Kevin Poireault @leekthehack

NEW: Two infamous infostealers, StealC and Amadey, have been taken down by Operation Endgame, an international law enforcement effort. @Europol @Microsoft infosecurity-magazine.com/news/operation…

US federal agencies will have to complete their post-quantum cryptography migration by 2030, or 2031 at the latest depending on use cases. infosecurity-magazine.com/news/trump-eo-…

🔴Ce lundi 22 juin, la loi RIPOST arrive à l'Assemblée nationale. Derrière le vernis sécuritaire voulu par Laurent Nuñez, il y a une loi de surveillance. Et notamment : l'extension massive des LAPI 🔽 Les LAPI sont des caméras qui lisent les plaques d'immatriculation, les horodatent, les géolocalisent et les versent dans une base de données. Déployés depuis 2003, il en existe aujourd'hui près de 700, réservés à la police, la gendarmerie et les douanes. En 2024, le STCL centralise tout ça sur une plateforme unique consultable en temps réel. Résultat : 60 millions de photos de plaques à chaque instant dans une méga base de données nationale. Une véritable surveillance généralisée des véhicules, de vos déplacements à travers la France. RIPOST veut aller encore plus loin : conservation portée à 1 an de déplacements, communes incitées à déployer leurs propres LAPI, et analyse algorithmique pour détecter des "mouvements suspects". Aux États-Unis, la même technologie opérée par Flock a conduit à la surveillance de manifestations et alimente la milice ICE. Des campagnes Deflock et No ALPRs ont été lancées pour y résister. Les député doivent s'opposer à ce texte !

Christophe Boutry @Ced_haurus

a month ago

La loi RIPOST vient d'être adoptée au Sénat. Voici les "petites" modifications qu'elle introduit.. — VSA — Terminée "l'expérimentation" de la video surveillance algorithmique. On passe à grande échelle partout en France. La VSA, c'est de la vidéosurveillance coupée à l'IA. Des

26 520 677 65K 178

75% of cyber incidents affecting UK critical infrastructure organizations over the past year originated from hostile states such as Russia, China and Iran, said Richard Horne, CEO of @NCSC at a @RUSI_org event. infosecurity-magazine.com/news/hostile-s…

Ukraine is now part of the EU Cybersecurity Reserve 🇺🇦🇪🇺 The Ukrainian government can now activate emergency EU cyber support to respond to large-scale cyber-attacks and cyber incidents affecting its organizations and businesses. infosecurity-magazine.com/news/ukraine-i…

Signal, DuckDuckGo et NordVPN menacent de quitter le Canada à cause d'une loi sur la surveillance korben.info/signal-duckduc…

🔴La DINUM reconnaît un incident sur @tchap_dinum Un attaquant a utilisé un compte légitime compromis pour accéder à la plateforme. Ce qui a pu être consulté, selon la DINUM : uniquement des salons publics. Ouverts à tous par conception. Non chiffrés. Les conversations privées restent protégées. Le compte malveillant a été identifié et bloqué. La CNIL a été notifiée. Le diagnostic est en cours. Le petit rappel à ses agents : un salon public Tchap peut être rejoint par n'importe quel utilisateur. Rien de sensible ne doit y circuler.... Vu ce qui a été publiée par le cybercriminel, je pense qu'il va falloir faire le ménage dans les salons.

Christophe Boutry @Ced_haurus

3 weeks ago

🔴Un cybercriminel affirme avoir obtenu l’accès à un compte valide sur @tchap_dinum , la messagerie sécurisée de l’administration française. Quelques explications 🧵 À partir de ce compte, il prétend avoir pu collecter : 👉 73 467 comptes d’agents publics 👉 643 459 messages

3 44 103 15K 32

🔴Un cybercriminel affirme avoir obtenu l’accès à un compte valide sur @tchap_dinum , la messagerie sécurisée de l’administration française. Quelques explications 🧵 À partir de ce compte, il prétend avoir pu collecter : 👉 73 467 comptes d’agents publics 👉 643 459 messages 👉 876 salons avec historique accessible 👉 plus de 59 000 fichiers 👉 environ 13,5 Go de données 👉 des métadonnées liées aux comptes, aux salons et aux terminaux À ce stade, prudence : il s’agit d’une revendication. Rien ne permet encore d’affirmer que tous les chiffres sont exacts, ni que tous les contenus annoncés sont sensibles. De quoi parle-t-on ? 🔽 Tchap est la messagerie interministérielle de l’État français. Elle est utilisée par des agents publics pour échanger dans un cadre professionnel, au sein d’administrations, de ministères ou de groupes de travail transversaux. Elle a été pensée comme une alternative souveraine aux messageries privées grand public, notamment WhatsApp, Telegram ou Signal, afin d’éviter que des échanges professionnels de l’administration française transitent par des services commerciaux étrangers. Techniquement, Tchap repose sur Matrix, un protocole de messagerie décentralisée. Matrix permet à plusieurs serveurs de communiquer entre eux, un peu comme le courrier électronique : un utilisateur d’un serveur peut échanger avec un utilisateur d’un autre serveur, si la fédération est autorisée. Tchap utilise cette logique pour organiser une messagerie répartie entre plusieurs environnements administratifs. Son interface vient de l’écosystème Element, le client Matrix le plus connu, adapté ici aux usages de l’administration. Attention ⚠️ Si les données revendiquées sont authentiques, cela ne signifie pas automatiquement que le chiffrement de Tchap aurait été cassé. Cela ne veut pas dire non plus que toute la plateforme aurait été compromise. Le scénario avancé ressemble plutôt à l’exploitation maximale d’un compte légitime. (ce que le cybercriminel revendique) Autrement dit : l’attaquant ne dit pas avoir “cassé Matrix”. Il affirme avoir obtenu un compte valide, puis utilisé ce compte pour voir tout ce qu’il pouvait voir. C'est là que le sujet devient intéressant. Ce que l’acteur affirme avoir exploité 🔎 Selon l’auteur de la revendication, l’accès initial aurait été obtenu par ingénierie sociale sur un compte lié à un agent de l’Éducation nationale. Une fois connecté, il aurait utilisé des fonctionnalités normales de Matrix pour : 👉 explorer l’annuaire des utilisateurs 👉 rechercher des salons 👉 consulter les espaces accessibles 👉 remonter l’historique des conversations disponibles 👉 récupérer les fichiers partagés dans ces échanges Dans Matrix, un compte peut voir plusieurs types d’informations selon la configuration du serveur et des salons : 👉 annuaire des utilisateurs 👉 salons publics ou semi-publics 👉 salons déjà rejoints 👉 salons thématiques 👉 espaces transversaux 👉 historiques visibles aux nouveaux membres 👉 médias partagés 👉 métadonnées de terminaux 👉 clés publiques des appareils Autrement dit, un compte compromis ne donne pas seulement accès à “ses messages privés”. Il peut aussi devenir une porte d’entrée vers tout ce que ce compte est autorisé à voir. Pourquoi 600 ou 800 salons seraient accessibles ? 🏛️ Accéder à plusieurs centaines de salons ne veut pas forcément dire que l’attaquant aurait forcé l’accès à des conversations privées. Sur Matrix, certains salons peuvent être publics, transversaux, thématiques ou joignables par tout agent authentifié. Des noms de salons comme : 👉 “Outils collaboratifs” 👉 “Droit pénal et procédure pénale” 👉 “Intelligence artificielle” 👉 “Médecine-santé” 👉 “Sécurité civile” ressemblent davantage à des espaces de discussion communautaires qu’à des canaux hautement confidentiels. Mais cela ne rend pas l’incident négligeable. Un salon public interne à l’administration n’est pas un salon public au sens d’Internet. Il peut contenir des échanges professionnels, des documents, des liens de réunion, des noms d’agents, des habitudes de travail, des informations contextuelles et des fichiers dont l’agrégation devient sensible. Le problème de l’annuaire 👥 L’acteur affirme avoir utilisé la fonction de recherche de l’annuaire Matrix pour énumérer les utilisateurs. Il aurait interrogé automatiquement la fonction de recherche des comptes pour reconstruire une liste de dizaines de milliers d’agents. Cette liste contiendrait notamment : 👉 noms d’affichage 👉 adresses professionnelles 👉 ministères ou organismes de rattachement 👉 serveurs d’origine 👉 métadonnées liées aux comptes et équipements Ce type d’énumération n’a rien d’impossible si la recherche n’est pas assez limitée, pas assez cloisonnée ou pas assez protégée contre les requêtes répétées. Ce n’est pas forcément un “piratage profond”. Cela peut être un abus massif d’une fonctionnalité légitime. Le sujet des fichiers 📁 Le point le plus préoccupant concerne les fichiers. L’auteur affirme avoir téléchargé plus de 59 000 médias et documents, pour environ 13,5 Go. Dans Matrix, les fichiers partagés dans les conversations sont référencés par des identifiants médias. Selon la configuration du serveur, connaître l’identifiant ou l’URL d’un fichier peut parfois permettre de le récupérer, ou au minimum faciliter son téléchargement via l’API média. Cela ne veut pas forcément dire que “tous les fichiers de Tchap” étaient librement accessibles. Le scénario le plus vraisemblable est plutôt celui-ci : L’attaquant aurait lu des messages accessibles au compte, extrait les liens ou identifiants de fichiers présents dans ces messages, puis téléchargé les pièces jointes correspondantes. Si ces messages provenaient de salons inter-administrations, les médias pouvaient être hébergés sur plusieurs serveurs Tchap. Les éléments sensibles revendiqués 🧨 L’acteur affirme également avoir trouvé : 👉 des liens Zoom 👉 des codes Webex 👉 des scripts PowerShell 👉 des références à des annuaires internes 👉 des identifiants techniques 👉 des mentions “Diffusion Restreinte” Ces affirmations doivent être prises avec précaution. Une mention “Diffusion Restreinte” dans un message ou un nom de fichier ne prouve pas automatiquement qu’un document protégé a été exfiltré. Un identifiant trouvé dans un script ne prouve pas non plus qu’il est encore actif ou exploitable. Mais ces éléments montrent un risque classique des messageries internes : les utilisateurs y déposent parfois des informations techniques ou opérationnelles qui ne devraient jamais circuler dans un salon. Le vrai problème n’est pas forcément Matrix 🧠 Matrix est un protocole puissant, pensé pour la fédération, l’interopérabilité et le chiffrement. Mais comme toute infrastructure collaborative, sa sécurité dépend énormément de sa configuration et de sa gouvernance. Les vraies questions sont donc : 👉 qui peut voir l’annuaire ? 👉 qui peut rejoindre quels salons ? 👉 un nouvel entrant peut-il lire l’historique ? 👉 les médias sont-ils protégés par l’appartenance au salon ? 👉 les salons publics internes sont-ils audités ? 👉 les pièces jointes sensibles sont-elles contrôlées ? 👉 les secrets techniques sont-ils détectés lorsqu’ils sont partagés ? Le chiffrement de bout en bout ne règle pas tout 🔐 Le chiffrement protège contre certains accès techniques non autorisés, mais il ne protège pas contre un compte légitime compromis qui lit ce qu’il est autorisé à lire. Si un agent est membre d’un salon, ou si un salon est accessible à tous les agents, le chiffrement ne transforme pas ce salon en coffre-fort. Le risque se déplace alors vers la gestion des droits, des usages et des espaces. Le vrai problème : non pas une preuve que Tchap serait “cassé”, mais la possibilité qu’un seul compte ait permis de cartographier beaucoup trop de choses. Quels risques si la revendication est confirmée ? 🚨 Si les éléments avancés sont exacts, l’incident serait sérieux pour plusieurs raisons. D’abord, l’énumération de plus de 73 000 agents permettrait de construire une base de ciblage très précieuse pour du phishing, de l’usurpation ou de l’ingénierie sociale. Ensuite, les messages et salons exposés pourraient révéler des habitudes de travail, des interactions entre services, des sujets internes et des informations organisationnelles. Enfin, les fichiers partagés peuvent contenir des documents administratifs, des captures, des pièces jointes, voire des informations techniques réutilisables dans d’autres attaques. Conclusion 🧭 À ce stade, rien ne permet d’affirmer que l’intégralité de Tchap aurait été compromise. Rien ne démontre non plus un casse du chiffrement Matrix. Le risque ne vient pas toujours d’un attaquant qui casse la porte. Parfois, il entre avec un badge valide, puis découvre que beaucoup trop de portes sont restées ouvertes. fuitesinfos.fr/article/2026-0…

📸 Image credit: @gbillois / @wavestone_

As @OpenAI and @Anthropic expand access to their most advanced LLMs, w/ evidence of their capabilities to autonomously find vulns at scale, the way organizations patch flaws is evolving. Who will shoulder the burden: the users or the software producers? infosecurity-magazine.com/news/patch-res…

The pod is ready for @Infosecurity! Come & find us at Stand D30 throughout the show: whether you have a story to share, want to discuss the latest industry trends, or simply fancy a chat, we'd love to meet you! P.S. we'll have some exclusive- but limited!- Infosecurity Magazine merch available too🛍️ Register here: infosecurityeurope.com/en-gb/visit.ht…

NEW: @owasp to launch Agentic Research Council at @Infosecurity Europe 2026 to bridge AI security research gaps. Announcement: June 4 with co-lead @JohnSotiro. infosecurity-magazine.com/news/owasp-new…

New: The Pentagon’s cyber-warfighting arm is launching a new task force to speed the adoption of cutting-edge AI tools with powerful hacking capabilities, according to three people with knowledge of the effort. W/@magmill95 and @jacob_wendler politico.com/news/2026/05/2…

NEW: @Microsoft has cracked down on Fox Tempest, a cyber threat actor that fueled Rhysida ransomware attacks. It is now working with the @FBI and @Europol to uncover the identity of people behind the group. infosecurity-magazine.com/news/microsoft…

🇺🇬 Finalement, Museveni dit oui à Starlink Le gouvernement ougandais accorde à Starlink le droit d’obtenir une licence dans le pays après des tensions durant l’élection présidentielle de janvier. 🔄L'actu de la censure internet | 12-18 mai 2026 coupecircuit.org/finalement-mus…

NEW: @INTERPOL_Cyber has coordinated a first-of-its-kind cybercrime crackdown across the Middle East and North Africa that led to 201 arrests. infosecurity-magazine.com/news/interpol-…

OpenAI has announced Daybreak, a new initiative based on its frontier LLMs and its AI-coding assistant, Codex, to help developers build secure software from the ground up. infosecurity-magazine.com/news/openai-da…

L'arrivée d'Internet Pro en Iran est la nouvelle pierre à l'édifice d'un internet à plusieurs vitesses ou "internet de classe". Un système que l’@IranHrm appelle "apartheid numérique". On vous explique comment ça marche. coupecircuit.org/internet-pro-p…

🇷🇺 Nouveau blackout pour le Jour de la Victoire L'internet mobile a été bloqué à Moscou et Saint-Pétersbourg du 5 au 9 mai, date de la commémoration de la signature du second acte de capitulation de l'Allemagne nazie. Courts-circuits | 5-11 mai 2026 coupecircuit.org/nouveau-blacko…

The Google Threat Intelligence Group has detected the first known instance of a threat actor using an AI-developed zero-day exploit in the wild. While the attackers planned a wide-scale strike, our proactive counter-discovery may have prevented that from happening. This finding is part of our new report on AI-powered threats.