Oh bah tiens, encore une faille dans le même genre que copy.fail : https://github.com/V4bel/dirtyfrag

EDIT: Wo pinaise c'est pas fini : https://github.com/0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo
#OnVaTousMourir

Petite réflexion:
3 failles de privilege escalation trouvée coup sur coup sous Linux.
Mais dites-vous bien une chose : Les failles ont été trouvée ➡️➡️parce qu'on a accès au code source⬅️⬅️.
Le même genre de faille existe probablement sous une forme proche (abuser d'une API/ABI ou d'une bibliothèque système) sous Windows. MAIS ON NE LE SAIT PAS. Et probablement de manière beaucoup plus importante étant donné l'énorme legacy que traîne Microsoft (jusqu'à garder des compatibilités Windows 95 et MS-Dos).
(Permalink)

ANSSI font font les pirates

Dans son rapport d’activité 2025, l’ANSSI revient évidemment sur les cyberattaques qui touchent la France et dresse un sombre portrait de ce qui nous attend, mais elle en profite surtout pour faire le point sur ses dispositifs réglementaires : lanceur d’alertes, détection et blocage de menaces étatiques, déploiement des réseaux 5G…

Cela fait maintenant plusieurs mois que Vincent Strubel (patron de l’Agence nationale de la sécurité des systèmes d’information ou ANSSI) a tenu à Monaco un discours sous forme d’un électrochoc afin de réveiller la conscience collective.

Aux Assises de la cybersécurité en octobre dernier, il rappelait que la France devait être « prête à faire face à une guerre de haute intensité » d’ici 2030, avec un « engagement de nos armées ».

• Vincent Strubel (ANSSI) face à la « brutalisation du monde » et la menace quantique

Se préparer à des attaques informatiques beaucoup plus massives (et avec IA)

Il parlait du risque « d’être submergé » par les attaques, d’en « subir tellement à la fois qu’on ne pourra plus rien faire ». En mars, lors de la présentation du rapport sur la cybermenace 2025, il revenait sur le cas de la France et appelait à ne pas céder à la panique : les niveaux de menaces sont certes très significatifs, mais « on n’est pas sur une explosion ou un raz-de-marée ».

• Cyberattaques en France : des niveaux « très significatifs », mais pas de raz de marée

L’ANSSI vient de mettre en ligne son rapport d’activité 2025 et, dans son édito, Vincent Strubel, tient des propos similaires : la France doit « se préparer à un scénario d’attaques informatiques beaucoup plus massives ». Il ajoute que ce scénario « n’est pas une fatalité », mais qu’il faut se préparer.

3 586 événements de cybersécurité ont été remontés et traités par l’ANSSI. Dans le lot, 1 366 sont des incidents avérés « pour lesquels l’ANSSI confirme qu’un acteur malveillant a conduit des actions avec succès sur le système d’information de la victime ». L’année précédente, période des JOP 2024 de Paris, il y en avait eu respectivement 4 386 et 1 361.

L’Agence détaille dans son rapport ses actions passées et à venir. Il est évidemment question d’intelligence artificielle : « notre rôle est d’apporter de la clarté, d’anticiper, de mesurer les risques comme les opportunités – le tout pour accompagner l’écosystème vers la promotion d’une IA à la fois sûre et résiliente ». Une déclaration de Hugo Mania, chef de projet IA à l’ANSSI, qui résonne avec les déclarations d’Anthropic et OpenAI sur les performances de leur IA dédiées à la cybersécurité.

Cette année, une formation de « sensibilisation aux enjeux de cybersécurité liés à l’IA » sera proposée au Centre de formation à la sécurité des systèmes d’information (CFSSI) de l’ANSSI.

• Cybersécurité vs Gen AI : l’ANSSI « n’a pas de preuve d’attaque à 100 % IA »
• OpenAI aussi a son moment Mythos… et assure sa com’ face à Anthropic
• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

Augmentation des attaques contre les environnements cloud

BookMyName, l’un des bureaux d’enregistrement de noms de domaine de Scaleway (groupe iliad) a temporairement suspendu ses services (web et API) mardi 5 mai en raison d’une activité suspecte détectée au niveau de son système d’information.

« Certains clients ont pu constater une modification de leurs informations de contact associées à leurs noms de domaine, a alerté le service en début de journée. En conséquence, nous avons décidé de suspendre l’ensemble des accès publics à BookMyName le temps de mener les investigations nécessaires. »

Vers 17 heures, le bureau a publié un point d’étape affirmant que les informations de contact modifiées avaient été restaurées et que le service était considéré comme sécurisé, annonçant au passage prendre en charge gracieusement le renouvellement des noms de domaine arrivant à échéance dans les 72 heures.

Le rétablissement du service est finalement intervenu mardi 5 mai vers 22 heures, amputé de certaines fonctionnalités secondaires, dont la récupération de mots de passe.

« Compte tenu du rétablissement effectif du service ce jour, les renouvellements automatiques seront assurés sans interruption. Par conséquent, et contrairement à ce qui a pu être communiqué précédemment, nous ne procéderons pas au renouvellement gracieux des domaines arrivant à échéance ce 5 mai 2026. Ces derniers seront traités selon vos modalités de facturation habituelles », a publié à cette occasion le service.

BookMyName a publié dès mercredi 6 mai le post mortem de l’incident. D’après ce rapport, l’intrusion a permis à l’assaillant de modifier les informations de contact associées à 1 868 comptes clients. « L’adresse e-mail, le prénom, le nom, le mot de passe et le pays ont été modifiés », décrit le bureau d’enregistrement, selon qui aucune opération de transfert non sollicitée n’a été constatée.

« L’incident a été causé par une erreur de logique dans le contrôle d’autorisation du point de terminaison de modification des contacts. Cette faille a permis à un attaquant de modifier n’importe quel champ lié aux contacts en ciblant n’importe quel identifiant de compte en manipulant des paramètres de requête HTTP. Il s’agissait principalement d’une attaque à l’aveugle : aucun compte n’était spécifiquement ciblé », décrit le service sur un volet plus technique.

• [Offert] On analyse les 10 millions de noms de domaines en .fr

BookMyName, l’un des bureaux d’enregistrement de noms de domaine de Scaleway (groupe iliad) a temporairement suspendu ses services (web et API) mardi 5 mai en raison d’une activité suspecte détectée au niveau de son système d’information.

« Certains clients ont pu constater une modification de leurs informations de contact associées à leurs noms de domaine, a alerté le service en début de journée. En conséquence, nous avons décidé de suspendre l’ensemble des accès publics à BookMyName le temps de mener les investigations nécessaires. »

Vers 17 heures, le bureau a publié un point d’étape affirmant que les informations de contact modifiées avaient été restaurées et que le service était considéré comme sécurisé, annonçant au passage prendre en charge gracieusement le renouvellement des noms de domaine arrivant à échéance dans les 72 heures.

Le rétablissement du service est finalement intervenu mardi 5 mai vers 22 heures, amputé de certaines fonctionnalités secondaires, dont la récupération de mots de passe.

« Compte tenu du rétablissement effectif du service ce jour, les renouvellements automatiques seront assurés sans interruption. Par conséquent, et contrairement à ce qui a pu être communiqué précédemment, nous ne procéderons pas au renouvellement gracieux des domaines arrivant à échéance ce 5 mai 2026. Ces derniers seront traités selon vos modalités de facturation habituelles », a publié à cette occasion le service.

BookMyName a publié dès mercredi 6 mai le post mortem de l’incident. D’après ce rapport, l’intrusion a permis à l’assaillant de modifier les informations de contact associées à 1 868 comptes clients. « L’adresse e-mail, le prénom, le nom, le mot de passe et le pays ont été modifiés », décrit le bureau d’enregistrement, selon qui aucune opération de transfert non sollicitée n’a été constatée.

« L’incident a été causé par une erreur de logique dans le contrôle d’autorisation du point de terminaison de modification des contacts. Cette faille a permis à un attaquant de modifier n’importe quel champ lié aux contacts en ciblant n’importe quel identifiant de compte en manipulant des paramètres de requête HTTP. Il s’agissait principalement d’une attaque à l’aveugle : aucun compte n’était spécifiquement ciblé », décrit le service sur un volet plus technique.

• [Offert] On analyse les 10 millions de noms de domaines en .fr

OSS 117 facts

Les moyens, humains et financiers, des services de renseignement français ont profondément évolué depuis les attentats de 2015, notamment du fait de la montée en puissance de leurs directions techniques. Le nombre d’emplois liés au numérique a ainsi explosé de + 79 % à la DGSE en 10 ans, quand ceux du renseignement n’ont progressé que de + 18 %. Les services ont cela dit du mal à fidéliser leurs contractuels, malgré de nombreuses initiatives prises en la matière.

Composée de quatre sénateurs et quatre députés, la délégation parlementaire au renseignement (DPR) a pour mission de contrôler l’action du Gouvernement en matière de renseignement et d’évaluer la politique publique en ce domaine. En 2026, elle a « décidé de consacrer le thème central de son rapport annuel aux transformations en cours au sein de la communauté du renseignement ».

Son 17e rapport annuel montre en effet que les services de renseignement n’ont jamais reçu autant d’argent, et recruté autant d’agents, et rappelle que « les attentats de 2015 ont été le catalyseur de cette prise de conscience de la nécessité de réarmer notre appareil de renseignement ».

Cinq milliards d’euros ont en effet été consacrés au renseignement par la loi de programmation militaire (LPM) 2024 - 2030. L’ensemble des services de renseignement ont ainsi « bénéficié d’une augmentation substantielle de leurs moyens budgétaires et humains, en dépit de la crise des finances publiques que traverse notre pays ».

À la direction générale de la sécurité extérieure (DGSE), la moyenne des crédits alloués par la LPM 2019 - 2025 « est en progression de 69 % par rapport à la LPM précédente 2014 - 2018 », et s’est « élevée à 3,3 milliards d’euros sur la période 2019 - 2015 ». La LPM 2024 - 2030 prévoit en outre une ressource en crédits de paiements à hauteur de 4,6 milliards d’euros pour la DGSE, « soit une évolution de + 53 % par rapport à la précédente loi de programmation ».

À la direction générale de la sécurité intérieure (DGSI), le volume de crédits dépensés « a plus que doublé entre 2015 et 2024 », reflétant la priorité fixée en matière de lutte contre le terrorisme après les attentats de 2015. En autorisation d’engagement, le budget de la DGSI est ainsi passé de 41,6 millions d’euros en 2015 à 111,6 millions d’euros en 2024 (+ 168 %). Les crédits de paiement sont quant à eux passés de 44,7 millions d’euros en 2015 à 95,8 millions d’euros en 2025 (+ 114 %).

À la direction du renseignement militaire (DRM), les dépenses de fonctionnement du Service ont « quasiment doublé » entre 2014 et 2024, passant de 24,6 millions d’euros en 2014 à 47,2 millions d’euros en 2024. Si on y ajoute les crédits d’investissements, on atteint un total de dépenses de 62,17 millions en 2024 contre 40,8 millions d’euros dix ans auparavant.

À la direction du renseignement et de la sécurité de la défense (DRSD), chargée des habilitations et du contre-espionnage militaire, la LPM 2014 - 2019 accordait 77 millions d’euros en crédits de paiement, essentiellement fléchés sur des dépenses de fonctionnement. La LPM 2019 - 2025 avait initialement porté ce montant à 120,7 millions d’euros, avant d’être « fortement réévalué pour atteindre près de 220 millions ».

À la direction nationale du renseignement et des enquêtes douanières (DNRED), les crédits de paiement (fonctionnement et investissement) ont quant à eux quasiment triplé, passant de 10,3 millions d’euros en 2019 à 27,6 millions d’euros en 2024 avec la LPM 2019 - 2025.

+ 79 % d’emplois liés au numérique à la DGSE en 10 ans

Les services de renseignement ont également vu leurs effectifs « augmenter significativement » au cours de la décennie écoulée, sans pour autant préciser combien ils étaient en 2015. Tout juste apprend-on qu’ils sont passés de 14 912 en 2020 à 16 150 agents en 2024, et que la hausse des effectifs de la DGSE et de la DGSI s’élèvent respectivement de 9,08 % et de 10,72 % entre 2020 et 2024, reflétant également un élargissement des profils des recrues :

« Cette hausse du nombre des agents est allée de pair avec une importante diversification des profils recrutés, et une proportion plus importante des personnels civils et des contractuels par rapport aux personnels militaires et aux emplois de fonctionnaires. »

À la DGSE, le nombre d’équivalents temps plein (ETP) est en hausse de 29 % sur 10 ans, mais avec des « disparités importantes puisque les emplois créés dans le secteur du numérique ont progressé de 79 % quand ceux du renseignement n’ont évolué qu’à+ 18 % ».

• La DGSE peine à recruter ses futurs maîtres espions en informatique