Alertes

Alerte rouge sur l'AUR : 400 paquets Arch Linux infectés ! (UPDATE : 900)

Alerte rouge sur l'AUR : 400 paquets Arch Linux infectés ! (UPDATE : 900)

Introduction : En effet, l’alerte a été donnée : plus de 400 paquets sur l’AUR ont été compromis. Merci à MrSlayers pour ce lien dans le sujet sécurité du Discord : https://discourse.ifin.network/t/400-aur-packages-compromised-with-infostealer-and-rootkit/577 Concrètement, qu’est ce qui s’est-il passé ? Les attaquants ont utilisé deux techniques bien connues dans les attaques de la “supply chain” :

  • Le typosquatting : Ils créent des paquets avec des noms presque identiques à des logiciels très populaires (par exemple, firfox vs firefox), espérant qu’un utilisateur fasse une faute de frappe en tapant sa commande d’installation.
  • La récupération de paquets orphelins : Sur l’AUR, un paquet peut être abandonné par son mainteneur d’origine. N’importe qui peut alors en revendiquer la maintenance. Les attaquants ont simplement récupéré des paquets sains mais abandonnés, puis ont poussé une mise à jour malveillante.
Elon Musk billionnaire, symbole “d’une ère d’ultra-richesse et d’aggravation des inégalités”

Elon Musk billionnaire, symbole “d’une ère d’ultra-richesse et d’aggravation des inégalités”

Introduction : L’introduction en Bourse de SpaceX, la compagnie aérospatiale et d’IA de l’homme le plus riche du monde, a permis à sa fortune de franchir, vendredi 12 juin, le seuil symbolique des 1 000 milliards de dollars. Cette opération de tous les records revêt aussi “une dimension politique considérable”, relève notamment “The New York Times”.

Espionnage matériel et puces truquées  : Realtek s’allie à OpenTitan pour sécuriser nos objets du quotidien

Espionnage matériel et puces truquées : Realtek s’allie à OpenTitan pour sécuriser nos objets du quotidien

Introduction : Halte au piratage à la racine ! Le géant des semi-conducteurs Realtek rejoint officiellement OpenTitan, une coalition mondiale pour le « silicium » open source. L’objectif ? Intégrer une « racine de confiance » transparente dans des milliards de puces Wi-Fi, audio et IoT pour auditer la sécurité du matériel informatique. On vous explique cette technologie cruciale.

Faille kernel Linux - Un seul caractère et vous voilà root

Faille kernel Linux - Un seul caractère et vous voilà root

Introduction : CVE-2026-23111 est une faille use-after-free dans nf_tables du noyau Linux qui permet à un utilisateur sans privilège de devenir root et de sortir d’un conteneur, corrigible par un seul caractère (un ! inversant un test dans nft_map_catchall_activate). Le patch date du 5 février, l’exploit de FuzzingLabs du 16 avril et le write-up détaillé d’Exodus du 8 juin, ce qui signifie que le code d’exploitation circule publiquement depuis des semaines avant que la majorité des machines ne soit patchée. Pour se protéger immédiatement sans attendre le patch, désactiver les user namespaces non privilégiés via user.max_user_namespaces=0 (ou kernel.unprivileged_userns_clone=0 sur Debian/anciennes Ubuntu), sachant que cela peut casser Chrome sandbox ou Flatpak.

La Document Foundation (LibreOffice) s’agace de la présentation d’Euro-Office

La Document Foundation (LibreOffice) s’agace de la présentation d’Euro-Office

Introduction : La fondation s’agace en particulier des annonces relayées dans la presse autour d’Euro-Office, parfois présentée comme la première suite souveraine développée en Europe. Faux, rappelle la fondation : OpenOffice.org a été créée en 2001, en partant du code de StarOffice, puis LibreOffice a pris le relais en 2010. Les deux sont développées en Europe.

Des députés européens réclament le retrait de l'Ordre du mérite à Zelensky à cause de son hommage aux nazis ukrainiens

Des députés européens réclament le retrait de l'Ordre du mérite à Zelensky à cause de son hommage aux nazis ukrainiens

Introduction : Dans une lettre adressée à la présidente du Parlement européen, une trentaine d’eurodéputés ont demandé de déchoir Volodymyr Zelensky de sa distinction européenne, dénonçant la glorification officielle par Kiev de l’Armée insurrectionnelle ukrainienne, une organisation impliquée dans des massacres de civils durant la Seconde Guerre mondiale.

Alerte malware : pourquoi télécharger vos outils open source sur Google est devenu un piège vicieux

Alerte malware : pourquoi télécharger vos outils open source sur Google est devenu un piège vicieux

Introduction : Une vaste campagne cyber d’une sophistication redoutable cible actuellement les professionnels de la tech à l’échelle mondiale en détournant les résultats de recherche Google. Selon une étude approfondie publiée par les chercheurs de Check Point, les attaquants ont déployé un écosystème de plus de 100 sites frauduleux parfaitement soignés pour usurper l’identité de logiciels open source et d’outils de sécurité hautement respectés par la communauté, à l’instar des plateformes de rétro-ingénierie Ghidra et dnSpy, ou de l’outil de reconnaissance réseau SpiderFoot. Le piège est si vicieux qu’il parvient à contourner les réflexes de vigilance les plus élémentaires des administrateurs système et des développeurs…. Pourtant, les charges utiles finales de l’infrastructure visent exclusivement l’environnement Windows. Le système de tri analyse le profil de la victime à la volée. Si le visiteur utilise Linux, navigue depuis un environnement de recherche suspect ou rafraîchit simplement sa page, le script désactive le piège et le laisse télécharger le vrai fichier sain depuis le GitHub officiel. Ce comportement rend l’analyse et la reproduction de l’infection extrêmement complexes pour les équipes de sécurité, le piège ne se refermant sélectivement que sur les cibles Windows idéales.

Oubliez la « place publique » à la Elon Musk : pourquoi le virage secret de Bluesky à la Reddit est un coup de génie

Oubliez la « place publique » à la Elon Musk : pourquoi le virage secret de Bluesky à la Reddit est un coup de génie

Introduction : Bluesky s’apprête à bousculer les règles du jeu des réseaux sociaux décentralisés. Intervenant cette semaine dans les allées du prestigieux festival SXSW à Londres, la directrice des opérations de la plateforme, Rose Wang, a lâché une véritable bombe stratégique : l’application abandonne définitivement l’ambition de cloner le fonctionnement de X (ex-Twitter) ou de Threads. Selon CNBC, au lieu de s’épuiser dans une course à la timeline universelle et centralisée, le réseau social au papillon blanc va pivoter vers un modèle de fonctionnement directement inspiré d’un autre géant du web : Reddit.

HTTP/2 Bomb : une mini-requête suffit pour faire tomber nginx, Apache ou IIS

HTTP/2 Bomb : une mini-requête suffit pour faire tomber nginx, Apache ou IIS

Introduction : HTTP/2 Bomb (CVE-2026-49975) exploite la compression d’en-têtes HTTP/2 et le blocage de réponse pour faire enfler la mémoire du serveur jusqu’à saturation avec seulement quelques kilo-octets, causant un DoS. Sur Envoy, les chercheurs ont mesuré un rapport de plus de 5 000 pour 1 avec 32 Go engloutis en une dizaine de secondes ; Apache craque en moins de vingt secondes, nginx et IIS en moins d’une minute. nginx a corrigé en version 1.29.8 avec une option pour brider les en-têtes, Apache dans mod_http2 2.0.41, mais Microsoft IIS, Envoy et Cloudflare Pingora attendaient encore leur correctif au moment de la divulgation.

Le collectif OpenLLM France publie Luciole, une nouvelle lignée de modèles d’IA entièrement ouverts

Le collectif OpenLLM France publie Luciole, une nouvelle lignée de modèles d’IA entièrement ouverts

Introduction : L’écosystème européen de l’intelligence artificielle franchit une étape importante en matière de transparence et de reproductibilité scientifique. Le consortium OpenLLM France et la société LINAGORA viennent d’annoncer la mise à disposition de Luciole, une famille de trois modèles de langage fondations multilingues massivement entraînés sur le français. Conçus comme de véritables communs numériques pour la communauté des développeurs et des chercheurs, l’intégralité de ces modèles est accessible au téléchargement au sein de la collection Luciole sur Hugging Face…. Le président et fondateur de LINAGORA, Alexandre Zapolsky, insiste sur la nature purement scientifique de cette initiative en rappelant qu’il ne s’agit pas d’outils commerciaux destinés aux utilisateurs finaux. Ce sont des instruments de recherche fondamentale développés intégralement à partir de zéro (from scratch).

Shai-Hulud : un ver vole les identifiants planqué dans des paquets Red Hat

Shai-Hulud : un ver vole les identifiants planqué dans des paquets Red Hat

Introduction : Du code malveillant glissé dans des paquets npm signés Red Hat et téléchargés environ 80 000 fois par semaine a volé des identifiants (clés cloud, tokens Kubernetes, clés SSH) via un script qui s’exécute automatiquement à l’installation. Le ver “Miasma” (variante de Shai-Hulud) s’auto-propage en utilisant les tokens npm volés pour republier d’autres paquets vérolés au nom de leurs vrais propriétaires, créant une chaîne d’infection auto-alimentée. L’attaque remonte à un compte GitHub d’employé Red Hat piraté et a touché une trentaine de paquets ; Red Hat a précisé que le code visait des outils internes sans impact connu sur ses systèmes en production.

Souveraineté : Tuta rejoint l’alliance Euro-Office à une semaine de son lancement officiel

Souveraineté : Tuta rejoint l’alliance Euro-Office à une semaine de son lancement officiel

Introduction : La dépendance quasi totale des entreprises, des administrations et des citoyens européens envers les suites bureautiques de Microsoft et de Google représente un risque critique pour la confidentialité des données et l’indépendance économique du continent. Pour briser ce duopole américain, l’initiative Euro-Office s’apprête à lancer sa toute première version stable la semaine prochaine. Coup de théâtre à quelques jours de cette échéance majeure : le spécialiste de la messagerie sécurisée Tuta a annoncé le 2 juin 2026 son intégration officielle au projet aux côtés de Nextcloud et d’Ionos.

Un SMS et le piège se referme : c’est quoi cette nouvelle arnaque Wero qui fait un carnage en France ?

Un SMS et le piège se referme : c’est quoi cette nouvelle arnaque Wero qui fait un carnage en France ?

Introduction : Concrètement, la cible qui souhaite acheter un produit d’occasion se voit proposer d’utiliser Wero pour le paiement. Nos confrères précisent : « Ils demandent votre numéro de téléphone ainsi que votre prénom afin de procéder, soi-disant, au paiement. Par la suite, vous recevez un SMS contenant un lien et un code pour, prétendument, récupérer votre argent. » Vous l’aurez compris, il s’agit malheureusement d’une tentative de hameçonnage, car vous n’enverrez jamais la somme en question ou n’en verrez pas la couleur. La victime se retrouve sur un faux site frauduleux et ses coordonnées bancaires sont transmises aux acteurs malveillants.

Scandale de sécurité chez Meta : l’IA permettait de pirater n’importe quel compte Instagram en quelques clics

Scandale de sécurité chez Meta : l’IA permettait de pirater n’importe quel compte Instagram en quelques clics

Introduction : Meta AI, le chatbot de Meta, a souffert d’une grave faille de sécurité. En conversant avec l’IA, il était possible de pirater un compte Instagram en quelques clics. En demandant simplement à l’intelligence artificielle de changer l’adresse e-mail associée à un compte, des pirates ont pu compromettre plusieurs comptes de célébrités.