La CNIL a sanctionné Free (cf sur Mastodon: La CNIL sanctionne la société FREE MOBILE). Plusieurs autres entités ont fait fuité des données, mais la CNIL ne semble pas réagir.

It was disclosed in 2022 and it is part of the SHA-3 design.

The python code

import hashlib
h = hashlib.sha3_224()
h.update(b"\x00" * 1)
h.update(b"\x00" * 4294967295)
print(h.hexdigest())

generates a segmentation fault. The scripts will attempt to write more data to a buffer than it can hold. A small variant cause an infinite loop.

This can be used to violate the cryptographic properties of the hash function to create preimages, second preimages and collisions.

Le rapport explique que « ces défaillances catastrophiques de sécurité n’étaient pas le résultat d’exploitation de faille zero-day dans l’architecture de la plateforme, mais plutôt des suites d’infections malveillantes sur les appareils des employés, combiné à manque cruel de mise en place de l’authentification multi-facteurs (MFA) ».

Il ne s'agit ni d'une faille, ni d'un piratage, mais un mot de passe faible.

Ainsi, [la CNIL] « renforcera dès 2026 sa politique de contrôle pour s’assurer de la mise en place de l’authentification multifacteur pour ces grandes bases de données. L’absence de cette mesure pourra justifier que soit initiée une procédure de sanction ».

Attendez, ce n'est pas encore le cas ?!

It is interesting to know how because it goes in depth of the elliptic curve used for encryption.

A sheet listing (currently) 187 hardware

Source: https://www.tomshardware.com/tech-industry/cyber-security/researcher-finds-undocumented-microphone-and-major-security-flaws-in-sipeed-nanokvm

This page is a by-design feature on both JSONformatter and CodeBeautify that allows a random user (you, me, your parrot) to browse all saved content and their associated links, along with the associated title, description, and date.

Landlock shines when an application has a predictable set of files or directories it needs. For example, a web server could restrict itself to accessing only /var/www/html and /tmp.

The author reminds Linux has security issues on most major distributions and each tools trying to improve the state of securit on Linux has drawbacks: Containerization, Flatpak, Firejail, seccomp, SELinux, AppArmor and Landlock.

Landlock fills a major gap: a simple, self-cotnained unprivileged sandboxing tool.

Read more on the landlock.io

Rust compiled with LLVM is resistant against timing attack.
It requires LLVM though.

NPM packages are attacked again. The first infected package is go-template then hundreds. The most major ones are Zapier, ENS, AsyncAPI, PostHog, Browserbase, and Postman.'

Other source: https://www.stepsecurity.io/blog/sha1-hulud-the-second-coming-zapier-ens-domains-and-other-prominent-npm-packages-compromised

Un an pour répondre à cette faille de sécurité de l'API XMPP.

Le papier est disponible sur Github https://github.com/sbaresearch/whatsapp-census/blob/main/Hey_there_You_are_using_WhatsApp.pdf

Ce n'est que fin août 2025, quand ils ont prévenu WhatsApp qu'ils allaient mettre en ligne leur article début septembre, que l'entreprise a engagé une communication étroite avec eux pour mettre en place des contre-mesures.

Après 9 mois...

Only an unwrap() caused the outage ?!

With Rust changes having a 4x lower rollback rate and spending 25% less time in code review, the safer path is now also the faster one

L'extension signale les sites générés par IA, ainsi que les "noms de domaine proche visuellement (la proximité visuelle est obtenue par le fait que de nombreux systèmes d'écriture utilisent des caractères se ressemblant) d'un autre nom de domaine connu ».

Les entreprises d'IA majoritaires gèrent l'infrastructure et le développement de l'IA. Cela profite aux monopoles, et aux États-Unis. Même si d'autres entreprises émergent, les

Les IA sont instables, puisqu'elles ne peuvent permettre la confidentialité des données traitées. Le cas de Signal est pris en exemple: l'agent peut divulguer des messages confidentiels s'il y a accès.

Les entreprises d'IA sont valorisées, mais elles ne font aucun bénéfices.

Que faire? Premièrement, appliquer le RGPD.