L’article Cette technologie ignorée qui pourrait tuer l’hantavirus avant qu’il ne vous tue est apparu en premier sur Les Électrons Libres.

Un assistant IA pour les pirates

Un « avant-goût de ce qui nous attend » : c’est ainsi que John Hultquist, chef analyste du Google Threat Intelligence Group (GTIG), a qualifié la découverte du labo. Les chercheurs en sécurité de l’entreprise ont identifié un acteur malveillant utilisant un exploit « zero-day » vraisemblablement développé avec l’aide de l’IA.

Le ou les cybercriminels prévoyaient d’exploiter cette vulnérabilité « dans le cadre d’une campagne d’exploitation massive ». Cette « découverte proactive » a permis d’éviter le pire, même si Google ne peut pas exclure que la vulnérabilité — implémenté sous la forme d’un script Python — a pu être exploitée à plus petite échelle (le labo n’a cependant pas vu de campagne active). Le GTIG se veut discret : il ne révèle pas le nom des criminels, mais précise que des acteurs en Corée du Nord et en Chine s’intéressent à l’utilisation de l’IA pour débusquer des failles de sécurité.

La faille a été corrigée

Google n’indique pas non plus le logiciel affecté par cette faille, si ce n’est qu’il s’agit d’un outil d’administration open-source très utilisé. La vulnérabilité permettait de contourner la double authentification (2FA), mais les pirates devaient au préalable connaître les identifiants et mots de passe de leurs victimes. Le GTIG a prévenu de manière responsable l’éditeur concerné, dont le nom n’a pas été révélé, pour corriger la faille.

Le groupe de chercheurs constate que les acteurs malveillants utilisent de plus en plus les outils d’IA des assistants « niveau expert » pour la recherche de vulnérabilités et le développement d’exploits, y compris pour des failles zero-day. Le verre à moitié plein, c’est que ces mêmes outils sont aussi aux mains des défenseurs. Ce serait la raison pour laquelle OpenAI et Anthropic réservent leurs modèles de cybersécurité à des organisations et des entreprises triées sur le volet.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

De la même manière, le GTIG ne dévoile pas le modèle IA utilisé pour cette faille. « Nous ne pensons pas que Gemini a été utilisé », avance-t-il prudemment. Mais la structure et le contenu de l’exploit donne au labo de fortes raisons de croire que l’acteur a eu recours à un modèle AI « pour faciliter la découverte et l’exploitation de cette vulnérabilité ».

Les LLM de plus en plus finauds

Les grands modèles de langage actuels ont encore du mal à appréhender les logiques complexes d’autorisation en entreprise, détaillent les chercheurs. Par contre, « ils sont de plus en plus capables d’effectuer un raisonnement contextuel en interprétant l’intention du développeur ». Dans le cas qui nous intéresse, la faille ne provient pas d’un bug technique classique, mais d’un passe-droit intégré directement dans le code qui permettait dans certains cas de contourner la 2FA.

Les chercheurs estiment que les LLM sont particulièrement efficaces pour identifier ces erreurs logiques de haut niveau, qui sont souvent invisibles pour les outils de détection traditionnels. Cette découverte est qualifiée de première par Google et par des spécialistes en cybersécurité indépendants. 

« Nous pensons que ce n’est que la partie émergée de l’iceberg », s’alarme John Hultquist auprès du New York Times. « Le problème est probablement bien plus vaste ; c’est simplement la première preuve tangible que nous pouvons observer. » Il est évidemment difficile d’assurer à 100 % que du code a été écrit par un humain ou une IA. Mais dans ce cas précis, les indices relevés par le GTIG (trop de texte explicatif, un style de code très propre et scolaire, une mise en forme jugée caractéristique des données d’entraînement des LLM) font pencher nettement la balance vers l’hypothèse IA.

Ce premier cas possible de faille zero-day développée avec l’IA devrait en tout cas renforcer les appels à un encadrement plus strict des modèles IA les plus avancés. L’administration Trump voudrait ainsi avoir un droit de regard sur les LLM avant leur diffusion, pour s’assurer de leur innocuité.

• La cybersécurité est une « priorité géopolitique », pas un « problème technique » (1/3)

• Anthropic et la stratégie marketing de la peur autour de sa nouvelle IA Mythos (2/3)

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

Le 11 mai 2026, Google a publié un rapport consacré à l’usage de l’intelligence artificielle dans les menaces cyber. L’entreprise y décrit un cas inédit : des cybercriminels auraient utilisé un modèle d’IA pour développer un exploit zero-day capable de contourner une authentification à deux facteurs (2FA).

Une URL, et tout devient accessible

Plus besoin de connaissances en HTML ou en JavaScript pour développer des web apps : il suffit de la décrire à une des plateformes de vibe coding qui se partagent un marché florissant. Mais la sécurité est le parent pauvre de cette pratique.

Les apps générées par IA publiées sur internet sont souvent peu sécurisées. Red Access, une entreprise spécialisée dans la sécurité dans le nuage, et son cofondateur Dor Zvi ont analysé des milliers de web apps créées avec des outils comme Lovable, Replit, Base44 et Netlify. Le résultat fait froid dans le dos : plus de 5 000 d’entre elles ne présentent aucune authentification ni véritable sécurité.

La simplicité c’est bien, la sécurité c’est mieux

Il suffit de trouver l’URL du site web pour accéder aux données de ces applications. D’autres n’opposaient comme résistance que des barrières faciles à franchir, comme l’obligation de se connecter avec une adresse email. Environ 40 % de ces web apps exposent des données sensibles, des documents confidentiels ou des historiques de conversation entre clients et chatbots. Dor Zvi tire la sonnette d’alarme chez Wired :

« Des organisations se retrouvent à divulguer des données privées via des applications créées avec le vibe coding. C’est l’un des plus grands cas de fuite où des personnes exposent des informations d’entreprise ou d’autres données sensibles à n’importe qui dans le monde. »

Parmi les trouvailles de l’équipe de Red Access : des plannings d’hôpitaux avec des informations personnelles sur des médecins, les achats publicitaires d’une entreprise, une présentation de lancement commercial, les registres de cargaisons d’une société de transport… Dans certains cas, Dor Zvi aurait pu obtenir les privilèges admin de certaines de ces apps en ligne — et même supprimer des comptes administrateurs.

Les plateformes de vibe coding permettent aux utilisateurs d’héberger leurs web apps directement sur leurs propres domaines. Pour mettre la main dessus, les chercheurs ont simplement utilisé Google ou Bing. Ils ont également trouvé plusieurs sites d’hameçonnage reproduisant ceux de grandes entreprises, créés et hébergés chez Lovable.

« Certains utilisateurs ont publié sur le web des applications qui auraient dû rester privées », explique Amjad Masad, le directeur général de Replit. « Qu’une application publique soit accessible sur internet est donc un comportement attendu. Les paramètres de confidentialité peuvent être modifiés à tout moment en un clic. » Rappelant l’existence d’outils de sécurité sur sa plateforme, le dirigeant s’engage à basculer les applications en mode privé et à informer les utilisateurs, si Red Access décide de lui transmettre une liste de ces derniers.

Masad reproche au passage le délai très court donné par la société de cybersécurité : « moins de 24 heures » avant de rendre l’affaire publique, ce qui n’a guère laissé de temps à Replit pour s’organiser. Le 6 mai, Replit annonçait que tous les utilisateurs du service, gratuit comme payant, peuvent publier leurs apps en mode privé. Une fonction qui était réservée auparavant aux clients Pro et Enterprise.

La responsabilité des plateformes

Chez Lovable, on indique également que les utilisateurs ont des outils de sécurité à leur disposition, « mais la manière dont une application est configurée relève au final de la responsabilité de son créateur ». Même discours du côté de Base44 : « Désactiver ces contrôles [de sécurité] est une action volontaire et simple, que n’importe quel utilisateur peut effectuer ». Une web app rendue publique est « un choix de configuration de l’utilisateur, et pas une faille de la plateforme ».

• Étoile montante du vibe coding, Lovable lève 330 millions de dollars

Base44 rappelle aussi qu’il est très simple de générer des données ressemblant à des vraies. Malgré tout, le risque d’exposer des informations confidentielles via des web apps vibe-codées reste réel. Ces outils sont utilisés par des utilisateurs n’ayant pas nécessairement le bagage technique suffisant pour sécuriser leurs données en ligne. 

« N’importe qui dans une entreprise peut générer une application à tout moment, sans passer par un cycle de développement standard ni par le moindre contrôle de sécurité », prévient Dor Zvi. Les plateformes ont une responsabilité ici, celle de mettre en place des garde-fous pour éviter un tsunami potentiel de fuites de données.

• Comment l’IA générative change-t-elle le métier de programmeur ?

Une URL, et tout devient accessible

Plus besoin de connaissances en HTML ou en JavaScript pour développer des web apps : il suffit de la décrire à une des plateformes de vibe coding qui se partagent un marché florissant. Mais la sécurité est le parent pauvre de cette pratique.

Les apps générées par IA publiées sur internet sont souvent peu sécurisées. Red Access, une entreprise spécialisée dans la sécurité dans le nuage, et son cofondateur Dor Zvi ont analysé des milliers de web apps créées avec des outils comme Lovable, Replit, Base44 et Netlify. Le résultat fait froid dans le dos : plus de 5 000 d’entre elles ne présentent aucune authentification ni véritable sécurité.

La simplicité c’est bien, la sécurité c’est mieux

Il suffit de trouver l’URL du site web pour accéder aux données de ces applications. D’autres n’opposaient comme résistance que des barrières faciles à franchir, comme l’obligation de se connecter avec une adresse email. Environ 40 % de ces web apps exposent des données sensibles, des documents confidentiels ou des historiques de conversation entre clients et chatbots. Dor Zvi tire la sonnette d’alarme chez Wired :

« Des organisations se retrouvent à divulguer des données privées via des applications créées avec le vibe coding. C’est l’un des plus grands cas de fuite où des personnes exposent des informations d’entreprise ou d’autres données sensibles à n’importe qui dans le monde. »

Parmi les trouvailles de l’équipe de Red Access : des plannings d’hôpitaux avec des informations personnelles sur des médecins, les achats publicitaires d’une entreprise, une présentation de lancement commercial, les registres de cargaisons d’une société de transport… Dans certains cas, Dor Zvi aurait pu obtenir les privilèges admin de certaines de ces apps en ligne — et même supprimer des comptes administrateurs.

Les plateformes de vibe coding permettent aux utilisateurs d’héberger leurs web apps directement sur leurs propres domaines. Pour mettre la main dessus, les chercheurs ont simplement utilisé Google ou Bing. Ils ont également trouvé plusieurs sites d’hameçonnage reproduisant ceux de grandes entreprises, créés et hébergés chez Lovable.

« Certains utilisateurs ont publié sur le web des applications qui auraient dû rester privées », explique Amjad Masad, le directeur général de Replit. « Qu’une application publique soit accessible sur internet est donc un comportement attendu. Les paramètres de confidentialité peuvent être modifiés à tout moment en un clic. » Rappelant l’existence d’outils de sécurité sur sa plateforme, le dirigeant s’engage à basculer les applications en mode privé et à informer les utilisateurs, si Red Access décide de lui transmettre une liste de ces derniers.

Masad reproche au passage le délai très court donné par la société de cybersécurité : « moins de 24 heures » avant de rendre l’affaire publique, ce qui n’a guère laissé de temps à Replit pour s’organiser. Le 6 mai, Replit annonçait que tous les utilisateurs du service, gratuit comme payant, peuvent publier leurs apps en mode privé. Une fonction qui était réservée auparavant aux clients Pro et Enterprise.

La responsabilité des plateformes

Chez Lovable, on indique également que les utilisateurs ont des outils de sécurité à leur disposition, « mais la manière dont une application est configurée relève au final de la responsabilité de son créateur ». Même discours du côté de Base44 : « Désactiver ces contrôles [de sécurité] est une action volontaire et simple, que n’importe quel utilisateur peut effectuer ». Une web app rendue publique est « un choix de configuration de l’utilisateur, et pas une faille de la plateforme ».

• Étoile montante du vibe coding, Lovable lève 330 millions de dollars

Base44 rappelle aussi qu’il est très simple de générer des données ressemblant à des vraies. Malgré tout, le risque d’exposer des informations confidentielles via des web apps vibe-codées reste réel. Ces outils sont utilisés par des utilisateurs n’ayant pas nécessairement le bagage technique suffisant pour sécuriser leurs données en ligne. 

« N’importe qui dans une entreprise peut générer une application à tout moment, sans passer par un cycle de développement standard ni par le moindre contrôle de sécurité », prévient Dor Zvi. Les plateformes ont une responsabilité ici, celle de mettre en place des garde-fous pour éviter un tsunami potentiel de fuites de données.

• Comment l’IA générative change-t-elle le métier de programmeur ?

La France Insoumise (LFI) a informé certains de ses adhérents ou sympathisants d’un vol de données personnelles survenu au niveau de ses outils internes. Elle y indique avoir été victime d’une attaque cybercriminelle susceptible d’avoir conduit à l’exposition d’informations telles que le nom et prénom, l’adresse email, l’adresse postale, les « informations de profil » et la « participation à certains groupes ou événements ».

Le parti politique ne précise pas le canal par lequel a été réalisée l’attaque, mais les informations personnelles évoquées, notamment l’allusion aux groupes ou événements, suggèrent qu’il pourrait s’agir du site actionpopulaire.fr, la plateforme via laquelle LFI propose à ses sympathisants d’organiser leurs actions de terrain.

Cette allusion aux groupes semble également cohérente avec les revendications publiées par un internaute le 7 mai dernier sur un forum spécialisé. Celui-ci affirmait avoir réalisé un dump (une copie) du site actionpopulaire.fr, qui lui donnerait accès à 120 000 emails uniques, 20 000 numéros de téléphone, un nombre non précisé d’adresses physiques, ainsi qu’aux messages et échanges réalisés par l’intermédiaire de la plateforme.

Outre les messages individuels adressés aux victimes potentielles, LFI a communiqué de façon plus large auprès de ses sympathisants. Signé par Manuel Bompard et diffusé, notamment, sur les canaux Discord du parti, le message admet une fuite, mais ne corrobore pas les allégations du pirate supposé :

« Nous sommes encore en train d’investiguer pour préciser les conséquences de ces attaques. Il semble qu’en effet des données liées à certaines personnes ont pu être compromises. En revanche, contrairement à ce qui a été indiqué sur les réseaux sociaux, il ne s’agit ni du fichier de tou·tes les utilisateur·rices d’Action populaire, ni des signataires sur le site de soutien de la campagne présidentielle. »

Le coordinateur du parti confirme par ailleurs qu’une plainte va être déposée, outre l’alerte transmise à la CNIL et à l’ANSSI. « De manière générale, dans le contexte de généralisation de piratages de données ayant par exemple visé des institutions publiques, nous invitons tou·tes les camarades à faire preuve de la plus grande vigilance dans les messages qu’elles et ils pourraient recevoir sur leurs coordonnées personnelles », écrit encore le parti, avant d’appeler aux habituels conseils de vigilance.

La divulgation de cette attaque intervient alors que le leader du parti, Jean-Luc Mélenchon, a annoncé dimanche 3 mai, au 20 heures de TF1, sa candidature à l’élection présidentielle de 2027. Le dépôt GitHub dédié au code d’actionpopulaire.fr témoigne quant à lui d’une forte accélération du volume de commits depuis le 23 avril dernier.

• Noms, emails, adresses IP… le nouveau site de Sarah Knafo était une véritable passoire

Rappelons que d’un point de vue réglementaire, les informations qui révèlent l’orientation politique relèvent de ce que le RGPD qualifie, dans son article 9, de « données sensibles ».

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

La France Insoumise (LFI) a informé certains de ses adhérents ou sympathisants d’un vol de données personnelles survenu au niveau de ses outils internes. Elle y indique avoir été victime d’une attaque cybercriminelle susceptible d’avoir conduit à l’exposition d’informations telles que le nom et prénom, l’adresse email, l’adresse postale, les « informations de profil » et la « participation à certains groupes ou événements ».

Le parti politique ne précise pas le canal par lequel a été réalisée l’attaque, mais les informations personnelles évoquées, notamment l’allusion aux groupes ou événements, suggèrent qu’il pourrait s’agir du site actionpopulaire.fr, la plateforme via laquelle LFI propose à ses sympathisants d’organiser leurs actions de terrain.

Cette allusion aux groupes semble également cohérente avec les revendications publiées par un internaute le 7 mai dernier sur un forum spécialisé. Celui-ci affirmait avoir réalisé un dump (une copie) du site actionpopulaire.fr, qui lui donnerait accès à 120 000 emails uniques, 20 000 numéros de téléphone, un nombre non précisé d’adresses physiques, ainsi qu’aux messages et échanges réalisés par l’intermédiaire de la plateforme.

Outre les messages individuels adressés aux victimes potentielles, LFI a communiqué de façon plus large auprès de ses sympathisants. Signé par Manuel Bompard et diffusé, notamment, sur les canaux Discord du parti, le message admet une fuite, mais ne corrobore pas les allégations du pirate supposé :

« Nous sommes encore en train d’investiguer pour préciser les conséquences de ces attaques. Il semble qu’en effet des données liées à certaines personnes ont pu être compromises. En revanche, contrairement à ce qui a été indiqué sur les réseaux sociaux, il ne s’agit ni du fichier de tou·tes les utilisateur·rices d’Action populaire, ni des signataires sur le site de soutien de la campagne présidentielle. »

Le coordinateur du parti confirme par ailleurs qu’une plainte va être déposée, outre l’alerte transmise à la CNIL et à l’ANSSI. « De manière générale, dans le contexte de généralisation de piratages de données ayant par exemple visé des institutions publiques, nous invitons tou·tes les camarades à faire preuve de la plus grande vigilance dans les messages qu’elles et ils pourraient recevoir sur leurs coordonnées personnelles », écrit encore le parti, avant d’appeler aux habituels conseils de vigilance.

La divulgation de cette attaque intervient alors que le leader du parti, Jean-Luc Mélenchon, a annoncé dimanche 3 mai, au 20 heures de TF1, sa candidature à l’élection présidentielle de 2027. Le dépôt GitHub dédié au code d’actionpopulaire.fr témoigne quant à lui d’une forte accélération du volume de commits depuis le 23 avril dernier.

• Noms, emails, adresses IP… le nouveau site de Sarah Knafo était une véritable passoire

Rappelons que d’un point de vue réglementaire, les informations qui révèlent l’orientation politique relèvent de ce que le RGPD qualifie, dans son article 9, de « données sensibles ».

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

Le début d'une série ?

Ce 7 mai, une nouvelle faille dans le noyau Linux permettant d’obtenir les droits superutilisateur a été divulguée. Mais l’embargo sur sa découverte a été cassé par des tiers. Même si un moyen de l’endiguer a été disponible rapidement, les responsables de distributions Linux courent depuis pour proposer à leurs utilisateurs un noyau incluant un patch.

Ce week-end du 8 mai a été bien actif pour les administrateurs systèmes : un peu plus d’une semaine après la révélation de la faille Copy fail dans le noyau Linux, une autre vulnérabilité a été rendue publique le 7 mai dernier. Elle est maintenant décrite sous le nom de Dirty Frag.

Comme pour Copy fail, en l’exploitant, la faille permet une escalade des privilèges, c’est-à-dire qu’un utilisateur lambda d’une machine peut très facilement accéder aux droits d’accès superutilisateur et faire ce que bon lui semble. Encore faut-il avoir un compte sur la machine.

Embargo cassé

Cette faille a été détectée par le chercheur indépendant Hyunwoo Kim. Mais celui-ci n’avait pas prévu de diffuser l’information si tôt. Comme il l’a expliqué vendredi sur la liste de discussion oss-security, d’autres personnes ont outrepassé l’embargo fixé sur la divulgation de cette faille qui concerne la plupart des distributions Linux.

Ainsi, vendredi, au moment où il a posté le message, aucun patch n’existait et aucun numéro de vulnérabilité ne lui avait été affecté. Le seul moyen qu’il proposait pour endiguer son exploitation était de bloquer les modules dans lesquels le problème se trouvait via la commande :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Depuis, la communauté s’est affairée à mettre tout en place pour bloquer la faille. Ainsi, Hyunwoo Kim a créé un dépôt GitHub officiel sur le sujet pour décrire et c’est en fait deux CVE qui ont été créées : CVE-2026-43284 puis CVE-2026-43500. Le score de vulnérabilité de la seconde n’est pas encore fixé mais celui de CVE-2026-43284 est de 8,8. Comme pour Copy Fail, le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine et le score aurait été sans doute plus élevé si ça n’avait pas été le cas.

Une modification possible depuis 2017

Les deux vulnérabilités se situaient aussi, comme avec Copy Fail, dans la possibilité de modifier le page cache (celui de xfrm-ESP depuis 2017 pour la CVE-2026-43284 et celui de RxRPC depuis 2023 pour la CVE-2026-43500). Corrigées respectivement depuis le 5 et 10 mai dans les deux projets, Hyunwoo Kim souligne qu’ « en d’autres termes, la durée de vie effective de ces vulnérabilités est d’environ 9 ans ».

La similarité avec Copy fail n’est pas étonnante puisque Hyunwoo Kim explique que c’est la première faille qui a inspiré sa recherche d’autres du même type

Le chercheur donne aussi un PoC. À Next, nous avons testé sur un serveur dédié virtuel chez OVHCloud sur lequel est installé Ubuntu 25.04. Nous avons pu reproduire le comportement, ainsi n’importe quelle personne qui a un compte sur la machine peut devenir root et y faire ce qu’elle veut.

Dans sa documentation, avant de pouvoir déployer le correctif de votre distribution, Hyunwoo Kim propose la même façon d’endiguer le problème que dans son message sur la liste oss-security.

Comme l’explique Ubuntu sur son blog, celle-ci peut poser des problèmes si on utilise le protocole de VPN IPSec comme le logiciel strongSwan. C’est aussi le cas si on se sert du système d’archivage distribué AFS (Andrew File System) « ou d’une autre application utilisant RxRPC ».

Course pour patcher

Petit à petit, les responsables des distributions Linux déploient un correctif. C’est le cas pour certaines versions de Debian, par exemple. Mais, à cause du non respect de l’embargo, le déploiement n’était pas prêt lorsque la faille a été rendue publique. Sur un dépôt GitHub titré « Copy Fail 2: Electric Boogaloo », d’autres personnes ont publié des informations sur la faille en marge du travail de Hyunwoo Kim tout en le créditant.

Celui-ci explique avoir contacté l’équipe de sécurité du noyau Linux le 30 avril avec un exploit montrant les possibilités d’utilisation de la faille et que le chercheur Kuan-Ting Chen a travaillé en parallèle sur le problème. Celui-ci a proposé un patch le 4 mai sur la liste netdev et il a été intégré à la branche netdev le 7 mai. Hyunwoo Kim a ensuite informé les responsables des distributions Linux sur la linux-distros et un embargo de cinq jours a été fixé. Mais celui-ci a donc été cassé par un tiers, ce qui a précipité la mise en place d’une solution. Comme avec Copy Fail, les administrateurs systèmes se sont donc retrouvés avec des informations partielles sur le problème au moment de la divulgation.

Le début d'une série ?

Ce 7 mai, une nouvelle faille dans le noyau Linux permettant d’obtenir les droits superutilisateur a été divulguée. Mais l’embargo sur sa découverte a été cassé par des tiers. Même si un moyen de l’endiguer a été disponible rapidement, les responsables de distributions Linux courent depuis pour proposer à leurs utilisateurs un noyau incluant un patch.

Ce week-end du 8 mai a été bien actif pour les administrateurs systèmes : un peu plus d’une semaine après la révélation de la faille Copy fail dans le noyau Linux, une autre vulnérabilité a été rendue publique le 7 mai dernier. Elle est maintenant décrite sous le nom de Dirty Frag.

Comme pour Copy fail, en l’exploitant, la faille permet une escalade des privilèges, c’est-à-dire qu’un utilisateur lambda d’une machine peut très facilement accéder aux droits d’accès superutilisateur et faire ce que bon lui semble. Encore faut-il avoir un compte sur la machine.

Embargo cassé

Cette faille a été détectée par le chercheur indépendant Hyunwoo Kim. Mais celui-ci n’avait pas prévu de diffuser l’information si tôt. Comme il l’a expliqué vendredi sur la liste de discussion oss-security, d’autres personnes ont outrepassé l’embargo fixé sur la divulgation de cette faille qui concerne la plupart des distributions Linux.

Ainsi, vendredi, au moment où il a posté le message, aucun patch n’existait et aucun numéro de vulnérabilité ne lui avait été affecté. Le seul moyen qu’il proposait pour endiguer son exploitation était de bloquer les modules dans lesquels le problème se trouvait via la commande :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Depuis, la communauté s’est affairée à mettre tout en place pour bloquer la faille. Ainsi, Hyunwoo Kim a créé un dépôt GitHub officiel sur le sujet pour décrire et c’est en fait deux CVE qui ont été créées : CVE-2026-43284 puis CVE-2026-43500. Le score de vulnérabilité de la seconde n’est pas encore fixé mais celui de CVE-2026-43284 est de 8,8. Comme pour Copy Fail, le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine et le score aurait été sans doute plus élevé si ça n’avait pas été le cas.

Une modification possible depuis 2017

Les deux vulnérabilités se situaient aussi, comme avec Copy Fail, dans la possibilité de modifier le page cache (celui de xfrm-ESP depuis 2017 pour la CVE-2026-43284 et celui de RxRPC depuis 2023 pour la CVE-2026-43500). Corrigées respectivement depuis le 5 et 10 mai dans les deux projets, Hyunwoo Kim souligne qu’ « en d’autres termes, la durée de vie effective de ces vulnérabilités est d’environ 9 ans ».

La similarité avec Copy fail n’est pas étonnante puisque Hyunwoo Kim explique que c’est la première faille qui a inspiré sa recherche d’autres du même type

Le chercheur donne aussi un PoC. À Next, nous avons testé sur un serveur dédié virtuel chez OVHCloud sur lequel est installé Ubuntu 25.04. Nous avons pu reproduire le comportement, ainsi n’importe quelle personne qui a un compte sur la machine peut devenir root et y faire ce qu’elle veut.

Dans sa documentation, avant de pouvoir déployer le correctif de votre distribution, Hyunwoo Kim propose la même façon d’endiguer le problème que dans son message sur la liste oss-security.

Comme l’explique Ubuntu sur son blog, celle-ci peut poser des problèmes si on utilise le protocole de VPN IPSec comme le logiciel strongSwan. C’est aussi le cas si on se sert du système d’archivage distribué AFS (Andrew File System) « ou d’une autre application utilisant RxRPC ».

Course pour patcher

Petit à petit, les responsables des distributions Linux déploient un correctif. C’est le cas pour certaines versions de Debian, par exemple. Mais, à cause du non respect de l’embargo, le déploiement n’était pas prêt lorsque la faille a été rendue publique. Sur un dépôt GitHub titré « Copy Fail 2: Electric Boogaloo », d’autres personnes ont publié des informations sur la faille en marge du travail de Hyunwoo Kim tout en le créditant.

Celui-ci explique avoir contacté l’équipe de sécurité du noyau Linux le 30 avril avec un exploit montrant les possibilités d’utilisation de la faille et que le chercheur Kuan-Ting Chen a travaillé en parallèle sur le problème. Celui-ci a proposé un patch le 4 mai sur la liste netdev et il a été intégré à la branche netdev le 7 mai. Hyunwoo Kim a ensuite informé les responsables des distributions Linux sur la linux-distros et un embargo de cinq jours a été fixé. Mais celui-ci a donc été cassé par un tiers, ce qui a précipité la mise en place d’une solution. Comme avec Copy Fail, les administrateurs systèmes se sont donc retrouvés avec des informations partielles sur le problème au moment de la divulgation.

Firefox sous perfusion de Mythos

Firefox sert désormais de laboratoire grandeur nature pour éprouver de nouveaux outils de cybersécurité assistés par IA. En avril, Mozilla a corrigé la bagatelle de 423 vulnérabilités, la majorité ayant été débusquée par Mythos.

Mozilla ne tarit décidément pas d’éloges sur les capacités de Mythos à détecter des bugs et des failles de sécurité dans Firefox. En avril, des correctifs ont permis de corriger 423 vulnérabilités : les 271 bugs dans Firefox 150 déjà annoncés qui proviennent des analyses de Mythos, plus 41 bugs signalés par des chercheurs externes, et 111 découverts en interne avec d’autres méthodes. À comparer avec les 76 correctifs du mois de mars.

Une chose a changé dans l’utilisation des LLM par les développeurs de Firefox. Les tests réalisés ces dernières années avec GPT-4 ou Sonnet 3.5 s’avéraient certes prometteurs, mais au bout du compte « le taux élevé de faux positifs les rendait impraticables à grande échelle », écrivent Brian Grinstead, Christian Holler et Frederik Braun de Mozilla. Le mode opératoire était relativement classique : demander au modèle d’analyser du code jugé sensible pour repérer d’éventuelles vulnérabilités.

Des agents qui traquent les bugs

Les modèles agentiques ont changé la donne, soulignent-ils : « Ces systèmes peuvent trouver de véritables bugs et écarter les hypothèses impossibles à reproduire ». Claude Opus 4.6 a permis de mettre au point un « harnais agentique » qui interagit avec l’environnement de développement : il peut exécuter du code, vérifier si la faille existe réellement et générer des cas de test qu’il est possible de reproduire.

En substance, le LLM formule une hypothèse et tente lui-même de la valider. De quoi identifier « une quantité impressionnante de vulnérabilités jusque-là inconnues ». Les ingénieurs de Mozilla ont affiné et ajusté le comportement du modèle, et lorsque les résultats ont été jugés suffisamment bons, ils ont parallélisé les tâches sur plusieurs machines virtuelles éphémères. 

Le LLM n’est qu’une partie de ce Meccano de sécurité. L’infrastructure au complet inclut aussi la gestion du cycle de vie des vulnérabilités : orchestration, validation, triage, intégration avec d’autres outils internes. Ce « harnais », qui reste très spécifique au projet, peut ensuite fonctionner avec d’autres LLM, comme l’aperçu de Mythos. « Le système devient simultanément meilleur pour repérer des bugs potentiels, créer des cas de test de preuve de concept pour les démontrer, et expliquer précisément leur mécanisme ainsi que leur impact », indique Mozilla.

Ce travail de fond pour créer un pipeline autour des modèles de langage et les capacités accrues de ces derniers ont permis d’accélérer la détection et le développement de correctifs. « Il y a encore quelques mois, les rapports de bugs de sécurité générés par IA envoyés aux projets open source étaient surtout connus pour être du bruit inutile », rappellent les ingénieurs. Trier le bon grain de l’ivraie était chronophage : « il est simple et peu coûteux de demander à un LLM de trouver un « problème » dans du code, mais il est long et coûteux de vérifier puis de répondre à ces signalements. »

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ?

Tout a changé avec les nouveaux LLM plus puissants, et l’amélioration des techniques permettant d’exploiter ces modèles. C’est un cas d’usage spécifique pour Firefox qui peut ne pas s’adapter à d’autres organisations. 

L’IA n’écrit pas les correctifs

Brian Grinstead apporte un éclairage intéressant chez TechCrunch. Si l’équipe de Firefox utilise les LLM pour repérer des failles, les correctifs sont toujours écrits par des humains malgré les progrès des outils de développement assistés par IA. « Pour les bugs dont nous parlons dans ce billet, chaque correctif a été écrit par un ingénieur puis relu par un autre », explique-t-il.

Les développeurs demandent tout de même à l’IA de proposer des correctifs pour chaque bug, mais le code qu’elle produit ne peut pas être déployé tel quel. Il sert surtout de base de travail, car « nous n’avons pas constaté que cela pouvait être automatisé ».

Mozilla est suffisamment confiant pour partager 12 bugs corrigés sans attendre les plusieurs mois habituels avant une divulgation publique, « compte tenu du niveau d’intérêt extraordinaire suscité par ce sujet et de l’urgence des mesures à prendre dans l’ensemble de l’écosystème logiciel ». Ces bugs, qui permettent des échappements de sandbox, doivent être combinés à d’autres exploits pour compromettre Firefox.

« Nous n’avons pas encore découvert tous les bugs latents présents dans Firefox, mais nous sommes très satisfaits de la trajectoire actuelle », conclut le billet. La prochaine étape pour Mozilla est d’intégrer le système directement dans la chaîne de développement du navigateur : chaque nouveau correctif envoyé par un développeur pourrait être automatiquement analysé par le pipeline IA, ce qui permettrait de détecter les bugs quasiment au moment où ils sont intégrés dans le code de Firefox.

Sur le sujet de l’impact de l’IA sur le monde de la cybersécurité, illustré notamment par le phénomène médiatique Mythos, voir notre récent dossier :

• https://next.ink/234550/la-cybersecurite-est-une-priorite-geopolitique-pas-un-probleme-technique-1-3/
• https://next.ink/234918/anthropic-et-la-strategie-marketing-de-la-peur-autour-de-sa-nouvelle-ia-mythos-2-3/
• https://next.ink/232344/comment-survivre-a-la-deferlante-a-venir-des-vulnerabilites-identifiees-par-ia-3-3/

Firefox sous perfusion de Mythos

Firefox sert désormais de laboratoire grandeur nature pour éprouver de nouveaux outils de cybersécurité assistés par IA. En avril, Mozilla a corrigé la bagatelle de 423 vulnérabilités, la majorité ayant été débusquée par Mythos.

Mozilla ne tarit décidément pas d’éloges sur les capacités de Mythos à détecter des bugs et des failles de sécurité dans Firefox. En avril, des correctifs ont permis de corriger 423 vulnérabilités : les 271 bugs dans Firefox 150 déjà annoncés qui proviennent des analyses de Mythos, plus 41 bugs signalés par des chercheurs externes, et 111 découverts en interne avec d’autres méthodes. À comparer avec les 76 correctifs du mois de mars.

Une chose a changé dans l’utilisation des LLM par les développeurs de Firefox. Les tests réalisés ces dernières années avec GPT-4 ou Sonnet 3.5 s’avéraient certes prometteurs, mais au bout du compte « le taux élevé de faux positifs les rendait impraticables à grande échelle », écrivent Brian Grinstead, Christian Holler et Frederik Braun de Mozilla. Le mode opératoire était relativement classique : demander au modèle d’analyser du code jugé sensible pour repérer d’éventuelles vulnérabilités.

Des agents qui traquent les bugs

Les modèles agentiques ont changé la donne, soulignent-ils : « Ces systèmes peuvent trouver de véritables bugs et écarter les hypothèses impossibles à reproduire ». Claude Opus 4.6 a permis de mettre au point un « harnais agentique » qui interagit avec l’environnement de développement : il peut exécuter du code, vérifier si la faille existe réellement et générer des cas de test qu’il est possible de reproduire.

En substance, le LLM formule une hypothèse et tente lui-même de la valider. De quoi identifier « une quantité impressionnante de vulnérabilités jusque-là inconnues ». Les ingénieurs de Mozilla ont affiné et ajusté le comportement du modèle, et lorsque les résultats ont été jugés suffisamment bons, ils ont parallélisé les tâches sur plusieurs machines virtuelles éphémères. 

Le LLM n’est qu’une partie de ce Meccano de sécurité. L’infrastructure au complet inclut aussi la gestion du cycle de vie des vulnérabilités : orchestration, validation, triage, intégration avec d’autres outils internes. Ce « harnais », qui reste très spécifique au projet, peut ensuite fonctionner avec d’autres LLM, comme l’aperçu de Mythos. « Le système devient simultanément meilleur pour repérer des bugs potentiels, créer des cas de test de preuve de concept pour les démontrer, et expliquer précisément leur mécanisme ainsi que leur impact », indique Mozilla.

Ce travail de fond pour créer un pipeline autour des modèles de langage et les capacités accrues de ces derniers ont permis d’accélérer la détection et le développement de correctifs. « Il y a encore quelques mois, les rapports de bugs de sécurité générés par IA envoyés aux projets open source étaient surtout connus pour être du bruit inutile », rappellent les ingénieurs. Trier le bon grain de l’ivraie était chronophage : « il est simple et peu coûteux de demander à un LLM de trouver un « problème » dans du code, mais il est long et coûteux de vérifier puis de répondre à ces signalements. »

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ?

Tout a changé avec les nouveaux LLM plus puissants, et l’amélioration des techniques permettant d’exploiter ces modèles. C’est un cas d’usage spécifique pour Firefox qui peut ne pas s’adapter à d’autres organisations. 

L’IA n’écrit pas les correctifs

Brian Grinstead apporte un éclairage intéressant chez TechCrunch. Si l’équipe de Firefox utilise les LLM pour repérer des failles, les correctifs sont toujours écrits par des humains malgré les progrès des outils de développement assistés par IA. « Pour les bugs dont nous parlons dans ce billet, chaque correctif a été écrit par un ingénieur puis relu par un autre », explique-t-il.

Les développeurs demandent tout de même à l’IA de proposer des correctifs pour chaque bug, mais le code qu’elle produit ne peut pas être déployé tel quel. Il sert surtout de base de travail, car « nous n’avons pas constaté que cela pouvait être automatisé ».

Mozilla est suffisamment confiant pour partager 12 bugs corrigés sans attendre les plusieurs mois habituels avant une divulgation publique, « compte tenu du niveau d’intérêt extraordinaire suscité par ce sujet et de l’urgence des mesures à prendre dans l’ensemble de l’écosystème logiciel ». Ces bugs, qui permettent des échappements de sandbox, doivent être combinés à d’autres exploits pour compromettre Firefox.

« Nous n’avons pas encore découvert tous les bugs latents présents dans Firefox, mais nous sommes très satisfaits de la trajectoire actuelle », conclut le billet. La prochaine étape pour Mozilla est d’intégrer le système directement dans la chaîne de développement du navigateur : chaque nouveau correctif envoyé par un développeur pourrait être automatiquement analysé par le pipeline IA, ce qui permettrait de détecter les bugs quasiment au moment où ils sont intégrés dans le code de Firefox.

Sur le sujet de l’impact de l’IA sur le monde de la cybersécurité, illustré notamment par le phénomène médiatique Mythos, voir notre récent dossier :

• https://next.ink/234550/la-cybersecurite-est-une-priorite-geopolitique-pas-un-probleme-technique-1-3/
• https://next.ink/234918/anthropic-et-la-strategie-marketing-de-la-peur-autour-de-sa-nouvelle-ia-mythos-2-3/
• https://next.ink/232344/comment-survivre-a-la-deferlante-a-venir-des-vulnerabilites-identifiees-par-ia-3-3/

Si ce n'est toi, c'est donc ton frère

Victime d’un piratage, le site officiel de JDownloader a pendant 48 heures distribué un malware en lieu et place du fichier d’installation proposé pour Windows et Linux. L’équipe en charge du projet affirme que seuls les liens de téléchargement ont été modifiés : les binaires du logiciel et l’infrastructure sous-jacente n’auraient pas été touchés. Les internautes ayant téléchargé l’utilitaire entre le 6 et le 7 mai sont toutefois invités à la prudence.

Très populaire chez les adeptes du « direct download », du fait de sa capacité à lever les restrictions sur les téléchargements gratuits, l’utilitaire JDownloader a été victime d’un incident de sécurité les 6 et 7 mai dernier. C’est plus précisément le site officiel du logiciel qui a été affecté par une attaque de type supply chain (chaîne d’approvisionnement) : pendant 48 heures environ, certains des liens de téléchargement affichés sur le site ont pointé vers un malware et non vers les binaires légitimes du client.

Des liens modifiés au niveau du CMS

L’équipe en charge du projet indique que deux liens ont été affectés : l’option « Download Alternative Installer » proposée pour Windows, et l’URL pointant vers l’installateur en ligne de commande pour Linux. « Nos packages d’installation originaux n’ont pas été modifiés ; seuls les liens de téléchargement publiés ici pointent vers des fichiers erronés. Les fichiers binaires de l’installateur restent hébergés sur des serveurs externes, comme d’habitude », promet JDownloader dans un billet dédié.

L’incident y est retracé de façon chronologique. D’après l’équipe, les assaillants auraient d’abord procédé à une première modification sur une page peu exposée du site, le 5 mai dans la soirée, avant d’insérer les deux liens piégés sur la page principale dédiée au téléchargement, le 6 mai aux alentours de deux heures du matin (heure de Paris).

Les auteurs du projet ont sonné le branle-bas de combat le 7 mai vers 19 heures, suite à l’alerte lancée par un internaute sur Reddit. « Des téléchargements suspects et des alertes ont été détectés ; le problème a été confirmé et une procédure de gestion d’incident a été lancée. Le serveur a été arrêté à 17h24 UTC [19h24 heure de Paris] », décrit-elle. Le site est ensuite resté hors ligne à des fins de nettoyage et de contrôle, jusqu’à sa remise en route dans la nuit du 8 au 9 mai.

Vérifier la légitimité du fichier téléchargé

C’est au niveau du CMS (gestionnaire de contenus, le « moteur » du site Web) que serait intervenue l’intrusion. Le code de JDownloader, et les mécaniques de mise à jour « in-app » n’ont de ce fait pas été affectées, assure l’équipe : « Chaque mise à jour installée via le système intégré de l’application est signée par RSA et vérifiée par cryptographie. Ce canal est indépendant des liens de téléchargement du site web qui ont été manipulés. »

Reste à accompagner les internautes exposés à un fichier compromis. Sous Windows, l’équipe invite à contrôler la signature du client téléchargé (clic droit, propriétés, signatures numériques). Si l’écran affiche AppWork GmbH, le fichier peut être considéré comme légitime. Elle propose également un tableau récapitulatif des différentes versions du client, avec leur taille exacte et le checksum associé.

En cas de fichier téléchargé, puis exécuté, JDownloader invite à la réinstallation complète du système d’exploitation, et à la modification préventive de tous les identifiants susceptibles d’avoir été stockés sur la machine.

Les attaques de la supply chain se multiplient

D’après Thomas Klemenc de Malcat, le fichier distribué par les pirates contient bien l’installeur de JDownloader, associé à une charge malveillante de type RAT (Remote Access Trojan) écrite en Python. Bleeping Computer remarque un comportement similaire sous Linux, où la charge s’installe de façon persistante et dissimule son activité grâce à l’outil d’obfuscation Pyarmor.

Ce nouvel incident illustre la tendance qui consiste à attaquer non pas un logiciel, mais sa chaîne d’approvisionnement. Parfois, c’est le site Web qui sert de vecteur, comme ici ou dans le cas de la mésaventure survenue à l’éditeur de CPU-Z. Bon nombre d’attaques se concentrent également sur la distribution de composants open source populaires, comme l’illustre une alerte lancée le 5 mai dernier sur Daemon Tools, ainsi que les épisodes récents relatifs à Axios ou Trivy.

Si ce n'est toi, c'est donc ton frère

Victime d’un piratage, le site officiel de JDownloader a pendant 48 heures distribué un malware en lieu et place du fichier d’installation proposé pour Windows et Linux. L’équipe en charge du projet affirme que seuls les liens de téléchargement ont été modifiés : les binaires du logiciel et l’infrastructure sous-jacente n’auraient pas été touchés. Les internautes ayant téléchargé l’utilitaire entre le 6 et le 7 mai sont toutefois invités à la prudence.

Très populaire chez les adeptes du « direct download », du fait de sa capacité à lever les restrictions sur les téléchargements gratuits, l’utilitaire JDownloader a été victime d’un incident de sécurité les 6 et 7 mai dernier. C’est plus précisément le site officiel du logiciel qui a été affecté par une attaque de type supply chain (chaîne d’approvisionnement) : pendant 48 heures environ, certains des liens de téléchargement affichés sur le site ont pointé vers un malware et non vers les binaires légitimes du client.

Des liens modifiés au niveau du CMS

L’équipe en charge du projet indique que deux liens ont été affectés : l’option « Download Alternative Installer » proposée pour Windows, et l’URL pointant vers l’installateur en ligne de commande pour Linux. « Nos packages d’installation originaux n’ont pas été modifiés ; seuls les liens de téléchargement publiés ici pointent vers des fichiers erronés. Les fichiers binaires de l’installateur restent hébergés sur des serveurs externes, comme d’habitude », promet JDownloader dans un billet dédié.

L’incident y est retracé de façon chronologique. D’après l’équipe, les assaillants auraient d’abord procédé à une première modification sur une page peu exposée du site, le 5 mai dans la soirée, avant d’insérer les deux liens piégés sur la page principale dédiée au téléchargement, le 6 mai aux alentours de deux heures du matin (heure de Paris).

Les auteurs du projet ont sonné le branle-bas de combat le 7 mai vers 19 heures, suite à l’alerte lancée par un internaute sur Reddit. « Des téléchargements suspects et des alertes ont été détectés ; le problème a été confirmé et une procédure de gestion d’incident a été lancée. Le serveur a été arrêté à 17h24 UTC [19h24 heure de Paris] », décrit-elle. Le site est ensuite resté hors ligne à des fins de nettoyage et de contrôle, jusqu’à sa remise en route dans la nuit du 8 au 9 mai.

Vérifier la légitimité du fichier téléchargé

C’est au niveau du CMS (gestionnaire de contenus, le « moteur » du site Web) que serait intervenue l’intrusion. Le code de JDownloader, et les mécaniques de mise à jour « in-app » n’ont de ce fait pas été affectées, assure l’équipe : « Chaque mise à jour installée via le système intégré de l’application est signée par RSA et vérifiée par cryptographie. Ce canal est indépendant des liens de téléchargement du site web qui ont été manipulés. »

Reste à accompagner les internautes exposés à un fichier compromis. Sous Windows, l’équipe invite à contrôler la signature du client téléchargé (clic droit, propriétés, signatures numériques). Si l’écran affiche AppWork GmbH, le fichier peut être considéré comme légitime. Elle propose également un tableau récapitulatif des différentes versions du client, avec leur taille exacte et le checksum associé.

En cas de fichier téléchargé, puis exécuté, JDownloader invite à la réinstallation complète du système d’exploitation, et à la modification préventive de tous les identifiants susceptibles d’avoir été stockés sur la machine.

Les attaques de la supply chain se multiplient

D’après Thomas Klemenc de Malcat, le fichier distribué par les pirates contient bien l’installeur de JDownloader, associé à une charge malveillante de type RAT (Remote Access Trojan) écrite en Python. Bleeping Computer remarque un comportement similaire sous Linux, où la charge s’installe de façon persistante et dissimule son activité grâce à l’outil d’obfuscation Pyarmor.

Ce nouvel incident illustre la tendance qui consiste à attaquer non pas un logiciel, mais sa chaîne d’approvisionnement. Parfois, c’est le site Web qui sert de vecteur, comme ici ou dans le cas de la mésaventure survenue à l’éditeur de CPU-Z. Bon nombre d’attaques se concentrent également sur la distribution de composants open source populaires, comme l’illustre une alerte lancée le 5 mai dernier sur Daemon Tools, ainsi que les épisodes récents relatifs à Axios ou Trivy.

ANSSI font font les pirates

Dans son rapport d’activité 2025, l’ANSSI revient évidemment sur les cyberattaques qui touchent la France et dresse un sombre portrait de ce qui nous attend, mais elle en profite surtout pour faire le point sur ses dispositifs réglementaires : lanceur d’alertes, détection et blocage de menaces étatiques, déploiement des réseaux 5G…

Cela fait maintenant plusieurs mois que Vincent Strubel (patron de l’Agence nationale de la sécurité des systèmes d’information ou ANSSI) a tenu à Monaco un discours sous forme d’un électrochoc afin de réveiller la conscience collective.

Aux Assises de la cybersécurité en octobre dernier, il rappelait que la France devait être « prête à faire face à une guerre de haute intensité » d’ici 2030, avec un « engagement de nos armées ».

• Vincent Strubel (ANSSI) face à la « brutalisation du monde » et la menace quantique

Se préparer à des attaques informatiques beaucoup plus massives (et avec IA)

Il parlait du risque « d’être submergé » par les attaques, d’en « subir tellement à la fois qu’on ne pourra plus rien faire ». En mars, lors de la présentation du rapport sur la cybermenace 2025, il revenait sur le cas de la France et appelait à ne pas céder à la panique : les niveaux de menaces sont certes très significatifs, mais « on n’est pas sur une explosion ou un raz-de-marée ».

• Cyberattaques en France : des niveaux « très significatifs », mais pas de raz de marée

L’ANSSI vient de mettre en ligne son rapport d’activité 2025 et, dans son édito, Vincent Strubel, tient des propos similaires : la France doit « se préparer à un scénario d’attaques informatiques beaucoup plus massives ». Il ajoute que ce scénario « n’est pas une fatalité », mais qu’il faut se préparer.

3 586 événements de cybersécurité ont été remontés et traités par l’ANSSI. Dans le lot, 1 366 sont des incidents avérés « pour lesquels l’ANSSI confirme qu’un acteur malveillant a conduit des actions avec succès sur le système d’information de la victime ». L’année précédente, période des JOP 2024 de Paris, il y en avait eu respectivement 4 386 et 1 361.

L’Agence détaille dans son rapport ses actions passées et à venir. Il est évidemment question d’intelligence artificielle : « notre rôle est d’apporter de la clarté, d’anticiper, de mesurer les risques comme les opportunités – le tout pour accompagner l’écosystème vers la promotion d’une IA à la fois sûre et résiliente ». Une déclaration de Hugo Mania, chef de projet IA à l’ANSSI, qui résonne avec les déclarations d’Anthropic et OpenAI sur les performances de leur IA dédiées à la cybersécurité.

Cette année, une formation de « sensibilisation aux enjeux de cybersécurité liés à l’IA » sera proposée au Centre de formation à la sécurité des systèmes d’information (CFSSI) de l’ANSSI.

• Cybersécurité vs Gen AI : l’ANSSI « n’a pas de preuve d’attaque à 100 % IA »
• OpenAI aussi a son moment Mythos… et assure sa com’ face à Anthropic
• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

Augmentation des attaques contre les environnements cloud

BookMyName, l’un des bureaux d’enregistrement de noms de domaine de Scaleway (groupe iliad) a temporairement suspendu ses services (web et API) mardi 5 mai en raison d’une activité suspecte détectée au niveau de son système d’information.

« Certains clients ont pu constater une modification de leurs informations de contact associées à leurs noms de domaine, a alerté le service en début de journée. En conséquence, nous avons décidé de suspendre l’ensemble des accès publics à BookMyName le temps de mener les investigations nécessaires. »

Vers 17 heures, le bureau a publié un point d’étape affirmant que les informations de contact modifiées avaient été restaurées et que le service était considéré comme sécurisé, annonçant au passage prendre en charge gracieusement le renouvellement des noms de domaine arrivant à échéance dans les 72 heures.

Le rétablissement du service est finalement intervenu mardi 5 mai vers 22 heures, amputé de certaines fonctionnalités secondaires, dont la récupération de mots de passe.

« Compte tenu du rétablissement effectif du service ce jour, les renouvellements automatiques seront assurés sans interruption. Par conséquent, et contrairement à ce qui a pu être communiqué précédemment, nous ne procéderons pas au renouvellement gracieux des domaines arrivant à échéance ce 5 mai 2026. Ces derniers seront traités selon vos modalités de facturation habituelles », a publié à cette occasion le service.

BookMyName a publié dès mercredi 6 mai le post mortem de l’incident. D’après ce rapport, l’intrusion a permis à l’assaillant de modifier les informations de contact associées à 1 868 comptes clients. « L’adresse e-mail, le prénom, le nom, le mot de passe et le pays ont été modifiés », décrit le bureau d’enregistrement, selon qui aucune opération de transfert non sollicitée n’a été constatée.

« L’incident a été causé par une erreur de logique dans le contrôle d’autorisation du point de terminaison de modification des contacts. Cette faille a permis à un attaquant de modifier n’importe quel champ lié aux contacts en ciblant n’importe quel identifiant de compte en manipulant des paramètres de requête HTTP. Il s’agissait principalement d’une attaque à l’aveugle : aucun compte n’était spécifiquement ciblé », décrit le service sur un volet plus technique.

• [Offert] On analyse les 10 millions de noms de domaines en .fr

BookMyName, l’un des bureaux d’enregistrement de noms de domaine de Scaleway (groupe iliad) a temporairement suspendu ses services (web et API) mardi 5 mai en raison d’une activité suspecte détectée au niveau de son système d’information.

« Certains clients ont pu constater une modification de leurs informations de contact associées à leurs noms de domaine, a alerté le service en début de journée. En conséquence, nous avons décidé de suspendre l’ensemble des accès publics à BookMyName le temps de mener les investigations nécessaires. »

Vers 17 heures, le bureau a publié un point d’étape affirmant que les informations de contact modifiées avaient été restaurées et que le service était considéré comme sécurisé, annonçant au passage prendre en charge gracieusement le renouvellement des noms de domaine arrivant à échéance dans les 72 heures.

Le rétablissement du service est finalement intervenu mardi 5 mai vers 22 heures, amputé de certaines fonctionnalités secondaires, dont la récupération de mots de passe.

« Compte tenu du rétablissement effectif du service ce jour, les renouvellements automatiques seront assurés sans interruption. Par conséquent, et contrairement à ce qui a pu être communiqué précédemment, nous ne procéderons pas au renouvellement gracieux des domaines arrivant à échéance ce 5 mai 2026. Ces derniers seront traités selon vos modalités de facturation habituelles », a publié à cette occasion le service.

BookMyName a publié dès mercredi 6 mai le post mortem de l’incident. D’après ce rapport, l’intrusion a permis à l’assaillant de modifier les informations de contact associées à 1 868 comptes clients. « L’adresse e-mail, le prénom, le nom, le mot de passe et le pays ont été modifiés », décrit le bureau d’enregistrement, selon qui aucune opération de transfert non sollicitée n’a été constatée.

« L’incident a été causé par une erreur de logique dans le contrôle d’autorisation du point de terminaison de modification des contacts. Cette faille a permis à un attaquant de modifier n’importe quel champ lié aux contacts en ciblant n’importe quel identifiant de compte en manipulant des paramètres de requête HTTP. Il s’agissait principalement d’une attaque à l’aveugle : aucun compte n’était spécifiquement ciblé », décrit le service sur un volet plus technique.

• [Offert] On analyse les 10 millions de noms de domaines en .fr

OSS 117 facts

Les moyens, humains et financiers, des services de renseignement français ont profondément évolué depuis les attentats de 2015, notamment du fait de la montée en puissance de leurs directions techniques. Le nombre d’emplois liés au numérique a ainsi explosé de + 79 % à la DGSE en 10 ans, quand ceux du renseignement n’ont progressé que de + 18 %. Les services ont cela dit du mal à fidéliser leurs contractuels, malgré de nombreuses initiatives prises en la matière.

Composée de quatre sénateurs et quatre députés, la délégation parlementaire au renseignement (DPR) a pour mission de contrôler l’action du Gouvernement en matière de renseignement et d’évaluer la politique publique en ce domaine. En 2026, elle a « décidé de consacrer le thème central de son rapport annuel aux transformations en cours au sein de la communauté du renseignement ».

Son 17e rapport annuel montre en effet que les services de renseignement n’ont jamais reçu autant d’argent, et recruté autant d’agents, et rappelle que « les attentats de 2015 ont été le catalyseur de cette prise de conscience de la nécessité de réarmer notre appareil de renseignement ».

Cinq milliards d’euros ont en effet été consacrés au renseignement par la loi de programmation militaire (LPM) 2024 - 2030. L’ensemble des services de renseignement ont ainsi « bénéficié d’une augmentation substantielle de leurs moyens budgétaires et humains, en dépit de la crise des finances publiques que traverse notre pays ».

À la direction générale de la sécurité extérieure (DGSE), la moyenne des crédits alloués par la LPM 2019 - 2025 « est en progression de 69 % par rapport à la LPM précédente 2014 - 2018 », et s’est « élevée à 3,3 milliards d’euros sur la période 2019 - 2015 ». La LPM 2024 - 2030 prévoit en outre une ressource en crédits de paiements à hauteur de 4,6 milliards d’euros pour la DGSE, « soit une évolution de + 53 % par rapport à la précédente loi de programmation ».

À la direction générale de la sécurité intérieure (DGSI), le volume de crédits dépensés « a plus que doublé entre 2015 et 2024 », reflétant la priorité fixée en matière de lutte contre le terrorisme après les attentats de 2015. En autorisation d’engagement, le budget de la DGSI est ainsi passé de 41,6 millions d’euros en 2015 à 111,6 millions d’euros en 2024 (+ 168 %). Les crédits de paiement sont quant à eux passés de 44,7 millions d’euros en 2015 à 95,8 millions d’euros en 2025 (+ 114 %).

À la direction du renseignement militaire (DRM), les dépenses de fonctionnement du Service ont « quasiment doublé » entre 2014 et 2024, passant de 24,6 millions d’euros en 2014 à 47,2 millions d’euros en 2024. Si on y ajoute les crédits d’investissements, on atteint un total de dépenses de 62,17 millions en 2024 contre 40,8 millions d’euros dix ans auparavant.

À la direction du renseignement et de la sécurité de la défense (DRSD), chargée des habilitations et du contre-espionnage militaire, la LPM 2014 - 2019 accordait 77 millions d’euros en crédits de paiement, essentiellement fléchés sur des dépenses de fonctionnement. La LPM 2019 - 2025 avait initialement porté ce montant à 120,7 millions d’euros, avant d’être « fortement réévalué pour atteindre près de 220 millions ».

À la direction nationale du renseignement et des enquêtes douanières (DNRED), les crédits de paiement (fonctionnement et investissement) ont quant à eux quasiment triplé, passant de 10,3 millions d’euros en 2019 à 27,6 millions d’euros en 2024 avec la LPM 2019 - 2025.

+ 79 % d’emplois liés au numérique à la DGSE en 10 ans

Les services de renseignement ont également vu leurs effectifs « augmenter significativement » au cours de la décennie écoulée, sans pour autant préciser combien ils étaient en 2015. Tout juste apprend-on qu’ils sont passés de 14 912 en 2020 à 16 150 agents en 2024, et que la hausse des effectifs de la DGSE et de la DGSI s’élèvent respectivement de 9,08 % et de 10,72 % entre 2020 et 2024, reflétant également un élargissement des profils des recrues :

« Cette hausse du nombre des agents est allée de pair avec une importante diversification des profils recrutés, et une proportion plus importante des personnels civils et des contractuels par rapport aux personnels militaires et aux emplois de fonctionnaires. »

À la DGSE, le nombre d’équivalents temps plein (ETP) est en hausse de 29 % sur 10 ans, mais avec des « disparités importantes puisque les emplois créés dans le secteur du numérique ont progressé de 79 % quand ceux du renseignement n’ont évolué qu’à+ 18 % ».

• La DGSE peine à recruter ses futurs maîtres espions en informatique