Que peuvent nous apprendre toutes ces actualités que nous partageons toutes les semaines, au-delà que les incidents, les vulnérabilités et les leaks n'ont jamais aussi été présents, les hackers jamais aussi actifs et la cyber plus indispensable pour les entreprises ?

Par exemple, quelles leçons pouvons-nous tirer du leak de McDo d'il y a deux semaines ? Ou encore du procès de l'alternant d’Acceco ayant vendu ses accès ou finalement du changement de politique de WeTransfer, avant qu'ils n’aient fait marche arrière ?

Et bien justement, je vous propose un récap de l'actualité un peu spéciale pour cette semaine où l'on va regarder neuf actualités et essayer de comprendre ce qu'elles peuvent nous apprendre !

McDo

Souvenez-vous de ce fameux Giga leak sur l'application de recrutement mchire[.]com où des chercheurs étaient parvenus à accéder à l'ensemble des discussions des utilisateurs en exploitant deux vulnérabilités, dont l'une étant 123456.

Et bien justement, parmi l'une des premières leçons que nous pouvons tirer de cette histoire, et ce n'est pas pour rien que c'est en cinquième position du TOP 10 de l'OWASP et que c'est bien partie pour rester dans le top de 2025, c'est que l'hardening et la mise en place de configuration sécurisée n'est toujours pas suffisamment pris en compte dans les entreprises, même pas dans l'entreprise numéro 1 sur le secteur du fast food dans le monde.

C'est aussi l'une des choses que l'on voit le plus dans nos pentests : les configurations par défaut ne sont que très peu changées alors je ne peux que vous encourager à rajouter cette étape dans la petite to-do-list de votre déploiement, car les crédentials par défaut et les services inutiles, c'est le premier truc que l'on regarde en tant qu'attaquant.

Et l'autre grosse leçon, c'est que les attaquants ne passeront pas forcément par la voie que vous pensez, et que même ce que vous pensiez sans importance, peut-en avoir pour un attaquant. ([1])

Payer l'IA

1,9 milliard : c'est le nombre de personnes ayant utilisé l'IA au moins une fois dans les six derniers mois, dont 600 millions de manière quotidienne. Avec de tels chiffres, on pourrait imaginer que OpenAI ou Meta roule littéralement sur l’or, mais en réalité, pas du tout, bien au contraire.

En tout cas, c'est ce que les résultats de cette étude conduite par Menlo Ventures en avril 2025 sur plus de 5 000 participants, tous américains attention, tendent à conclure, car si de plus en plus de personnes utilisent l'IA, dans toutes les générations, à tous les postes, seulement 3% des utilisateurs paieraient pour utiliser leurs outils préférés.

Le problème, c'est que de l'autre côté, les dépenses de ces entreprises ont tout autant explosé que le nombre d’utilisateurs, avec un gros *6 par rapport aux dépenses de l'année derrière.

L'estimation de Menlo, vachement optimiste quand même, il faut pas oublier que c'est une boîte d'investissement, estimerait que si TOUT le monde payait 20$, le marché serait autour de 432 milliards de dollars et non de 12 milliards comme aujourd'hui, mais bon à ce compte pourquoi ne pas dire que tous les utilisateurs devraient payer 200$.

Alors vous vous en pensez quoi ? L'IA va-t-elle réussir à trouver son modèle économique, peut-être avec d'autres idées ou d'autres solutions, ou ce genre de problématique, sans compter ceux sur l'énergie disponible et son coût, vont finir par épurer le marché pour ne laisser que les plus gros, si ce n'est le faire s'effondrer complètement ? ([2], [3])

Physique quantique

Il y a un sujet qui pointe le bout de son nez périodiquement, tel Mariah Carey à Noël : c'est l'ordinateur quantique et ses avancées, toujours plus ou moins controversées.

L'ordinateur quantique, si tout le monde en parle, enfin quand je dis tout le monde, je veux surtout dire nous les gros puant de la tech, c'est surtout à cause de l'impact qu'il pourrait avoir sur la cryptographie, parce qu’on ne va pas se mentir, l'ordinateur quantique chez monsieur et madame tout le monde, ce n’est pas vraiment prévu.

Donc pour revenir sur la cryptographie, à chaque avancée majeure, les scientifiques l'exposent souvent à travers la résolution du problème de la factorisation en deux nombres premiers d'un nombre n = p * q. Problème extrêmement complexe à résoudre mais extrêmement facile à vérifier.

Pourquoi, eh bien notamment car RSA repose entre autres sur ce principe, et parvenir à résoudre permettrait de casser l'algo RSA et donc déchiffrer tout ce qui peut être chiffré, ce qui peut intéresser pas mal de personnes.

Sauf que pour l'instant, le mieux que l'on est réussi à faire, c'est avec du 5 bit, loin des 1048 ou 2048 recommandés et utilisés partout et encore, en trichant un peu, alors forcément, les experts restent très sceptiques.

Pour autant, même si l'ordinateur quantique n'est pas pour demain, des algos en théorie résiliant à l'ordi quantique sont déjà disponibles alors c'est peut-être cela la leçon à retenir : se préparer maintenant à migrer progressivement, pour éviter d'être pris de cours dans trente ans. ([4])

WeTransfer

WeTransfer va utiliser les fichiers que tu déposes sur la plateforme pour entraîner son IA, puis enfaites non, mais si quand même, enfaites-le, on s'est plus vraiment...

WeTransfer avait en effet modifié ses conditions d’utilisation pour faire apparaître à l'intérieur leur volonté (et leur droit surtout) d'utiliser les fichiers que vous déposez sur la plateforme pour entraîner une IA, alors la sienne ou juste en revendant vos données à qui peut l'être intéressé, avant de faire machine arrière et de voir cette phrase supprimée de leur CGU et de communiquer officiellement sur le retour en arrière.

Pourquoi cela serait-il si grave ? Eh bien au-delà de voir votre vie privée revendue, mais bon ça on a un peu l'habitude, c'est surtout les créateurs de contenu et les entreprises plus ou moins dans le secteur de la création qui ont eu soudainement peur de voir leur travail utilisé pour entraîner des IA leur volant progressivement des parts de marchés, tout en payant WeTransfer. Se faire voler, perdre de l'argent et payer, c'est vrai que ça fait mal quand même.

Alors face à cette tourmente, les concurrents réagissent et Mega a lancé son concurrent à WeTransfer, 100% gratuit et sans limite jusqu’à 2026 minimum, sur transfer[.]it, mais faut-il vraiment reproduire les mêmes erreurs ?

Car voilà la problématique lorsque nous signons des conditions d’utilisation unilatéralement, sans possibilité de négocier et en laissant les entreprises les modifier quand bon leur semble : à tout moment, Mega peut tenter la même chose que WeTransfer, alors à nous de décider si nous leur faisons confiance ou pas. ([5], [6], [7])

Ransomware

Les groupes de ransomware changent de stratégie au fil des années et l'on est en train de rentrer dans une nouvelle ère : la fin du chiffrement des données.

D'année en année, le ransomware a beaucoup évolué. En ce moment, lorsque l'on entend ransomware, on entend surtout le chiffrement des données pour une entreprise et la demande d'une rançon par les attaquants pour donner la clé de déchiffrement.

D’ailleurs, si cela vous intéresse, les négociations se font souvent sur le site ransomware[.]live, alors n'hésitez pas à aller voir, cela peut être très instructif !

Mais aujourd'hui, le ransomware évolue avec trois alternatives pointant le bout de leur nez. Tout d'abord, il y a les groupes d'attaquants faisant maintenant de la double extorsion, surtout dans le cas des SaaS, demandant une rançon d'abord au SaaS pour ne pas leaker les données, puis à chaque entreprise cliente, pour les mêmes raisons.

D'autres attaquants pratiquent plutôt le data wiping, c’est-à-dire la suppression des données au lieu du chiffrement, plus rapide et plus efficace car souvent impossible à annuler et finalement, d'autres groupes ont tout simplement décidé de juste faire pression en disant "paye ou je leaker tes données", ce qui semble fonctionner aujourd'hui.

Avec la professionnalisation des groupes de hackers et leur spécialisation, je ne serais pas surpris que le ransomware soit bientôt de l'histoire ancienne pour basculer sur un mode de pression autour des leaks ou de la suppression des données, alors peut-être que c'est dès maintenant qu'il faut se préparer à ce changement. ([8])

Supply chain

Comment font réellement les attaquants aujourd'hui pour parvenir à leur fin et compromettre ce qu'ils veulent compromettre ?

L'une des techniques les plus populaires, c'est les attaques dites sur la supply chain, c’est-à-dire qu'au lieu d'attaquer directement l'entreprise cible, parfois trop forte en cyber pour l'attaquer de front, vous allez vous attaquer à ces SaaS, ses sites oubliés ou ses composants pour atteindre vos objectifs.

Et justement, s'il y a bien une attaque ultra populaire en ce moment, c'est celle-là, mais elle vise aussi plus particulièrement les développeurs et les outils utilisés par ces drôles de personnages. Pourquoi ? Tout simplement par efficacité, car en une seule attaque, des centaines de projets et des milliers de développeurs peuvent se faire avoir.

Récemment, on a vu des comptes GitHub ou npm de mainteneurs de librairies open source compromis pour déployer du code malicieux, mais aussi des extensions VSCode malveillantes, si ce n'est carrément des faux outils d'IA, n'étant que des crypto stealers.

L'open source, c'est vraiment formidable, aucun doute là-dessus et le monde repose sur cela, mais cela ne veut pas forcément dire que tout ce qui est disponible est de confiance ou que chaque mise à jour ne doit pas spécialement être vérifiée, alors amis dev, restez bien vigilants !

Bluetooth

On ne va pas se mentir, il y a des sujets plus populaires que d’autres en cybersécurité pour des raisons que j’ignore d’ailleurs et il y a surtout donc des oubliés de la cybersécurité que je voudrais remettre en avant !

Et ces oubliés, ce sont tous les équipements connectés que l’on utilise pourtant tout le temps au quotidien, de notre casque en passant par les frigos connectés ou les caméras par exemple.

Pourtant, lorsque une vulnérabilité sort sur ces équipements, cela peut faire très mal, et il ne faut pas longtemps avant que vous vous retrouviez dans un réseau de botnet ou de crypto minner.

Récemment, c’est par exemple 35k panneaux solaires qui ont été concernés par une jolie vulnérabilité permettant d’en prendre le contrôle à distance, pourtant tout le monde s’en fout et cela n’a pas vraiment été relié sur les réseaux.

Pourtant, les attaquants sont très friands de ce genre d’exploitation et si ce sont vos équipements qui sont utilisés pour relayer une attaque, vous pourriez être tenu responsable alors il serait peut-être temps d’arrêter dès les oubliés et de ne plus s’en occuper par-dessus la jambe ! ([9])

WhoFi

Juste avec le Wi-Fi de votre box, il est maintenant possible de déterminer si vous êtes chez vous et s’il s’agit bien de vous ! Oui, c’est complètement fou !

Pour bien comprendre cela, il faut revenir un peu en arrière dans l’histoire car il y a quelques années, la norme Wi-Fi a (encore) évolué pour ajouter l’idée de sensor Wi-Fi.

En d’autres termes, l’idée est de pouvoir utiliser les ondes du Wi-Fi non plus uniquement pour communiquer, mais aussi pour d’autres usages plus physiques au quotidien comme par exemple pour détecter les chutes (utiles pour les personnes âgées), déchiffrer le langage de signes (utiles pour les sourds) ou encore voir à travers les murs (utiles pour les pervers).

Et cette fois-ci, des chercheurs de Rome sont parvenus à développer un moyen de créer une empreinte d’un humain en fonction de sa manière de bloquer les ondes Wi-Fi et de le ré-identifier ensuite avec un taux de succès de 95% !

Alors l’invention est folle, mais fait surtout très peur car avec cela, le tracking des personnes est encore plus facile, même plus besoin de reconnaissance faciale alors toutes les inventions sont-elles bonnes à poursuivre et à implémenter ? Je vous laisse me donner votre avis en commentaire ! ([10])

IA & VibeCoding

Un sujet a fait beaucoup débat dans les commentaires dernièrement, surtout sur TikTok, c'est le vibe coding !

Pourquoi ? Car c'est un sujet polarisant où aujourd'hui deux équipes uniquement semblent exister : les pro vibe coding et les anti vibe codeurs.

Si certains disent que de toute façon, oui l'IA crée des vulns mais les développeurs aussi, ou encore qu'il s'agit du futur ou d'un outil pour incompétents, en réalité le débat n'est pas là.

Le vibe coding aujourd'hui existe, mais vibe coder cela ne veut pas dire rien comprendre à ce que l'on fait ou laisser les vulns dans son code et la bonne utilisation est certainement autour de cette idée. Oui les devs créent des failles mais ils peuvent utiliser l'IA pour essayer d'en trouver un maximum et oui l'IA crée des failles mais les devs peuvent aussi les corriger.

Le futur est donc vraiment là dedans, utiliser les IA pour produire des outils plus sécurisés en ne croyant pas à la fois que l'IA a toujours raison, ou que les devs ont toujours raison.

Et au passage, n'oubliez pas que vibe coding ou pas, à la fin, le responsable cela reste à vous et en cas de fuite de données personnelles, le montant de l'amende peut être jusqu'à 4% du chiffre d’affaires, ça peut faire mal !

Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !