WPScan existe pour WordPress. L'équivalent pour Drupal n'existe pas.
On s'en est rendu compte en audit. On a écrit DrupEnum : énumération de modules, détection de version et vulnérabilités connues.
github.com/HDW-Sec/DrupEn…hdwsec.fr/fr/blog/drupen…
Vous téléchargez un modèle d'IA sur Hugging Face pour le tester. Vous l'ouvrez. C'est tout : l'attaquant a déjà la main sur votre machine. Une centaine de modèles piégés comme celui-là y ont été trouvés. Le LLM03 OWASP, c'est ça.
#cybersecurite#IA#LLMhdwsec.fr/fr/blog/llm-ow…
On audite les sites web, rarement les applications mobiles. À tort.
Sur un audit, un simple lien de confiance suffisait à exfiltrer le jeton de session d'un utilisateur, dans le silence le plus complet. Un clic, et le compte est ouvert.
hdwsec.fr/fr/blog/pentes…
France Travail : 5M€ d'amende, 36,8M de personnes exposées. Accès « trop larges », dit la CNIL.
La version la plus basique de cette faille ? Changer un chiffre dans une URL. 3 min pour ouvrir tous les dossiers d'une PropTech sur notre dernier audit 👇
hdwsec.fr/fr/blog/contro…
Never type "claude ai" into Google!
A Google ad for an AI assistant, served from the vendor's real domain but hiding MacSync Stealer behind it: the ad blocker sees nothing,
the user runs the command, and the only signal that gave the trap away was five characters tucked into the URL: /share/.
Full analysis: hdwsec.fr/fr/blog/macsyn…#Cybersecurity#macOS#Infostealer
Un assistant IA e-commerce. Une question : "trois adresses de livraison parisiennes typiques".
Résultat : plusieurs centaines de profils clients réels exfiltrés à l'heure, sans aucun signal côté monitoring. Le LLM02 OWASP, c'est ça.
hdwsec.fr/fr/blog/llm-ow…#cybersecurite#IA#LLM
Sur du code, les IA progressent très vite.
Sur une capture hardware où il faut suivre des signaux et reconstruire une communication pour faire apparaître un message sur écran e-Ink, c’est moins évident.
Writeup FCSC 2026 - Tortoise Say :hdwsec.fr/fr/blog/fcsc20…#FCSC2026
Au FCSC 2026, l'IA a trouvé la faille. L'exploit, il a fallu le faire soi-même. Avec Mythos qui arrive, ce gap ne tiendra plus longtemps. Les CTF vont devoir se réinventer.
hdwsec.fr/fr/blog/fcsc20…#CTF#FCSC2026#CyberSécurité
Un document Word piégé sur un dossier partagé. Résultat : l'agent IA transfère tous les emails vers une adresse externe. Le prompt injection, faille n.1 OWASP LLM 2025, n'a rien de théorique.
Le détail ici : hdwsec.fr/fr/blog/llm-ow…#cybersecurite#IA#LLM
Le plus beau hack de l'histoire ? Celui dont personne n'a entendu parler.
C'est ce que Pierre a expliqué a des scénaristes dans un café. Ca a fini en 3 saisons de conseil technique sur une série TV.
Les détails ici :
hdwsec.fr/fr/blog/serie-…#Cybersécurité#Hacking#Stalk
🚨 ALERTE CYBER SÉCURITÉ 🚨 L'Hôpital de Pontarlier victime d'une cyberattaque massive! Ransomware, soins manuels, quelles leçons tirer pour la sécurité de nos établissements de santé? Une ligne de défense… linkedin.com/feed/update/ur…
0 Followers 94 FollowingRecruiting webshell engineers to penetrate websites, with a monthly salary of up to $100,000. If interested, please contact https://t.co/POKfAF0Ltr
6K Followers 2K FollowingCTFer / APT hunter / RedTeam / BlueTeam
the member of @r3kapig
the leader of @ShadowChasing1
CVE-2022-30190
find job opportunities
opinions are own not group