Bon, j’étais un petit peu occupé aujourd’hui parce que c’est mercredi et c’est le jour des enfants, mais je ne pouvais pas finir ma journée sans vous parler de cette histoire incroyable.

Si vous faites partie des gens qui utilisent des sites comme JSONFormatter ou CodeBeautify pour rendre votre JSON lisible ou reformater du code, et bien figurez-vous que des chercheurs en sécu viennent de découvrir que ces outils ont laissé fuiter des tonnes de données sensibles durant des années. Et quand je dis tonnes, c’est pas une figure de style puisque ce sont plus de 80 000 extraits de code contenant des credentials en clair qui ont fuité, soit plus de 5 Go de données.

En effet, les chercheurs de WatchTowr ont découvert que la fonction “Recent Links” de ces plateformes permettait d’accéder à tous les bouts de code collés par les utilisateurs. Les URLs suivaient un format prévisible, ce qui rendait le scraping automatique hyper fastoche pour n’importe qui, et c’est comme ça qu’on a découvert que JSONFormatter a exposé durant 5 ans de données les données de ses utilisateurs. Et du côté de CodeBeautify, ça a duré 1 an.

Les chercheurs ont mis la main sur des identifiants Active Directory, des identifiants de bases de données et services cloud, des clés privées de chiffrement, des tokens d’accès à des repos Git, des secrets de pipelines CI/CD, des clés de passerelles de paiement, des tokens API en pagaille, des enregistrements de sessions SSH, et même des données personnelles de type KYC. Bref, le jackpot pour un attaquant, quoi.

Et côté victimes, c’est un festival puisqu’on y retrouve des agences gouvernementales, des banques, des assurances, des boîtes d’aéronautique, des hôpitaux, des universités, des opérateurs télécom… et même une entreprise de cybersécurité. On a même retrouvé les credentials AWS d’une bourse internationale utilisés pour leur système Splunk, ainsi que des identifiants bancaires provenant de communications d’onboarding d’un MSSP (Managed Security Service Provider). C’est cocasse comme dirait Macron.

Et pour prouver que le problème était bien réel et exploitable, les chercheurs de WatchTowr ont utilisé un service appelé Canarytokens dont je vous ai déjà parlé. Ils ont implanté de faux identifiants AWS sur les plateformes et ont attendu de voir si quelqu’un y accédait…

Résultat, quelqu’un a tenté de les utiliser 48 heures après que les liens étaient censés avoir expiré, et 24 heures après leur suppression supposée. Les données restaient donc accessibles bien au-delà de ce que les utilisateurs pouvaient imaginer.

Et le pire dans tout ça c’est qu’au moment de la publication des articles, les liens “Recent Links” étaient toujours accessibles publiquement sur les deux plateformes. Bref, aucune correction n’a été déployée.

Donc, voilà, si vous avez utilisé ces outils par le passé et que vous y avez collé du code contenant des identifiants et autres clés API (même par inadvertance), c’est le moment de faire une petite rotation de vos secrets.

Et même si c’est une évidence, de manière générale, évitez de balancer du code sensible sur des outils en ligne dont vous ne maîtrisez pas la politique de conservation des données.

Source

Acheter des applications à -77% c'est possible. On vous explique comment.

Logiciel de généalogie disponible gratuitement et en français...

Apple travaille déjà sur iOS 27, la prochaine version du système d'exploitation de la pomme, avec des nouveautés à la pelle.

À vos cartes bancaires, prêts… !

Navigateur Web performant et personnalisable...

Outil permettant d'effectuer près d'une cinquantaine d'opérations sur les fichiers PDF : division, fusion, conversion, réorganisation, ajout d'images, rotation, compression...

Convertissez en toute simplicité vos documents en PDF...

Si vous cherchez un Mac abordable, mieux vaut ne pas rater ce bon plan qui peut vous faire économiser plus de 200 €.

Sublimez vos images/photos...

Alors que le démarrage de l’iPhone 16 ne s’était pas passé comme prévu pour Apple l’an dernier, le smartphone a dû se conformer, très tardivement, à des obligations françaises sur le contrôle parental. En effet, après une mise en demeure de l’ANFR, Apple a ajusté iOS 26 pour aligner son smartphone avec la loi de […]

Google avance ses pions pour 2026 avec un projet qui pourrait tout changer sur le marché des ordinateurs personnels : Aluminium OS. Ce nouveau système d’exploitation, désormais confirmé par des détails dans des offres d’emploi et des déclarations internes, marque une volonté assumée de fusionner l’univers Android avec une expérience complète sur PC. Une stratégie […]

Après plusieurs mois de test aux États-Unis, la nouvelle version de l’assistant vocal, désormais propulsée à l’intelligence artificielle générative, arrive en bêta auprès d’un panel d’utilisateurs français. Une phase décisive pour Amazon, qui souhaite transformer en profondeur l’expérience vocale dans son écosystème. Aux États-Unis, Alexa+ est proposée à 19,99 dollars par mois, mais com pour […]

Alors que le marché de l’intelligence artificielle se structure autour de géants déjà bien établis, un nouveau duel prend forme. Au coeur des débats, on retrouve désormais la suprématie future sur les puces capables d’entraîner et d’exécuter les modèles les plus avancés. D’un côté, Nvidia et sa domination quasi-totale, et de l’autre, Google qui opère […]

Le mouvement était annoncé depuis plusieurs mois, et même depuis le début de l’année avec le rachat de Humane : la transformation guidée par l’IA atteint désormais les structures mêmes des entreprises technologiques les plus établies. Jusqu’à 6 000 postes supprimés d’ici 2028 HP en offre un exemple saisissant, avec un plan social qui marque […]

L’intelligence artificielle n’épargne pas la création musicale, et les maisons de disques cherchent désormais une voie qui protège leurs catalogues, tout en ouvrant la porte à de nouvelles sources de revenus. Alors que les premiers artistes IA émergent, comme Xania Monet, Warner Music Group (WMG) et Suno viennent d’annoncer un partenariat qui met fin à […]

Après la sortie de « Shopping research » d’OpenAI, c’est désormais au tour de Perplexity de franchir une nouvelle étape dans son ambition de devenir un assistant polyvalent. À l’approche du Black Friday et des fêtes, la plateforme dévoile une fonctionnalité de shopping en ligne capable d’accompagner l’utilisateur dans ses choix, de la recherche du bon produit […]

Diminuer son usage des réseaux sociaux pendant sept jours pourrait alléger une partie de la charge mentale des jeunes adultes : c’est ce que révèle une nouvelle étude publiée dans JAMA Network Open. Entre Facebook, TikTok, Instagram ou Snapchat, les 18-24 ans sont parmi les utilisateurs les plus assidus… mais aussi parmi les plus exposés […]

OpenAI vient d’activer l’une des fonctionnalités les plus attendues par les grands comptes : la possibilité de choisir la région où leurs données sont stockées. Comme le signale OpenAI dans son communiqué, l’entreprise élargit désormais ses zones de résidence des données à l’Europe, mais aussi au Royaume-Uni, aux États-Unis, au Canada, au Japon, à la […]

Il y en aura pour tous les goûts, mais pas forcément pour tous les budgets.

Ces batteries externes et chargeurs Anker en promo n'attendent plus que vous !

C'est une chance inouïe de vous procurer le meilleur casque audio sans fil d'Apple en promo.

Apple pourrait redevenir l'entreprise avec la plus haute valorisation au monde, grâce à Google et Meta.

Un iPad se retrouve bien malgré lui au coeur d'un procès autour de la mort accidentelle de l'ancien joueur de baseball Tyler Skaggs.