Pourtant sur leur site, ils mentionnent tous les FAI et signalent que c’est à eux qu’on doit s’adresser, tous les logos avec liens des FAI sont présents. Ils déclarent entre autre qu’ils sont neutres et ouverts à tous les opérateurs. Xp Fibre ce n’est pas que SFR FTTH, c’est surtout qu’Altice est actionnaire.

La start-up grenobloise Diamfab investit 4 millions d’euros dans une ligne pilote à Grenoble (Isère). Un site unique en Europe, qui ouvre la voie à des composants électroniques plus performants.

c59ca51d-e227-4ced-9e2e-a3ae52f57f5c-image.png
La start-up Diamfab, basée près de Grenoble (Isère), incorpore des impuretés dans les diamants pour leur conférer des propriétés électriques et quantiques. Elle pense produire plusieurs dizaines de milliers de plaques de diamants semi-conducteurs à horizon 2028

Des applications dans le médical comme dans les voitures

Ce docteur en nanoélectronique a créé l’entreprise avec Khaled Driche puis Ivan Llaurado en 2019, par essaimage de l’institut Néel, un laboratoire grenoblois du CNRS.

Leur idée : exploiter les propriétés du diamant comme substrat semi-conducteur à la place du silicium, afin de produire des wafers à haute valeur ajoutée. Et ainsi d’aboutir à des composants électroniques pouvant fonctionner à très haute température sans besoin de refroidissement, résister aux radiations ou attendre une très haute efficacité de conversion.

Les débouchés potentiels recouvrent des secteurs variés : le médical, le nucléaire, le spatial ou les marchés représentant de grands volumes, tels les data centers ou les voitures électriques. «Sans oublier les applications dont on ne connaît pas encore l’existence, comme dans le quantique», précise M. Chicot.

Un processus peu coûteux

Le savoir-faire de Diamfab repose sur l’opération de synthèse et de «dopage» du diamant. «Comme dans le cyclisme, c’est ce qui améliore la performance», sourit Gauthier Chicot. Autrement dit, la jeune pousse iséroise donne des propriétés électriques et quantiques au diamant en lui incorporant volontairement des impuretés.

Ce processus, qui nécessite de l’hydrogène, du méthane et de l’électricité, s’avère relativement peu coûteux, contrairement à ce que le mot diamant suggère. Un autre avantage de cette technologie en termes de souveraineté industrielle. «C’est un matériau que l’on peut produire en France ou en Europe de manière compétitive, sans problème de matière première ou de coût de la main-d’œuvre», assure M. Chicot.

Une ligne de production pour 2030?

Selon ses prévisions, ce site industriel modulaire sera en capacités de produire plusieurs dizaines de milliers de plaques de diamants semi-conducteurs à horizon 2028, avant d’envisager la construction d’une ligne de production dédiée après 2030.

Avec ses 26 salariés, dont une vingtaine dédiée à la R&D, et ses nombreux partenaires industriels (Schneider Electric, STMicroelectronics, Soitec, Murata), Diamfab se doit d’aller vite pour garder son avance technologique, face à des initiatives similaires qui se développent actuellement au Japon ou aux États-Unis.

La start-up américaine Diamond Foundry vient, par exemple, d’annoncer la création d’une usine à plus de deux milliards de dollars en Espagne. Sa particularité ? Elle compte parmi ses investisseurs… l’acteur Leonardo DiCaprio, qui a notamment joué dans «Blood Diamonds» !

Source: https://www.usinenouvelle.com/electronique-informatique/semi-conducteurs/lancee-dans-une-course-de-vitesse-contre-ses-concurrents-etrangers-diamfab-inaugure-sa-premiere-ligne-pilote-de-diamants-semi-conducteurs-en-isere.TMEAYAPZLJEANECFWU2LS6VVEA.html

Une petite interview de Michael Crandell, PDG chez Bitwarden

– Source :

https://www.clubic.com/actualite-591613-bitwarden-pour-un-monde-ou-personne-ne-se-fait-pirater---interview-michael-crandell.html

@Raccoon
Ca dépend. Dans mon boulot, le bluetooth 3st utilisé par certaines périphériques pour contrôler de l’éclairage public. Quand je fais des programmations dessus, tu peux t’associer à certains qui sont dans la rue perpendiculaire a plusieurs dizaine de mètre ( il doit y avoir un facteur hauteur, vitesse du vent, pente aussi 😀)

OpenAI a annoncé le lancement de tests de publicités dans l’application ChatGPT auprès de certains utilisateurs américains, marquant un changement de position par rapport aux réticences exprimées auparavant par Sam Altman. Les publicités apparaîtront prochainement en bas des réponses pour les utilisateurs de la version gratuite et du nouvel abonnement ChatGPT Go à 8 $ par mois, désormais disponible dans plus de 170 pays. Les abonnements Plus, Pro, Business et Enterprise resteront sans publicité.

Ces annonces, clairement identifiées et séparées des réponses, viseront des produits ou services pertinents (par exemple du tourisme). OpenAI affirme que les publicités n’influenceront pas les réponses du chatbot et que les conversations ne seront pas partagées avec les annonceurs, avec des restrictions supplémentaires pour les sujets sensibles et les mineurs.

Cette initiative s’inscrit dans un contexte de fortes pressions financières : OpenAI ne prévoit pas la rentabilité avant 2030, fait face à des coûts très élevés et compte encore peu d’abonnés payants. Si la publicité est perçue par l’entreprise comme un moyen de diversifier ses revenus, certains observateurs restent sceptiques sur son efficacité réelle.

Source: https://arstechnica.com/information-technology/2026/01/openai-to-test-ads-in-chatgpt-as-it-burns-through-billions/

Fallait bien que ça arrive, heureusement USA first 🙂

Mandiant a publié une table arc-en-ciel permettant de casser rapidement les mots de passe administrateur protégés par l’algorithme obsolète NTLMv1, afin de démontrer concrètement ses failles de sécurité et pousser les organisations à l’abandonner. Grâce à cette base de données, il est possible de récupérer des mots de passe Net-NTLMv1 en moins de 12 heures avec du matériel peu coûteux.

Bien que ses vulnérabilités soient connues depuis des décennies, NTLMv1 reste largement utilisé, notamment dans des environnements critiques dépendant d’applications anciennes, où les migrations sont coûteuses ou risquées. Mandiant souligne que cette inertie expose les organisations au vol d’identifiants et à des escalades de privilèges rapides.

L’initiative est saluée par les professionnels de la cybersécurité, qui y voient un moyen efficace de convaincre les décideurs d’investir dans la migration vers des protocoles plus sûrs, comme NTLMv2. Mandiant appelle à la désactivation immédiate de Net-NTLMv1 et fournit des ressources pour accompagner cette transition.

Source: https://arstechnica.com/security/2026/01/mandiant-releases-rainbow-table-that-cracks-weak-admin-password-in-12-hours/

Risques de mauvaises surprises en vue 🙂

L’inscription est contraignante, elle demande l’accès à une autentification biométrique, ça tombe bien j’ai un lecteur d’empreinte sur mon PC portable sous Windows, mais Confer ne prend pas encore en charge Windows Hello. Je me dis tant pis, mon iPhone a un lecteur d’empreinte, sauf que mon modèle a un écran 4.7", trop petit pour afficher les champs d’inscription tout en bas et impossible de dézoomer la page.
Il faudrait soit que je change de smartphone pour un modèle plus grand, sauf que le mien marche encore très bien il n’est pas prévu que je le change (même si ce problème de taille d’écran est de plus en plus problématique) soit que j’achète une Ubikey, ce qui n’est pas non plus prévu.
Donc je ne peux pas essayer ce que vaut ce LLM.

La Fondation Wikimedia a signé des accords d’accès API payants avec Microsoft, Meta, Amazon, Perplexity et Mistral AI, rejoignant Google et d’autres entreprises déjà partenaires. Ces accords permettent à ces géants de l’IA d’accéder à un flux de données Wikipédia plus rapide et volumineux via Wikimedia Enterprise, sa filiale commerciale, tout en laissant le contenu librement accessible sous licence Creative Commons.

Ces partenariats visent à compenser les coûts d’infrastructure croissants, causés par l’extraction massive de données par des bots (65 % des requêtes coûteuses, mais seulement 35 % du trafic total). Le trafic humain a d’ailleurs baissé de 8 % en un an, car les utilisateurs sont souvent redirigés vers des résumés IA sans visiter Wikipédia, menaçant son modèle participatif (lecteurs → contributeurs → donateurs).

Les contributeurs bénévoles s’opposent à l’usage de l’IA générative sur Wikipédia, ce qui a conduit à l’arrêt d’un pilote de résumés IA en juin 2025. Jimmy Wales, fondateur, soutient l’entraînement des IA sur les données de Wikipédia (« validées par des humains »), mais insiste sur le fait que les entreprises doivent payer leur « juste part » des coûts qu’elles imposent.

À noter : ces accords ne concernent pas de licences sur le contenu (toujours gratuit), mais un accès API professionnel payant.

Source: https://arstechnica.com/ai/2026/01/wikipedia-will-share-content-with-ai-firms-in-new-licensing-deals/

@eric_the_red ça sert à rien de poster partout si tu ne lis pas ce qui a été posté 😉

l’appli déclenche un appel d’urgence après un temps prédéfini …

https://www.fredzone.org/whatsapp-prepare-larrivee-des-identifiants-personnalises-dans-ses-conversations/

Clairement l’action est louable, mais dans l’état des cloud européens, ou français, cela va nécessité de reprendre une armée d’ITs en interne/presta pour s’adapter à la différence de niveau de services rendus par ces clouds providers.
Il y a d boulot en perspective…

@Aerya a dit dans Bose libère l'API de ses enceintes SoundTouch avant leur fin de vie :

C’était la question à l’annonce de la fin de support produit. C’est plutôt intelligent comme fin et respectueux du consommateur.

Oui, je trouve aussi.
C’est transparent et on va pouvoir même bien en profiter.

Perso j’utilisais rien du Cloud avec l’app

La Commission européenne franchit une nouvelle étape dans sa quête de souveraineté numérique. Selon une consultation publique lancée ce mardi 6 janvier 2026, Bruxelles entend désormais favoriser la commercialisation des logiciels open source développés sur le Vieux Continent. L’objectif est clair : ne plus se contenter de financer la recherche, mais transformer ces projets en alternatives commerciales crédibles face aux géants technologiques américains.

Le constat de l’Europe est lucide : jusqu’à présent, une grande partie de la valeur générée par les projets open source européens est exploitée en dehors de l’UE, profitant souvent aux grandes plateformes propriétaires qui intègrent ces briques libres dans leurs propres services payants.

Pour corriger ce déséquilibre, la nouvelle stratégie de la Commission se concentrera sur quatre piliers :

la montée en puissance des communautés locales de développeurs ; le déploiement industriel et l’intégration profonde au marché ; la viabilité commerciale des innovations, afin qu’elles ne dépendent plus uniquement de subventions ; la sécurité des chaînes d’approvisionnement, pour garantir une confiance totale des acteurs publics et privés. Remplacer les piles propriétaires coûteuses

L’exécutif européen espère ainsi remplacer les « piles propriétaires les plus coûteuses ou les plus gourmandes en données » par des solutions souveraines. Cette initiative s’inscrit dans un calendrier législatif dense, puisque cette stratégie sera publiée en parallèle du Cloud and AI Development Act (CAIDA), attendu pour le premier trimestre 2026.

Bruxelles n’avance pas seule. Le document mentionne notamment le rôle du Consortium européen pour les infrastructures numériques communes, où la France, l’Allemagne, l’Italie et les Pays-Bas collaborent déjà sur des technologies ouvertes pour leurs administrations. Cette dynamique fait directement écho au lancement de l’EuroStack Foundation en novembre 2025, qui vise précisément à construire une infrastructure numérique européenne indépendante et interopérable.

Un appel aux acteurs du secteur

La Commission souhaite également garantir la pérennité financière des organisations open source via des partenariats avec le secteur public. Le programme de financement « Next Generation Internet » a d’ailleurs été rebaptisé « Open Internet Stack » l’an dernier, marquant cette volonté d’orienter les projets vers des modèles économiques viables.

Les entreprises, développeurs et citoyens ont désormais jusqu’au 3 février 2026 pour soumettre leurs avis sur cette consultation. C’est une occasion unique pour l’écosystème du logiciel libre de peser sur la future politique industrielle de l’Union.

– Source :

https://goodtech.info/commission-europeenne-strategie-open-source-souverainete-2026/

Proton, infomaniak

Déduire vos habitudes de sommeil, savoir si vous êtes chez vous ou en déplacement, et même vider la batterie de votre smartphone à distance, uniquement en connaissant votre numéro de téléphone, c’est possible. Des chercheurs en sécurité ont mis en lumière un problème de sécurité lié aux applications WhatsApp et Signal, utilisées par des milliards de personnes.

Silent Whisper : une mécanique de tracking invisible

Baptisée “Silent Whisper” par les chercheurs de l’Université de Vienne et de SBA Research qui l’ont initialement documentée, cette méthode repose sur le calcul du temps d’aller-retour du signal, que l’on appelle RTT (Round-Trip Time) pour reprendre le terme technique. Cette technique affecte les utilisateurs de WhatsApp, soit 3 milliards d’utilisateurs actifs, et ceux de Signal, une autre messagerie populaire.

Rien qu’en ayant un numéro de téléphone, un attaquant peut en savoir plus sur votre activité. Tout commence par ajouter une réaction (comme un emoji) à un message qui n’existe pas. Le protocole utilisé par WhatsApp, cherchant à traiter cette requête au niveau réseau, renvoie un accusé de réception technique (que l’on appelle ACK) avant même de vérifier si le message en question existe ou pas.

“J’ai pu envoyer des sondes en rafale à des intervalles d’environ 50 ms sans que la cible ne voie rien du tout – pas de popup, pas de notification, pas de message, rien de visible dans l’interface utilisateur.”, explique gommzystudio. Vous allez me dire : c’est qui ? Il s’agit d’un chercheur qui a publié sur GitHub un outil baptisé “Device Activity Tracker”.

Cet outil publié sous la forme d’un outil Proof-of-Concept (PoC) montre qu’il est possible de traquer un utilisateur grâce à la technique “Silent Whisper”.

Source : GitHub - gommzystudio

Profilage comportemental et sabotage de l’autonomie

En pratique, c’est la variation de ce temps de réponse qui donne des informations sur l’état de l’appareil, et donc sur son propriétaire. Une réponse rapide via Wi-Fi diffère drastiquement d’une réponse via un réseau mobile ou d’un appareil en sortie de veille.

Au-delà de faire uniquement la distinction entre un utilisateur en ligne ou hors ligne, l’outil permet de réaliser un véritable profilage ! Une analyse précise des fluctuations du RTT permet de déduire ce que fait la victime.

Voici ce que les données révèlent :

RTT faible et stable : l’appareil est utilisé activement et connecté au Wi-Fi (probablement à domicile ou au bureau). RTT moyen : l’écran est allumé, mais l’utilisateur est sur le réseau mobile. RTT élevé : l’appareil est en veille, écran éteint, mais connecté au Wi-Fi. RTT très élevé ou variable : l’appareil est en mouvement (ce qui peut induire un changement d’antennes relais) ou en veille sur le réseau mobile. Timeout : l’appareil est éteint, en mode avion ou déconnecté de tout réseau.

“Au fil du temps, vous pouvez utiliser cela pour déduire un comportement : quand quelqu’un est probablement à la maison […], quand il dort probablement […], quand il est dehors et se déplace.”, précise le chercheur. Flippant, quand même !

Si un attaquant sollicite un appareil de façon répétée, le smartphone ne pourra pas entrer en veille profonde. D’après les chercheurs en sécurité, cette technique peut donc avoir un impact sur l’autonomie du smartphone.

Voici le constat qui a été fait par l’équipe de recherche :

Un téléphone inactif perd moins de 1% de batterie par heure Une attaque ciblée sur WhatsApp fait chuter la batterie d’un iPhone 13 Pro de 14% par heure et celle d’un iPhone 11 de 18% par heure Une attaque ciblée sur WhatsApp fait chuter la batterie d’un Samsung Galaxy S23 de 15% par heure

Autant vous dire qu’en une nuit, il est possible de vider la batterie d’un smartphone. Il y a aussi un impact pour les utilisateurs de Signal, mais il est moindre car il y a des limitations (seulement 1% de plus par heure). Autrement dit, au-delà du tracking, cette méthode peut mener à un déni de service sur l’appareil de la victime.

WhatsApp : bloquer les messages de comptes inconnus

Si vous utilisez WhatsApp, il y a un paramètre que vous pouvez activer et qui est considéré comme la mesure d’atténuation la plus efficace. En effet, il est recommandé de modifier ce paramètre :

Ouvrez WhatsApp et allez dans les Paramètres. Sélectionnez Confidentialité, puis Paramètres avancés en bas de la page. Activez l’option “Bloquer les messages de comptes inconnus”.

Cette option s’apparente à un rate limit d’après sa description : “Pour protéger votre compte et améliorer les performances de votre appareil, WhatsApp bloque les messages provenant de comptes inconnus s’ils dépassent un certain volume.” - Autrement dit, l’attaquant ne pourra pas sonder trop souvent votre appareil.

“La désactivation des confirmations de lecture est utile pour les messages classiques, mais ne protège pas contre cette attaque spécifique. En décembre 2025, cette vulnérabilité reste exploitable dans WhatsApp et Signal.”, peut-on lire.

Le rapport complet des chercheurs est accessible sur cette page au format PDF.

Source : https://www.it-connect.fr/silent-whisper-cet-outil-gratuit-permet-espionner-les-utilisateurs-de-whatsapp-et-signal/

30 ans, une éternité pour Internet et le numérique… et pourtant, le protocole IPv6 est loin d’avoir remplacé IPv4 qui est malgré tout à bout de souffle (à cause de la pénurie d’adresses). Si les internautes français sont plutôt bien lotis, ce n’est pas le cas partout dans le monde.

En décembre 1995, l’Internet Engineering Task Force publie la RFC 1883 intitulée « Internet Protocol, Version 6 (IPv6) Specification ». Elle fixait au passage le nom de ce qui était parfois appelé IP Next Generation ou IPng. Les spécifications d’IPv6 ont été finalisées quelques années plus tard, en décembre 1998 avec RFC 2460.

En guise d’introduction, il était précisé que l’« IP version 6 (IPv6) est une nouvelle version du protocole Internet, conçue pour succéder à IP version 4 (IPv4) », dont la RFC 791 datait de septembre 1981. La principale nouveauté était le passage des adresses de 32 à 128 bits. D’autres changements étaient aussi de la partie, comme une simplification du format d’en-tête. IPv6 intègre aussi « des fonctionnalités permettant de renforcer la sécurité par défaut et d’optimiser le routage », explique l’Arcep (le gendarme des télécoms en France).

667 millions d’adresses IPv6… par mm² !

La différence est très importante puisqu’on passe de 4,3 x 10⁹ (soit 4,3 milliards) à 3,4 x 10³⁸ adresses possibles, soit une quasi-infinité à l’échelle de la Terre, puisque cela correspond à environ 667 millions d’adresses IPv6 pour chaque millimètre carré de surface terrestre.

4,3 milliards d’adresses peuvent sembler beaucoup, mais ce n’est pas le cas. Le RIPE NCC (Network Coordination Centre, en charge de l’Europe, du Moyen-Orient et de certaines régions d’Asie centrale) est « à court d’adresses IPv4 » depuis fin 2019. Les alertes avaient été lancées des années auparavant et la solution existait déjà depuis longtemps avec IPv6. Mais la transition est longue, très longue… elle n’est toujours pas terminée en 2026.

Cette même année, l’Arcep a décidé « d’initier la création d’une Task-Force IPv6, co-pilotée avec Internet Society France ». Son but est de « favoriser l’accélération de la transition vers IPv6 en permettant aux participants d’aborder des problèmes spécifiques et de partager les bonnes pratiques ».

La France en tête du taux d’utilisation d’IPv6 !

L’Arcep tient à jour une carte du taux d’utilisation d’IPv6, qui correspond au « pourcentage d’utilisateurs raccordés en IPv6 par leur fournisseur d’accès à internet ». Selon le dernier décompte de décembre 2025, la France est… en première position avec 75,1 %, devant l’Inde à 73,1 % et la Malaisie à 67 %.

Les États-Unis sont 11ᵉ avec 56,4 %. Les pays africains sont dans le bas du classement avec 27 % au maximum pour la République du Congo, contre 0,2 % seulement en Algérie.

En Afrique d’ailleurs, la situation était compliquée en 2025 avec des doutes sur des élections à l’AfriNIC et une question d’influence de brokers d’IP, le tout sur fond de bataille juridique et de pénurie d’IPv4. Il faut dire que l’« AfriNIC est le dernier registre internet régional à avoir des blocs d’adresses IPv4 à distribuer », nous expliquait Pierre Bonis, le directeur général de l’Afnic qui gère les noms de domaine en France. Cela attise donc les convoitises.

Risque de scission d’Internet : IPv4 et IPv6 « ne sont pas compatibles »

[…]

Article complet : next.ink

C’est une histoire qui ferait passer Indiana Jones pour un simple amateur de brocantes. Alors que le personnel de la Kahlert School of Computing de l’Université de l’Utah rangeait un local de stockage en juillet 2025, une petite boîte a attiré l’attention d’Aleksander Maricq. À l’intérieur : une bande magnétique portant la mention manuscrite « UNIX Original from Bell Labs v4 ».

Ce que l’équipe vient de mettre au jour n’est rien de moins que la seule copie complète connue au monde d’UNIX v4, datant de novembre 1973. Une relique d’une époque où l’informatique n’était pas encore une industrie de masse, mais une aventure de pionniers.

Pourquoi UNIX v4 change tout (même en 2026)

Pour comprendre l’excitation qui secoue la communauté, il faut remonter aux années 70. À l’époque, les systèmes d’exploitation étaient écrits en « assembleur », un langage ultra-complexe et propre à une seule machine. Si vous changiez d’ordinateur, il fallait tout réécrire.

UNIX v4 est la première version dont le noyau a été écrit en langage C. C’est ce choix technique, révolutionnaire pour l’époque, qui a rendu UNIX (et plus tard Linux, macOS ou BSD) portable sur n’importe quel matériel. Sans cette bande de 1973, notre monde numérique n’aurait pas la même allure : le C est devenu la langue universelle du code, le fondement de la cybersécurité et de l’architecture logicielle moderne.

Le sauvetage : une course contre le temps et la démagnétisation

Récupérer des données sur une bande de 52 ans est un défi physique. Les particules magnétiques s’effacent, le support devient friable. La bande a été confiée au Computer History Museum, où Al Kossow et Len Shustek ont utilisé un lecteur de bande modifié et des logiciels de reconstruction de flux magnétique pour extraire l’image numérique.

Le résultat est miraculeux : sur l’ensemble de la bande, seuls deux blocs de données n’ont pu être lus correctement, mais ils ont pu être reconstruits. Le noyau complet, une merveille de minimalisme, ne pèse que 27 kilo-octets. À titre de comparaison, une simple icône sur votre bureau aujourd’hui est souvent plus lourde que tout le cœur du système de 1973.

L’expérience UNIX v4 : l’informatique à l’état brut

Grâce à cette récupération, le développeur Mitch Riedstra a mis en ligne un émulateur permettant de tester ce monument de l’histoire directement dans votre navigateur. Mais attention, l’expérience est austère :

pas de souris, pas de fenêtres, juste un terminal noir ; pour changer de dossier, on ne tape pas cd mais chdir ; pour effacer un caractère, on utilise la touche # et pour supprimer une ligne entière, le caractère @.

C’est une informatique « physique », où le système traite l’écran comme un rouleau de papier continu. C’est frustrant, c’est brut, mais c’est le point de départ de tout ce que nous considérons aujourd’hui comme acquis.

Un bien commun pour l’humanité

Le contenu de la bande a été déposé sur Internet Archive, garantissant que cette pièce d’histoire ne sera plus jamais perdue. Il est fascinant de noter qu’UNIX v4 avait été libéré sous licence BSD par Caldera en 2002, mais il nous manquait le code complet pour le faire revivre.

Cette découverte nous rappelle que derrière nos interfaces lisses et nos IA génératives se cachent des décennies de réflexion sur la structure même de l’information. En 1973, dans les bureaux des Bell Labs, Ken Thompson et Dennis Ritchie ne créaient pas seulement un outil pour le mini-ordinateur PDP-11/45, ils forgeaient les clés de notre liberté numérique future.

– Source :

https://goodtech.info/unix-v4-decouverte-bande-magnetique-preservation-2026/

Proofpoint a mis en garde contre des campagnes de phishing qui abusent du flux d’autorisation légitime de dispositif pour contourner l’authentification multifactorielle (MFA) et obtenir un accès permanent à des comptes M365 d’entreprises.

Les fenêtres d'authentification OAuth de terminal truquées ressemblent à s'y méprendre à celles légitimes de Microsoft. (crédit : Proofpoint)

Les fenêtres d’authentification OAuth de terminal truquées ressemblent à s’y méprendre à celles légitimes de Microsoft. (crédit : Proofpoint)

Les cybercriminels et les pirates soutenus par des États exploitent de plus en plus le processus légitime d’autorisation de terminal OAuth 2.0 de Microsoft pour détourner des comptes d’entreprise, contourner les protections d’authentification multifactorielle MFA et obtenir un accès permanent aux données sensibles des entreprises. Telle est la tendance observée par les chercheurs de Proofpoint dans un dernier rapport qui ont suivi plusieurs groupes malveillants, motivés à la fois par des raisons financières et alignés sur des intérêts étatiques, recourant à des techniques d’hameçonnage pour inciter les utilisateurs à leur accorder un accès non autorisé à leurs comptes Microsoft 365.

Ces campagnes ont connu une forte augmentation depuis septembre 2025. Selon les chercheurs, c’est un changement significatif, car les pirates sont passés d’attaques limitées et ciblées à une exploitation à grande échelle. « Même si cette technique n’est pas nécessairement nouvelle, il est intéressant de constater qu’elle est de plus en plus utilisée par plusieurs groupes malveillants », a écrit la Proofpoint Threat Research Team dans un billet de blog. Cette tactique représente une évolution des techniques utilisées plus tôt cette année par des organisations motivées par l’appât du gain pour pirater les environnements Salesforce de Google, Qantas et de marques de luxe grâce à une utilisation abusive similaire d’OAuth, touchant ainsi des centaines d’entreprises. Ces attaques contre Salesforce, qui ont débuté en juin 2025, utilisaient le phishing vocal. La campagne actuelle abandonne les appels téléphoniques au profit d’une ingénierie sociale par courriel, ce qui facilite la mise à l’échelle des attaques.

Un processus légitime devenu malveillant

Les attaques exploitent le flux d’autorisation d’appareil OAuth, conçu pour l’authentification sur des appareils à saisie limitée comme les téléviseurs intelligents et les appareils IoT. Selon le billet de blog, les auteurs des menaces lancent le processus légitime d’autorisation de dispositif Microsoft, puis incitent les victimes à saisir le code généré pour l’appareil, qu’ils font passer pour un mot de passe à usage unique (One-time Password, OTP), sur l’URL de vérification de Microsoft. « En général, les leurres prétendent que le code d’un terminal est un mot de passe à usage unique et invitent l’utilisateur à saisir le code sur l’URL de vérification de Microsoft », ont écrit les chercheurs. « Une fois que l’utilisateur a saisi le code, le jeton d’origine est validé, et le cybercriminel peut accéder au compte M365 ciblé. » Les attaques réussies permettent la prise de contrôle de comptes, l’exfiltration de données, les mouvements latéraux au sein des réseaux et l’établissement d’un accès permanent aux ressources de l’entreprise. Dans certains cas, les données volées servent ensuite à des tentatives d’extorsion, comme l’a démontré ShinyHunters dans ses campagnes Salesforce.

Ce qui explique cette recrudescence ? La disponibilité d’outils qui simplifient la mise en œuvre de ces attaques. Proofpoint a identifié deux kits principaux : SquarePhish2 et Graphish. SquarePhish2 est une version mise à jour d’un outil publié initialement sur Github par Dell Secureworks en 2022. Ce kit automatise le flux OAuth Device Grant Authorization et intègre une fonctionnalité de QR code. Quant au kit de phishing Graphish, partagé sur des forums de piratage criminel approuvés, il permet de créer des pages de phishing convaincantes en tirant parti des enregistrements Azure App Registrations et des capacités d’attaque de type Adversary-in-the-Middle (AITM). « L’outil est convivial et ne nécessite pas d’expertise avancée, ce qui réduit les obstacles à l’entrée et permet à des acteurs malveillants peu qualifiés de mener des campagnes de phishing sophistiquées », ont ajouté les chercheurs de Proofpoint dans leur blog. Ces outils aident les attaquants à surmonter une limitation majeure : généralement, les codes d’appareil ont une durée de vie limitée. Grâce à l’automatisation, ils peuvent mener des campagnes à plus grande échelle que ce qui était possible auparavant.

Des acteurs étatiques associés aux cybercriminels

Depuis janvier 2025, Proofpoint a suivi plusieurs acteurs malveillants alignés sur des États qui abusent de l’autorisation des appareils par code OAuth pour prendre le contrôle de comptes, ce qui représente une évolution préoccupante dans les techniques d’espionnage. « Cette technique a été largement utilisée par des acteurs malveillants alignés sur la Russie », ont noté les chercheurs, citant un rapport précédent de l’entreprise de sécurité Volexity. Proofpoint a également observé des activités suspectes alignées sur la Chine et d’autres campagnes d’espionnage non attribuées. Un groupe, suivi par Proofpoint sous le nom UNK_AcademicFlare, mène des opérations de phishing par code depuis au moins septembre 2025.

Ce cybergang, soupçonné d’être lié à la Russie, utilise des adresses de courriels compromises appartenant à des entreprises gouvernementales et militaires pour cibler des entités issues des secteurs gouvernemental, des think tanks, de l’enseignement supérieur et des transports aux États-Unis et en Europe. UNK_AcademicFlare établit généralement une relation de confiance avec ses victimes par le biais de contacts anodins avant de lancer ses tentatives de phishing par code. Le groupe utilise des comptes compromis pour organiser des réunions ou des entretiens fictifs, puis partage des liens malveillants vers des URL Cloudflare Worker usurpant des comptes OneDrive. Les chercheurs de Volexity ont documenté des tactiques similaires dans des campagnes récentes où des acteurs russes ont créé de faux sites web se faisant passer pour des conférences européennes légitimes sur la sécurité afin d’inciter les participants à accorder un accès OAuth.

Des campagnes à grande échelle motivées par l’argent

Les pirates motivés par l’appât du gain se sont également lancés dans le phishing par code des appareils. Proofpoint a mis en évidence l’activité de TA2723, un acteur de phishing de haut niveau connu pour ses campagnes usurpant l’identité de Microsoft OneDrive, LinkedIn et DocuSign. À partir d’octobre 2025, des campagnes du groupe TA2723 ont utilisé comme appâts le thème des salaires et des avantages sociaux. L’une d’elles utilisait des courriels prétendant contenir des documents intitulés « OCTOBER_SALARY_AMENDED » (OCTOBRE_SALAIRE_MODIFIÉ) et « Salary Bonus + Employer Benefits Reports 25 » (Prime salariale + avantages sociaux de l’employeur Rapports 2025). En fait, ces messages redirigeaient les destinataires vers des URL qui menaient finalement à des pages d’autorisation d’appareil par code où les victimes étaient amenées à générer et à saisir des codes d’accès à usage unique. Les chercheurs de Proofpoint soupçonnent TA2723 d’avoir utilisé les outils SquarePhish2 et Graphish dans ses différentes campagnes.

La campagne 2025 ShinyHunters (à l’origine du piratage du chatbot IA Salesloft) a montré les dommages potentiels. Dans un incident distinct mais lié à l’utilisation abusive d’OAuth, des acteurs malveillants ont exploité des jetons OAuth volés à l’intégration Salesloft/Drift pour accéder aux instances Salesforce de centaines d’entreprises. Certaines, comme Cloudflare, Zscaler et Tenable, ont rendu public l’accès non autorisé à leurs données, déclenchant ainsi l’obligation de notification des violations. Proofpoint a recommandé aux entreprises de créer des politiques d’accès conditionnel Conditional Access afin de bloquer entièrement le flux d’autorisation de dispositif par code ou de mettre en place des listes d’autorisation pour les utilisateurs et les plages d’adresses approuvés. « La sensibilisation traditionnelle au phishing met souvent l’accent sur la vérification de la légitimité des URL. Or, cette approche ne permet pas de lutter efficacement contre le phishing d’appareil par code, qui consiste à demander aux utilisateurs de saisir un code d’appareil sur le portail Microsoft de confiance », ont mis en garde les chercheurs. Microsoft n’a pas répondu à une demande de commentaires sur ces conclusions.

Source : lemondeinformatique.fr

Comme quoi quand on gère de la crypto mieux vaut faire ça depuis une machine vierge hormis un navigateur de confiance et sans add-on.

Ça m’a fait marrer aussi