@Violence a dit dans Microsoft supprime encore plus de solutions de contournement de compte Microsoft de la version Windows 11 :

(…)
Au taf, je passe via des ISO avec mon autounnatend perso pour le déploiement via FOG.

C’est impeccable pour paramétrer une machine avec un compte local sans bouger la souris…

Jamais eu besoin d’un compte Microsoft, c’est bien se faire chier.
Les autres options seront proscrites dans le futur, comme le bypass nro et la clé de registre. Seul le unnatend est pour l’instant épargné donc Rufus aussi.

–> J’ai quand même du mal a croire que ça va passer niveau européen ce genre de truc.

A mon avis, il ne faut pas trop paniquer, il y aura toujours une solution.

Et si un jour ce n’est pas le cas, on aura des alternatives.

J’ai pas le niveau technique pour comprendre/apprécier tout ça, mais j’apprécie fortement le fait qu’il subsistera toujours un moyen de contourner ces obligations, de plus en plus oppressantes, au flicage généralisé

En bref :
(Résumé généré automatiquement par IA)

–Le piratage de Red Hat, initialement revendiqué par Crimson Collective, prend une nouvelle dimension avec l’alliance annoncée avec les Scattered Lapsus$ Hunters, transformant le chantage en campagne d’extorsion structurée.

– Les hackers ont déjà publié des extraits sensibles (rapports clients, configurations techniques) et menacent de diffuser l’ensemble des données volées via la plateforme ShinyHunters si Red Hat ne cède pas aux demandes avant le 10 octobre.

– Pour limiter les dégâts, les clients de Red Hat doivent immédiatement révoquer les clés et identifiants exposés, revoir les droits d’accès, et durcir la sécurité de leurs dépôts GitLab, notamment en appliquant des mises à jour et en surveillant les logs.

– Source :

https://www.clubic.com/actualite-582148-piratage-de-red-hat-la-situation-empire-alors-qu-un-mega-collectif-de-hackers-s-invite-dans-les-negos.html

Sans blaaaague…

En bref :
(Résumé généré automatiquement par IA)

– L’Allemagne torpille Chat Control : Signal et WhatsApp sauvés du scanning obligatoire de vos messages privés.
– Pourquoi l’Allemagne refuse la surveillance de masse : quand l’histoire des nazis et de la Stasi rattrape l’UE.
– Chat Control enterré… jusqu’à la prochaine fois : comment les politiques recyclent leurs projets de flicage numérique.

– Source :

https://korben.info/allemagne-refuse-chat-control-victoire-vie-privee.html

+1

C’est terrible mais faut pas faire oublier que le conducteur a sciemment accidenté son véhicule voire tué ses potes en prenant le volant avec c et alcool.

putain ils ont pris cher avec leur connerie 😉

je les croyait plus affutés !

il va vraiment être temps de lâcher mon Chrome … le truc c’est qu’il me connait tellement bien ce con, que mes recherches s’en trouvent très affutées 😞

En bref :
(Résumé généré automatiquement par IA )

– 13 ans que cette bombe à retardement dormait dans Redis : 330 000 serveurs exposés sur Internet dont 60 000 sans même un mot de passe.

– Quand 5 développeurs maintiennent l’infrastructure de 75% du cloud mondial : bienvenue dans la fragilité d’Internet.

– RediShell : la faille 10/10 qui transforme votre cache Redis en porte d’entrée VIP pour les pirates.

Comme vous le savez, Redis c’est un peu le champion du cache mémoire. C’est rapide, c’est efficace, tout le monde l’utilise mais surtout, ça tourne dans 75% des environnements cloud. En gros, 3 serveurs sur 4 dans le cloud l’utilise…

Cool ? Oui sauf quand une faille critique de sécurité pointe le bout de son nez ! Et pas une petite faille, mes amis ! Une faille notée 10 sur 10 en gravité, qui permet d’exécuter du code à distance sur les serveurs.

Estampillée CVE-2025-49844, et joliment baptisée RediShell, cette faille en elle-même est assez technique puiqu’elle repose sur un bug Use-After-Free dans l’interpréteur Lua intégré à Redis. En gros, un attaquant authentifié peut envoyer un script Lua malveillant qui vient manipuler le garbage collector, provoque un accès mémoire après libération, et permet ainsi d’exécuter du code arbitraire sur le serveur.

C’est de la RCE complète salade tomates oignons, avec sauce système compromis !

Le truc, c’est que ce bug dormait dans le code depuis 13 ans dès que Redis a intégré Lua en 2012 dans la version 2.6.0. Donc pendant tout ce temps, des millions de serveurs Redis dans le monde entier avaient cette vulnérabilité activée par défaut.

Et les chiffres donnent le vertige car d’après les scans de Wiz Research, environ 330 000 instances Redis sont exposées directement sur Internet. Et sur ces 330 000, au moins 60 000 n’ont même pas d’authentification activée. Donc autant dire qu’elles sont ouvertes à tous les vents et que les serveurs qui se cachent derrière aussi…

Toute l’infrastructure cloud moderne repose sur une poignée de briques open source critiques, et ça marche tellement bien qu’on en met partout et on finit souvent par oublier à quel point c’est fragile… On l’a déjà vu par exemple avec Log4Shell qui a touché des millions de serveurs Java en 2021, puis avec Heartbleed dans OpenSSL en 2014. Et on a failli le voir avec la backdoor XZ Utils découverte in extremis en 2024.

À chaque fois, c’est le même schéma où un composant open source critique, utilisé partout, et maintenu par une équipe minuscule (souvent 1 à 5 personnes), se retrouve avec un bug qui expose des pans entiers de l’infrastructure mondiale d’Internet… Argh !

Maintenant, la bonne nouvelle , c’est que Redis a publié des patchs pour toutes les versions maintenues : 6.2.20, 7.2.11, 7.4.6, 8.0.4 et 8.2.2. Donc si vous utilisez Redis, c’est le moment de mettre à jour !! Et pendant que vous y êtes, activez aussi l’authentification avec la directive requirepass, et désactivez les commandes Lua si vous ne les utilisez pas. Vous pouvez faire ça via les ACL Redis ou simplement en révoquant les permissions de scripting.

La découverte de RediShell a été faite par Wiz Research lors du Pwn2Own de Berlin en mai 2025. Alerté, Redis a publié son bulletin de sécurité le 3 octobre dernier, et Wiz a rendu public les détails le 6 octobre. Une Timeline propre, une divulgation responsable, bref tout s’est bien passé de ce côté-là…

Maintenant pour réduire ce genre de risque à terme, je pense que ce serait cool si les géants d’Internet finançaient un peu plus directement les mainteneurs de ces briques logiciels essentielle, ainsi que des audits de l’ OpenSSF car pour le moment, on est loin du compte ! Redis est patché, heureusement, mais on sait aussi que la prochaine faille critique dans un de ces composants critiques, c’est une nouvelle fois, juste une question de temps…

– Sources : wiz.io

https://korben.info/redis-quand-75-du-cloud-repose-sur-le-meme-maillon.html

@Aurel oui, mais ça marche qu’en Suisse à Montreux. :ahah:

Le service de messagerie Discord a été victime d’une violation de ses données suite à un piratage. Les gérants ont réussi à limiter les fuites, mais certains utilisateurs ont vu une partie de leurs informations personnelles captées.

Autrefois plateforme de gamers par excellence, aujourd’hui prisée par les jeunes en révolte du Maroc au Népal, Discord vient de subir un revers pour le moins gênant. Un de ses fournisseurs de service client tiers, “Trust & Safety”, a vu ses services piratés par “un groupe non autorisé”. Une brèche qui a permis aux hackeurs d’avoir accès à certaines données d’utilisateurs qui ont contacté ce support.

(Trust et safety :lol: :lolilol: :pouhahaha: )

Les serveurs de vérification d’âge visés

La fuite ne concerne donc pas véritablement les conversations ou les mots de passe des utilisateurs présents sur Discord, mais tout ce qui a été communiqué par ceux-ci au service “Trust & Safety”. Malheureusement pour les personnes concernées, ces données peuvent être sensibles, puisqu’il peut s’agir d’adresses e-mail, d’adresses IP, d’une partie limitée des informations relatives à la carte bancaire, voire des pièces d’identité (passeports, permis de conduire, etc.), ce qui permet au moins de relier des pseudos à des identités réelles.

Discord a fait savoir que les utilisateurs concernés seront informés personnellement s’ils sont touchés par ce piratage. Les autorités ont été contactées afin de se pencher sur cette affaire et la plateforme a révisé ses contrôles de sécurité pour éviter d’autres incidents.

Comme le note Frandroid, ces serveurs possèdent désormais ce type d’informations personnelles suite à l’obligation pour Discord de vérifier l’âge de ses utilisateurs dans certains pays, à l’instar du Royaume-Uni. Les hackeurs ont visiblement visé ce nouveau service en raison de sa faiblesse face aux attaques. Des associations de protection de la vie privée avaient pourtant mis en garde contre la sécurité de ce processus. Les ressortissants des pays qui ne demandent pas ce type de vérification ne sont a priori pas concernés.

Source: https://www.7sur7.be/tech/des-hackeurs-attaquent-discord-plateforme-prisee-des-jeunes-et-semparent-de-leurs-pieces-didentite~a924ed89/

Le fait que cette I.A. ait un nom “humain” crée un biais Anthropomorphique de la part des gens qui la teste. :ahah:

J’en Veuuuuuuuuuuuuuuux

https://www.20minutes.fr/guide-achat/high-tech-image/4102813-20240906-trois-meilleurs-traceurs-gps-bluetooth-2024

Les idiots qui ont pondu la loi, ne se doutaient pas du résultat avec un système anti-cookie. 🙂

Peut-être qu’avec un cookie “je refuse les cookies traceurs” ça irait mieux 🙂

@Violence a dit dans Infohash : un projet parfaitement inutile et totalement absurde, mais ça nous fait réaliser l’échelle cosmique de la cryptographie :

45 septillions de pages

j’ai cherché ce que vaux un septillon : Un septillion est l’entier naturel qui vaut 10^42 (1 000 000 000 000 000 000 000 000 000 000 000 000 000 000).
Ca en fait des pages.

En bref :

– Les hackers russes de Medusa proposent 715 000€ à un journaliste BBC pour devenir leur taupe interne.

– Après avoir échoué à pirater directement la BBC, les cybercriminels tentent le pot-de-vin : la preuve que vos employés valent plus cher que vos pare-feux.

– Un groupe de ransomware publie ses “références criminelles” pour convaincre un journaliste de les rejoindre : quand le CV devient une liste de victimes.

Un journaliste de la BBC a reçu une proposition de Medusa pour devenir leur taupe. En effet, Joe Tidy, correspondant cyber sécurité à la BBC, a été contacté en juillet 2024 par le groupe de ransomware russe pour qu’il leur file des infos sur ses collègues. Leur proposition : 600 000 livres sterling sur la table, soit environ 715 000 euros !! Je connais quelques journalistes français sous-payés qui adoreraient recevoir une telle proposition ^^

Medusa (à ne pas confondre avec MedusaLocker, c’est important) opère depuis 2021 et a déjà fait plus de 300 victimes selon les données officielles . Leur mode opératoire ? Le classique double chantage : ils chiffrent vos données ET menacent de les publier si vous ne payez pas. Les rançons vont de 100 000 dollars à 15 millions selon la taille de la victime. C’est le business !

Ce qui rend cette histoire complètement dingue, c’est que Medusa a vraiment cru pouvoir retourner un journaliste de la BBC. Le message initial de “mediaman” (subtil comme pseudo) disait texto : “Si vous pouviez nous fournir des détails sur les vulnérabilités, mots de passe ou accès à l’infrastructure BBC, nous pourrions travailler ensemble.” Autant demander à un pompier de mettre le feu à sa caserne.

Le plus drôle dans tout ça, c’est leur approche… D’après l’enquête de Joe Tidy lui-même , le contact initial s’est fait par email en juillet, suivi d’une attaque MFA bombing en août. Pour ceux qui ne connaissent pas, le MFA bombing c’est quand les hackers spamment votre téléphone de demandes d’authentification jusqu’à ce que vous craquiez et cliquiez sur “Accepter” par erreur ou parce que vous n’en pouvez plus… Sauf que Joe a reconnu ce schéma d’attaque et n’a jamais validé la demande.

Alors près avoir échoué à le hacker directement, Medusa a tenté l’approche “soft” avec une offre d’emploi. Ils lui ont proposé de devenir leur informateur privilégié, de balancer les vulnérabilités de la BBC, en échange d’un petit pot-de-vin… Le groupe lui a même envoyé des “preuves” de leur sérieux en partageant des données volées à d’autres victimes. Genre “regarde, on est des vrais méchants, on a de l’argent”.

Faut dire que cette tactique d’approche directe des employés devient de plus en plus courante. Hé oui, pourquoi s’embêter à craquer des systèmes complexes quand on peut simplement acheter quelqu’un de l’intérieur ? C’est le principe du maillon faible, mais sans Laurence Boccolini ^^ (oui, j’ai encore mangé un clown).

D’ailleurs, petite parenthèse technique : Medusa utilise un ransomware-as-a-service (RaaS) classique. Les développeurs créent le malware, les affiliés le déploient, et tout le monde se partage les gains. Le groupe opère depuis des serveurs russes et utilise Tor pour ses communications et ils ont même un blog sur le dark web où ils publient les données des victimes qui refusent de payer. C’est charmant.

Ce qui m’impressionne vraiment dans cette histoire, c’est le culot astronomique (qui a dit “la connerie” ?) des hackers… Contacter directement un journaliste cyber de la BBC pour lui proposer de devenir une taupe, fallait oser. Leur niveau de déconnexion avec la réalité est stratosphérique.

Joe Tidy a évidemment tout documenté et partagé avec les autorités et le National Crime Agency britannique et le FBI sont sur le coup. Mais bon, avec des serveurs en Russie et des opérateurs probablement basés là-bas aussi, les chances d’arrestation sont proches de zéro. C’est le problème éternel des ransomwares… Tant que certains pays servent de “sanctuaires”, les groupes de cybercriminels continueront d’opérer en toute impunité.

Quoiqu’il en soit, un employé mécontent, endetté ou simplement naïf peut faire plus de dégâts que n’importe quel exploit zero-day.

Moralité : Pour réduire vos risques cyber, payez mieux vos employés 😉

– Sources : bbc.com

https://korben.info/journaliste-bbc-recoit-proposition-medusa-ransomware-groupe.html

@duJambon
Nah nah mais, c’est pas contre toi hein ^^
Steu plait… T’oblige pas à ce genre de tâche à cause de mes commentaires.

Sinon, il est évident que la majorité des gens ne vont pas prendre un abonnement à ces bidules juste pour consulter la météo et recevoir un résumé des mails dans leurs boîte.
Comme ici avec les images générées chatGPT, on fait mumuse un temps avec ce qui peut être à la mode puis on passe à autre chose.

Quelques pro vont vouloir utiliser ces machins parce que ça peut leur être utile…
Puis quelques autres parce que c’est leur seul ami (comme moi avec ma liste de contacts téléphonique) :triste:

De toutes façons, tant qu’on ne sera pas mangé des murs dans la tronche et des catastrophes à répétition je pense que rien en changera. L’industrie et la finance sont depuis longtemps hors de contrôle et ça ne s’arrêtera que lorsque le système s’effondrera tout seul.

L’IA représente un danger évident pour la lutte millénaire de l’humanité pour la vérité. Les « hallucinations » à grande échelle des modèles de langage, les deepfakes vocaux et, désormais, le recours accru aux deepfakes vidéo ont tous eu pour effet de brouiller les faits, permettant aux acteurs malveillants du monde entier de balayer d’un revers de main les événements enregistrés comme de simples « fakes ».

Le danger est peut-être le plus aigu dans le monde politique, où les deepfakes audio et vidéo peuvent inciter n’importe quel politicien à dire ou à faire semblant. Dans un tel contexte, nos plus hauts responsables élus ont le devoir particulier de montrer l’exemple en matière de recherche de la vérité et d’utilisation responsable de l’IA.

Mais quel intérêt y a-t-il à cela, quand on peut faire capoter les négociations sur une impasse budgétaire en publiant une vidéo deepfake de ses adversaires politiques se traitant de « bande de merdes éveillées » sur fond de musique mariachi ? Oh, et ai-je mentionné la fausse moustache ? Ou le sombrero en images de synthèse ?

Lundi soir, le président des États-Unis, un homme ayant accès au plus grand réseau de renseignement au monde, a publié sur son compte Truth Social une vidéo de 35 secondes générée par l’IA, remplie d’insultes grossières, de connotations raciales et d’étranges théories du complot. La vidéo visait deux dirigeants démocrates qui avaient récemment rencontré Trump au sujet d’un éventuel accord de financement du gouvernement. J’aurais pensé que ce genre de vidéo était une piètre façon de convaincre les gens, mais apparemment, les insultes générées par l’IA sont le véritable « art de la négociation ».

Dans le clip, une version deepfake du sénateur Chuck Schumer (D-NY) prononce un monologue surréaliste tandis que son collègue, le représentant Hakeem Jeffries (D-NY), regarde… dans un sombrero.

efa79a93-47cd-4842-83c1-0f8d90028a9e-image.png
Les deepfakes, désormais normalisés dans le discours politique

Le New York Times a décrit la vidéo de manière plutôt anodine, affirmant que la voix du sénateur Chuck Schumer avait été déformée pour prononcer des propos injurieux, dont la phrase suivante : “Plus personne n’aime les Démocrates”. Bien que cette description soit exacte, elle risque de masquer les utilisations totalement délirantes et clivantes de l’IA. Voici la citation complète :

Écoutez, les gars, il n’y a pas moyen d’édulcorer la situation. Plus personne n’aime les Démocrates. On n’a plus d’électeurs à cause de toutes nos conneries de transgenres éveillés. Même les Noirs ne veulent plus voter pour nous. Même les Latinos nous détestent. Alors on a besoin de nouveaux électeurs. Et si on offrait des soins de santé gratuits à tous ces sans-papiers, on pourrait peut-être les rallier à notre cause pour qu’ils votent pour nous. Ils ne parlent même pas anglais, alors ils ne se rendront pas compte qu’on est qu’une bande de merdes éveillées, vous savez, du moins pendant un certain temps, le temps qu’ils apprennent l’anglais et réalisent qu’ils nous détestent aussi.

Aux États-Unis, les citoyens ne peuvent évidemment pas voter aux élections fédérales ou étatiques , et ne le font presque jamais. Un audit de 2024 mené par les Républicains en Géorgie a par exemple révélé que « 20 des 8,2 millions de personnes inscrites sur les listes électorales de l’État ne sont pas citoyennes américaines » – et que 11 d’entre elles n’avaient jamais voté malgré leur inscription.

La connaissance est difficile à trouver et encore plus difficile à diffuser. Même l’expression « un mensonge peut faire l’autre bout du monde pendant que la vérité enfile ses chaussures », souvent attribuée à tort à Mark Twain, a une histoire longue et confuse que beaucoup ignorent encore.

Dans un tel monde, la vérité n’a pas besoin d’être arrosée de merde par l’IA. Et pourtant, nous en sommes là.

Source: https://arstechnica.com/culture/2025/09/ai-leadership-trump-posts-deepfakes-of-dems-calling-themselves-woke-pieces-of-s-t/

Encore que le contenu de l’encart est peut-être plus proche de la vérité que de la pollution. En plus, cette description ne se limite pas aux démocrates dans la réalité. 🙂