Frederic GOUTH

#CyberSécurité #CyberStar : Très fier d'être nominé aux Trophées CBC 2025 , en tant qu'expert en Cybersécurité dans la catégorie #Cyber Contributeur. Je compte sur vous pour voter pour moi 😉 linkedin.com/posts/cbc-cybe…

🚨 Un outil gratuit permet de “pister” l’activité de plus de 3 milliards d’utilisateurs @WhatsApp , et @signalapp est concerné aussi. Le plus gênant, c’est que ça peut se faire sans message visible, sans notif, et sans accès à vos messages. Voilà comment ça marche, et surtout comment vous protéger a minima. L’attaque ne cherche pas à lire vos conversations. Elle exploite un détail très bas niveau du fonctionnement des messageries : quand votre appli reçoit quelque chose, elle renvoie automatiquement un accusé de réception réseau, une sorte de “OK reçu”. C’est invisible pour vous, mais c’est mesurable à distance. La mécanique, c’est le timing. En mesurant le temps que met ce “OK reçu” à revenir (le round-trip time, ou RTT), un attaquant peut déduire des infos sur l’état de votre téléphone. Et là où ça devient sale, c’est qu’il n’a même pas besoin de vous envoyer un vrai message : la démo publique montre qu’il suffit de déclencher des réactions sur des messages… qui n’existent pas, ce qui ne génère rien côté interface, tout en provoquant quand même ces réponses techniques. J’ai testé l’outil de démonstration en conditions contrôlées : il est fonctionnel, et c’est franchement effrayant, précisément parce que la “cible” ne voit rien. Pas de popup, pas de notification. Pourtant, l’appareil répond. Qu’est-ce que ça permet d’inférer ? Pas votre contenu, mais vos habitudes. Si ça répond très vite et de façon stable, c’est souvent compatible avec un téléphone actif, écran allumé, en Wi-Fi. Si c’est un peu plus lent, ça colle davantage à de la 4G/5G. Si c’est très lent, votre téléphone est probablement en veille. Si ça ne répond plus, vous êtes hors ligne ou en mode avion. Et si ça varie beaucoup, ça peut correspondre à un téléphone en déplacement. Mis bout à bout, sur des heures ou des jours, ça permet de profiler des routines : quand vous êtes chez vous, quand vous êtes actif, quand vous dormez, quand vous sortez. Et il y a un effet secondaire : à haute fréquence, ça peut aussi vider la batterie et consommer votre data sans que vous vous en rendiez compte. Signal a déjà mis en place plus de limitations de débit, ce qui réduit l’impact, alors que WhatsApp semble plus exposé sur ce point. Maintenant, les protections “a minima”, sans vous vendre du rêve, parce qu’il n’y a pas de bouton magique qui “désactive” ces accusés techniques. Sur WhatsApp, activez le blocage des messages de comptes inconnus dans Réglages, puis Confidentialité, puis Avancé, avec l’option du type “Bloquer les messages des comptes inconnus”. Ça ne supprime pas le problème à la racine, mais ça peut freiner les rafales depuis des numéros que vous n’avez pas. Ensuite, réduisez ce que vous exposez publiquement : “Vu à”, “En ligne”, photo, infos, et qui peut vous ajouter à des groupes. Même si ça ne stoppe pas l’attaque, ça enlève des signaux complémentaires qui facilitent le ciblage et le recoupement. Sur Signal, l’idée est de sortir du réflexe “tout passe par mon numéro”. Utilisez un username, puis réglez “qui peut me trouver avec mon numéro” sur “personne”, et gardez votre PIN/verrouillage d’inscription activé. En plus, vous pouvez désactiver les accusés de lecture et l’indicateur de saisie : ce n’est pas la solution au cœur du problème, mais ça réduit l’observabilité au quotidien. Et surtout, le conseil le plus simple, souvent oublié : protégez votre numéro. Si votre numéro est public, vous facilitez le travail de n’importe qui. Si vous êtes exposé (harcèlement, stalking, situation sensible), un numéro dédié aux messageries, séparé de votre numéro “principal”, peut réellement changer la donne. Une piqûre de rappel : le chiffrement protège le contenu, mais pas forcément tout ce que révèlent les métadonnées de vos messageries. Et quand un PoC public montre que c’est faisable, on peut raisonnablement penser que des acteurs très outillés peuvent décliner ça autrement, et mieux.

Le premier nouveau type d'intrication quantique depuis 20 ans a été annoncé (et ça pourrait tout changer) sciencepost.fr/le-premier-nou…

#CyberSécurité & #IA (#AI) : C'est un plaisir d'avoir répondu avec Vanessa M, aux questions de @LeHibouCom sur le thème "L'IA dans la Cybersécurité : ennemie ou alliée ?" ➡️ Rendez-vous sur le blog LeHibou : lehibou.com/communaute/ia-…

🔍 Évaluez votre maturité cyber avec le CyberIndex de Stroople 🆓 ✅ Vision de votre niveau d’exposition au risque cyber ✅ Benchmarking de vos résultats ✅ Recommandations pour ajuster votre dispositif face aux menaces 🆓 Contactez nos experts : 🔗 eu1.hubs.ly/H0bkXnM0

J’ai décidé exceptionnellement de m’exprimer en vidéo sur un sujet politique. Je souhaite réagir à la proposition du #RN de fermer des postes sensibles à nos binationaux. Mesure dangereuse. #LegislativesAnticipées2024

#CyberSécurité #CyberSecurity : Webinaire sur un outil développé par un ami (#Ninox) et qui permet de piloter et d'analyser la sécurité d'un SI ninox.com/en Inscription ici --> forum.ninox.com/t/m1y3a0k

🚨 Les Tendances Clés en Cybersécurité pour 2024 🚨 Nous sommes ravis de partager avec vous notre dernière vidéo : "Sécuriser Demain: Tendances en Cybersécurité pour 2024". Cette vidéo vous plonge au cœur des défis majeurs que nous réserve 2024. Belle année à tous!

🌐 L'AI Act établit également des directives pour la protection des données personnelles : • Principes de Protection des Données • Cadre de Coopération pour la Protection des Données Pour en savoir plus, abonnez-vous à #Cybersec Insights 👉eu1.hubs.ly/H06HQX60

Mme Kéké, comme vous, je suis issu de l’immigration, ma mère m’a élevé seule et dans une cité. Pourtant je n’ai pas fini voyou! De grâce, arrêtez avec vos excuses sociales qui nous insultent. Mon profil vous dérange car je suis flic et votre parti nous déteste! M.Mélenchon nous qualifie de "bons à rien, barbares, factieux et sédieux" et ça ne vous a jamais choqué? Pire pour vous, je n’ai jamais été victime de violences policières ou de contrôles au faciès et ça ne fait pas vos affaires. Mme Kéké, où étiez-vous quand Mélanie Lemée, Eric Monroy ou Romain Boulenge, policiers et gendarmes ont été tués par des multirécidivistes à la suite de refus d’obtempérer ou sur la route? Votre parti devrait défendre ceux qui protègent la 🇫🇷 plutôt que d’être aux côtés des islamistes ou des extrémistes anti-flics. #BFMTV #Nanterre #Nahel

i loved my time at openai. it was transformative for me personally, and hopefully the world a little bit. most of all i loved working with such talented people. will have more to say about what’s next later. 🫡

After learning today’s news, this is the message I sent to the OpenAI team:

Additional Updates: * Updated Kerberos PKINIT support * TLS 1.3 LDAP support * New FFL: 10 * Increase from 8k to 32k database page size(optional) * NUMA support * Replication priority order * New Performance Counters (LSA, DC Locator, LDAP) * Improvements in DC-location algorithm

On-Prem Active Directory lives! Updates: * Improved confidential attributes security * Channel binding audit support * LDAP prefers encryption by default * Changes to default behavior of legacy SAM RPC password change methods * AES SHA256/384 Kerberos support

Windows Server 2025 #ActiveDirectory might introduce a 3rd type of service accounts called Delegated Managed Service Account (dMSA). The msDS-DelegatedManagedServiceAccount class has been added to the schema and their creation is already supported in PWSH. Details not public yet.

Active Directory fun fact: You can discover computer OS versions by querying the AD attribute OperatingSystem. Even Linux OSs pollute this field. No need for nmap scans 😃 learn.microsoft.com/en-us/windows/…

🎉 Stroople fête ses 2 ans ! 🥳 Cher réseau, Ce fut un grand plaisir de réunir notre équipe de choc à la Seine Musicale pour partager cette réussite collective : Stroople a 2 ans ! Stroople, acteur d’excellence 100% français, indépendant en cybersécurité est à votre service !

Il m'a été demandé par des #RSSI de republier mon éditorial du 1er février 2010 sur #Sécurité et #Sûreté, #Safety and #Security.

Je recommande vivement à tous les RSSI et affiliés d’écouter ce podcast trés instructif !

Notre ChatGPT du droit français est enfin sorti ! ~200k articles de droit répertoriés grâce à nos propres modèles d’IA On vous attend sur ordalie.tech 😉 #IA #entrepreneur #startup