Quelqu'un a trouvé une faille de sécurité dans le système d'authentification de Microsoft qui aurait permis d'accéder à TOUS les services (dans le cloud et on-premise : Exchange, SharePoint, Azure...) de TOUS les clients de Microsoft.
On est passés à deux doigts d'un incident sécurité mondial MAJEUR.

Où on voit que laisser actif d'anciens algos de hashage (ou chiffrement) c'est une mauvaise idée.

Comme dit le développeur curl : « Who could have figured out that automatically downloading half the internet and ten thousand always-changing dependencies every time you build could actually be a weakness? »
(https://mastodon.social/@bagder/115218787867536141)

Encore.
(cf. https://sebsauvage.net/links/?6BNYLA)

Ouch. Je me demande combien d'entreprises ou de développeurs ont leur machine ou compte compromis.

Je vais être chiant mais cette attaque ne fait que confirmer une chose: Plus vous avez de dépendances dans votre appli, plus grands sont les risques de sécurité (et je ne vous parle même pas de la dette technique, des problèmes de maintenance et de migration que vous allez trainer).

Soyez KISS. (Mais évitez quand même de coder certaines choses piégeuses vous-mêmes : crypto, csv...)

Cet article est un rappel de la faille xz : C'était une attaque préméditée, construite dans le temps (sur des *années*) en apportant de l'aide à un Logiciel Libre, utilisant une ingénierie sociale très progressive et patiente.

Et comme trop de Logiciel Libres sont tenus à bout de bras par une seule personne (https://sebsauvage.net/links/?Hx2mTQ) ce genre d'attaque pourrait encore fonctionner dans le futur. Pire que ça: Les LLM pourront même aider à construire ces attaques, aussi bien en construisant de toute pièces des personnalités et des échanges d'apparence humaine, mais aussi en fournissant des patchs pour les logiciels.

➡️ Le fait de ne pas soutenir les développeurs de Logiciels Libres nous met tous en danger.

La technologie des Passkeys permet à des services de *refuser* les Passkeys de clients qu'li juge comme "non fiables". On imagine assez rapidement que seules les Passkeys des GAFAM (Google/Apple/Microsoft) seront acceptés, car ces environnements sont verrouillés.

La spécification des Passkeys permet donc très facilement d'exclure par exemple - hasard - les Logiciels Libres.
C'est justement ce que pointe l'auteur de cet article : Les Passkeys sont incompatibles avec le Logiciel Libre, parce qu'ils permettent de bannir sélectivement les logiciels.

Encore une fois, c'est une spécification ouverte, documentée, mais qui dans la pratique permet de verrouiller massivement les utilisateurs dans des systèmes privateurs.

EDIT: Voir aussi https://lucumr.pocoo.org/2025/9/2/passkeys/

Intéressant comme technique pour faire du RCE (Remode Code Execution): Un fichier dont le nom contient un script shell.
Un simple for f in *; echo “$f” dans le répertoire contenant le fichier déclenche l'exécution.

Source : https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/

Après les airbags, les freinages qui se déclenchent tout seuls.
Je suis méfiant envers le fait qu'on mette de plus en plus d' «intelligence» dans les voitures, parce que ça donne des fois des choses très très connes.

La fatigue...

Un graaaaaannnd guide de sécurisation de Linux (plutôt orientée Debian)

Le résultat de cette enquête me surprend un peu.

Merde merde merde. C'est le truc auquel on avait échappé jusque là et que je craignais de voir arriver : Des packages malveillants dans les distributions Linux (Juste Arch pour le moment, et les dépôts AUR, c'est à dire des dépôts pas approuvés par Arch).
Je pense que nous n'en sommes qu'au début 🙁

*FACEPALM*

Une bonne explication de Secure Boot et ses composants (et comment ça impacte le chargement de Linux).

Analyse cryprographique de Signal.
(Et j'adore absolument l'auteur qui, se prenant des remarques sur les furries, décide d'en ajouter encore plus dans l'article. 😄)

Après SharePoint (https://sebsauvage.net/links/?yl9IXw), c'est au tour d'Office365 de subir des failles de sécurité à cause de l'IA CoPilot qui a accès à tout. En envoyant un mail correctement formulé, l'IA vous renvoie plein de données confidentielle de l'entreprise, sans même avoir besoin de l'intervention d'un employé. 😆

Microsoft n'a déjà pas un passif formidable en matière de sécurité, avec en voulant introduire son IA partout, elle introduit des failles partout.

Extrait: « We're shifting from being architects to being interior decorators. An architect understands the foundations, the structural integrity, the load-bearing walls. A decorator can make a room look good, but has no idea if the entire building is about to collapse. »

Je m'attends à voir de plus en plus de merde et de failles de sécurité dans les logiciels privateurs.

Sous le coude pour examen ultérieur : un firewall pour Linux conçu pour donner sélectivement le droit aux applications d'aller sur internet (comme l'époque de ZoneAlarm sous Windows).
À utiliser si vous n'avez pas confiance dans les applications que vous avez installées (mais si elles sont installées et que vous n'avez pas confiance en elles, vous avez déjà un problème).

Sous Linux, j'utilise déjà Firejail pour empêcher les applications d'accéder au réseau ou non, ainsi que d'accéder à mon répertoire personnel ou non.
(Je m'en sers surtout pour que les jeux n'aillent pas mettre leurs fichiers de configuration et leur sauvegardes partout dans mon répertoire perso.)

Ah ben bravo !

Un article que je garde car il résume parfaitement bien tous les problèmes liés aux Passkeys (et pourquoi je n'en veux absolument pas).

On entend que Steam s'est fait pirater, avec 89 millions de mots de passe dans la nature. Steam dément et annonce que ce qui a été piraté, ce sont des SMS de second facteur pour la connexion à Steam, un code qui n'est valable que 15 minutes et ne peut pas être réutilisé. Il n'y avait que le code et le numéro de téléphone, non associé au compte Steam correspondant. C'est le prestataire SMS de Steam, Twilio, qui aurait eu une fuite. Valve estime qu'il n'est pas nécessaire de changer son mot de passe Steam.

Bon, les américains de la défense qui ont utilisé Signal ont en fait utilisé une version bidouillée de Signal. Avec des failles de sécurité. Qui s'est fait pirater. Duh.
EDIT: Article en français : https://next.ink/brief_article/signalgate-episode-372-lapplication-telemessage-a-ete-hackee/

« La liste ne cesse de s’allonger. Ce 16 avril 2025, c’est déjà plus de 2 millions de voitures qui ont été rappelés par les constructeurs au cours de ces derniers mois, en raison du danger qu’ils représentent. Ford, Honda, Skoda... 30 marques sont désormais visées.
Leurs modèles, construits entre 1998 et 2019, sont équipés d’airbags de la marque Takata pouvant occasionner des blessures graves, voire mortelles, au conducteur et au passager avant. Plusieurs accidents fatals ont déjà eu lieu. »

Le gouvernement américain coupe son financement à CVE 😱
CVE, c'est *LA* base de données de recensement des vulnérabilité et failles de sécurité, une organisation critique pour la cyber-sécurité mondiale que tout le monde utilise (entreprises, gouvernements, organisations). Certes ce n'est pas la seule, mais tout le monde se basait dessus.

Voir aussi sur le sujet :
https://www.bleepingcomputer.com/news/security/mitre-warns-that-funding-for-critical-cve-program-expires-today/
https://gcve.eu/

Edit : ils reviennent sur leur décision : https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/