Dodutils
14K posts
Dodutils
@dodutils
Sécurité des Système d'Information #RSSI #CISO #ISO27001 #ISO27005 #EBIOSRM #ISO1345 #SSDLC #HDS, Dispositifs médicaux, RetroGeek, Domotique, Électronique
Katılım Temmuz 2010
101 Takip Edilen998 Takipçiler
@seblatombe @Frenchbreaches La page mise à jour hier indiquait qu'après vérification il n'y avait pas de lien entre YGG et Hydracker.
Français
🔴 “Le gérant de YGG serait derrière Hydracker” : la plateforme pirate victime d’une massive fuite exposant des millions de liens de films/séries et des torrents.
frenchbreaches.com/blog/le-gerant…
Français
Gîtes de France : plus de 389 000 personnes potentiellement concernées par une fuite de données couvrant plus de 30 ans d’historique touristique.
Plus de 5 MILLIONS de Français potentiellement exposés en quelques jours. Après Maeva et Belambra, le secteur touristique français continue d’être massivement ciblé.
Le hacker à l’origine des revendications nous a contactés et affirme que les données concernant plusieurs départements affiliés à Gîtes de France proviendraient potentiellement d’un prestataire du secteur touristique. Elles couvriraient une période allant de 1995 à 2026.
Les données évoquées incluraient notamment des noms, prénoms, adresses e-mail, numéros de téléphone, adresses personnelles, informations de réservations et séjours, montants, taxes de séjour ainsi que certains échanges support liés aux réservations.
Ce type de données peut notamment être exploité pour du phishing ciblé, des usurpations d’identité, des fraudes liées aux réservations ou encore l’exploitation des périodes d’absence et vacances des personnes concernées.
Français
@patrickbeau26 Les pannes au démarrage ça existe bien sûr mais on a aussi des problématiques de surface magnétique avec des secteurs HS au fil du temps c'est un peu la loterie nau aussi un netbook Asus H24 qui a des secteurs HS mais pour l'instant ça passe.
Français
@dodutils Un disque dur mécanique, c'est 1 mois ou 10 ans, hors considérations mécaniques (chocs, déplacements,...)
C'est a chaque démarrage qu'un risque de mise hors service existe.
Un pc portable avec un disque dur, sans veille, c'est comme un Nas ondulé : sa meilleure vie.
Français
@MichaelREMY2018 En effet l'allumage/extinction sont aussi une source de pannes, j'ai un autres PC (petit netbook HP) pour la domotique H24 nickel depuis 18 ans ! Un second du même age (netbook Asus) a quelques soucis de secteurs HS il "gratte" au démarrage mais ça passe pour l'instant.
Français
@dodutils "qui tourne H24"
donc les parties mécanique qui consistent à rabattre les bras/têtes à l'extrémité ne sont pas utilisées.
Du coup ça limite l'usure, idem pour la partie condensateur (constamment alimenté). Il est de nature que les appareils informatiques meurent au switch (start)
Français
Vous avez du mal à finir un jeu non réseau ? voici 3 outils gratuits pour trouver des valeurs de munitions / vie, et les modifier : Squalr et Cheat Engine (Win/Linux/Mac) et Art Money (Win only mais possède une liste de jeux pre-paramétrés y compris pour émulateurs)
Français
>La CNIL te parle du RGPD
>Des entreprises gardent jusqu'à 20a de d'historique
>Personne n'a peur de la CNIL
Français
@_SaxX_ Commission pour révéler quoi ? les services web de l'état sont des passoires, ou quand ils ne le sont pas, le simple fait de ne pas avoir de MFA ouvre grand la porte lors de vols d'identifiants ? que le plupart de ces services n'ont probablement jamais eu de pentest ?
Français
La sénatrice centriste Nathalie Goulet demande l'installation d'une commission d'enquête sur les cyberattaques et les fuites de données, qui portent atteinte à la souveraineté numérique du pays.
Ces derniers mois, les fuites de données se sont accumulés à une fréquence inquiétante. #FrancePassoire
🗞 publicsenat.fr/actualites/pol…
Via @publicsenat
Français
⛽ #Fraude | Contrôles dans des stations-service dans l’Yonne
Ce lundi 12 mai, des contrôles ont été menés dans deux stations-service à la suite de signalements de consommateurs concernant l’affichage et l’exactitude des informations communiquées aux usagers.
Réalisées par les services de l’État dans l'Yonne, ces opérations visent à vérifier la conformité des informations affichées pour le consommateur et le respect de la réglementation en vigueur.
Menés rapidement après les signalements effectués, ces contrôles permettent de surveiller les pratiques constatées sur place et de prévenir d’éventuelles fraudes.
Français
How to reverse-engineer almost any keyboard matrix with Raspberry Pi Pico
blog.adafruit.com/2026/05/12/how…
English
@alainr69 @seblatombe Le chiffrement d'un fichier / partition ne protège que contre le vol physique ou vol du fichier BDD en lui-même, il ne protège pas d'une exfiltration via une vulnérabilité liée à une injection SQL par exemple.
Français
@seblatombe La base de données n'était pas cryptée en AES-256 sur une partion Luks? J'espère qu'ils ont fait leur déclaration à la CNIL.
Français
🔴🇫🇷 CYBERALERTE | Action Populaire / La France Insoumise : plus de 120 000 emails, 20 000 numéros et données sensibles potentiellement exposés.
Un cybercriminel revendique le piratage de la plateforme Action Populaire et affirme détenir plusieurs dumps contenant des données liées aux membres, groupes, événements, messages privés et paiements.
👉 Selon la publication, les données exposées incluraient notamment des noms, adresses, emails, numéros de téléphone, informations de groupes et données associées aux souscriptions.
👉 Une telle fuite pourrait favoriser des campagnes de phishing ciblé, du social engineering, des tentatives d’usurpation d’identité ou encore l’exploitation de données militantes et politiques.
Français
Est-ce que Subnautica 2 sort vraiment dans 11 jours en accès anticipé sur Steam ?
#subnautica2
Français
@ChristopheMzzl Et avec "l'État va s'attaquer lui-même avant les cybercriminels pour trouver ses failles et les corriger" ils annoncent clairement qu'ils ne pentestent pas les environnements, alors que c'est la base et même pas question de budget car tester un front ça coûte qlq dizaines de K€.
Français
Lecornu parle de "casse du siècle" sur le piratage de l'ANTS.
Sauf que c'est un casse de TP étudiant.
Une faille de 2007.
Avec 200 millions d'euros d'effet d'annonce par-dessus.
Le 15 avril 2026, deux choses se sont passées.
À Bruxelles, Ursula von der Leyen présente l'app européenne de vérification d'âge. "Techniquement prête". "Normes les plus élevées au monde" pour la vie privée.
À Paris, le même jour, l'ANTS détecte une intrusion massive.
11,7 millions de Français.
24h plus tard, le consultant Paul Moore poste la démo du hack de l'app d'Ursula.
Moins de 2 minutes.
Sur Android. Sans outil spécialisé.
Une édition de fichier de configuration.
Petit disclaimer.
Je m'exprime peu sur l'actualité cyber sur twitter.
J'ai 6 mandats en cours. Pas de chaîne YouTube à nourrir. Pas de newsletter à promouvoir.
Et zéro CVE recyclée en thread alarmiste cette semaine.
Donc oui, j'arrive après les 800 premiers "ENFIN UN EXPERT OSE PARLER".
Sans emoji feu. Sans hot take.
Mais le dossier est trop bien aligné pour le laisser aux threads-alerte.
L'ANTS, c'est quoi ?
Le portail unique pour ta carte d'identité, ton passeport, ton permis, ta carte grise.
Le socle de ton identité administrative.
Date de naissance, lieu de naissance, nom de naissance.
Une fois dehors, c'est dehors pour toujours.
La cause technique tient en quatre lettres.
IDOR.
Insecure Direct Object Reference.
Sans jargon : tu modifies un chiffre dans une URL, le serveur te renvoie le dossier d'un autre citoyen.
Pas de zero-day.
Pas de génie criminel.
Le pirate (15 ans, interpellé) a qualifié la faille de "vraiment stupide".
Il a raison.
Cette faille IDOR figure dans le top 10 OWASP depuis 2007.
L'iPhone venait de sortir.
Dix-neuf ans dans tous les manuels.
Analogie pompiers.
Tu n'attends pas que ta maison brûle pour appeler les pompiers.
Tu installes les détecteurs AVANT.
L'État français a fait l'inverse.
Il a payé sa caserne (l'ANSSI). Il a financé son portail (315M€ de budget ANTS).
Il découvre, le jour où ça brûle, que les détecteurs n'avaient jamais été branchés.
Réponse politique : 200 millions d'euros pour acheter de nouveaux détecteurs.
Sauf que les anciens étaient déjà budgétés.
Le moment où ça devient gênant.
Si tu es une PME qui laisse fuiter des données ?
Jusqu'à 4% du CA mondial d'amende CNIL.
500M€ d'amendes prononcées en 2025.
L'ANTS, agence d'État qui gère tes papiers ?
Pas de MFA côté dev. Pas de détection des aspirations massives.
DMARC en mode "p=none" depuis juillet 2019.
Sept ans sans politique anti-spoofing sur un domaine .gouv.fr.
L'État sanctionne les autres.
Et laisse une faille de première année sur son propre portail.
La paille dans l'œil du voisin.
La poutre dans le tien.
Maintenant, l'alignement du 15 avril.
Pendant que l'ANTS s'effondre sur une faille de 2007, on annonce à 450 millions d'Européens qu'ils vont devoir scanner leur carte d'identité pour accéder à Twitch.
Promesse : "normes les plus élevées au monde".
24h plus tard : app piratée en 2 minutes.
Le pattern qu'il faut nommer.
→ Back doors dans les messageries chiffrées
→ Chatcontrol et scan automatisé des messages privés
→ Carte d'identité pour les sites adultes (déjà en vigueur)
→ Carte d'identité pour les réseaux sociaux (l'app hackée)
Le motif est toujours le même.
"Donne-nous tes données pour ta sécurité."
Confiées à des acteurs publics qui n'arrivent pas à fermer un IDOR.
Le problème, ce n'est pas l'enveloppe.
L'État met déjà 700M€ à 1Md€ par an dans le cyber.
L'ANTS avait 315M€ de budget propre en 2026.
Le problème, c'est la discipline d'exécution.
Et ça, personne ne l'achète avec un chèque annoncé en pleine crise.
La cybersécurité n'est pas une arrière-pensée.
Ça se planifie EN AMONT.
Avant le code. Avant la mise en prod.
Avant qu'on demande à 450 millions d'Européens de scanner leur identité pour aller sur Twitch.
Tant qu'on traite la cyber comme une réaction à l'incident, on signera tous les chèques de 200 millions du monde sans corriger l'écart.
Et on aura, tous les six mois, un nouveau "casse du siècle".
La faille de l'ANTS est de 2007.
La discipline d'exécution qui aurait dû la corriger, on l'attend depuis aussi longtemps.
Français
Par contre aucune annonce pour NIS2 au moment où les cyberattaques et les fuites de données ont explosé en France...
Je suis soft pour une fois. Je veux encore croire à toutes ces belles annonces cyber du gouvernement -comme une personne qui veut encore croire à l'amour, au prince charmant, à la princesse-
Français
@SoumisNonMerci @_SaxX_ le gouvermenet à deux doigts d'inventer les pentest...
Français
@_SaxX_ 《 Le lancement de missions offensives ; l'État va s'attaquer lui-même avant les cybercriminels pour trouver ses failles et les corriger. 》 Parce qu'ils ne le faisaient pas ?
Français
🚨🔴🇫🇷 CYBERATTAQUES EN FRANCE | Les annonces folles de Sébastien Lecornu pour renforcer la sécurité numérique de l'État et endiguer les fuites de données 👇🏾
Le Premier Ministre Sébastien Lecornu reconnaît que la situation est assez grave ! Fini donc le tout va bien...
👉🏾 Les amendes de la CNIL seront affectées à un fonds dédié à la cybersécurité de l'État.
👉🏾 La fusion Direction Interministérielle de la Transformation Publique (DITP) et la Direction Interministérielle du NUMérique (DINUM) pour la création d'une autorité numérique de l'État, directement rattachée au Premier Ministre.
👉🏾 Une enveloppe de 200M d'euros débloquée dès la semaine prochaine pour investir dans la sécurité des systèmes d'information de l'État.
👉🏾 Le lancement de missions offensives ; l'État va s'attaquer lui-même avant les cybercriminels pour trouver ses failles et les corriger.
👉🏾 La planification d'un scénario de crise cyber "blackout numérique" pour aussi tester le risque de déconnexion d'outils américains que la France utilise.
👉🏾 Un investissement accéléré dans le post-quantique pour anticiper.
👉🏾 Il y a 3 vols de données par jour en France ! C'est l'équivalent d'un "casse du siècle" qui a lieu chaque mois...
Le piratage de l'ANTS avec 12M de comptes piratés aura sonné la fin de la récréation !
Espérons rapidement la mise en place de ce cordon de cybersécurité en France. Il y va de notre souveraineté numérique.
Il était temps !
Cybèrement vôtre,
SaxX ¯\_(ツ)_/¯
Français
@reesmarc @pbeyssac @mmplq11 Est-ce que l'ANTS a au moins réalisé un pentest avant la mise en prod et de façon régulière suite aux évolutions du site pouvant impacter la sécurité ? et un pentest front web standard c'est ~20K€ (ça peut grimper au delà bien sûr), on parle pas de sommes astronomiques non plus.
Français
Meilleure citation du pirate de l'ANTS. "Je pense que c'est même dû à de la négligence". Je pense qu'on peut le dire, oui.
Le20h-France Télévisions@le20hfrancetele
🔴Vol de données : un mineur de 15 ans interpellé. Il est soupçonné d’avoir piraté le site de Agence nationale des titres sécurisés, la plateforme qui gère notamment les demandes de cartes d’identité et de permis de conduire. Il aurait contribué à une fuite de données portant sur plus de 12 millions de comptes. #JT20h
Français
