De plus en plus de plateformes (Facebook, Twitter, Discord...) exigent une copie de votre carte d'identité. Discord vient de se faire voler 70 000 cartes d'identité.

EDIT: On a des doutes sur la taille de la fuite : https://www.it-connect.fr/55-millions-dutilisateurs-discord-impactes-par-la-fuite-de-donnees/
(Permalink)

Sur YouTube, une armée de bots prend systématiquement d'assaut la section commentaires de nombreux médias et créateurs contenu. Ces comptes, aux photos de profils très suggestives, publient leurs commentaires dans les premières minutes qui suivent la publication des vidéos. La chaîne YouTube de Numerama n'est pas épargnée, on a donc décidé de découvrir les menaces cyber qui se cachent derrière ces commentaires parasites.

Contre le piratage quantique, Signal dégaine une nouvelle arme pour sécuriser sa messagerie instantanée. Le protocole de l'application intègre le mécanisme SPQR. Rien à voir avec l'Empire romain : c'est un bouclier supplémentaire pour sécuriser les discussions dans un monde post-quantique. Et il a beaucoup d'avantages.

Ça fait quelques temps qu'il y a des controverses sur Ventoy (un outils pour faire des clés USB bootables).
Je note les 3 sources mentionnées :
- https://discuss.privacyguides.net/t/ventoy-security-concerns/20058
- https://biggo.com/news/202508061917_Ventoy_Binary_Blobs_Security_Concerns
- https://en.ubunlog.com/iventoy-under-suspicion-for-replacing-drivers-and-certificates/

Ce n'est pas que Ventoy est *activement* malveillant, mais ils contient des blobs binaires non documentés et bidouille des choses pour permettre l'installation de Windows qui ne sont pas 1) documentées.  2) à sources ouverts.

PS: Personnellement, il m'est arrivé d'avoir des soucis en installant Linux depuis une Ventoy. Pour les installations, préférer le "Créateur de clés USB" fourni dans la plupart des distributions.
(Permalink)

Selon une étude publiée par l'équipe de recherche d'Okta Threat Intelligence, les travailleurs nord-coréens infiltrés dans les organismes occidentaux ont élargi leur champ d'action. Le secteur de la santé est désormais largement touché par le phénomène.

En 2022, le géant français de l'intérim Adecco annonce être victime d'une cyberattaque de grande ampleur. Des millions de données personnelles sont dérobées et servent à mener de vastes campagnes d'escroqueries partout en France. Le verdict du procès des 14 prévenus dans cette affaire a été rendu le 26 septembre 2025.

À propos de la récente catastrophe sécurité évitée de justesse (https://sebsauvage.net/links/?iRQskQ), cet article pointe le problème: Nous faisons implicitement confiance à Microsoft *et* Microsoft possède un "God-mode" qui lui permet d'accéder à la *totalité* des systèmes.

Or il n'y a aucune de raison de laisser un vendeur avoir un accès *TOTAL* à vos systèmes. Étant donné la complexité des systèmes et les bases de code monstrueuses qu'ils représentent, on ne peut pas être sûr qu'il n'y a pas d'autres bugs du même genre.

Alors il ne faut pas laisser Microsoft (ou n'importe quel autre vendeur) avoir un contrôle total de votre infrastructure.
L'article propose des pistes.
(Permalink)

Sous le coude en alternative à firejail pour lancer des applications dans une sandbox.
(Permalink)

L’article La rumeur qui a fait déborder la Somme ! est apparu en premier sur Les Électrons Libres.

Ben alors ça !
Si vous êtes dans l'Espace économie européne (https://fr.wikipedia.org/wiki/Espace_%C3%A9conomique_europ%C3%A9en), Microsoft vous enrôlera gratuitement dans son programme Extended Security Updates (ESU) afin de continuer à recevoir des mises à jour de sécurité pour Windows 10.
Cela inclue donc la France.
Mais il faudra avoir un compte Microsoft.
(Permalink)

La Chine a publié ses recommandations sur la forme et la disposition des poignées de portes de voiture, afin de garantir le maximum de sécurité en cas de dysfonctionnement électrique ou d'accident. Le début de la fin des poignées affleurantes ?

Cet article a été réalisé en collaboration avec Bitdefender

Délivrer à son adolescent son premier smartphone est un cap important. Pour s’assurer qu’il en fera bon usage, quelques précautions s’imposent. En voici les principales.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Quelqu'un a trouvé une faille de sécurité dans le système d'authentification de Microsoft qui aurait permis d'accéder à TOUS les services (dans le cloud et on-premise : Exchange, SharePoint, Azure...) de TOUS les clients de Microsoft.
On est passés à deux doigts d'un incident sécurité mondial MAJEUR.
(Permalink)

Depuis début septembre 2025, le groupe britannique Jaguar Land Rover est empêtré dans une cyberattaque qui met à l’arrêt sa production. Le constructeur vient d’annoncer une nouvelle date cible pour la reprise, alors que la pression économique, politique et médiatique ne cesse de monter.

Je vous confirme, les LLM sont complètement connes.
N'importe qui qui laisse une LLM accéder à des données confidentielle méritera les baffes à venir.

Et je vous confirme: Les captchas ne servent à rien.
(Permalink)

Où on voit que laisser actif d'anciens algos de hashage (ou chiffrement) c'est une mauvaise idée.
(Permalink)

À travers un communiqué publié le 20 septembre 2025, l’ANTS a démenti les rumeurs affirmant que 13 millions de données sensibles issues de l’agence étaient en vente sur le dark web. Ce dénouement met fin à un brouhaha de plusieurs mois qui aura mis en lumière les mécaniques de désinformation de l’écosystème cyber.

(Permalink)

Comment les développeurs du logiciel Obsidian réduisent les risques malgré les dépendances du logiciel. Et ce sont de très bonnes pratiques.
- petite fonctions : incluses directement dans le code de l'appli.
- modules moyens : inclus dans la base de code d'Obsidian si la licence le permet.
- gros modules : mis à jour moins souvent, uniquement lors des mises à jour de sécurité, et les changeslogs sont examinés en détail.

Les versions sont verrouillées (pas de montée automatique de versions des dépendances), ce qui leur permet d'avoir des compilation reproductibles. Les montées en version des dépendances se font après examen détaillé des changelog et des changements de sous-dépendances.
(Permalink)

Comme dit le développeur curl : « Who could have figured out that automatically downloading half the internet and ten thousand always-changing dependencies every time you build could actually be a weakness? »
(https://mastodon.social/@bagder/115218787867536141)
(Permalink)