‼️🕵️♂️ Chrome vient de corriger 429 bugs de sécurité en une seule mise à jour. Record absolu
La même semaine, une IA autonome a trouvé 21 zero-days dans FFmpeg (certains vieux de plus de 20 ans) pour seulement 1000$ !
Ajoutez le chercheur qui a utilisé Claude Opus 4.8 pour découvrir une faille critique dans Zcash. Les audits humains l’avaient ratée pendant 4 ans
Le modèle Claude Mythos a même trouvé et exploité seul des zero-days dans FreeBSD (17 ans) et FFmpeg !!
Google a détecté le premier exploit zero-day généré par IA utilisé dans une vraie campagne d’attaque
Face au déluge de rapports générés par IA, Google a dû réformer son bug bounty... ils exigent maintenant des reproducers concis au lieu des longs pavés écrits par l’IA !
Bref, l’IA donne la même arme aux deux camps... Elle accélère tout.
Sauf les mises à jour !!
#Cybersecurity 🤖

La même semaine, une IA autonome a trouvé 21 zero-days dans FFmpeg (certains vieux de plus de 20 ans) pour seulement 1000$ !
Ajoutez le chercheur qui a utilisé Claude Opus 4.8 pour découvrir une faille critique dans Zcash. Les audits humains l’avaient ratée pendant 4 ans
Le modèle Claude Mythos a même trouvé et exploité seul des zero-days dans FreeBSD (17 ans) et FFmpeg !!
Google a détecté le premier exploit zero-day généré par IA utilisé dans une vraie campagne d’attaque
Face au déluge de rapports générés par IA, Google a dû réformer son bug bounty... ils exigent maintenant des reproducers concis au lieu des longs pavés écrits par l’IA !
Bref, l’IA donne la même arme aux deux camps... Elle accélère tout.
Sauf les mises à jour !!
#Cybersecurity 🤖

Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 149 to the stable channel for Windows, Mac and Linux. This will roll out ov...
La concentration du marché ne fait que rendre ces manœuvres opaques plus faciles et plus dangereuses En joyeux accord avec la commission européenne !!
Moins de concurrence + moins d’options d’anonymat = #Privacy ⏳🪦
Les trois acheteurs (Orange, Bouygues, Free) contrôlent déjà Utiq et vont bientôt contrôler aussi les clients SFR :
➡️ Concentration massive de données sur plus de 80% des foyers français
➡️ Moins de concurrence = moins de pression pour protéger ta vie privée
➡️ Risque que les opérateurs utilisent Utiq de manière encore plus agressive pour monétiser nos données (publicité ciblée, revente, etc...)
➡️ Blocage plus compliqué : VPN + uBlock Origin + Pi-hole restent les meilleures protections, mais même eux ne sont pas à 100% efficaces contre le système vicieux de Utiq
Cette opération renforce le pouvoir des opérateurs sur nos données personnelles. C’est un risque supplémentaire de surveillance commerciale généralisée sans parler de la hausse des forfaits fortement prévisible !


Quand un formulaire utilise la fonction « Calcul complexe », le plugin prend ce que tu écris dans un champ (texte, email, etc.) et l’exécute directement comme du code PHP
N’importe qui, sans compte, peut envoyer un message spécial et prendre le contrôle total du site (créer un admin, installer une porte dérobée, voler les données...)
- Seulement la version Pro (pas la gratuite)
- Versions vulnérables : tout jusqu’à 1.9.12
- Les pirates l’exploitent depuis avril... plus de 29 300 attaques déjà bloquées par Wordfence
Le correctif est sorti il y a 3 mois, mais les détails techniques ont été publiés hier et avant-hier. Du coup, les pirates ont maintenant des outils prêts à l’emploi et attaquent en masse !
Bref... un plugin censé créer des formulaires propres vient de transformer ton site en passoire.
#Cybersecurity
Wordfence – Analyse complète (
👉 Von der Leyen laisse encore un texto de Macron sur Mercosur s’autodétruire sur Signal, et l’Ombudsman européen doit lui rappeler que la transparence n’est pas une fonctionnalité optionnelle de l’UE.
Une plateforme d’investigation OSINT en graphe open-source, locale et extensible, pensée pour les analysts cybersécurité et investigateurs qui en ont marre de tout faire à la main !
Sur l’interface tu vois en direct :
👁️ Le graphe qui se construit en temps réel
👁️ Chaque nœud (domaine, IP, email, wallet, personne, organisation...)
👁️ Les relations qui apparaissent automatiquement
👁️ Le streaming live via SSE (plus besoin de rafraîchir)
Tu pars d’une seule seed (un domaine, une IP, un email, un username...) et plus de 30 enrichisseurs automatisés vont creuser pour toi :
- WHOIS
- sous-domaines
- géoloc IP + ASN
- vérif breaches
- profils sociaux via Maigret
- traçage crypto/NFT
- crawling de sites, etc...
Tout est stocké en local dans Neo4j (graphe) + PostgreSQL
Pas de serveur central
Pas de compte tiers obligatoire
Pas de tracking par défaut
👉 Avantages : gratuit, open-source (Apache 2.0), ultra-modulaire (tu peux ajouter tes propres enrichisseurs facilement), graphe fluide même avec des milliers de nœuds, temps réel, privacy-first, parfait pour du threat intel, DFIR, investigations crypto ou cartographie d’orga
👉 Inconvénients : encore jeune (développement très actif, dernière release il y a quelques jours), nécessite Docker, pour l’instant surtout orienté analysts techniques (pas encore d’interface grand-public)
⚠️ Usage strictement éthique. Le projet insiste lourdement là-dessus (fichier ETHICS .md clair). DYOR
#OpenSource #cybersecurity
GitHub :
Derrière le discours officiel sur la liberté et la commodité, l’EUDI Wallet est en train d’être rendu quasi obligatoire par la porte réglementaire
Officiellement, son usage reste volontaire selon l’article 5a d’eIDAS... mais dans les faits, l’AMLA pousse déjà les banques à l’imposer pour les vérifications d’identité en ligne dans le cadre des règles anti-blanchiment !
Dès 2027, les institutions financières seront structurellement incitées à privilégier ce wallet, rendant les alternatives de plus en plus marginales 🙄
D’ici fin 2026, chaque État membre devra proposer un wallet certifié... tout ça au nom de la lutte contre la fraude
Comme d’habitude, on te promet plus de liberté, la simplicité... et on te construit discrètement un système où refuser devient de plus en plus compliqué !!

- Une vulnérabilité de soundness dans le circuit zero-knowledge a permis pendant quatre ans la création potentielle de ZEC contrefaits illimités et indétectables dans le pool shielded, et les propriétés de confidentialité ont rendu impossible toute vérification cryptographique de l’absence d’exploitation... obligeant aujourd’hui l’équipe à proposer des mécanismes additionnels de preuve d’intégrité du supply qui risquent d’entrer en contradiction avec le modèle de privacy maximal initial 🙃
Face à cela, #Monero démontre une solidité supérieure :
- Son architecture intègre la confidentialité par défaut via ring signatures et RingCT directement sur la chaîne principale, sans pool shielded compartimenté, tout en maintenant une émission publiquement vérifiable, ce qui évite le risque d’inflation cachée à long terme et préserve une privacy cohérente sans nécessiter de modifications ultérieures contradictoires 😃
Privacy $ZEC vs $XMR 🤷♂️
Taylor Hornby (Shielded Labs) déploie un framework d’agents custom. L’IA repère une sous-contrainte dans la multiplication elliptique du circuit Halo2, permettant théoriquement des ZEC contrefaits illimités dans le pool shielded !
1. Il construit un exploit complet en quelques heures
2. Divulgation responsable immédiate
3. Zcash patch en urgence via NU6.2 le 3 juin
➡️ Aucun dommage constaté (hors panique et correction du prix !)
Premier cas public marquant où un modèle sorti la veille découvre une faille exploitable dans un système ZK de production !!
L’ère de l’audit crypto assisté par IA est lancée et ça va secouer 🧹 à qui le tour ?...

Pour avoir traité plus de 50% des flux crypto entrants en Iran en 2025, facilité l’évasion des sanctions, soutenu l’IRGC et traité des paiements de ransomware liés à des acteurs affiliés au régime !
C’est l’une des premières fois qu’une grande puissance sanctionne explicitement une exchange crypto pour son rôle dans le financement du terrorisme via ransomware d’État
Cela montre que la crypto est devenue un outil stratégique de guerre hybride !
#Nobitex
Communiqué officiel OFAC / Treasury (2 juin 2026) :
👉 10 octobre 2025 : les hackers prennent le contrôle total de l’ordinateur du dirigeant
👉 12 novembre 2025 : ils commencent à voler les emails
👉 Novembre 2025 au 17 février 2026 : ils reviennent régulièrement (toutes les 2 à 4 semaines) pour copier seulement les nouveaux emails (pas toute la boîte d’un coup !)
👉 19 mars 2026 : dernière trace. Ils avaient préparé un outil supplémentaire mais ne l’ont finalement pas utilisé
Ils envoyaient les données par petits paquets via Dropbox et OneDrive perso, avec des astuces pour que ça ressemble à du trafic normal
Pas de ransomware. Juste de l’espionnage... deals, listings et plans qui peuvent faire bouger les marchés
Symantec vient de révéler l’affaire...

Votre passeport ou carte d’identité à portée de main ? Parfait !...
- Vous ouvrez l’application
- Vous tapez sur la petite bannière bleue
- Vous prenez une photo... et le tour est joué !!
Mais vous voilà maintenant tracé à vie, vos données personnelles et votre adresse livrées en direct aux kidnappeurs, aux voleurs... et aux impôts (parce que c’est pareil, non !?)
Refusez cette "petite" mise à jour MiCA et vous découvrirez très vite ce que veut dire "fonctionnalités temporairement limitées"!
Exactement comme avec le futur EUDI Wallet qu’on nous prépare... tu n’obéis pas, tu n’existes plus dans le système
Fuyez ces collabos zélés de l’identité numérique centralisée. Ils n’ont strictement rien compris au principe même d’une monnaie décentralisée.
#Privacy ⚠️
Dans le code des applications Microsoft 365 sur Android, il y avait une ligne qui activait le mode débogage :
➡️ setIsDebugMode(true);
Ce flag était censé être désactivé dans les versions finales. Mais il est resté activé par erreur "left on" !!
Du coup, les contrôles de sécurité qui limitaient le partage de tokens ont été désactivés, permettant à n’importe quelle application sur le téléphone de voler le token Microsoft de connexion sans aucune vérification ni confirmation utilisateur
Étaient concernés :
- Word, Excel
- PowerPoint
- Copilot
- Loop
- OneNote
(Teams épargnés)
C'est plusieurs milliards de téléchargements cumulés !!
Ce type de faille compromet directement l’identité numérique des utilisateurs en donnant un accès complet et silencieux à leurs mails, fichiers OneDrive et calendrier
Microsoft a commencé à déployer les correctifs mi-mai 2026. La faille a été rendue publique le 3 juin
👀 Si tes mises à jour ne sont pas automatiques... ouvre le Play Store, recherche chaque application Microsoft et mets-les à jour manuellement, puis redémarre ton téléphone.
Lien : 
Elle visait les entreprises proposant des services privés comme :
- Les VPN
- Les e-mails chiffrés
- Les messageries sécurisées
1. Demander une pièce d’identité à chaque nouvel utilisateur (passeport ou permis de conduire)... Plus possible de s’inscrire sans donner son vrai nom !
2. Garder les données des utilisateurs pendant 6 mois (adresse IP, quand on se connecte, etc)
3. Pouvoir déchiffrer les messages ou données si la police le demande !!
Proton (l’entreprise suisse qui fait @ProtonMail et @ProtonVPN) a dit clairement : "Cette loi est pire que celle des États-Unis"
Résultat Proton a commencé à déplacer une partie de ses serveurs hors de Suisse !! (en Allemagne notamment) par précaution.
Mais l’entreprise reste basée en Suisse pour le moment
Ensuite beaucoup de monde s’est opposé à cette loi (d’autres entreprises, des associations et des politiciens)
ILe gouvernement suisse a donc revu sa copie et a atténué le projet !
- La version la plus sévère de la loi n’a pas été appliquée
- Proton a quand même commencé à diversifier ses serveurs !
- La réputation de la Suisse comme pays qui protège bien la vie privée a pris un coup
La surveillance de masse n'est qu'une question de temps ⏳

Google a sorti son bulletin le 1er juin. Parmi les 124 correctifs, CVE-2025-48595 sort du lot...
C’est un integer overflow dans le Framework. Ça permet une élévation de privilèges locale. Une fois déclenchée, aucune interaction utilisateur n’est nécessaire
Versions touchées : Android 14, 15, 16 et 16 QPR2
Le CISA l’a ajoutée à son catalogue des vulnérabilités activement exploitées le 2 juin
Ce n'est pas une attaque de masse, mais déjà utilisée contre des cibles précises. Dans le Framework, ça donne un accès profond une fois exploitée
👉 La plupart des constructeurs vont mettre des semaines à pousser le patch. Pixel en premier, les autres après !
👀 Va dans Paramètres et À propos du téléphone, check le niveau de correctif. Tu veux 2026-06-01 minimum
Même corrigé par Google, tout le monde n’est pas protégé en même temps dans un écosystème fermé.
FIREWALL OPEN-SOURCE QUI SAUVE TES AGENTS IA DES FUITES...
Les agents IA (Claude Code, Cursor, Codex, etc) ont un problème énorme : ils tournent avec des clés API, des creds et un accès réseau illimité. Un seul prompt injection ou tool call malveillant et tes secrets partent direct chez l’attaquant
Pipelock c’est un firewall dédié aux agents IA (open-source, licence Apache 2.0) créé par Joshua Waldrep sous le projet PipeLab
Il se place en proxy entre ton agent et le réseau et inspecte TOUT ce qui sort ou rentre !
➡️ Scan bidirectionnel sur HTTP, WebSocket, MCP (Model Context Protocol) et A2A
➡️ Détection de 48 patterns de credentials + 29 patterns d’injection (avec 6 passes de normalisation pour contourner les obfuscations)
➡️ Protection SSRF + DNS rebinding
➡️ Bloque les fuites de données sensibles (DLP pour agents IA)
➡️ Émet des action receipts signés (preuves vérifiables hors du runtime de l’agent) que n’importe qui peut auditer offline
➡️ Zéro secret dans le proxy... séparation stricte des capacités (le agent n’a plus accès direct au net)
Il tourne en un seul binaire Go de ~20 Mo, très léger, et s’installe en 2 commandes (brew, Docker ou go install)
Tu lances ton agent derrière Pipelock et il devient un vrai mur de contrôle sans casser ton workflow !
Bref... Pipelock met une barrière vérifiable et auditable entre l’agent et internet
Parfait pour devs, équipes security et tous ceux qui font tourner des agents en prod ou en local.
#OpenSource #CyberSecurity
GitHub → 
Pour rappel, MtGox c’est l’ancienne plateforme qui s’est fait hacker en 2014 (perte de ~850 000 BTC). Elle est en faillite depuis, et depuis 2021 elle est en procédure de réhabilitation judiciaire au Japon
Un responsable officiel nommé par le tribunal gère la redistribution des BTC récupérés aux ~19 500 victimes
Les vrais remboursements ont commencé en juillet 2024. Depuis, plus de 100 000 BTC ont déjà été rendus, par tranches, via des exchanges partenaires (Kraken, Bitstamp, Bitbank...)
Le trustee repousse régulièrement les deadlines quand ce n’est pas prêt (la dernière est fixée à octobre 2026). Il reste encore environ 34 500 BTC à distribuer
Le move d’aujourd’hui c’est du ménage interne !
Le trustee a simplement transféré des BTC d’un cold wallet vers une nouvelle adresse + une petite partie vers son hot wallet
Pas de dépôt massif sur les exchanges. Pas de vente spot immédiate. Juste une étape de préparation pour fluidifier les prochains payouts aux créanciers
C’est le même schéma qu’on voit depuis des mois... chaque fois qu’il y a un mouvement un peu visible on-chain, le FUD ressort et aujourd'hui s'ajoute la vente de 32 BTC par Strategy !!
‼️👀 Pourtant, à chaque gros move MtGox ces dernières années, après le bruit et la panique initiale, le prix du $BTC a fini par monter sur la période suivante 👇
#Bitcoin #MtGox
Fingerprinting Remotely using OPFS-based SSD Timing
Un site web lambda (ou malveillant) utilise simplement l’API OPFS du navigateur pour lire/écrire des fichiers minuscules rapidement
Il mesure ensuite les micro-latences de ton SSD
Il devine avec 89% de précision quels autres sites tu as ouverts (même dans d’autres navigateurs ou onglets) !!
Et 96% sur quelles applications tournent discrètement en arrière-plan !!...

‼️ Turnstile, la nouvelle solution que Cloudflare vend comme l’alternative "propre et légère" à reCAPTCHA, exige maintenant que ton navigateur lui livre des infos WebGL non spoofées...
Si tu utilises Firefox avec protections renforcées, Cromite, Mullvad Browser, ou n’importe quel outil qui randomise/spoofe le fingerprint (c’est-à-dire exactement ce que font les gens sérieux en privacy !), Cloudflare te bloque direct avec le message :
"WebGL renderer info is spoofed"
⛔ Tu passes en boucle infinie ou refus pur et simple !
👉 Pour prouver que tu es un humain, tu dois baisser tes protections privacy
👉 Cloudflare assume : "On utilise du browser fingerprinting pour détecter les bots"
Résultats, ceux qui se protègent le plus sont traités comme des bots !!
Exactement le contraire de leur marketing "privacy-first"
Bref... Chez Cloudflare on te promet la liberté et la discrétion tant que tu acceptes d’être tracé !
Tu veux passer le check ?... Désactive tes défenses. Sinon reste dehors "bot" 🫠

Les vrais risques sont progressifs :
⚠️ Réglementations qui obligent les OS à collecter des données (âge, ID)
⚠️ Durcissement de Google contre les ROM custom
⚠️ Pressions sur les fabricants (Motorola/Lenovo)
Mais @GrapheneOS préfère être interdit dans certains endroits plutôt que de trahir ses principes 🙏
#Privacy