Le CA/Browser Forum a voté une réduction significative de la durée de vie des certificats SSL/TLS au cours des quatre prochaines années, pour une durée finale de seulement 47 jours à compter de 2029. Parmi ses membres figurent des autorités de certification majeures comme DigiCert et GlobalSign, ainsi que des éditeurs de navigateurs comme Google, Apple, Mozilla et Microsoft. Plus tôt cette année, Apple a proposé une motion visant à réduire la durée de vie des certificats, approuvée par Sectigo, l'équipe Google Chrome et Mozilla. Cette proposition réduirait progressivement la durée de vie des certificats au cours des quatre prochaines années, passant de 398 jours actuellement à 47 jours en mars 2029. L'objectif est de minimiser les risques liés à l'obsolescence des données de certificat, à l'obsolescence des algorithmes cryptographiques et à l'exposition prolongée aux informations d'identification compromises. Elle encourage également les entreprises et les développeurs à automatiser le renouvellement et la rotation des certificats TLS, réduisant ainsi le risque que les sites fonctionnent avec des certificats expirés.

Le kit de phishing Tycoon 2FA, déjà bien connu, a évolué et utilise désormais des techniques encore plus sophistiquées pour contourner l'authentification à deux facteurs (2FA) utilisée par Google et Microsoft. Les nouvelles techniques d’obfuscation découvertes début avril 2025 rendent la détection des attaques beaucoup plus difficile pour les systèmes de sécurité. Le kit crée des répliques trompeusement réelles de pages de connexion qui interceptent non seulement les informations de connexion d'origine, mais également les jetons 2FA. La combinaison de multiples techniques d’obscurcissement qui, ensemble, forment une barrière efficace contre les mesures de sécurité conventionnelles est particulièrement préoccupante. Une méthode particulièrement sophistiquée du kit est l'obscurcissement du code JavaScript en utilisant des caractères Unicode invisibles. Selon une analyse détaillée de Trustwave , le code malveillant utilise délibérément de tels caractères pour échapper à la détection visuelle et aux mécanismes de sécurité conventionnels. Cela signifie que le code malveillant reste invisible à l’œil humain et n’est pas reconnu comme une menace par de nombreux systèmes de sécurité.

De plus, Tycoon 2FA a abandonné l'utilisation de services CAPTCHA tiers tels que Cloudflare et s'appuie plutôt sur son propre système CAPTCHA, qui est rendu à l'aide de HTML5 Canvas. Cette solution personnalisée rend l’analyse automatisée plus difficile et prolonge considérablement la durée de vie des campagnes de phishing. Le kit met également en œuvre des mesures anti-débogage agressives qui détectent l'automatisation du navigateur, bloquent les outils de développement et redirigent même vers d'autres sites Web si des outils d'analyse sont détectés. Que peut-on faire contre cette attaque et d’autres ? « Les clés d'accès réduisent considérablement l'impact du phishing et d'autres attaques d'ingénierie sociale », a expliqué un porte-parole de Google, selon Forbes . « Les recherches de Google ont montré que les clés de sécurité offrent une meilleure protection contre les robots automatisés, les attaques de phishing de masse et les attaques ciblées que les SMS, les mots de passe à usage unique basés sur des applications et d'autres formes d'authentification à deux facteurs traditionnelles. »

Microsoft recommande également la prudence : « Nous recommandons d'utiliser des clés d'accès dans la mesure du possible et d'utiliser des applications d'authentification comme Microsoft Authenticator, qui avertissent les utilisateurs des tentatives potentielles de phishing », a déclaré un porte-parole de Microsoft. Pour les équipes de sécurité, les experts recommandent une surveillance basée sur le comportement, un sandboxing du navigateur et une inspection plus approfondie des modèles JavaScript pour garder une longueur d'avance sur ces menaces. Trustwave a également publié une règle de détection YARA ciblant spécifiquement les modèles d'obfuscation Unicode des dernières variantes de Tycoon 2FA.

X (anciennement Twitter) connaît sa troisième panne majeure de la journée, les utilisateurs signalant des problèmes de connexion et de chargement généralisés. Le groupe de hackers Dark Storm Team aurait revendiqué la responsabilité d'une attaque DDoS sur la plateforme, selon un message public publié sur Telegram. Check Point Research (CPR), une équipe de recherche sur les cybermenaces, a déclaré à Newsweek que The Dark Storm Team, un groupe de cyberattaque pro-palestinien connu pour avoir lancé des attaques par déni de service distribué (DDoS), a refait surface après une période d'inactivité. Le groupe cible principalement des entités occidentales, notamment celles des États-Unis, d'Ukraine, des Émirats arabes unis et d'Israël. Au cours du mois dernier, la Dark Storm Team a attaqué avec succès des infrastructures critiques, notamment l'aéroport international de Los Angeles (LAX), le port de Haïfa en Israël et le ministère de la Défense des Émirats arabes unis. Dans un communiqué, CPR a souligné le rôle du groupe dans la déstabilisation des plateformes numériques, notamment l'attaque récente contre X, soulignant la nécessité d'une cybersécurité renforcée pour les plateformes de médias sociaux, qui sont vitales pour la communication mondiale. CPR a également noté qu'en février, les organisations américaines ont été confrontées à une moyenne de 1 323 cyberattaques par semaine, le secteur des médias et du divertissement étant le quatrième plus ciblé.

La plateforme d'échange de cryptomonnaies Bybit a fait appel aux « esprits les plus brillants » en matière de cybersécurité pour l'aider à récupérer 1,5 milliard de dollars volés par des pirates informatiques dans ce qui est considéré comme le plus grand vol numérique de l'histoire. La plateforme crypto basée à Dubaï a déclaré qu'un attaquant avait pris le contrôle d'un portefeuille d'Ethereum, l'une des monnaies numériques les plus populaires après le bitcoin, et avait transféré le contenu vers une adresse inconnue. Bybit a immédiatement cherché à rassurer ses clients sur la sécurité de leurs avoirs en cryptomonnaies, tandis que son directeur général a déclaré sur les réseaux sociaux que Bybit rembourserait toutes les personnes concernées, même si la monnaie piratée n'était pas restituée. « Bybit est solvable même si cette perte due au piratage n'est pas récupérée, tous les actifs des clients sont garantis 1 pour 1, nous pouvons couvrir la perte », a déclaré Ben Zhou, cofondateur et directeur général de Bybit, sur X. Il a ajouté que la société détenait 20 milliards de dollars d'actifs clients et serait en mesure de couvrir elle-même les fonds non récupérés ou par le biais de prêts de partenaires.

Bybit, qui compte plus de 60 millions d'utilisateurs dans le monde et est la deuxième plus grande bourse de crypto-monnaie au monde en termes de volume d'échanges, a déclaré que la nouvelle du piratage avait entraîné une augmentation des demandes de retrait. Zhou a écrit que la société avait reçu plus de 350 000 demandes de clients pour retirer leurs fonds, ce qui pourrait entraîner des retards dans le traitement. Bybit a déclaré que le piratage s'est produit alors que la société effectuait un transfert de routine d'Ethereum d'un portefeuille « froid » hors ligne vers un portefeuille « chaud », qui couvre ses échanges quotidiens. Un attaquant a exploité les contrôles de sécurité et a pu transférer les actifs. Zhou a déclaré que tous les autres portefeuilles de la bourse n'ont pas été affectés. Le prix de l'Ethereum a chuté de près de 4 % après l'annonce du piratage vendredi, mais est depuis presque revenu aux niveaux précédents. La société a fait appel aux « esprits les plus brillants de la cybersécurité et de l'analyse crypto » pour l'aider à tenter de récupérer les fonds piratés, et offre une récompense de 10 % du montant récupéré, ce qui pourrait totaliser 140 millions de dollars si la totalité du montant piraté était récupérée.

« Bybit est déterminé à surmonter ce revers et à transformer fondamentalement notre infrastructure de sécurité, à améliorer la liquidité et à être un partenaire fidèle pour nos amis de la communauté crypto », a déclaré Zhou dans un communiqué. Le piratage est un revers pour l'industrie de la cryptographie, qui a rebondi ces derniers mois après avoir bénéficié du retour de Donald Trump à la Maison Blanche et de ses promesses de faire des États-Unis la « capitale mondiale de la cryptographie » dans un contexte de réglementation plus souple. Bien que l'identité de l'attaquant de Bybit soit inconnue, certains rapports ont suggéré que les auteurs pourraient être des pirates informatiques d'État nord-coréens, tels que le groupe Lazarus, qui ont été accusés de précédents braquages ​​à grande échelle, notamment le vol de 615 millions de dollars du projet de blockchain Ronin Group en 2022.

Un correctif est disponible pour une vulnérabilité dans 7-Zip qui aurait pu permettre aux attaquants de contourner la fonctionnalité de sécurité Mark-of-the-Web (MotW) dans Windows. MotW est un attribut ajouté aux fichiers par Windows lorsqu'ils proviennent d'un emplacement non fiable, comme Internet ou une zone restreinte. MotW est ce qui déclenche des avertissements indiquant que l'ouverture ou l'exécution de tels fichiers pourrait entraîner un comportement potentiellement dangereux, notamment l'installation de logiciels malveillants sur leurs appareils. 7-Zip a ajouté la prise en charge de MotW en juin 2022. Le MotW garantit également que les documents Office marqués avec le MotW seront ouverts en mode protégé, ce qui active automatiquement le mode lecture seule et signifie que toutes les macros seront désactivées jusqu'à ce que l'utilisateur les autorise. La mise à jour 7-Zip 24.09 est disponible dès maintenant ici : https://7-zip.org/download.html . Il faut en effet rappeler que 7-Zip n'a pas de fonction de mise à jour automatique, vous devrez donc télécharger la version adaptée à votre système depuis la page de téléchargement de 7-Zip .

Un informaticien de 35 ans a été condamné à cinq ans de prison. Il a plaidé coupable de complot de blanchiment d’argent en août 2023. Son épouse, qui se produisait comme rappeuse sous le pseudonyme de « Razzlekhan », attend sa condamnation le 18 novembre. Comme le rapporte le magazine économique Fortune , le pirate informatique a volé environ 120 000 Bitcoins sur la bourse de crypto-monnaie Bitfinex en août 2016. Au moment du vol, sa valeur était estimée à environ 71 millions de dollars. En raison de la forte hausse des prix, le butin s’élèverait aujourd’hui à plus de 10 milliards de dollars. Après le piratage, un jeu de cache-cache élaboré a commencé. Lui et sa femme ont utilisé des transactions complexes, des mélangeurs de cryptomonnaies et de fausses identités pour blanchir les fonds volés. Ils ont distribué le butin sur les marchés du darknet et les échanges cryptographiques, ont échangé du Bitcoin contre d’autres crypto-monnaies et ont même acheté des pièces d’or qu’ils ont enterrées.

Les enquêteurs l’ont décrit comme la technique de blanchiment d’argent la plus sophistiquée qu’ils aient jamais vue. Malgré tous les efforts, les autorités ont réussi à récupérer une grande partie des crypto-monnaies volées. Lorsque le couple a été arrêté début 2022, plus de 3,6 milliards de dollars de Bitcoin ont été saisis à l'époque – la plus grande saisie financière de l'histoire du ministère américain de la Justice. L'accusé a semblé plein de remords devant le tribunal. Il a assumé l'entière responsabilité et a demandé que sa femme soit « épargnée ». Son avocat a souligné que la majorité des fonds volés n'avaient jamais été dépensés et que son client avait coopéré à la résolution d'autres affaires de cybercriminalité. En annonçant le verdict, la juge a clairement indiqué qu'elle ne voyait aucune raison de faire preuve de pitié, bien au contraire.

Les friteuses à air chaud sont également de plus en plus populaires dans les cuisines européennes. Mais les versions intelligentes de ces appareils ont également un certain « appétit » pour les données. En tout cas, une enquête en cours par l'organisation britannique de consommateurs qui jette une lumière inquiétante sur les pratiques de protection des données de certains fabricants. Les chercheurs en sécurité ont examiné de plus près trois friteuses à air intelligentes. Il s'est avéré que tous les modèles testés demandaient l'accès au microphone du téléphone portable via leurs applications pour smartphone - sans aucune raison apparente pour cette fonction. Particulièrement frappant : les applications des marques Xiaomi et Aigostar envoyaient des données personnelles à des serveurs en Chine. Les déclarations de protection des données ont certainement mis en évidence ce qui pourrait encore être nouveau pour de nombreux utilisateurs. Comme le révèle un communiqué de presse de Which (via The Register ), la collecte de données allait souvent bien au-delà de ce qui était nécessaire au fonctionnement de l'appareil. L'application Aigostar nécessitait également des informations sur le sexe et la date de naissance de l'utilisateur. Le logiciel Xiaomi a même tenté de se connecter aux trackers de Facebook , TikTok et Tencent.

Environ la moitié des ménages britanniques possèdent désormais une friteuse à air. Ces appareils sont également de plus en plus populaires en Belgique. Comme beaucoup de choses dans la maison, de nombreux modèles peuvent désormais être contrôlés via une application, qui permet des fonctions telles que la télécommande et le contrôle de la température. Mais cela a aussi un prix. Ces résultats ne se limitent pas aux friteuses à air : d’autres appareils ménagers intelligents tels que des haut-parleurs et des montres intelligentes ont également été remarqués pour une collecte excessive de données. Une enceinte Bose contenait des trackers de Facebook et Google. Harry Rose, rédacteur en chef du magazine Which, critique vivement les pratiques opaques des fabricants : "Notre enquête montre comment les fabricants de technologies intelligentes et leurs partenaires semblent collecter sans entrave les données des consommateurs, souvent avec peu ou pas de transparence."

Selon Qualcomm, il existe une grave faille de sécurité dans un total de 64 de ses produits, qualifiée de « Zero Day » car l'exploitation a commencé peu de temps après qu'elle ait été connue et sans qu'aucun correctif ne soit disponible. La vulnérabilité, découverte par le groupe d'analyse des menaces de Google, n'aurait été exploitée que de manière très limitée. Au lieu d'attaquer le plus grand nombre possible de cibles et d'exploiter la vulnérabilité de millions d' appareils Android , les attaquants n'ont mené des attaques très ciblées que sur un groupe relativement restreint de personnes ou d'organisations sélectionnées. Qualcomm l'affirme dans un communiqué , citant des indicateurs non précisés fournis par les experts en sécurité de Google. D'après Qualcomm, la société a commencé à fournir aux partenaires d'appareils un correctif pour éliminer la nouvelle vulnérabilité Zero Day en septembre 2024. Il leur a été demandé de mettre à jour leurs smartphones, tablettes et autres produits le plus rapidement possible pour lutter contre la vulnérabilité afin d'éviter que les données de leurs utilisateurs ne soient mises en danger.

Dans des documents détaillant la vulnérabilité critique de ses puces, Qualcomm a déclaré qu'un total de 64 puces différentes étaient affectées. Cela s'applique, entre autres, aux anciens SoC phares tels que le Snapdragon 8 Gen 1 et à un certain nombre de ses modèles prédécesseurs. Étant donné que ces processeurs haut de gamme ont été utilisés dans divers appareils de fabricants tels que Samsung, Xiaomi, Oppo, OnePlus, Motorola, des millions de smartphones et d'autres produits sont potentiellement menacés.

Le Bluetooth Special Interest Group (Bluetooth SIG) a annoncé cette semaine les spécifications du Bluetooth 6.0 , la prochaine norme pour Bluetooth. Avec cette mise à jour, Bluetooth permettra une localisation plus précise pour des fonctions telles que Find My d'Apple et rendra les clés numériques plus sécurisées, se rapprochant des caractéristiques de l'ultra large bande . L'une des fonctionnalités clés du nouveau Bluetooth 6.0 est le Channel Sounding , qui, selon le SIG, pourrait « améliorer considérablement » les solutions de recherche d'appareils comme Find My d'Apple. Selon le Bluetooth SIG, cette innovation apporte « une véritable connaissance de la distance , introduisant des avantages transformateurs dans diverses applications », facilitant et accélérant la localisation des objets perdus grâce à une précision centimétrique . Quelque chose auparavant uniquement possible avec l'ultra large bande . Actuellement, Apple, Samsung , Google et de nombreux autres fabricants d'accessoires utilisent Bluetooth pour localiser des objets. Apple, par exemple, utilise l'ultra large bande pour son réseau Find My afin de retrouver avec précision les iPhones (même pour retrouver un ami lors d'un concert), ou les montres Apple et AirTags perdus. L'autre option est Bluetooth. Par exemple, si vous avez besoin de trouver la télécommande Apple TV, votre iPhone peut indiquer si vous vous rapprochez ou vous éloignez, mais il ne peut pas vous donner un emplacement précis . Avec Bluetooth 6.0, la localisation des objets, appareils domestiques et autres accessoires va s'améliorer considérablement, et on imagine que cela s'appliquera également au nouveau Android Find My Device .

Mais ce n'est là qu'une des applications de la nouvelle norme Bluetooth 6.0 . Encore une fois grâce au nouveau Bluetooth Channel Sounding , grâce à une localisation plus précise la spécification « emprunte » une autre fonctionnalité à l'ultra large bande : la sécurité . Ceci est très important pour les applications telles que les clés numériques , car une « couche de sécurité supplémentaire sera ajoutée, garantissant que seuls les utilisateurs autorisés dans une plage spécifiée peuvent déverrouiller les portes ou accéder aux zones sécurisées ». De plus, Bluetooth 6.0 permet une latence plus faible pour les applications audio et offre d'autres avantages. Voici les fonctionnalités fournies avec la nouvelle norme :

- Filtrage publicitaire basé sur la décision : Bluetooth Low Energy (LE) prend en charge une variété de packages publicitaires associés diffusés sur les chaînes de radio primaires et secondaires.
- Surveillance des annonceurs : le composant hôte d'un appareil d'observation peut demander au contrôleur Bluetooth LE de filtrer les paquets publicitaires en double. Lorsque ce type de filtrage est actif, l'hôte ne recevra qu'un seul paquet publicitaire de chaque appareil unique.
- Amélioration ISOAL : La couche d'adaptation isochrone (ISOAL) permet de transmettre des trames de données plus volumineuses dans des paquets de couche liaison plus petits. Avec Bluetooth 6.0, un nouveau mode a été introduit qui réduit la latence et améliore la fiabilité
- Ensemble de fonctionnalités étendu LL : grâce à cette amélioration, les appareils peuvent échanger des informations sur les fonctionnalités au niveau de la liaison, augmentant ainsi la polyvalence de Bluetooth LE.
- Espacement des trames amélioré : dans la version 6.0 de la spécification Bluetooth Core, l'espacement des trames, tel qu'utilisé dans les connexions ou avec des flux isochrones attachés, est désormais négociable et peut être plus court ou plus long que 150 µs.

Malheureusement, il n'y a aucun détail sur le moment où les fabricants commenceront à adopter Bluetooth 6.0. Étant donné que le nouveau protocole vient d’être annoncé, cela pourrait prendre au moins un an avant de voir les premiers appareils.

La sécurité en ligne comprend désormais des aspects de plus en plus variés et différents, et c'est peut-être la raison pour laquelle les entreprises impliquées dans le développement de VPN se lancent de plus en plus dans le secteur des meilleurs gestionnaires de mots de passe . C'est le cas de Proton, qui a lancé il y a un an Proton Pass , un gestionnaire de mots de passe extrêmement avancé et qui ne cesse de s'améliorer. Il y a quelques mois à peine, il a également reçu une mise à jour pour protéger les données sur le Dark Web , et il bénéficie désormais d' une reconnaissance de saisie semi-automatique et biométrique sur les ordinateurs. Si vous ne connaissez pas l'outil, Proton Pass est un gestionnaire de mots de passe qui offre un service crypté de bout en bout , des clés de cryptage sur l'appareil et une authentification à deux facteurs. Ces solutions garantissent la sécurité de vos mots de passe en cas de violation de données (ce qui, comme nous l'avons vu pour LastPass, n'est pas une éventualité si lointaine). Proton déploie désormais une nouvelle série de mises à jour destinées à « simplifier l'expérience utilisateur ».

La première nouveauté concerne la saisie semi-automatique , qui permet aux utilisateurs de stocker leurs données de manière sécurisée puis de les utiliser pour la saisie automatique lorsque cela est nécessaire. Ces informations concernent : Nom, Adresse email, Numéro de téléphone, Date de naissance, Adresse, Données d'identité (numéro de passeport, numéro de carte d'identité, numéro de permis de conduire), Données personnelles (site Web personnel, profils de réseaux sociaux), Détails du poste (profession, entreprise, titre du poste), etc. Une fois ces informations enregistrées, vous pouvez les rappeler d'un simple toucher pour remplir automatiquement des formulaires en ligne, économisant en moyenne, selon Proton, environ neuf minutes . Non seulement cela, mais si vous êtes un utilisateur payant de Proton Plass Plus (1,99 $ par mois) ou Unlimited , vous pouvez créer des champs et des sections personnalisés . La fonction Identité permet également de créer une identité professionnelle et personnelle, de s'inscrire à des conférences ou de remplir des formulaires d'achat en ligne sans commettre d'erreur ni perdre de temps. Vous pouvez également stocker les identités de vos amis et de votre famille pour accélérer la création de plans et les commandes en ligne.

L'autre nouveauté concerne l'authentification biométrique, une fonction déjà active sur les appareils mobiles et qui arrive désormais sur les ordinateurs pour les applications supportées. Cela signifie que les utilisateurs pourront utiliser les capteurs Windows Hello et Touch ID sur leurs appareils pour bénéficier d'une couche de protection supplémentaire lors de la connexion à Proton Pass. Cependant, pour utiliser cette fonctionnalité, vous devrez être abonné à Proton Pass Plus ou Unlimited.