans impact connu sur ses systèmes en production.

Souveraineté : Tuta rejoint l’alliance Euro-Office à une semaine de son lancement officiel

Souveraineté : Tuta rejoint l’alliance Euro-Office à une semaine de son lancement officiel

Introduction : La dépendance quasi totale des entreprises, des administrations et des citoyens européens envers les suites bureautiques de Microsoft et de Google représente un risque critique pour la confidentialité des données et l’indépendance économique du continent. Pour briser ce duopole américain, l’initiative Euro-Office s’apprête à lancer sa toute première version stable la semaine prochaine. Coup de théâtre à quelques jours de cette échéance majeure : le spécialiste de la messagerie sécurisée Tuta a annoncé le 2 juin 2026 son intégration officielle au projet aux côtés de Nextcloud et d’Ionos.

Un SMS et le piège se referme : c’est quoi cette nouvelle arnaque Wero qui fait un carnage en France ?

Un SMS et le piège se referme : c’est quoi cette nouvelle arnaque Wero qui fait un carnage en France ?

Introduction : Concrètement, la cible qui souhaite acheter un produit d’occasion se voit proposer d’utiliser Wero pour le paiement. Nos confrères précisent : « Ils demandent votre numéro de téléphone ainsi que votre prénom afin de procéder, soi-disant, au paiement. Par la suite, vous recevez un SMS contenant un lien et un code pour, prétendument, récupérer votre argent. » Vous l’aurez compris, il s’agit malheureusement d’une tentative de hameçonnage, car vous n’enverrez jamais la somme en question ou n’en verrez pas la couleur. La victime se retrouve sur un faux site frauduleux et ses coordonnées bancaires sont transmises aux acteurs malveillants.