Kruptos's avatar
Kruptos
npub1m96v...nfcg
Je parle de souveraineté monétaire et numérique dans un monde où se défendre et protéger sa vie privée devient suspect...
Kruptos's avatar
KruptoKosmos 1 month ago
‼️🕵️‍♂️ Chrome vient de corriger 429 bugs de sécurité en une seule mise à jour. Record absolu image La même semaine, une IA autonome a trouvé 21 zero-days dans FFmpeg (certains vieux de plus de 20 ans) pour seulement 1000$ ! Ajoutez le chercheur qui a utilisé Claude Opus 4.8 pour découvrir une faille critique dans Zcash. Les audits humains l’avaient ratée pendant 4 ans Le modèle Claude Mythos a même trouvé et exploité seul des zero-days dans FreeBSD (17 ans) et FFmpeg !! Google a détecté le premier exploit zero-day généré par IA utilisé dans une vraie campagne d’attaque Face au déluge de rapports générés par IA, Google a dû réformer son bug bounty... ils exigent maintenant des reproducers concis au lieu des longs pavés écrits par l’IA ! Bref, l’IA donne la même arme aux deux camps... Elle accélère tout. Sauf les mises à jour !! #Cybersecurity 🤖
Kruptos's avatar
KruptoKosmos 1 month ago
Les services de numéros temporaires vont rapidement disparaitre. Bouygues, Orange et Free vont harmoniser leurs politiques vers un KYC strict, discrètement en coulisses comme pour la création d’Utiq ! image La concentration du marché ne fait que rendre ces manœuvres opaques plus faciles et plus dangereuses En joyeux accord avec la commission européenne !! Moins de concurrence + moins d’options d’anonymat = #Privacy ⏳🪦 View quoted note →
Kruptos's avatar
KruptoKosmos 1 month ago
‼️⚠️ Avec le rachat de SFR annoncé cette nuit pour 20 Md€, les risques s’amplifient... image Les trois acheteurs (Orange, Bouygues, Free) contrôlent déjà Utiq et vont bientôt contrôler aussi les clients SFR : ➡️ Concentration massive de données sur plus de 80% des foyers français ➡️ Moins de concurrence = moins de pression pour protéger ta vie privée ➡️ Risque que les opérateurs utilisent Utiq de manière encore plus agressive pour monétiser nos données (publicité ciblée, revente, etc...) ➡️ Blocage plus compliqué : VPN + uBlock Origin + Pi-hole restent les meilleures protections, mais même eux ne sont pas à 100% efficaces contre le système vicieux de Utiq Cette opération renforce le pouvoir des opérateurs sur nos données personnelles. C’est un risque supplémentaire de surveillance commerciale généralisée sans parler de la hausse des forfaits fortement prévisible ! #Privacy Bouygues Telecom (page corporate avec tous les communiqués) :
Kruptos's avatar
KruptoKosmos 1 month ago
‼️⚠️ Un plugin WordPress très utilisé (Everest Forms Pro, la version payante) contient une grosse faille de sécurité appelée CVE-2026-3300 (gravité : 9,8/10) image Quand un formulaire utilise la fonction « Calcul complexe », le plugin prend ce que tu écris dans un champ (texte, email, etc.) et l’exécute directement comme du code PHP N’importe qui, sans compte, peut envoyer un message spécial et prendre le contrôle total du site (créer un admin, installer une porte dérobée, voler les données...) - Seulement la version Pro (pas la gratuite) - Versions vulnérables : tout jusqu’à 1.9.12 - Les pirates l’exploitent depuis avril... plus de 29 300 attaques déjà bloquées par Wordfence Le correctif est sorti il y a 3 mois, mais les détails techniques ont été publiés hier et avant-hier. Du coup, les pirates ont maintenant des outils prêts à l’emploi et attaquent en masse ! Bref... un plugin censé créer des formulaires propres vient de transformer ton site en passoire. #Cybersecurity Wordfence – Analyse complète (https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/)
Kruptos's avatar
KruptoKosmos 1 month ago
🇪🇺 Loin d’eux l’idée de donner l’exemple ! Pendant que nos brillants dirigeants européens papotent sur Signal en mode message éphémère, histoire que personne ne puisse jamais savoir ce qu’ils ont vraiment dit sur le futur de nos vies... ils exigent de Google l’historique complet de nos recherches, de nos déplacements, de nos doutes, de nos désirs et de nos erreurs. Tout. Sans filtre. Pour notre bien, évidemment ! Ils veulent le centraliser. Dans leurs bases de données. Celles qu’ils gèrent avec le sérieux et la compétence technique d’un stagiaire en reconversion qui a découvert Linux la semaine dernière. Des serveurs "européens, souverains, ultra-sécurisés" qui, on le sait tous, tiendront aussi longtemps qu’un château de cartes sous un ventilateur Eux, ils ont le luxe de l’éphémère Nous, on aura le droit au permanent, au traçable, au recoupable, au revendable, au piratable ! Eux, ils effacent leurs traces en trois clics Nous, on nous promet une mémoire européenne infaillible, gérée par des gens qui n’arrivent même pas à sécuriser leurs propres conversations sans importer une appli californienne !! C’est beau, l’Europe des valeurs... Privacy pour les puissants Big Data pour les autres Et en prime, on nous explique que c’est pour nous protéger Alors oui, continuez à parler de "confiance" et de "souveraineté numérique" On vous entend très bien Surtout quand vos messages disparaissent et que les nôtres, eux, resteront gravés dans le marbre de vos bases de données d’amateur. image 👉 Von der Leyen laisse encore un texto de Macron sur Mercosur s’autodétruire sur Signal, et l’Ombudsman européen doit lui rappeler que la transparence n’est pas une fonctionnalité optionnelle de l’UE. #UE 🥕
Kruptos's avatar
KruptoKosmos 1 month ago
🌐🛠️ FLOWSINT image Une plateforme d’investigation OSINT en graphe open-source, locale et extensible, pensée pour les analysts cybersécurité et investigateurs qui en ont marre de tout faire à la main ! Sur l’interface tu vois en direct : 👁️ Le graphe qui se construit en temps réel 👁️ Chaque nœud (domaine, IP, email, wallet, personne, organisation...) 👁️ Les relations qui apparaissent automatiquement 👁️ Le streaming live via SSE (plus besoin de rafraîchir) Tu pars d’une seule seed (un domaine, une IP, un email, un username...) et plus de 30 enrichisseurs automatisés vont creuser pour toi : - WHOIS - sous-domaines - géoloc IP + ASN - vérif breaches - profils sociaux via Maigret - traçage crypto/NFT - crawling de sites, etc... Tout est stocké en local dans Neo4j (graphe) + PostgreSQL Pas de serveur central Pas de compte tiers obligatoire Pas de tracking par défaut 👉 Avantages : gratuit, open-source (Apache 2.0), ultra-modulaire (tu peux ajouter tes propres enrichisseurs facilement), graphe fluide même avec des milliers de nœuds, temps réel, privacy-first, parfait pour du threat intel, DFIR, investigations crypto ou cartographie d’orga 👉 Inconvénients : encore jeune (développement très actif, dernière release il y a quelques jours), nécessite Docker, pour l’instant surtout orienté analysts techniques (pas encore d’interface grand-public) ⚠️ Usage strictement éthique. Le projet insiste lourdement là-dessus (fichier ETHICS .md clair). DYOR #OpenSource #cybersecurity GitHub :
Kruptos's avatar
KruptoKosmos 1 month ago
⚠️🇪🇺🪪 L’EUDI Wallet : volontaire mais obligatoire !! image Derrière le discours officiel sur la liberté et la commodité, l’EUDI Wallet est en train d’être rendu quasi obligatoire par la porte réglementaire Officiellement, son usage reste volontaire selon l’article 5a d’eIDAS... mais dans les faits, l’AMLA pousse déjà les banques à l’imposer pour les vérifications d’identité en ligne dans le cadre des règles anti-blanchiment ! Dès 2027, les institutions financières seront structurellement incitées à privilégier ce wallet, rendant les alternatives de plus en plus marginales 🙄 D’ici fin 2026, chaque État membre devra proposer un wallet certifié... tout ça au nom de la lutte contre la fraude Comme d’habitude, on te promet plus de liberté, la simplicité... et on te construit discrètement un système où refuser devient de plus en plus compliqué !! #UE #Privacy 🪦
Kruptos's avatar
KruptoKosmos 1 month ago
La faille Orchard a exposé le problème structurel de #Zcash : image - Une vulnérabilité de soundness dans le circuit zero-knowledge a permis pendant quatre ans la création potentielle de ZEC contrefaits illimités et indétectables dans le pool shielded, et les propriétés de confidentialité ont rendu impossible toute vérification cryptographique de l’absence d’exploitation... obligeant aujourd’hui l’équipe à proposer des mécanismes additionnels de preuve d’intégrité du supply qui risquent d’entrer en contradiction avec le modèle de privacy maximal initial 🙃 Face à cela, #Monero démontre une solidité supérieure : - Son architecture intègre la confidentialité par défaut via ring signatures et RingCT directement sur la chaîne principale, sans pool shielded compartimenté, tout en maintenant une émission publiquement vérifiable, ce qui évite le risque d’inflation cachée à long terme et préserve une privacy cohérente sans nécessiter de modifications ultérieures contradictoires 😃 Privacy $ZEC vs $XMR 🤷‍♂️ View quoted note →
Kruptos's avatar
KruptoKosmos 1 month ago
‼️🤖 Opus 4.8 sort le 28 mai... Le 29, un chercheur l’utilise et trouve une faille critique dans Zcash Orchard qui avait résisté à 4 ans d’audits experts image Taylor Hornby (Shielded Labs) déploie un framework d’agents custom. L’IA repère une sous-contrainte dans la multiplication elliptique du circuit Halo2, permettant théoriquement des ZEC contrefaits illimités dans le pool shielded ! 1. Il construit un exploit complet en quelques heures 2. Divulgation responsable immédiate 3. Zcash patch en urgence via NU6.2 le 3 juin ➡️ Aucun dommage constaté (hors panique et correction du prix !) Premier cas public marquant où un modèle sorti la veille découvre une faille exploitable dans un système ZK de production !! L’ère de l’audit crypto assisté par IA est lancée et ça va secouer 🧹 à qui le tour ?... image
Kruptos's avatar
KruptoKosmos 1 month ago
📰👀 Le 2 juin 2026, le Trésor américain (OFAC) a sanctionné Nobitex la plus grande plateforme d’échange de cryptomonnaies d’Iran... ainsi que trois autres exchanges iraniens (Wallex, Bitpin et Ramzinex) et plusieurs de leurs dirigeants image Pour avoir traité plus de 50% des flux crypto entrants en Iran en 2025, facilité l’évasion des sanctions, soutenu l’IRGC et traité des paiements de ransomware liés à des acteurs affiliés au régime ! C’est l’une des premières fois qu’une grande puissance sanctionne explicitement une exchange crypto pour son rôle dans le financement du terrorisme via ransomware d’État Cela montre que la crypto est devenue un outil stratégique de guerre hybride ! #Nobitex Communiqué officiel OFAC / Treasury (2 juin 2026) : https://home.treasury.gov/news/press-releases/sb0519
Kruptos's avatar
KruptoKosmos 1 month ago
‼️👁️ Pendant 5 mois, un hacker a espionné discrètement la boîte Outlook d’un grand patron d’une grande bourse mondiale (non nommée, évidemment !)... image 👉 10 octobre 2025 : les hackers prennent le contrôle total de l’ordinateur du dirigeant 👉 12 novembre 2025 : ils commencent à voler les emails 👉 Novembre 2025 au 17 février 2026 : ils reviennent régulièrement (toutes les 2 à 4 semaines) pour copier seulement les nouveaux emails (pas toute la boîte d’un coup !) 👉 19 mars 2026 : dernière trace. Ils avaient préparé un outil supplémentaire mais ne l’ont finalement pas utilisé Ils envoyaient les données par petits paquets via Dropbox et OneDrive perso, avec des astuces pour que ça ressemble à du trafic normal Pas de ransomware. Juste de l’espionnage... deals, listings et plans qui peuvent faire bouger les marchés Symantec vient de révéler l’affaire...
Kruptos's avatar
KruptoKosmos 1 month ago
Comment tu peux faire passer ça pour une bonne nouvelle !?... Cool MiCA arrive, nous allons enfin être en sécurité 🫠 image Votre passeport ou carte d’identité à portée de main ? Parfait !... - Vous ouvrez l’application - Vous tapez sur la petite bannière bleue - Vous prenez une photo... et le tour est joué !! image Mais vous voilà maintenant tracé à vie, vos données personnelles et votre adresse livrées en direct aux kidnappeurs, aux voleurs... et aux impôts (parce que c’est pareil, non !?) Refusez cette "petite" mise à jour MiCA et vous découvrirez très vite ce que veut dire "fonctionnalités temporairement limitées"! image Exactement comme avec le futur EUDI Wallet qu’on nous prépare... tu n’obéis pas, tu n’existes plus dans le système Fuyez ces collabos zélés de l’identité numérique centralisée. Ils n’ont strictement rien compris au principe même d’une monnaie décentralisée. #Privacy ⚠️
Kruptos's avatar
KruptoKosmos 1 month ago
⚠️📱 FlagLeft : Encore un sérieux flag de débogage oublié en production chez @msftsecurity... image Dans le code des applications Microsoft 365 sur Android, il y avait une ligne qui activait le mode débogage : ➡️ setIsDebugMode(true); Ce flag était censé être désactivé dans les versions finales. Mais il est resté activé par erreur "left on" !! Du coup, les contrôles de sécurité qui limitaient le partage de tokens ont été désactivés, permettant à n’importe quelle application sur le téléphone de voler le token Microsoft de connexion sans aucune vérification ni confirmation utilisateur Étaient concernés : - Word, Excel - PowerPoint - Copilot - Loop - OneNote (Teams épargnés) C'est plusieurs milliards de téléchargements cumulés !! Ce type de faille compromet directement l’identité numérique des utilisateurs en donnant un accès complet et silencieux à leurs mails, fichiers OneDrive et calendrier Microsoft a commencé à déployer les correctifs mi-mai 2026. La faille a été rendue publique le 3 juin 👀 Si tes mises à jour ne sont pas automatiques... ouvre le Play Store, recherche chaque application Microsoft et mets-les à jour manuellement, puis redémarre ton téléphone. Lien :
Kruptos's avatar
KruptoKosmos 1 month ago
‼️🇨🇭👁️ La Suisse voulait faire passer une nouvelle loi de surveillance... image Elle visait les entreprises proposant des services privés comme : - Les VPN - Les e-mails chiffrés - Les messageries sécurisées 1. Demander une pièce d’identité à chaque nouvel utilisateur (passeport ou permis de conduire)... Plus possible de s’inscrire sans donner son vrai nom ! 2. Garder les données des utilisateurs pendant 6 mois (adresse IP, quand on se connecte, etc) 3. Pouvoir déchiffrer les messages ou données si la police le demande !! Proton (l’entreprise suisse qui fait @ProtonMail et @ProtonVPN) a dit clairement : "Cette loi est pire que celle des États-Unis" image Résultat Proton a commencé à déplacer une partie de ses serveurs hors de Suisse !! (en Allemagne notamment) par précaution. Mais l’entreprise reste basée en Suisse pour le moment Ensuite beaucoup de monde s’est opposé à cette loi (d’autres entreprises, des associations et des politiciens) ILe gouvernement suisse a donc revu sa copie et a atténué le projet ! - La version la plus sévère de la loi n’a pas été appliquée - Proton a quand même commencé à diversifier ses serveurs ! - La réputation de la Suisse comme pays qui protège bien la vie privée a pris un coup La surveillance de masse n'est qu'une question de temps ⏳
Kruptos's avatar
KruptoKosmos 1 month ago
🚨 Android juin 2026 ➡️ 124 failles patchées ⚠️ Une est déjà exploitée image Google a sorti son bulletin le 1er juin. Parmi les 124 correctifs, CVE-2025-48595 sort du lot... C’est un integer overflow dans le Framework. Ça permet une élévation de privilèges locale. Une fois déclenchée, aucune interaction utilisateur n’est nécessaire Versions touchées : Android 14, 15, 16 et 16 QPR2 Le CISA l’a ajoutée à son catalogue des vulnérabilités activement exploitées le 2 juin Ce n'est pas une attaque de masse, mais déjà utilisée contre des cibles précises. Dans le Framework, ça donne un accès profond une fois exploitée 👉 La plupart des constructeurs vont mettre des semaines à pousser le patch. Pixel en premier, les autres après ! 👀 Va dans Paramètres et À propos du téléphone, check le niveau de correctif. Tu veux 2026-06-01 minimum Même corrigé par Google, tout le monde n’est pas protégé en même temps dans un écosystème fermé.
Kruptos's avatar
KruptoKosmos 1 month ago
🌐🔒 PIPELOCK image FIREWALL OPEN-SOURCE QUI SAUVE TES AGENTS IA DES FUITES... Les agents IA (Claude Code, Cursor, Codex, etc) ont un problème énorme : ils tournent avec des clés API, des creds et un accès réseau illimité. Un seul prompt injection ou tool call malveillant et tes secrets partent direct chez l’attaquant Pipelock c’est un firewall dédié aux agents IA (open-source, licence Apache 2.0) créé par Joshua Waldrep sous le projet PipeLab Il se place en proxy entre ton agent et le réseau et inspecte TOUT ce qui sort ou rentre ! image ➡️ Scan bidirectionnel sur HTTP, WebSocket, MCP (Model Context Protocol) et A2A ➡️ Détection de 48 patterns de credentials + 29 patterns d’injection (avec 6 passes de normalisation pour contourner les obfuscations) ➡️ Protection SSRF + DNS rebinding ➡️ Bloque les fuites de données sensibles (DLP pour agents IA) ➡️ Émet des action receipts signés (preuves vérifiables hors du runtime de l’agent) que n’importe qui peut auditer offline ➡️ Zéro secret dans le proxy... séparation stricte des capacités (le agent n’a plus accès direct au net) Il tourne en un seul binaire Go de ~20 Mo, très léger, et s’installe en 2 commandes (brew, Docker ou go install) Tu lances ton agent derrière Pipelock et il devient un vrai mur de contrôle sans casser ton workflow ! Bref... Pipelock met une barrière vérifiable et auditable entre l’agent et internet Parfait pour devs, équipes security et tous ceux qui font tourner des agents en prod ou en local. image #OpenSource #CyberSecurity GitHub → Site PipeLab →
Kruptos's avatar
KruptoKosmos 1 month ago
🚨📈 Aujourd’hui, MtGox a bougé 10 423 BTC... C'est une bonne nouvelle !! image Pour rappel, MtGox c’est l’ancienne plateforme qui s’est fait hacker en 2014 (perte de ~850 000 BTC). Elle est en faillite depuis, et depuis 2021 elle est en procédure de réhabilitation judiciaire au Japon Un responsable officiel nommé par le tribunal gère la redistribution des BTC récupérés aux ~19 500 victimes Les vrais remboursements ont commencé en juillet 2024. Depuis, plus de 100 000 BTC ont déjà été rendus, par tranches, via des exchanges partenaires (Kraken, Bitstamp, Bitbank...) Le trustee repousse régulièrement les deadlines quand ce n’est pas prêt (la dernière est fixée à octobre 2026). Il reste encore environ 34 500 BTC à distribuer Le move d’aujourd’hui c’est du ménage interne ! Le trustee a simplement transféré des BTC d’un cold wallet vers une nouvelle adresse + une petite partie vers son hot wallet Pas de dépôt massif sur les exchanges. Pas de vente spot immédiate. Juste une étape de préparation pour fluidifier les prochains payouts aux créanciers C’est le même schéma qu’on voit depuis des mois... chaque fois qu’il y a un mouvement un peu visible on-chain, le FUD ressort et aujourd'hui s'ajoute la vente de 32 BTC par Strategy !! ‼️👀 Pourtant, à chaque gros move MtGox ces dernières années, après le bruit et la panique initiale, le prix du $BTC a fini par monter sur la période suivante 👇 #Bitcoin #MtGox
Kruptos's avatar
KruptoKosmos 1 month ago
‼️🔍 Nouvelle technique de fingerprinting side-channel, signée par des chercheurs de l’Université de Graz. Ils l’ont baptisée FROST image Fingerprinting Remotely using OPFS-based SSD Timing Un site web lambda (ou malveillant) utilise simplement l’API OPFS du navigateur pour lire/écrire des fichiers minuscules rapidement Il mesure ensuite les micro-latences de ton SSD Il devine avec 89% de précision quels autres sites tu as ouverts (même dans d’autres navigateurs ou onglets) !! Et 96% sur quelles applications tournent discrètement en arrière-plan !!...
Kruptos's avatar
KruptoKosmos 1 month ago
⚠️📡 Cloudflare Turnstile + WebGL Fingerprinting Le "captcha discret et respectueux de la vie privée" vient de se griller tout seul !! image ‼️ Turnstile, la nouvelle solution que Cloudflare vend comme l’alternative "propre et légère" à reCAPTCHA, exige maintenant que ton navigateur lui livre des infos WebGL non spoofées... Si tu utilises Firefox avec protections renforcées, Cromite, Mullvad Browser, ou n’importe quel outil qui randomise/spoofe le fingerprint (c’est-à-dire exactement ce que font les gens sérieux en privacy !), Cloudflare te bloque direct avec le message : "WebGL renderer info is spoofed" ⛔ Tu passes en boucle infinie ou refus pur et simple ! 👉 Pour prouver que tu es un humain, tu dois baisser tes protections privacy 👉 Cloudflare assume : "On utilise du browser fingerprinting pour détecter les bots" Résultats, ceux qui se protègent le plus sont traités comme des bots !! Exactement le contraire de leur marketing "privacy-first" Bref... Chez Cloudflare on te promet la liberté et la discrétion tant que tu acceptes d’être tracé ! Tu veux passer le check ?... Désactive tes défenses. Sinon reste dehors "bot" 🫠 #Privacy 🩸
Kruptos's avatar
KruptoKosmos 1 month ago
GrapheneOS a retiré tous ses serveurs d’OVHcloud et quitté la France en évoquant des attentes de backdoors dans le chiffrement, des menaces policières/judiciaires etc Meilleure décision et preuve de fiabilité en partant ! image Les vrais risques sont progressifs : ⚠️ Réglementations qui obligent les OS à collecter des données (âge, ID) ⚠️ Durcissement de Google contre les ROM custom ⚠️ Pressions sur les fabricants (Motorola/Lenovo) Mais @GrapheneOS préfère être interdit dans certains endroits plutôt que de trahir ses principes 🙏 #Privacy