Vous utilisez probablement des clés SSH pour vous connecter à vos serveurs et vous savez aussi qu'elles sont stockées sur votre disque, bien au chaud dans ~/.ssh/, accessibles à n'importe quel malware qui passerait par là. Pas très rassurant quand on y pense...

Mais bonne nouvelle les amis ! Sur macOS, il existe une fonctionnalité méconnue qui permet de stocker des clés cryptographiques directement dans le Secure Enclave de votre Mac, et de les utiliser pour SSH. Du coup, la donnée de la clé privée est conçue pour ne pas être exportable, reste enfermée dans cette puce dédiée, et les opérations de signature peuvent être protégées par Touch ID selon la configuration choisie. Arian van Putten , un chercheur indépendant, a documenté cette fonction qui est pourtant native dans macOS.

sc_auth create-ctk-identity -l ssh -k p-256-ne -t bio

ssh-keygen -w /usr/lib/ssh-keychain.dylib -K -N ""

ssh-add -K -S /usr/lib/ssh-keychain.dylib

Si vous avez une clé USB RTL-SDR qui traîne dans un tiroir et que vous vous demandez ce que vous pourriez bien en faire, j'ai peut-être trouvé le projet qui va vous occuper pendant quelques soirées.

Ça s'appelle Intercept , et c'est un dashboard web qui regroupe les outils de réception radio les plus courants dans une seule interface. Comme ça, au lieu de jongler entre multimon-ng pour décoder les pagers, rtl_433 pour les capteurs météo, dump1090 pour tracker les avions... vous avez tout ça dans une seule interface Flask accessible directement sur votre navigateur.

L'installation se fait via pip après un clone du repo, et certaines fonctions nécessitent des privilèges élevés (sudo) pour accéder aux interfaces réseau :

git clone https://github.com/smittix/intercept.git
cd intercept
pip install -r requirements.txt

sudo python3 intercept.py

Alerte rouge chez Sony ! En ce début d'année 2026, la scène hacking vient de faire sauter le bouchon de champagne d'une façon que le constructeur japonais n'apprécie vraiment pas. Les clés BootROM de la PlayStation 5, c'est à dire ces secrets cryptographiques stockés dans la mémoire en lecture seule du processeur, se baladent maintenant en liberté sur le net.

Tout a commencé le 31 décembre, quand des figures bien connues de la scène comme @BrutalSam_ et @Shadzey1 ont commencé à partager des infos sur cette fuite massive. Leurs posts ont rapidement été supprimés, mais le mal était fait puisque les clés et leurs "keyseeds" sont maintenant listées publiquement sur psdevwiki.com .

Pour comprendre pourquoi c'est si grave, il faut plonger un peu dans les entrailles de la bête. Ces clés BootROM, qu'on appelle aussi clés "Level 0", sont utilisées pour déchiffrer les premières étapes du démarrage de la console. Elles font partie de ce qu'on appelle la "Chain of Trust", la chaîne de confiance qui vérifie que chaque composant logiciel est bien légitime avant de passer la main au suivant. Le bootloader, le kernel, le système d'exploitation, tout repose sur cette fondation cryptographique.

Et le problème, c'est que ces clés résident dans la mémoire morte du processeur AMD de la PS5, définie lors de la fabrication. Sony ne peut pas les modifier avec une simple mise à jour firmware puisque la BootROM est par définition immuable. La seule solution serait de fabriquer de nouveaux APU avec des clés différentes, ce qui ne concernerait que les futures consoles. Les PS5 déjà vendues conserveront cette même clé, ce qui les rend potentiellement exposées à de futurs exploits.

Ça me rappelle l'exploit fusée-gelée de la Nintendo Switch. Dans ce cas-là, c'était une faille dans le code du bootROM Tegra (un bug permettant l'exécution de code) plutôt qu'une fuite de clés, mais le principe reste le même... une fois le processeur sorti d'usine, impossible de patcher. La PS3 avait connu un sort similaire en 2010-2011 avec l'incident fail0verflow .

Mais ne vous précipitez pas encore pour sortir vos tournevis car cette fuite ne constitue pas un jailbreak en soi. Avoir les clés permet d'analyser le processus de démarrage en détail, de comprendre ce qui était jusqu'ici une boîte noire. Mais pour exécuter du code non signé sur une console retail, il faut encore trouver un point d'entrée, un exploit, puis construire toute une chaîne de privilèges. C'est un travail de fond qui va prendre du temps...

On pourrait quand même voir apparaître des custom firmwares et des loaders de backups plus sophistiqués courant 2026. Ça va aussi faciliter le travail des équipes qui bossent sur l'émulation PS5 sur PC, puisqu'elles auront enfin une documentation complète du boot flow.

Sony n'a pas communiqué sur le sujet pour le moment, mais une révision matérielle avec de nouvelles clés reste une option possible pour les futures PS5, comme Nintendo l'avait fait après fusée-gelée. En attendant, tous les possesseurs actuels sont dans le même bateau, avec une console dont le cadenas vient de perdre sa clé maître !

Si vous avez acheté votre PS5 récemment en pensant qu'elle serait la plus sécurisée du lot, c'est raté. Mais si vous êtes du genre à bidouiller et que vous patientez sagement pour un futur jailbreak, 2026 s'annonce plutôt prometteur de ce côté-là...

Source

Fin de l’aide exceptionnelle de 6 000 euros pour l’embauche d’une personne en contrat de professionnalisation à compter du 1er mai 2024, diminution de la prime à l’embauche d’apprentis en février 2025 (passant de 6 000 à 5 000 euros pour les PME et 2 000 euros pour les grandes entreprises), création en juillet 2025 d’un reste à charge obligatoire de 750 euros pour les employeurs sur tout contrat d’apprentissage visant un diplôme Bac+3 ou supérieur… Le secteur de la formation est soumis à une baisse constante des aides qui accompagnement les entreprises dans leur recrutement d’alternants.

Début 2025, à l’occasion de la dixième édition du baromètre annuel du CESIN, le Club des Experts de la Sécurité de l’Information et du Numérique mentionnait explicitement l’alternance. 64 % des RSSI interrogés intégraient des étudiants en alternance, malgré certaines tensions budgétaires (-15 points sur les intentions d’augmentation des budgets cyber). Mais plus tard dans l’année, l’Insee prévoyait dans sa note de conjoncture datée de septembre 2025 la suppression d’environ 65 000 contrats d’alternance d’ici fin 2025, principalement au second semestre, en raison des réformes successives des aides. Ce contexte oblige les organismes de formation et les écoles – notamment celles spécialisées en cybersécurité – à se différentier pour continuer d’attirer à elles candidats et entreprises.

« L’effet d’annonce autour de la baisse des aides a pesé davantage que la mesure elle-même. Beaucoup de TPE ont renoncé à l’alternance par anticipation, en la jugeant plus coûteuse ou plus complexe, sans toujours mesurer l’impact réel. Résultat, nous avons constaté cette année un recul du placement de nos étudiants dans ce type de structures », analyse Vianney Wattinne, Directeur de CSB.School. Un constat partagé par Valérie de Saint Père, Présidente et cofondatrice de l’École 2600 : « C’est vrai qu’il y a une inquiétude, nous regardons avec attention quel sera l’effet de toutes ces mesures. Après plusieurs années de forte croissance, la tendance est en train de s’inverser. À fin août 2025, selon la DARES, il y avait déjà une baisse de 4 %, dont 20 % dans le secteur public. Il y a donc moins de postes ouverts ».

La dirigeante ajoute que ces mesures pourraient même avoir des conséquences contre-productives pour le tissu économique français : « Il faut faire attention à l’effet ciseaux, car à force de diminuer les aides, on risque de pénaliser les formations les plus exigeantes techniquement. Or, c’est précisément celles dont les entreprises et organisations ont besoin pour répondre aux enjeux de souveraineté, de défense et de conformité réglementaire, notamment vis-à-vis de NIS2 ».

Viser l’excellence pédagogique pour continuer d’attirer les étudiants et entreprises

Dans ce contexte de tensions budgétaires, la plupart des écoles de cybersécurité maintiennent un très haut niveau d’exigence dans leurs programmes. CSB School intègre ainsi les certifications comme autant de jalons obligatoires au cours de son cursus. Dès les premières années, les étudiants valident des certifications Google (Google Cloud Engineering Certificate) et AWS, adossées à des partenariats donnant accès à des environnements cloud professionnels. Le parcours se poursuit avec des certifications internationales, notamment le CEH (Certification Ethical Hacker) en troisième année, puis des certifications orientées gouvernance et conformité en fin de cycle, dont EBIOS RM et ISO 27001.

En toute fin de cursus, CSB School prépare les étudiants à la certification CISSP (Certified Information Systems Security Professional). « L’école a conçu un test blanc interne et finance les frais d’examen pour les étudiants qui le réussissent. Cela leur permet de se présenter officiellement à une certification parmi les plus exigeantes du secteur. Cette approche traduit un engagement direct de l’école sur la reconnaissance des compétences et sur l’employabilité, avec une validation externe systématique des acquis », précise Vianney Wattinne. 

Autre élément de différenciation, la qualité du corps enseignant. « 50 % de l’équipe permanente sont composés de professionnels de la cybersécurité, notamment notre directeur pédagogique qui est docteur en cybersécurité. Et tous nos intervenants sont des spécialistes du secteur. Cela signifie que nos interlocuteurs privilégiés, les RSSI, une fois convaincus de ce que nous pouvons leur apporter, vont négocier les budgets auprès du département RH, et non l’inverse », note Vianney Wattinne. 

Pour se distinguer de la concurrence, la CSB.School parie également sur la mise à disposition d’un environnement très opérationnel. « Un de nos éléments différenciants repose sur la pratique. La CSB School a mis en place des simulateurs et des mises en situation concrètes permettant aux étudiants de travailler sur du matériel en conditions quasi réelles. En cybersécurité industrielle, ils disposent d’un laboratoire avec plusieurs automates, certains sécurisés dès la conception, d’autres renforcés a posteriori. Un laboratoire réseau complète le dispositif, où les étudiants configurent physiquement des équipements, du câblage aux switchs en passant par les pare-feux, afin d’être confrontés aux usages réels du terrain », explique-t-il.

Finesse des parcours, réseau dense de partenaires et résultats en compétitions

De son côté, l’École 2600 se distingue par une structuration fine des parcours : Bachelor avec montée en puissance progressive vers l’alternance, puis Master entièrement en alternance, calé sur les rythmes et contraintes des entreprises. « Ce choix répond directement aux attentes du marché, qui ne considère pas les profils juniors comme immédiatement opérationnels. L’approche repose sur le learning by doing, une pratique intensive, des projets menés avec les entreprises partenaires et un encadrement renforcé, incompatible avec des logiques de formation à bas coût », déclare Valérie de Saint Père.

L’École 2600 revendique par ailleurs plus de 350 partenaires actifs, dont le ministère de l’Intérieur et celui des Armées. « Cette relation de long terme irrigue les programmes, les projets pédagogiques et surtout le placement des alternants. 98 % des contrats sont signés via le réseau de l’école, grâce à une équipe dédiée au matching entre besoins des organisations et compétences des étudiants, ce qui réduit fortement le risque perçu par les employeurs », commente Valérie de Saint Père.

Enfin, l’École 2600 peut s’enorgueillir de remporter de prestigieuses compétitions nationales et internationales. Elle s’est notamment distinguée dans plusieurs compétitions majeures de cybersécurité, notamment grâce à ses étudiants qui excellent dans les Capture The Flag (CTF). Ses élèves Mahel Brossier et Rayan Bouyaiche ont remporté la médaille d’or aux WorldSkills France en catégorie cybersécurité, les qualifiant pour les finales mondiales en 2026. De même, l’équipe composée de Dimitri Carlier, Rayan Bouyaiche, Mathis Lejosne et Oscar Gomez a quant à elle décroché la deuxième place à l’European Cyber Cup (EC2) lors du Forum InCyber (troisième place en 2024).

Sur le plan institutionnel, l’école a obtenu le premier prix dans la catégorie « Écoles -formations cyber » à la Cybernight 2023, soulignant la qualité de sa formation. Elle a aussi été lauréate France 2030, recevant une plaque des mains de Bruno Bonnell, Secrétaire général pour l’investissement, chargé du pilotage du plan France 2030. Ces succès s’inscrivent dans un palmarès enrichi par l’organisation de ses propres événements comme PwnMe, une finale CTF européenne regroupant de très nombreuses équipes étudiantes.

The post Alternance : face à la baisse des aides, les écoles cyber misent sur l’excellence appeared first on INCYBER NEWS.

Pour moi, 2024 a été l'année noire de nos données personnelles en France. Et 2025 n'a pas corrigé le tir, bien au contraire. L'année qui s'est écoulée a juste confirmé qu'on était entrés dans une espèce de routine du "demain ce sera pire". Y'a pas eu un secteur épargné, pas un organisme qui n'a pas été touché. Santé, télécom, grande distribution, services publics, fédérations sportives... C'est un festival du piratage qui s'est abattu sur l'Hexagone ces 2 dernières années.

Et SaxX, le hacker éthique que vous connaissez surement, vient de publier sur son LinkedIn un bilan édifiant : 48 organisations françaises piratées en un an. La liste fait froid dans le dos.

En réalité c'est même plus que ça, puisque ça a commencé dès février 2024 avec le piratage massif de Viamedis et Almerys, les deux opérateurs de tiers payant qui gèrent la quasi-totalité des remboursements santé en France. Plus de 33 millions de Français concernés, avec leurs noms, numéros de sécu, dates de naissance... Pas les données bancaires certes, mais suffisamment pour monter des arnaques à l'usurpation d'identité bien ficelées.

Un mois plus tard, en mars 2024, c'est France Travail qui tombait. L'ex-Pôle Emploi s'est fait siphonner les données de potentiellement 43 millions de personnes inscrites au cours des 20 dernières années. Le pire c'est que la direction avait été alertée sur des faiblesses de sécu avant l'attaque. Des suspects ont été arrêtés... et c'était des gamins. Des gamins qui ont quand même eu accès aux données de la moitié du pays.

Septembre 2024 a aussi été un carnage. Un seul pirate, sous le pseudo Horror404x, a réussi à compromettre Boulanger (jusqu'à 27 millions de "lignes" revendiquées), Cultura (entre 1,5 et 2,6 millions de comptes selon les sources), Truffaut (270 000 comptes), Grosbill, Cybertek, et même l'Assurance Retraite (des centaines de milliers de retraités). Comment ? Simplement en ciblant un prestataire commun lié aux systèmes de livraison. Un seul maillon faible, et c'est toute la chaîne qui cède.

Puis en octobre-novembre 2024, ce sont les opérateurs télécoms qui se sont fait dépouiller. Free d'abord, avec plus de 19 millions de clients touchés, dont plusieurs millions avec des IBAN dans la nature. Et là, on est dans le bingo complet avec identité + coordonnées + infos contractuelles + IBAN = terrain parfait pour les arnaques "faux conseiller", les prélèvements frauduleux, les ouvertures de comptes. Ces derniers risquent d'ailleurs une amende pouvant aller jusqu'à 48 millions d'euros . Puis SFR a suivi avec au moins deux épisodes : une première fuite autour de 50 000 clients à l'automne 2024, puis des millions revendiqués ensuite. N'oubliez pas, quand ça nie, quand ça minimise, quand ça traîne... ça laisse juste plus de temps aux escrocs.

Et autour de ces gros blocs, y'a eu surtout une pluie d'incidents plus petits : Auchan, Picard, Molotov, LDLC, Norauto, Meilleurtaux... Sans oublier Direct Assurance, Speedy, Point S. Bref, 2024, c'est l'année où on a compris que ça touchait TOUT LE MONDE.

Et puis 2025 arrive, et là, le grand délire. Le piratage de nos données n'est plus une exception... Ce n'est plus un accident... C'est une industrie.

Début 2025, on voit apparaitre à nouveau des attaques "système"... C'est à dire des fournisseurs, des prestataires, des outils utilisés partout qui se font poutrer. L'exemple parfait c'est Harvest (logiciels financiers) et, par ricochet, des clients de MAIF et BPCE. Même logique que ce qu'on a eu en 2024... On tape un intermédiaire, et ça permet de toucher une grappe entière dans un secteur donné. Puis sans surprise, au printemps 2025, ça tombe comme des mouches : Intersport, Autosur, Cerballiance, Indigo, Afflelou, Carrefour Mobile, Easy Cash, Hertz... Et derrière chaque nom, c'est toujours la même chanson : "pas de données bancaires" (ok), mais tout le reste suffit largement pour faire de la merde.

L'été 2025, on a eu droit à des cibles plus "haut niveau" : Sorbonne Université, CNFPT, des acteurs santé, et côté marques : Dior, Louis Vuitton, Cartier... Côté transport y'a eu Air France et côté télécom, Bouygues Telecom ! On n'est plus sur un site e-commerce qui s'est fait péter via un formulaire php mal sécurisé...non, on est sur du volume, des identifiants, des IBAN, des chaînes d'approvisionnement complètes...

Ensuite, à l'automne 2025, c'est la sphère "sport" et "administrations" qui se fonbt hacher menu : des fédérations en cascade (souvent via des outils mutualisés), France Travail qui ressort encore, la Fédération Française de Tir (via un prestataire), et des histoires d'ARS qui donnent des sueurs froides.

Et la fin 2025, c'est la cerise radioactive sur le gâteau puisqu'on a Pajemploi, HelloWork, Leroy Merlin, Mondial Relay, Colis Privé, Eurofiber, Weda, Resana, Médecin Direct, Cuisinella, La Poste (attaque qui met à l'arrêt des services au pire moment, je pense que vous en avez tous entendu parler), le Ministère de l'Intérieur, le Ministère des Sports, PornHub...

On termine donc l'année en beauté avec l'impression que tout le monde est une cible "normale". 9 personnes sur 10 en France ont été touchées d'après SaxX. C'est dingue quand même.

Et ce qui me fait bouillir de rage, c'est qu'on est coincés, putain.

Réfléchissez deux secondes... Vous cherchez un emploi ? Vous êtes OBLIGÉS de vous inscrire à France Travail et de leur filer votre vie entière. Vous voulez être remboursé de vos frais de santé ? Pas le choix, c'est Viamedis ou Almerys. Vous voulez un téléphone ? Free, SFR, Orange... Et votre numéro de sécu, votre IBAN, votre adresse. Vous voulez une retraite (loool) ? La CNAV veut tout savoir. Et si vous refusez de donner ces infos ? Vous êtes tout simplement hors-la-loi. Pas d'emploi, pas de remboursement santé, pas de téléphone, pas de retraite. Fin de partie.

Donc le deal c'est soit vous filez vos données personnelles à des organismes qui se feront pirater tôt ou tard, soit vous vivez en ermite dans une grotte en dehors de la société. Super choix 👍.

Et qu'est-ce qu'on a en échange de cette "confiance" forcée ?

On a des systèmes d'information qui ressemblent à des passoires, des prestataires sous-payés qui deviennent des portes d'entrée open bar pour les hackers, et des communications de crise qui arrivent des semaines après les faits. "Vos données bancaires ne sont pas concernées" nous rabache-t-on à chaque fois, comme si c'était une consolation alors que notre identité COMPLÈTE est en vente pour le prix d'un Happy Meal.

Et ce qui m'inquiète le plus, c'est l'effet cumulatif car chaque fuite isolée peut sembler "gérable" mais quand vous croisez les bases de Viamedis (numéro de sécu), France Travail (historique pro), un opérateur télécom (IBAN), un distributeur (habitudes de conso)... Vous obtenez un profil complet exploitable. Y'a 600 millions de comptes qui sont partis dans la nature rien que cette année... Donc de quoi monter des arnaques ultra-ciblées, des usurpations d'identité sophistiquées, voire du chantage.

Et dans certains cas, ça va encore plus loin... Regardez le piratage de la Fédération Française de Tir avec le gars qui s'est fait attaquer chez lui ...Et c'est pas le seul... Ça montre jusqte à quel point une fuite peut devenir un risque "hors écran". Quand on sais qui est licencié, où il habite, comment le joindre... on peut mettre en place très facilement du repérages, des pressions, du ciblage. Et là, j'vous parle de risque physique, pas juste de spam ou de démarchage au téléphone. Et ça sera la même violence avec leur future loi pour collecter toutes les datas des propriétaires de wallet crypto self-custody.

Bref, je sens ce malaise qui monte de plus en plus car on nous demande toujours plus d'infos. Pour ouvrir un compte, pour s'inscrire quelque part, pour accéder à un service... et vous comme moi, savons pertinemment que ces infos vont fuiter un jour. C'est pas "si", c'est "quand", perso, j'en ai ma claque... ça commence à bien faire.

Alors voilà ma vraie question, celle que nos chers élus devraient se poser : A-t-on vraiment besoin de collecter autant de données ?

Pourquoi France Travail a besoin de garder mes infos pendant 20 ans ? Pourquoi mon opérateur télécom doit connaître mon adresse postale exacte ? Pourquoi ma carte de fidélité Auchan doit être liée à mon identité complète ? Est-ce qu'on pourrait pas, je sais pas moi, minimiser un peu tout ça ?

Et surtout, est-ce qu'on pourrait pas trouver un système qui nous permettrait de prouver notre identité sans avoir à déballer notre vie entière ? Genre juste vérifier que oui, je suis majeur, que oui, j'habite en France, sans pour autant filer mon adresse, mon numéro de téléphone, ma photo, ma carte d'identité et la liste de tous mes comptes en banque. Ces technologies existent et y'a déjà des solutions de type zero-knowledge proof. Ça fait des années que je vous en parle, mais apparemment, c'est plus simple de continuer à empiler des bases de données géantes qui finiront toutes par être piratées.

On a une CNIL qui fait ce qu'elle peut avec les moyens du bord. On a une ANSSI qui alerte et recommande. Mais où est la vraie réflexion ? Où sont les députés et les ministres qui se posent la question de la minimisation des données ? Où est le débat sur les alternatives à ce système de merde où le citoyen est obligé de tout donner pour exister socialement ?

Parce que là, on nous demande de "rester vigilants face au phishing" (lol), de "vérifier nos comptes", de "changer nos mots de passe régulièrement"... Bref, de gérer les conséquences de leurs négligences. C'est un peu comme demander aux passagers du Titanic de vider l'eau avec des seaux pendant que le capitaine continue à foncer droit sur l'iceberg suivant.

Voilà, pour moi ce bilan 2024-2025, c'est pas juste une liste de chiffres. C'est le symptôme d'une société qui a numérisé jusqu'à l’écœurement nos vies en marche forcée sans jamais se poser les bonnes questions. On a foncé tête baissée dans la collecte massive de données "parce que c'est pratique, tkt", sans jamais se demander si on en avait vraiment besoin, et sans jamais investir sérieusement pour les protéger.

Alors à nos chers décideurs, j'ai envie de dire réveillez-vous bande de moules !! Car le prochain gros piratage, c'est pas dans 10 ans, hein, c'est dans les prochains mois. Et ce sera encore 30 ou 40 millions de Français qui verront leurs données dans la nature. Ça vous semble normal ? Moi non, et je mettrais ma main à couper que je suis pas le seul à en avoir ras-le-bol.

Merci à SaxX pour ce travail de compilation et d'alerte !

Vous avez un Steam Deck, un Lenovo Legion Go ou un ROG Ally qui traîne dans un coin parce que pas le temps de jouer, vous avez trop de boulot... Je connais bien vous inquiétez pas.

Mais si je vous disais que ce petit truc qui prend la poussière peut devenir votre meilleur allié pour les audits de sécurité discrets ?

Mais siii ! J'vous jure !

C'est en tout cas ce que propose Balor , un framework offensif fraîchement sorti et développé par Jean-Claude Charrier , qui grâce à ça peut d'un coup, transformer votre console gaming en une station de pentest portable.

Son concept est parti d'un constat simple... Quand vous débarquez en mission de pentest avec un cahier des charges qui exige de la discrétion, sortir un WiFi Pineapple c'est un peu comme débarquer en costard dans un festival de métal. Ça se voit !! Mais avec une console portable gaming par contre, vous avez juste l'air d'un type qui fait une pause entre deux réunions.

Ni vu ni connu, j't'embrouille !

Balor tourne sous CachyOS et Arch Linux, s'installe en une dizaine de minutes et embarque pas moins de 8 stacks pour environ 130 options au total. Côté WiFi, vous avez aircrack-ng, wifite, bettercap et même des versions de Wifiphisher réécrites spécialement pour Python 3.13. Pour l'OSINT, c'est Maltego, theHarvester, Shodan et compagnie. Et y'a aussi du Metasploit, Burpsuite, Nmap, Masscan, SQLMap, Hashcat, John the Ripper... Bref, la totale.

Le truc sympa c'est que tout passe par un wrapper unique appelé "balorsh". Vous tapez balorsh wifi et hop, le menu WiFi apparaît ! Pareil pour balorsh llm qui lance un assistant IA local via Ollama avec des personas adaptés comme Red Team pour l'offensif, Blue Team pour le défensif, Purple Team pour mixer les deux...etc.

L'installation se fait via un script qui dépose tout dans /opt/balorsh/data/ et la désinstallation est tout aussi propre. En plus chaque stack est modulaire, donc si vous n'avez besoin que du cracking de mots de passe, vous installez juste cette partie. Pour les sysadmins qui voudraient comprendre les workflows pentest sans se taper toute la doc, c'est aussi un bon point d'entrée. Genre enchaîner theHarvester, amass, massdns et httprobe pour du recon, ça devient accessible même sans être certifié OSCP ^^.

Côté limitations, Balor reste exclusif à l'écosystème Arch/CachyOS mais rassurez-vous, un portage Debian est envisagé si la demande suit.

Perso je trouve l'approche vraiment bien trouvée et le fait que ce soit un projet français plutôt qu'une énième distro sécu américaine corporate, ça fait plaisir. Voilà, par contre comme d'hab, c'est un outil pour les audits autorisés uniquement avec contrat signé, et pas pour aller embêter le WiFi du voisin, hein ^^.

Alors déconnez pas !

Encore merci à Jean-Claude d'avoir partager sa création avec moi.

Si vous utilisez MongoDB, accrochez-vous bien parce que là, c'est du lourd. Une faille critique baptisée MongoBLEED vient d'être découverte et elle touche à peu près toutes les versions de MongoDB sorties depuis 2017. Sept ans de versions vulnérables, c'est un chouette record, je trouve ^^.

Le problème avec cette CVE-2025-14847, c'est qu'elle exploite la compression zlib des messages. En gros, quand un attaquant envoie un message compressé mal formé avec des paramètres de longueur trafiqués, MongoDB se met à recracher des bouts de sa mémoire heap sans broncher. Et dans cette mémoire, on peut trouver des trucs sympa genre des mots de passe, des tokens d'authentification, des clés de chiffrement... Bref, le jackpot pour un attaquant.

Le pire dans tout ça c'est que y'a pas besoin d'être authentifié pour exploiter la faille. Si votre instance MongoDB est accessible depuis le réseau, n'importe qui peut s'y connecter et commencer à siphonner votre mémoire. C'est exactement le même genre de cauchemar que Heartbleed en 2014, d'où le petit surnom affectueux.

Du coup, qui est concerné ?

Hé bien à peu près tout le monde... Les versions 3.6.0 jusqu'à 8.0.16 sont touchées, ce qui représente selon les chercheurs de Wiz environ 42% des environnements cloud. Il y aurait donc plus de 87 000 instances MongoDB exposées sur Internet et le problème, c'est que depuis le 26 décembre 2025, des exploitations actives ont été détectées dans la nature. Joyeux Noël !!

La bonne nouvelle, c'est que le fix est simple. Soit vous mettez à jour vers une version patchée (8.2.3+, 8.0.17+, 7.0.28+, 6.0.27+, 5.0.32+ ou 4.4.30+), soit vous désactivez la compression zlib en attendant. Pour ça, c'est dans la config réseau de MongoDB, paramètre compressors qu'il faut virer le zlib.

Pour vérifier si vous êtes vulnérable, un petit nmap sur le port 27017 avec le script mongodb-info vous dira quelle version tourne. Vous pouvez aussi regarder les logs réseau pour détecter des connexions suspectes avec des messages compressés anormalement petits suivis de réponses anormalement grandes. C'est le signe qu'un petit malin est en train de vous pomper la mémoire.

Bref, si vous avez du MongoDB qui traîne quelque part, c'est le moment de faire un petit tour dans vos infras. Parce que là, c'est quand même d'une faille qui permet à n'importe qui d'aspirer vos données sensibles sans même avoir besoin d'un mot de passe. Ubisoft en a fait les frais et ça pique !

Source