Alerte sécurité #Perl – CVE-2024-56406

Si vous avez une solution ou un site exposé sur Internet avec Perl (v5.34 à v5.40), prenez 1 min pour lire ceci

Une faille heap buffer overflow dans l’opérateur tr/// permet de planter Perl via une simple ligne de code :

perl -e '$_ = "\x{FF}" x 1000000; tr/\xFF/\x{100}/;'

Risque d'attaque opportuniste par déni de service

Possiblement à risque si exposés:

• Portails d'hébergements mutualisés

• Scripts Perl manipulant des entrées utilisateur

• Stacks locales (ex : XAMPP)

Pour se protéger :

Mettez à jour en 5.40.2 ( https://metacpan.org/release/SHAY/perl-5.40.2/changes) ou 5.38.4 (https://metacpan.org/release/SHAY/perl-5.38.4/changes)

cPanel

https://docs.cpanel.net/changelogs/110-change-log/#110058

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Une IA japonaise apprend à faire de la recherche scientifique toute seule https://www.journaldugeek.com/2025/04/13/une-ia-japonaise-apprend-a-faire-de-la-recherche-scientifique-toute-seule/

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Biométrie : les criminels reconstituent les éléments du corps humain pour tromper les systèmes de sécurité et d'identification https://www.francetvinfo.fr/replay-radio/nouveau-monde/biometrie-les-criminels-reconstituent-les-elements-du-corps-humain-pour-tromper-les-systemes-de-securite-et-d-identification_7159512.html#xtor=RSS-3-%5Bgeneral%5D

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
DORA et MFA : pourquoi la résistance au phishing est essentielle pour la cyber-résilience https://www.undernews.fr/reseau-securite/phishing-hoax/dora-et-mfa-pourquoi-la-resistance-au-phishing-est-essentielle-pour-la-cyber-resilience.html

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
En 2025, le piratage devient un enjeu majeur : l’État publie ses recommandations pour mieux se protéger https://www.freenews.fr/securite/cybermalveillance-bonnes-pratiques-piratage-2025

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Deepfake-as-a-Service : L’IA au cœur de la cyberfraude 2.0 https://buff.ly/K8ZEg5x

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
IA, Grok et données personnelles : l’Europe enquête sur X (Twitter) https://kulturegeek.fr/news-328906/ia-grok-donnees-personnelles-leurope-enquete-x-twitter

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Fortinet : cette faille critique dans FortiSwitch permet de changer le mot de passe admin à distance https://www.it-connect.fr/fortinet-faille-critique-fortiswitch-changer-le-mot-de-passe-admin-cve-2024-48887/

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Surveillance et chiffrement : la Suisse redéfinit-elle les limites de la confidentialité en ligne ? https://dcod.ch/2025/04/05/surveillance-et-chiffrement-la-suisse-redefinit-elle-les-limites-de-la-confidentialite-en-ligne/

TIL Slopsquatting

Article très intéressant sur cette nouvelle technique de #typosquatting qui exploite les hallucinations récursives des LLM utilisés en programmation

Les LLM hallucinent des librairies/paquets imaginaires des acteurs malveillants les enregistrent et les arment
Le tout sur fond de hype autour du "vibe coding"

"The Rise of Slopsquatting: How AI Hallucinations Are Fueling a New Class of Supply Chain Attacks"

https://socket.dev/blog/slopsquatting-how-ai-hallucinations-are-fueling-a-new-class-of-supply-chain-attacks

Via la toujours excellente Risky Bulletin Newsletter du jour

https://risky.biz/risky-bulletin-ai-slopsquatting-its-coming/

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Cybersécurité : ITrust lance French XDR, une plateforme souveraine et collaborative https://www.freenews.fr/securite/itrust-french-xdr-plateforme-cybersecurite-souveraine

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Ransomware : Qilin se renforce avec au moins deux nouveaux affidés https://www.lemagit.fr/actualites/366622278/Ransomware-Qilin-se-renforce-avec-au-moins-deux-nouveaux-affides

Si vous utilisez un service d'envoi de SMS pour votre site, app ou entreprise/institution…

Attention à la fraude SMS pumping

C’est une arnaque sophistiquée où des fraudeurs déclenchent des vagues de messages (OTP, vérifs…) via bots ou faux comptes, souvent en lien avec des opérateurs télécom peu scrupuleux.
Le but ? Faire exploser vos coûts pour toucher des revenus à l’autre bout de la chaîne de facturation "téléphonique".

Twitter a perdu jusqu’à 60M$/an à cause de ça…

Surveillez vos pics de trafic SMS
Bloquez les bots via fingerprinting, limites API, détection d’anomalies
( Songez à des alternatives à la vérif SMS)

"SMS Pumping: How Criminals Turn Your Messaging Service into Their Cash Machine"

https://www.group-ib.com/blog/sms-pumping/

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Des cyberespions chinois exploitent cette nouvelle faille dans les solutions Ivanti : CVE-2025-22457 https://www.it-connect.fr/des-cyberespions-chinois-exploitent-cette-nouvelle-faille-dans-les-solutions-ivanti-cve-2025-22457/

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
ChatGPT : OpenAI pourrait filigraner les images des utilisateurs gratuits https://www.blog-nouvelles-technologies.fr/324749/chatgpt-openai-filigranes-images/

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Près de la moitié des Millennials partagent les nouvelles les concernant sur des communautés en ligne avant d’en informer leurs proches https://www.undernews.fr/hypernews-mag/pres-de-la-moitie-des-millennials-partagent-les-nouvelles-les-concernant-sur-des-communautes-en-ligne-avant-den-informer-leurs-proches.html

"Un cybercriminel prétend avoir capturé les données de 2,4 millions de clients de Brack. L’entreprise ne peut actuellement pas confirmer l’infraction, mais en informe ses clients."

[DE]

https://www.inside-it.ch/brackch-untersucht-moeglichen-daten-breach-20250407

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Pour se défendre lors d’un procès, cet homme fait parler un avatar IA et la réaction de la juge est immédiate https://www.phonandroid.com/pour-se-defendre-lors-dun-proces-cet-homme-fait-parler-un-avatar-ia-et-la-reaction-de-la-juge-est-immediate.html

#𝗖𝗬𝗕𝗘𝗥𝗩𝗘𝗜𝗟𝗟𝗘
Proton VPN se réinvente : découvrez la nouvelle version, avec une interface repensée et des fonctionnalités enrichies https://www.phonandroid.com/proton-vpn-reinvente-interface-repensee-fonctionnalites-enrichies.html