Activision et Infinity Ward ont dévoilé Call of Duty : Modern Warfare 4, un épisode qui compte bien faire revenir les fans de la licence, après un Call of Duty : Black Ops 7 très décevant.

Grosse actualité autour de Mistral AI, le petit Poucet européen de l’intelligence artificielle générative. À l’occasion de l’AI Now Summit, la startup parisienne et son directeur général Arthur Mensch ont multiplié les annonces : centre de données, partenariats industriels, acquisition, nouveaux outils… Ne l’appelez plus LeChat. Mistral a rebaptisé son chatbot « Vibe », et lui a […]

Paris et sa petite couronne entrent dans l'histoire de la vigilance météorologique pour une raison regrettable, ce jeudi 28 mai 2026. Ce sont les premiers départements à avoir connu une vigilance orange ou rouge canicule aux mois de mai, juin, juillet, août et septembre depuis la création de ce dispositif de Météo-France.

Votée ce mardi 26 mai au Sénat, la loi Ripost déposée par Laurent Nuñez entend pousser l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques jusqu’à la fin de l’année 2030 mais aussi en l’étendant à tous les bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation. Le texte doit encore repasser devant […]

En 2026, le catalogue des montres connectées Apple compte trois modèles : la Series 11, l'Ultra 3 et la nouvelle SE 3. Ce comparatif Apple Watch vous aide à comprendre les véritables différences entre ces modèles pour choisir la montre connectée Apple qui correspond à vos besoins et à votre budget.

Les chercheurs de X41 D-Sec viennent de divulguer une faille critique baptisée BadHost (CVE-2026-48710) dans Starlette, le framework Python qui sert de fondation à FastAPI, vLLM , LiteLLM et une grande partie des serveurs MCP basés sur FastAPI.

325 millions de téléchargements par semaine, et il suffit d'injecter un seul caractère dans le header HTTP "Host" pour contourner les contrôles d'accès path-based qui lisent "request.url.path" dont autant dire que beaucoup de déploiements d'agents IA en production tournent en ce moment avec une porte d'entrée très mal verrouillée.

Dans un article de blog publié le 26 mai 2026, des chercheurs de Microsoft ont mis au jour une campagne malveillante d'un genre nouveau : des pirates détournent les résultats de recherche, et désormais les réponses des chatbots IA, pour infecter les PC puissants et exploiter leurs cartes graphiques à des fins de minage de cryptomonnaies.

Remplir un formulaire web, c'est sans doute l'activité la plus chiante qu'on puisse faire en ligne. C'est pourquoi Ben, un développeur qui me lit depuis 20 ans (merci !!!), a eu l'idée géniale d'en faire un jeu à part entière. Ça s'appelle Submit This Form, et c'est un puzzle game gratuit accessible via votre navigateur et dont le boss final est... le formulaire lui-même !

Votre objectif c'est donc de soumettre le formulaire. Facile non ? Bah pas tant que ça puisque ce formulaire fait absolument tout pour vous en empêcher. Chaque niveau ajoute une règle de validation plus absurde que la précédente, et c'est à vous de trouver la combine pour passer. J'vous jure, ça ma rappelé des vrais formulaires qui m'ont déjà rendu la vie dure.

Première série en live-action de l’Univers Spider-Man de Sony, Spider-Noir débarque le 27 mai sur Amazon Prime. Un Nicolas Cage inspiré se glisse dans le costume de l’Homme-araignée pour des aventures vintage dans le New-York des années 30. 

#Introduction
Bien que sensibilisé et éduqué au sujet, je ne pense pas me lancer dans toute une série d'articles sur les problématiques écologiques et le bilan carbone, par manque de temps et parce ce que d'autres le font bien mieux que moi. Étant flexitarien, me déplaçant en mobilité douce (à pied, vélo, transport en commun : bus ou RER), n'ayant pas pris l'avion depuis des années, ayant un logement chauffé à l'électricité (en France, donc majoritairement décarboné), mon bilan carbone (…)

- Blog

Alors que les entreprises se tournent vers l’IA agentique pour booster leur productivité, mais que les agents sont de plus en plus facturés en fonction du nombre de tokens utilisés, et non plus sous forme d’abonnement forfaitaire, il devient plus coûteux de payer l’IA que des employés, relève Fortune. Ce qui pourrait compliquer les projets […]

Voler un mot de passe ? C'est presque devenu accessoire. Le FBI a lancé une alerte sur Kali365, un kit de piratage qui s'introduit dans les comptes Microsoft 365 d'une entreprise sans jamais avoir besoin du mot de passe, ni du fameux code de la double authentification.

La protection que beaucoup imaginent solide ne sert plus à grand-chose ici. Hélas.

Kali365 n'est pas un virus classique. C'est ce qu'on appelle un kit de phishing en location : un service clé en main, vendu un peu comme un abonnement à un logiciel, sauf qu'il sert à pirater. Repéré depuis avril et distribué via la messagerie Telegram, il permet à n'importe quel apprenti pirate de lancer une campagne sans compétences techniques particulières. Le kit fournit les emails piégés rédigés par une IA, des modèles de campagne tout prêts, et même un tableau de bord pour suivre ses victimes en temps réel, la totale donc.

Anthropic, l'entreprise derrière l'IA Claude, a corrigé en douce deux failles dans le bac à sable réseau de Claude Code, son assistant de programmation. Un bac à sable, dans le jargon, c'est un enclos de sécurité : il est censé empêcher l'outil de se connecter à des serveurs non autorisés, pour éviter qu'il envoie vos données n'importe où. Sauf que pendant cinq mois et demi, cet enclos avait une porte dérobée.

anquée pendant 9 ans dans le noyau Linux, voilà ce que les chercheurs de Qualys viennent de déterrer. Son petit nom, c'est ssh-keysign-pwn ou DirtyDecrypt (CVE-2026-46333 pour les intimes), et elle permet à n'importe quel utilisateur local sans privilèges de passer root, de lire votre /etc/shadow et de piquer les clés SSH privées de votre serveur.

Et ce bug dormait là depuis novembre 2016, c'est à dire depuis la version 4.10 du kernel. Personne ne l'avait jamais vu et autant vous dire que 9 ans, en cybersécu, c'est une éternité !!

Votre vieux Galaxy S5 qui prend fort la poussière dans un tiroir, mérite mieux je crois !

Un dev, Capcom6 a mis en ligne SMS Gateway for Android , une app Kotlin sous licence Apache 2.0 qui transforme n'importe quel smartphone (Android 5.0+) en passerelle SMS programmable. Cela vous permet de récupérer une API REST pour ensuite envoyer et recevoir vos SMS avec votre propre téléphone et votre propre SIM et ainsi vous passer de services payants équivalents.

Le 23 juillet 2025, le Luxembourg entier s'est retrouvé sans réseau mobile, sans téléphone fixe et sans communications d'urgence pendant plus de trois heures.

Dix mois plus tard, on connaît enfin la cause grâce au média The Record : une faille jusque-là inconnue dans le logiciel d'un routeur Huawei.

Le mécanisme est presque bête. Du trafic réseau spécialement fabriqué a été envoyé vers des routeurs d'entreprise Huawei, et ce trafic les a fait redémarrer en boucle, sans jamais s'arrêter.

Meng Chen, doctorant à l'université Zhejiang, vient de prouver avec son équipe qu'on pouvait complétement détourner un assistant vocal IA avec un simple son que vous prendriez probablement pour un simple parasite. Avec sa bidouille, il a ainsi réussi à pousser les agents vocaux commerciaux de Microsoft et de Mistral à exécuter des actions que personne ne leur avait demandées.

Gloups !

L'attaque s'appelle AudioHijack, et ça consister à planque des ordres dans un fichier audio, une vidéo, un clip musical, une note vocale. Comme ça, le modèle qui l'écoutera vous obéira à VOUS, plutôt qu'à l'utilisateur. C'est comme une injection de prompt sauf que celle-ci s'entend à peine.

Si vous tournez sur un Windows 11 à jour, sachez qu'il existe une faille qui permet à un programme local spécialement conçu de grimper tranquillou jusqu'au compte SYSTEM. Pour rappel, c'est le compte tout-puissant de la machine, c'est à dire celui qui passe même au-dessus de l'administrateur ! Et cette faille elle s'appelle MiniPlasma, et elle vient d'être balancée en public sur GitHub par un chercheur planqué derrière le pseudo Nightmare-Eclipse.

Cult of the Dead Cow , un des plus vieux collectifs hacktivistes encore en activité, ne se contente pas que de balancer des manifestes politiques depuis 1984. Ils codent. Et leur dernier bébé en date s'appelle Veilid , et c'est un framework P2P qui veut faire à vos apps ce que Tor a fait à votre navigateur.

Histoire de vous expliquer, vous prenez Veilid, vous l'intégrez dans votre app mobile ou web, et d'un coup tout votre trafic passe par un réseau pair-à-pair (P2P) chiffré de bout en bout. Cela veut dire qu'il n'y a pas de serveur central qui stocke vos messages.

Parce qu'on parle justement beaucoup de sécurité ces derniers temps.

Extrait:
« – Une faille dans un module kernel n’attend pas qu’un comité valide une matrice de risque.
– Un attaquant ne s’arrête pas parce qu’un prestataire est certifié.
– Une fuite de données ne devient pas moins grave parce qu’une organisation peut produire un rapport de conformité.
– Une compromission ne disparaît pas parce qu’elle est correctement documentée après coup.

Les normes, les référentiels, les audits et les processus sont utiles : tant qu’ils sont utilisé comme des outils au service de l’objectif. Mais ils deviennent dangereux lorsqu’ils deviennent l’objectif et remplacent le jugement, l’ingénierie, la compétence, et qu’ils ne sont plus que des alibis qui produisent une sécurité administrative plutôt qu’effective.

C’est exactement ce qui m’a poussé à quitté cet univers. Une partie du secteur s’est mise à confondre la carte et le territoire. A remplacer la recherche d’efficacité par la recherche de conformité, la compréhension profonde par la validation externe, l’expérimentation par le respect des procédures et l’intelligence technique par la peur de sortir du cadre. »

Encore une fois, dès qu'une mesure devient un objectif, elle cesse d'être une bonne mesure.
(Permalink)

Voilà un projet de loi qui va mettre un bon gros plomb dans les GAFAMs: L'interdiction de prendre un prestataire technique américain pour tout ce qui touche à l'informatique gouvernementale (santé, finances, etc.) (Le privé étant exclu de cette obligation).
C'est parfaitement logique du point de vue souveraineté, et on peut s'attendre à ce que les américains combattent becs et ongles contre ce projet de loi.
(Permalink)

Dans un précédent article, j’expliquais que la sécurité ne bloque pas les projets par nature. Ce qui bloque le plus souvent, c’est le flou : règles imprécises, processus opaques, absence de SLA, critères inconnus, responsabilités mal définies. Mais il existe un autre problème très fréquent sur le terrain : la sécurité est consultée trop tard. Et une sécurité consultée trop tard devient presque toujours brutale. Pas parce que les équipes sécurité aiment dire non. Pas parce qu’elles veulent ralentir les projets. Pas parce qu’elles cherchent à imposer leur pouvoir.

Google a balancé l'info via son équipe cyberdéfense, le GTIG (Google Threat Intelligence Group). Des cybercriminels ont utilisé une IA générative pour dénicher et écrire un code d'attaque exploitant une faille inconnue (ce qu'on appelle un zero-day, une vulnérabilité que l'éditeur du logiciel n'a pas encore corrigée).

Et ils s'apprêtaient à lancer une vague d'attaques massives. C'est, d'après Google, la première fois qu'on observe ça dans la vraie vie, pas en labo.

Nombreuses sont les extensions Gnome qui font un peu la même chose, à savoir afficher dans la barre du haut des indicateurs en temps réel permettant de surveiller l'usage du CPU, la charge mémoire, la consommation en bande passante du réseau...
Dans cet article, je présenterai deux extensions que j'utilise
Activation des extensions
Il faut installer l'application de gestion des extensions :
# Vitals
Vitals affiche dans la barre du haut des indicateurs en temps réel permettant de (…)

- Ubuntu / Ubuntu, Tutoriaux

60% des mots de passe hashés en MD5 peuvent être cassés en moins d'une heure... C'est ce que dit en tout cas une étude de Kaspersky publiée cette semaine qui se base sur +231 millions de mots de passe qu'on peut trouver sur le dark web et tirés de fuites ayant eu lieu entre 2023 et 2026. D'après leurs tests, 48% sont craqués en moins d'une minute et 60% en moins d'une heure. C'est pas très rassurant, surtout si votre base tourne encore au MD5.