Benoît MARION

numerama.com Contre le piratage quantique, Signal dégaine une nouvelle arme pour sécuriser sa messagerie instantanée. Le protocole de l'application intègre le mécanisme SPQR. Rien à voir avec l'Empire romain : c'est un bouclier supplémentaire pour sécuriser les discussions dans un monde post-quantique. Et il a beaucoup

Grâce au SPQR, vos messages Signal survivront aux attaques quantiques (et ça n’a rien à voir avec l’Empire romain)

Les Essentiels - Mise en œuvre sécurisée d’un serveur Windows Server 2016 (et versions ultérieures)

📚 L'ANSSI publie trois nouveaux #Essentiels permettant la mise en œuvre sécurisée d’un serveur Windows Server 2016 (et versions ultérieures).

Découvrez toutes les recommandations de l'ANSSI sur :
🔗 cyber.gouv.fr/publications...

Our plan for a more secure npm supply chain Addressing a surge in package registry attacks, GitHub is strengthening npm’s security with stricter authentication, granular tokens, and enhanced trusted publishing to restore trust in the open source ecosystem.

Les mesures de GitHub pour sécuriser la supply chain de npm (P)

👉 github.blog/security...

⚠️ Ciblage Apple : ces attaques ciblent des individus pour leur statut ou leur fonction.

En cas de réception d'une notification d'Apple, il est recommandé de :
🔸 Contacter le CERT-FR ;
🔸 Conserver la notification ;
🔸 Éviter d'engager des modifications sur l'équipement.

⚠️ Ciblage de téléphones Apple ⚠️

Le CERT-FR a connaissance de notifications de menace envoyées par Apple le 3 septembre 2025 à des utilisateurs iPhone ciblés par des logiciels espions. Si vous en avez été destinataire, contactez le CERT-FR au plus vite

cert.ssi.gouv.fr/cti/CERTFR-2...

Une slide prémonitoire d'IBM en 1979

NIST Releases New Control Overlays to Manage Cybersecurity Risks in AI Systems NIST has unveiled a comprehensive initiative to address the growing cybersecurity challenges associated with artificial intelligence systems.

NIST Releases New Control Overlays to Manage Cybersecurity Risks in AI Systems gbhackers.com/nist-release...

D'importants correctifs de sécurité avec macOS 15.6.1 et iOS 18.6.2 Apple distribue ce soir deux mises à jour correctives pour Mac et iPhone/iPad. macOS 15.6.1 est disponible ainsi que la version 18.6.2 pour iOS et iPadOS. Dans les deux cas, il s'agit d'apporter d'importantes corrections de failles de sécurité, dixit Apple. iOS 18.6.2 pourrait être mis en ligne très prochainement

#macOS #iOS

MIT report: 95% of generative AI pilots at companies are failing There’s a stark difference in success rates between companies that purchase AI tools from vendors and those that build them internally.

MIT’s NANDA initiative found that 95% of generative AI deployments fail after interviewing 150 execs, surveying 350 workers, and analyzing 300 projects. The real “productivity gains” seem to come from layoffs and squeezing more work from fewer people not AI.

How OSS Rebuild Works

Sécurité Open Source : Google annonce OSS Rebuild, un service qui reconstruit automatiquement les paquets Open Source (Python, JavaScript, Rust) et compare le résultat avec les artefacts publics.

👉 security.googleblog....

Critical mcp-remote Vulnerability Enables Remote Code Execution, Impacting 437,000+ Downloads A critical vulnerability in mcp-remote (CVE-2025-6514) allows remote code execution, affecting 437,000+ users.

Critical mcp-remote Vulnerability Enables Remote Code Execution, Impacting 437,000+ Downloads thehackernews.com/2025/07/crit...

Comment ont évolué les distances parcourues par mode en France, entre 1800 et 2023 ?
🚶 🐎 🚲 🛵 🚗 🚌 🚊 ✈️

Réponse dans cette animation vidéo ⬇️

Navigo sur l’iPhone : les abonnés à l’année devront finalement attendre 2026 Il a fallu quelques années, mais Île-de-France Mobilités passe peu à peu au numérique et abandonne les cartes et les tickets. Nous avons expliqué ce matin que le pass Navigo Liberté+ — qui permet de payer chaque mois pour les voyages effectués avec une petite réduction — était disponible sur iPhone, mais il reste deux absents dans la longue liste des abonnements : l'annuel et l'imagine R (annuel lui aussi), destinés aux étudiants de moins de 26 ans. Si Île-de-France Mobilités tablait depuis un moment sur la fin de l'année 2025, ce n'est plus le cas. Selon nos confrères du Parisien, l'échéance passe au premier semestre 2026. La plaquette de présentation du pass imagine R. Le pass Navigo Liberté+ lancé officiellement sur iPhone Une fois le pass Navigo annuel (qui permet des économoies intéressantes) et l'Imagine R totalement dématérialisés, toutes les offres seront donc disponibles sur les smartphones. La prochaine étape sera la fin des tickets physiques : ils ne seront plus vendus à partir d'octobre 2025, mais resteront valables encore environ un an, jusqu'à la fin du mois de juin 2026. La fin des pass Navigo, elle, n'a pas été annoncée.

#Navigo #iPhone

📚 L'ANSSI publie de nouvelles recommandations relatives au #ZeroTrust.

👀 L’objectif principal du modèle Zero Trust est de réduire la confiance implicite accordée à un sujet souhaitant accéder au système d’information (#SI).

Plus d'informations sur :
🔗 cyber.gouv.fr/publications...

Over 80,000 Microsoft Entra ID Accounts Targeted Using Open-Source TeamFiltration Tool A new ATO campaign using TeamFiltration breached 80,000+ Microsoft Entra ID accounts via password spraying, impacting hundreds of cloud tenants

Over 80,000 Microsoft Entra ID Accounts Targeted Using Open-Source TeamFiltration Tool thehackernews.com/2025/06/over...

Une détection de plus en plus f-IA-ble ? 😉

🚀 D'après le Wavestone Cyber Benchmark 2025, la maturité des capacités de détection a augmenté de 4 % par rapport à 2024 ! 📈

Pour en savoir plus, découvrez le Cyber Benchmark : www.wavestone.com/fr/insight/c...

#CyberBenchmark2025

Ruben Hassid on X: "BREAKING: Apple just proved AI "reasoning" models like Claude, DeepSeek-R1, and o3-mini don't actually reason at all. They just memorize patterns really well. Here's what Apple discovered: (hint: we're not as close to AGI as the hype suggests) https://t.co/9A4Lg5aQWO" / X BREAKING: Apple just proved AI "reasoning" models like Claude, DeepSeek-R1, and o3-mini don't actually reason at all. They just memorize patterns really well. Here's what Apple discovered: (hint: we're not as close to AGI as the hype suggests) https://t.co/9A4Lg5aQWO

Un nouveau papier d'Apple démontrerait que les LLM ne raisonnement pas "vraiment" (ce qui ne surprendra pas grand monde parmi les gens qui savent un peu comment ça marche). Fil très intéressant ici. x.com/RubenHssd/st...

🚨 Faille critique dans Active Directory (Windows Server 2025), vuln. exploitant les comptes dMSA
🛑 Aucun correctif disponible à ce jour
👥 91% des environnements testés sont vulnérables
✅ Recommandation : restreindre les droits de création dMSA aux admins de confiance
cybernews.com/security/win...

Ce qui s’appelle avoir l’œil… Georges Bernanos, 1944 : « Le danger n'est pas dans la multiplication des machines, mais dans le nombre toujours croissant d'hommes habitués dès l'enfance à ne rien vouloir de plus que ce que les machines peuvent donner. »

Dernière chance pour refuser que Meta exploite vos publications Facebook et Instagram à des fins d’entraînement de son IA C’est le moment ou jamais d’empêcher que vos contenus publics postés sur Facebook et Instagram ne se soient engloutis par l’IA de Meta. La nouvelle politique de confidentialité annoncée par le groupe le mois dernier va entrer en vigueur demain, le 27 mai 2025. À compter de cette date, vos « informations publiques » serviront à entraîner Llama, le grand modèle de langage de Mark Zuckerberg qui sert de base Meta AI… à moins que vous ne vous y opposiez. Vous avez donc jusqu’à ce soir pour exprimer votre refus en vous rendant sur cette page pour Facebook et celle-ci pour Instagram. Vous devez juste indiquer l’adresse email liée à votre compte (elle est normalement préremplie) puis cliquer sur le bouton « Envoyer ». Vous recevrez quelques secondes plus tard une confirmation par email. Si vous avez moins de 18 ans, vous êtes automatiquement épargnés par ce grand coup de filet. Demande d’opposition à gauche. Confirmation du refus à droite. Image iGeneration. Les « informations publiques » qui vont être utilisées par Meta pour entraîner son modèle d’IA recouvrent beaucoup de choses : nom, photo de profil, activités sur des contenus publics (commentaires, évaluations ou avis sur Marketplace…), publications avec une audience « publique », etc. Dans sa nouvelle politique de confidentialité, le géant des réseaux sociaux reconnait qu’il va nourrir son IA avec des renseignements hautement personnels : Nous utilisons également vos interactions avec les fonctionnalités de l’IA par Meta et des informations publiques telles que les publications et les commentaires publics partagés sur les Produits Meta. Selon le contenu, cela peut inclure des informations concernant des sujets sensibles à propos d’autrui ou de vous-même (par exemple, si vous réalisez une publication publique concernant un sujet sensible pour vous, comme vos coordonnées). Si vous avez partagé votre numéro de téléphone, votre adresse, vos données médicales ou tout autre chose dans une publication à portée « publique » sur Facebook et Instagram, ces données seront donc gobées par le modèle de Meta. Cela ne veut pas dire que Llama va forcément les recracher telles quelles un jour, mais pour éviter tout risque le mieux est encore de les lui retirer de la bouche. Vous pouvez avoir un aperçu de vos contenus publics en consultant votre historique d’activités. Les messages privés restent en dehors de cette collecte de données, sauf si un membre de la conversation a décidé de les partager avec une IA. Meta AI s’intègre à WhatsApp et Messenger, et vous ne pouvez pas le désactiver

#Meta #IA

FBI/Europol couldn't seize the Lumma servers, so they hacked them, deleted backups, and phished threat actors

theravenfile.com/2025/05/23/l...

Sam & Jony introduce io Sam & Jony introduce io May 21, 2025 This is an extraordinary moment.

Probably the weirdest corporate acquisition announcement I've ever seen

Les Alumni des grandes écoles pour « une transition écologique ambitieuse et juste » :

Les 0-day VM escape, ca existe !
Le risque de rebond entre VM est parfois accepté, dans certaines conditions, la probabilité d'occurence d'un 0-day et de son exploitation étant jugée très faible.
github.com/vmware/vcf-s...
advisories/vmsa-2025-0004

GitHub - CobblePot59/ADcheck: Assess the security of your Active Directory with few or all privileges. Assess the security of your Active Directory with few or all privileges. - CobblePot59/ADcheck

Un nouveau venu aux côtés de PingCastle et PurpleKnight pour évaluer la sécurité de l’AD, multiplateforme écrit en Python >
« ADcheck: Assess the security of your Active Directory with few or all privileges. »

Not Lost in Translation: Rosetta 2 Artifacts in macOS Intrusions | Google Cloud Blog Guidance for investigating macOS intrusions where sophisticated threat actors are taking steps to hide their activity.

"Not Lost in Translation: Rosetta 2 Artifacts in macOS Intrusions"
Aperçu des menaces liées à la couche d'émulation de code x86 sur les CPU ARM : le code traduit peut être exécuté même sans signature, et cela pose des problèmes d'empoisonnement du cache !

GitHub - nanobrowser/nanobrowser: Open-Source Chrome extension for AI-powered web automation. Run multi-agent workflows using your own LLM API key. Alternative to OpenAI Operator. Open-Source Chrome extension for AI-powered web automation. Run multi-agent workflows using your own LLM API key. Alternative to OpenAI Operator. - nanobrowser/nanobrowser

Automatisation de taches dans le navigateur, boosté à l'IA. Alternative opensource à OpenAI Operator, et on peut choisir son LLM.
Assez bluffant, à essayer 👍

Exploiting Microsoft Teams on macOS during a Purple Team engagement The following article explains how during a Purple Team engagement we were able to identify a vulnerability in Microsoft Teams on macOS allowing us to access a user's camera and microphone.

"Exploiting Microsoft Teams on macOS during a Purple Team engagement" > deep dive passionnant par Quarkslab sur l'injection de code dans Teams sur mac durant un Purple Team, afin de capturer les images de la caméra 😎

Anshuman Bhartiya Welcome to Anshuman Bhartiya's blog. Explore articles on information security, technology, and personal insights.

« The Future of Application Security: Integrating LLMs and AI Agents into workflows » > l’intégration des LLM dans les workflows de sécurité ouvre la voie à des innovations significatives, même si l’expertise humaine reste cruciale www.anshumanbhartiya.com/posts/the-fu...

Climate Inaction Could Cost 1/3 Of Global GDP This Century, BCG Warns The Big 3 consulting firm finds that most harms come from productivity losses, but also reveals how nations could avoid 90% of climate damage.

A new report from Boston Consulting Group (BCG) and the University of Cambridge warns that a 3°C rise in global temperatures could cut global GDP by 34%. However, investing 1-2% of GDP in climate action could reduce losses by up to 90%.

Read the article below: www.forbes.com/sites/davidr...