Menaces

Introduction : Un micro espion de 2x2mm caché dans un KVM à 30€ : comment un composant invisible peut transformer votre PC en mouchard Sipeed a oublié de désactiver le micro, mais la communauté du code ouvert répare ce que le fabricant a cassé Vous pensiez contrôler votre ordinateur à distance, mais c’est le NanoKVM qui vous écoutait en direct sur le réseau… Un micro espion de 2x2mm caché dans un KVM à 30€ : comment un composant invisible peut transformer votre PC en mouchard Sipeed a oublié de désactiver le micro, mais la communauté du code ouvert répare ce que le fabricant a cassé Vous pensiez contrôler votre ordinateur à distance, mais c’est le NanoKVM qui vous écoutait en direct sur le réseau.. Depuis la publication du rapport, Sipeed a quand même bougé et ils ont corrigé pas mal de failles, mis à jour la documentation pour mentionner (enfin) la présence du micro, et annoncé que les futures versions n’auraient plus ces composants audio. Les firmwares récents désactivent aussi les drivers correspondants.

Introduction : Un kit de phishing nommé Spiderman cible actuellement des dizaines de banques européennes. Capable de créer en quelques clics de faux sites destinés à voler identifiants et données bancaires, il facilite le travail de cybercriminels déjà actifs en Belgique, en Allemagne et en Espagne.

Introduction : Google force l’industrie à la rançon : plus de validation par email en 2028, et après ? Les certificats passeront à 47 jours seulement, sans automatisation c’est l’apocalypse pour les admins Les pirates avaient un filon en or avec les emails et les coups de fil, Google le ferme définitivement en supprimant 11 méthodes de validation trop faciles à truquer Les petits sites gratuits sur Let’s Encrypt vont respirer, mais les dinosaures qui validaient encore par courrier postal en 2025 vont se réveiller très mal en mars 2028

Introduction : Vous comptiez visiter New York ou la Californie l’année prochaine ? Préparez-vous à vous mettre à nu. Littéralement. Les États-Unis s’apprêtent à durcir drastiquement les règles de l’ESTA. Au menu : 5 ans d’historique Facebook, vos e-mails depuis 10 ans, et une application mobile obligatoire qui veut tout savoir de vous.

Introduction : C’est un simple post Instagram devenu viral qui a créé le scandale : et si LinkedIn favorisait les profils masculins au détriment des femmes dans ses recommandations ?​ Depuis le mois dernier, de plus en plus d’utilisatrices de la plateforme dénoncent les biais sexistes de LinkedIn. Pour appuyer leur théorie, certaines ont volontairement changé de genre : en modifiant leur nom, leur pronom, et en utilisant l’IA pour réécrire certains posts sur un ton plus “masculin”, beaucoup affirment avoir vu leur visibilité exploser sur le réseau social. La situation deviendrait encore plus marquée en ajoutant une fausse moustache à sa photo de profil.

Introduction : C’est le cauchemar des régulateurs de l’IA et la nouvelle coqueluche des forums underground. Un nouvel outil open source, baptisé ironiquement KawaiiGPT, vient de faire surface sur GitHub. Sous son nom évoquant la « mignonnerie » japonaise, ce programme promet de briser les chaînes des modèles d’intelligence artificielle les plus puissants du marché. Et… il y a débat !.. L’ingéniosité de KawaiiGPT ne réside pas dans sa puissance de calcul brute, mais dans sa capacité à parasiter les géants existants. L’outil ne possède pas son propre supercalculateur ; il agit comme un intermédiaire (wrapper) intelligent. Il se connecte aux API de modèles performants comme DeepSeek, Gemini et Kimi-K2 pour leur transmettre les requêtes de l’utilisateur… Le résultat ? L’IA, censée refuser les demandes dangereuses ou illégales, s’exécute docilement.

Introduction : Les entreprises françaises sont exposées à une guerre d’influence discrète et quotidienne. La contre-ingérence devient indispensable pour protéger leurs savoirs, talents et décisions stratégiques.

Introduction : Ils sont déjà utilisés mais peuvent entraîner une perte de données « irréversible et intraçable », selon les analystes.

Introduction : La promotion de l’IA générative sur GitHub et l’intégration de la plateforme à l’équipe « CoreAI » de Microsoft font fuir certains développeurs de la plateforme. Le langage de programmation Zig quitte GitHub, alors que la fondation qui le promeut s’agace du déclin du site web. Le projet rejoint Codeberg, un service d’hébergement Git à but non lucratif. Ce cas spécifique n’est qu’un exemple d’un mouvement plus large de protestations quelquefois suivies de départs de GitHub. Alors qu’en août, le CEO de GitHub Thomas Dohmke appelait les utilisateurs à « utiliser l’IA ou quitter leur carrière », certains préfèrent quitter la plateforme phare de gestion et d’hébergement de logiciels, déçus des effets de son adoption accélérée d’outils d’intelligence artificielle et de sa dépendance réaffirmée à Microsoft.

Introduction : Le nouveau générateur d’images de Google, Nano Banana Pro, fait polémique. En question : la création systématique d’images véhiculant le complexe du « sauveur blanc » et l’utilisation non autorisée de logos d’organisations humanitaires.

Introduction : L’entreprise, troisième émetteur de cartes de paiement au monde, est sanctionnée par la CNIL, l’autorité en charge de défendre notre vie privée en France. Elle devra régler une amende de 1,5 million d’euros pour non respect des règles relatives aux traceurs… Dans le détail, l’autorité explique que plusieurs traceurs étaient déposés dès l’arrivée des internautes sur le site Web d’American Express, avant même que ces derniers ne fassent un choix relatif aux cookies. Plusieurs traceurs, notamment à finalité publicitaire, étaient déposés sur leur terminal, sans consentement. Et lorsque les internautes refusaient ce dépôt, les traceurs précédemment déposés continuaient à être lus par la société. Même topo lorsque l’internaute changeait d’avis et retirait son consentement. L’entreprise, qui propose des services bancaires et financiers, continuait d’utiliser des cookies malgré le retrait du consentement des visiteurs de son site.

Introduction : Un nouveau malware Android, baptisé Albiriox, permet à des pirates de prendre le contrôle total d’un smartphone. Le virus laisse surtout les hackers vider les comptes bancaires et les portefeuilles crypto sans éveiller les soupçons. Il cible plus de 400 applications financières… Comme l’expliquent les chercheurs dans leur rapport, Albiriox est capable de prendre le contrôle total d’un smartphone à distance. Le malware est en « développement actif » et des mises à jour régulières sont mises en ligne. Il s’agit d’une « menace en constante évolution ».

Introduction : Les disques SSD, bien que très rapides, ne sont pas une solution de stockage à long terme fiable s’ils restent débranchés. Les données peuvent se corrompre ou être perdues après seulement un an sans alimentation. Cette fragilité remet en cause leur usage pour l’archivage et souligne l’importance cruciale d’une stratégie de sauvegarde diversifiée… Le problème est que la majorité des SSD grand public utilisent des puces QLC et TLC, les moins endurantes sur ce critère de rétention des données. La conséquence est directe : l’intégrité des données est compromise bien plus vite qu’on ne l’imagine. Jeter un disque dans un tirroir en pensant sécuriser ses fichiers est donc une grave erreur de jugement.

Introduction : Le Syndicat de la Médecine Générale mène, depuis ses débuts, une réflexion très intéressante sur la numérisation des pratiques médicales. Des membres de ce syndicat ont participé à l’Atelier Santé lors de notre convention pour définir un statut d’objecteur du numérique en septembre 2023. Par ailleurs nous avions repris son analyse sur L’identité numérique en santé : entre contrôle et déshumanisation. Cette fois, nous reprenons son analyse sur Mon espace santé et le Dossier Médical Partagé (DMP), parue sur son site en octobre 2024.

Introduction : « 53 % des parents français ont déjà partagé sur les réseaux sociaux du contenu sur leurs enfants », commence par rappeler la CNIL. Un chiffre à mettre en balance avec une autre statistique : « 50 % des images ou des vidéos d’enfants échangées sur les forums pédocriminiels ont été initialement publiées par leurs parents via les réseaux sociaux ». La Commission explique que partager du contenu de ses enfants « n’est pas un acte anodin » et qu’il « comporte de nombreux risques ». En conséquence, elle déconseille de le faire, surtout si votre profil sur les réseaux sociaux est public.

Introduction : Lors de cet entretien, le chercheur soulève un point rarement évoqué et pourtant très juste. Le développement de l’IA, auquel il a contribué, était initialement financé par la recherche publique dans les universités du monde entier. Et pourtant, les bénéfices de ces avancées n’ont été captés que par quelques géants de la tech, dont on connaît désormais tous les noms. Par appât du gain, ces sociétés cherchent aujourd’hui à lever tous les freins réglementaires susceptibles de ralentir le développement de leurs modèles. Or, sans encadrement strict, la perte de contrôle de l’humain sur les IA et les conséquences décrites par Geoffrey Hinton semblent inéluctables. Reste que face à l’engouement mondial autour des IA, les mises en garde de ceux qui en ont été à l’origine ne sont pas vraiment écoutées. On nous aura pourtant prévenus à maintes reprises…

Introduction : Microsoft vous vend OneDrive comme gratuit mais vous paie en données biométriques : reconnaissance faciale activée par défaut, impossible à désactiver plus de 3 fois par an, vos données faciales stockées sur leurs serveurs sans consentement explicite Le génie de la lampe a 3 voeux, Microsoft vous en donne 3 aussi : chaque désactivation de la reconnaissance faciale compte comme un voeu annuel, après c’est bloqué jusqu’à janvier, et les mises à jour Windows peuvent les réinitialiser sans vous prévenir Pourquoi cette limite absurde ? Parce que Microsoft avoue implicitement que supprimer vos données biométriques coûte trop cher en ressources serveur, donc plutôt que de vous laisser contrôler votre vie privée, ils vous la rationalisent comme une électricité limitée

Introduction : Les trois hyperscalers américains accaparent 63 % d’un marché évalué à 107 milliards de dollars. Amazon AWS reste en tête avec 29 % des ventes, malgré une érosion, tandis que Microsoft Azure et Google GCP progressent grâce à une croissance tirée par l’IA.

Introduction : La Cybersecurity and Infrastructure Security Agency (CISA) revient sur les principales campagnes de cyberespionnage menées via des logiciels espions et ayant pour cible des « individus de grande valeur ». L’occasion pour l’organisme américain de détailler les principaux modes d’intrusion exploités par les pirates.

Introduction : C’est la rupture. Fin 2025, ce qui n’était qu’une niche pour passionnés de cybersécurité s’est transformé en affaire d’État. Accusé de faciliter le crime organisé par les autorités françaises, le projet GrapheneOS riposte en retirant ses infrastructures du territoire. Plongée au cœur d’une polémique où fantasmes techniques et volonté de surveillance s’affrontent violemment… Piqué au vif, le projet considère que « la France est un pays de plus en plus autoritaire » et que le pays est « au bord d’une aggravation de la situation ». GrapheneOS ajoute : « Ils sont déjà de très fervents partisans de la régulation de la messagerie de l’UE (EU Chat Control). Leurs forces de l’ordre, aux tendances fascistes, sont clairement en avance sur leur temps, propageant des allégations mensongères et scandaleuses concernant les projets de protection de la vie privée en ligne. Rien de tout cela n’est fondé. » Sur les réseaux sociaux, le projet a également rappelé que les développeurs révèlent que l’ANSSI (Agence nationale de la sécurité des systèmes d’information), le gendarme de la cybersécurité française, était un utilisateur actif de GrapheneOS.

Introduction : L’Assemblée nationale s’apprête à migrer ses données vers l’offre cloud Bleu pour offrir aux députés un usage amélioré des logiciels Microsoft… Héberger les données des parlementaires dans un cloud plutôt que dans l’enceinte de l’institution contredit aussi le principe de la séparation des pouvoirs, selon Gabriel de Brosses, ancien responsable de la sécurité des systèmes d’information du groupe La Poste. Celui-ci alerte les députés depuis quelques semaines sur les conséquences d’un tel choix via un rapport produit par la société de conseil en cybersécurité qu’il dirige, Tevarua Conseil.

Introduction : Evo 2 : l’IA qui crée des protéines que la nature n’a jamais inventées, et tout le code est téléchargeable gratuitement sur GitHub Les chercheurs ont demandé à l’IA de générer une antitoxine, et elle en a pondu une qui neutralise 3 toxines au lieu d’une seule — mieux que l’évolution elle-même Pendant que les biotech privées verrouillent leurs brevets, Stanford et ses partenaires lâchent 120 milliards de paires de bases d’ADN synthétique en libre accès

Introduction : Fournir sa photographie et ses empreintes quand on demande son passeport ou sa carte d’identité est plus lourd de conséquence que ce qu’on imagine. Ces données, qui sont enregistrées dans le fichier des « titres électroniques sécurisés » (TES) sont récupérées par la police par un contournement de la loi. La Quadrature du Net a pu obtenir des témoignages et preuves formelles de l’utilisation abusive de ce fichier pour identifier des personnes lors d’enquêtes judiciaires. Nous avons alerté la CNIL sur ce scandale qui était malheureusement prévisible, tant ce fichier TES portait, par son existence même, les risques d’un abus de surveillance par l’État.

Introduction : Depuis quelques jours, la communauté Arduino grince des dents : les nouvelles Conditions d’utilisation et la Politique de confidentialité, fraîchement mises en ligne après l’acquisition par Qualcomm, changent sensiblement la donne. Entre collecte élargie de données, droits très étendus sur les contenus publiés et restrictions de rétro-ingénierie, beaucoup s’interrogent : l’esprit open-source d’Arduino est-il en train de se fissurer ? La firme assure que “tout ce qui était open le restera”, mais plusieurs clauses méritent qu’on s’y attarde. Décryptage, sans fard, de ce qui inquiète les makers… et de ce qu’il faudra surveiller de près.

Introduction : Les assureurs voient d’un mauvais œil l’avènement de l’IA générative et surtout, les dangers potentiels de cette technologie qui pourraient les amener à verser des indemnisations gigantesques en cas de catastrophe.

Introduction : La situation vient de déraper sérieusement. Suite à un article du Parisien qualifiant GrapheneOS d’outil privilégié des narcotrafiquants, les développeurs de cet OS sécurisé ont pris une décision radicale. Ils annoncent leur départ immédiat de France et la migration de leurs serveurs hébergés chez OVH

Introduction : C’est un précédent juridique qui pourrait redéfinir les règles de l’IA générative. Au Japon, la police a demandé la mise en examen d’un utilisateur accusé d’avoir violé le droit d’auteur sur une image générée par IA.

Introduction : Le 19 novembre 2025, Le Parisien a publié un article qualifiant ce système d’exploitation de cauchemar pour les enquêteurs français. Le journal expliquait que la police judiciaire avait transmis une information aux autres services sur ces « engins » impossibles à déverrouiller pour la police. La réponse des développeurs de GrapheneOS ne s’est pas fait attendre, et elle est d’une violence rare. … GrapheneOS va plus loin et accuse explicitement les autorités : « La France est un pays de plus en plus autoritaire. […] Ses forces de l’ordre fascistes ont clairement une longueur d’avance en diffusant des allégations scandaleuses et mensongères sur les projets open source liés à la confidentialité. Aucune d’entre elles n’est fondée ». GrapheneOS s’en prend aussi à ses concurrents français : « iodéOS et /e/OS rendent les appareils beaucoup plus vulnérables tout en trompant les utilisateurs sur la confidentialité et la sécurité. Ces faux produits de confidentialité servent les intérêts des autorités plutôt que de protéger les gens. /e/OS reçoit des millions d’euros de financement public », en référence à d’autres alternatives à Android soutenues par la France. Les responsables du projet ont publié d’autres messages sur l’affaire.

Introduction : Une équipe de chercheurs en cybersécurité affirme avoir trouvé une méthode étonnamment simple pour contourner les protections censées empêcher les modèles d’IA de répondre à des demandes malveillantes. Leur outil prouve qu’un simple mot ou symbole peut parfois suffire à tromper les garde-fous les plus sophistiqués. Attention danger !.. Leur technique baptisée EchoGram vise directement les attaques de « prompt injection ». Il s’agit, pour schématiser, d’ajouter un texte malveillant aux instructions d’un modèle pour détourner son comportement. Le développeur Simon Willison la décrit comme une méthode consistant à « concaténer une entrée utilisateur non fiable avec un prompt de confiance ». Cela peut être direct (en entrant soi-même la commande), ou indirect (via une page web que l’IA analyse).

Introduction : L’incident survient quelques semaines après la panne majeure d’AWS d’octobre 2025. Cloudflare voit passer 20% du trafic web et sécurise 7,5 millions de sites. La panne a touché de nombreuses plateformes majeures comme ChatGPT, X et Uber. L’action Cloudflare a chuté de 3,9%, perdant 1,8Mds USD de capitalisation boursière. Trois entreprises américaines, AWS, Azure et Google Cloud contrôlent à elles seules 63% du cloud mondial, et trois acteurs, Cloudflare, Akamai et Amazon CloudFront dominent 80% du marché des réseaux de distribution de contenu. Les solutions alternatives sont souvent plus coûteuses, ne permettant pas les économies d’échelle dont profitent les géants. Les pannes de ce genre deviennent de plus en plus communes (AWS en octobre 2025), et affectent l’entièreté du web. Dans cette industrie d’une infrastructure pourtant critique, les acteurs français (comme OVH) ou européens (comme l’allemand Hetzner) sont minoritaires.