MISC N°

Numéro

143

En ce début d’année 2026, un constat s’impose à moi : 2025 a été particulièrement dense, exigeante et marquée par des rebondissements constants.

Encapuchonnés, marginaux, génies solitaires ou cybercriminels organisés, les hackers fascinent depuis toujours le cinéma et les séries. Tantôt caricaturés, tantôt brillamment mis en scène, leur représentation évolue au fil du temps, entre exagérations hollywoodiennes et tentatives de réalisme. Voici une plongée dans la culture cyber à l’écran, vue à travers l’œil d’un passionné.

Ces derniers temps, on ne parle que d'IA (enfin, on parle de LLM, ou Large Language Model, mais c'est moins vendeur). Les marchés financiers en raffolent et, corollaire évident, les entreprises se démènent pour en ajouter là où elles peuvent. Évidemment, le revers de la médaille de cette course effrénée est l'ajout encore peu maîtrisé de fonctionnalités riches pouvant introduire des vecteurs de compromission au sein d'applications sensibles. Le but de cet article est donc de faire un retour à travers mes audits ainsi que sur l’état de l’art, établi suite aux publications de l’OWASP, afin de déterminer le risque pour une entreprise qui souhaite ajouter de l’IA sous la forme d’un chatbot.

Le Bluetooth Low Energy (BLE) s'est imposé comme le protocole de référence pour les communications sans fil à faible consommation, équipant aujourd'hui des milliards de dispositifs IoT. Malgré ses mécanismes de sécurité intégrés, de nombreuses vulnérabilités persistent, exposant les utilisateurs à des risques significatifs. Ce document présente une analyse approfondie de l'architecture protocolaire BLE et de ses faiblesses sécuritaires documentées dans la littérature scientifique.

D’aucuns penseraient que le langage C est un langage simple. Après tout le fameux Kernighan & Ritchie de 1978 (a.k.a. White Book) ne fait que 200 pages, bien peu pour un langage qui a servi de base au noyau Linux, au compilateur GCC et à l’interpréteur de référence de Python, CPython. Et pourtant s’il y a bien une notion parmi toutes celles introduites dans the White Book qui met au défi ingénieurs en sécurité, chercheurs en compilation et développeurs en tout genre, c’est la notion de pointeur, et cette terrible question : le déréférencement de mon pointeur donne-t-il lieu à un comportement indéfini ?Des ingénieurs de chez Apple ont trouvé un chemin pragmatique et intéressant à cette question, et ils l’ont mis à disposition dans un fork de clang à travers une option, -fbounds-safety, et un fichier d’en-tête, <ptrcheck.h>. Examinons leur approche.

La sécurisation des utilisateurs racines (root user account) des comptes AWS est cruciale, mais peut rapidement devenir un vrai casse-tête. Dans cet article, découvrez comment renforcer la sécurité de ces utilisateurs à l’échelle d’une organisation en tirant parti de la fonctionnalité nommée « centralized root access ».

Chaque semaine, des milliers de nouvelles vulnérabilités sont découvertes, analysées et publiées. Fin octobre 2025, le National Vulnerability Database (également connu sous le nom de [NVD]) a recensé 40 525 vulnérabilités pour l’année en cours, impliquant une légère augmentation par rapport à 2024. Parmi elles, de nombreuses sont jugées hautement critiques entraînant une course sans fin pour les équipes qui doivent trier, prioriser et corriger tout en assurant le fonctionnement des systèmes. En complément, les équipes font face à de nouvelles exigences imposées par les réglementations impliquant des traitements adaptés. Comment cette explosion du nombre de vulnérabilités peut-elle être gérée tout en respectant les exigences amenées par les nouvelles réglementations européennes ?