Si l'Agence nationale des fréquences avait mis en demeure Google pour le Pixel 9, ce n'était pas en raison du niveau d'exposition aux ondes électromagnétiques, mais pour une affaire de contrôle parental.
Vous avez peut-être vu passer ces quelques derniers jours des actualités pointant vers la fin du support d’anciens GPU NVIDIA par Arch Linux. Ce n’est pas tout à fait ça, même si le résultat y ressemble.
À l’origine, on trouve la publication des pilotes 590 de NVIDIA. C’est bien cette version, sortie début décembre, qui met fin au support officiel des GPU des générations Maxwell et Pascal, c’est-à-dire les GeForce GTX des séries 900 et 1000.
Cette fin de support, annoncée il y a plusieurs années, signifie que NVIDIA n’ajoute plus d’optimisations spécifiques ni de prises en charge de jeux en particulier. Les GPU continuent de fonctionner avec la version précédente des pilotes (de la branche 580). En outre – et c’est une information importante – le support complet n’est pas coupé : les mises à jour de sécurité continueront d’arriver jusqu’en octobre 2028.
Pourquoi un problème particulier avec Arch Linux dans ce cas ? À cause du fonctionnement en « rolling release », à savoir la diffusion quasi immédiate des dernières nouveautés logicielles. Le pilote 590 de NVIDIA y a été diffusé, avec utilisation par défaut. Ce n’est pas sans conséquence sur des systèmes appliquant toutes les mises à jour quand un pilote supprime un support.
Pour Arch Linux, la situation a été expliquée le 20 décembre par Peter Jung, l’un des mainteneurs du système (et créateur de cachyOS, distribution spécialisée dans le jeu vidéo). Il y indique que la nouvelle série 590 supprime le support des générations Pascal et antérieures, et que des remplacements de paquets sont donc appliqués : nvidia par nvidia-open, nvidia-dkms par nvidia-open-dkms, et nvidia-lts par nvidia-lts-open.
Il avertissait également que la mise à jour des paquets NVIDIA sur des systèmes intégrant ces anciens GPU entraînerait l’échec de chargement du pilote et donc celui de l’environnement graphique. La seule solution est de désinstaller les paquets nvidia, nvidia-lts et nvidia-dkms, puis d’installer le paquet nvidia-580xx-dkms depuis le dépôt AUR.
Il ajoute que rien ne change pour les GPU datant d’au moins la génération Turing, qui comprend la série 2000 des GeForce, mais également la série 1600. Cette dernière est en effet basée sur Turing, mais débarrassée des capacités de ray tracing. Les GeForce 1660 Ti, notamment, ne sont ainsi pas concernées par l’abandon de support dans le pilote 590.
Reste que la décision d’Arch Linux de procéder ainsi a provoqué de nombreuses réactions, comme on peut le voir dans les commentaires de sites tels que Phoronix et TechPowerUp. Plusieurs personnes manifestent de l’incompréhension face à une méthode jugée un peu trop radicale, indiquant qu’une détection automatique aurait pu être mise en place.
Enfin, précisons que cet arrêt de support n’est pas spécifique à la sphère Linux : Windows est lui aussi concerné. Le problème est cependant différent, car l’application NVIDIA n’installera pas d’elle-même la mise à jour, et Windows Update ne devrait pas non plus la proposer. Si l’on veut télécharger le pilote depuis le site officiel, l’outil intégré permet d’envoyer vers la bonne version. Si vous avez par exemple une GeForce GTX 1060, la version proposée au téléchargement est la 581.80.
Pour ne rater aucun bon plan, rejoignez notre nouveau channel WhatsApp Frandroid Bons Plans, garanti sans spam !
Comment résistent les voitures électriques quand le thermomètre chute à −25 °C ? En Mongolie, un test hivernal XXL mené sur 67 modèles (principalement chinois) révèle des écarts spectaculaires d’autonomie, de consommation et de recharge.
Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !
Google Photos va débarquer sur de nouveaux appareils. Samsung vient de confirmer que l'application allait bientôt être ajoutée à ses téléviseurs afin de permettre aux utilisateurs de regarder leurs souvenirs sur grand écran. Le constructeur sud-coréen grille étonnamment la politesse à Google TV.
L’article Google Photos arrive enfin sur ces TV mais pas sur celles que vous croyez est apparu en premier sur Toms Guide.
Abonnez-vous à Frandroid sur Google pour ne manquer aucun article !
Realme s'apprêterait à dévoiler un smartphone avec une batterie de 10 001 mAh, alors que la moyenne tourne plutôt autour des 4000-5000 aujourd'hui. Honor, pour prendre la première place, prépare de son côté un appareil avec… 10 080 mAh.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Une faille MongoDB laisse fuiter des données sensibles des serveurs, y compris des mots de passe et des clés secrètes. Le danger est réel, d’autant plus que la faille existe depuis plus de huit ans et que des preuves de concept sont librement disponibles sur Internet. Des correctifs sont disponibles, à déployer au plus vite si ce n’est pas encore fait !
MongoDB est de nouveau victime d’une vilaine faille de sécurité, baptisée cette fois CVE-2025-14847. « De multiples vulnérabilités ont été découvertes dans MongoDB Server. Certaines d’entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une atteinte à l’intégrité des données », explique le CERT-FR.
Le CERT Santé français donne quelques détails sur la faille et ses conséquences. Elle est exploitable par le réseau avec une complexité « faible » et ne nécessite aucun privilège, ce qui explique sa dangerosité. Dans tous les cas, elle ne permet pas d’obtenir des privilèges plus élevés, mais tout de même d’accéder à des « espaces mémoire non initialisés sans authentification ».
Cette vulnérabilité rappelle Heartbleed qui avait secoué Internet il y a plus de 10 ans, avec des conséquences parfois très graves.
Le CVE lui attribue une note de dangerosité de 7,5 sur 10 dans la version 3.1 du CVSS et de 8,7 sur 10 pour la version 4.0. L’alerte date du 19 décembre 2025 et fait suite à cinq bulletins de sécurité publiés par MongoDB les 25 novembre (1, 2 et 3), le 9 décembre (4) et enfin le 19 décembre (5). Le CERT indiquait le 23 décembre que la faille n’était pas activement exploitée… mais la situation va rapidement changer.
Dans le dernier bulletin de MongoDB, on peut lire que la faille concerne toutes les versions de MongoDB Server à partir de la 3.6. Le bug a été ajouté dans ce commit du 1ᵉʳ juin 2017… il y a donc plus de huit ans. Il est ensuite resté dans les versions plus récentes, de la 4.x à la 8.2 en passant par les 5.x, 6.x et 7.x. Des correctifs sont disponibles avec les versions 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 et 4.4.30. Les moutures 4.2, 4.0 et 3.6 de MongoDB sont donc laissées sur le côté.
Si vous ne pouvez pas mettre à jour rapidement, MongoDB recommande de « désactiver la compression zlib sur le serveur MongoDB en démarrant mongod ou mongos avec l’option networkMessageCompressors ou net.compression.compressors qui exclut explicitement zlib ».
Selon un rapport du moteur de recherche Censys (un concurrent de Shodan), plus de 87 000 bases de données seraient vulnérables.
Dans une mise à jour, le CERT Santé affirme maintenant qu’une preuve de concept « est disponible en sources ouvertes », permettant donc à n’importe qui d’exploiter facilement cette brèche si elle n’est pas corrigée. Les documents nécessaires pour créer un outil afin d’exploiter cette brèche ont été mis en ligne dans la nuit du 25 au 26 décembre sur un dépôt GitHub, soit une semaine après l’annonce de MongoDB et la mise en ligne des correctifs, en pleine période de préparation des fêtes de fin d’année.
Ils ont été publiés par un utilisateur qui serait responsable technique chez Elastic Security, qui se présente comme une « plateforme open source qui optimise la recherche, l’observabilité et la sécurité ». Le chercheur en cybersécurité Kevin Beaumont affirme avoir testé le PoC et confirme « que cet exploit est réel ».
C’est visiblement aussi simple à exploiter que HeartBleed, avec les mêmes dangers : « il suffit de fournir l’adresse IP d’une instance MongoDB et elle commencera à dénicher en mémoire des choses comme les mots de passe de base de données (qui sont en texte brut), les clés secrètes AWS, etc. », détaille Kevin Beaumont.
Ce dernier ajoute qu’une « autre entreprise a jugé bon de publier des détails techniques la veille de Noël » ; il s’agit d’Ox Security. Le ton est volontairement sarcastique car le calendrier est tout sauf idéal. La faille peut se révéler extrêmement dangereuse et publier les détails techniques de son exploitation permet à quasiment n’importe qui de tenter sa chance. Plusieurs s’étonnent d’ailleurs de voir des experts ainsi publier les détails d’exploitation d’une faille de sécurité aussi sensible, surtout en pleine période de fête.
Nous en parlions avec des experts en cybersécurité lors des Assises de Monaco en octobre dernier : « Quand une vulnérabilité est rendue publique avec son code d’exploitation, des acteurs malveillants vont lancer une campagne sur l’ensemble d’Internet en mode « /0 » pour tester si des sites ou services sont vulnérables ». Désormais, le plus difficile est presque d’estimer le bon montant de la rançon.
Publier ainsi des PoC revient à faciliter la vie des pirates, comme relayer tout et n’importe quoi sur les fuites de données… et ainsi se faire les « commerciaux » des pirates. Un sujet sensible, qui nécessite souvent des vérifications incompatibles avec la course à l’information. Next a déjà depuis longtemps choisi son camp sur ce point.
Que des chercheurs en cybersécurité postent des preuves de concepts et des détails techniques en plein pendant le réveillon n’est certainement pas l’idée de l’année… même s’il faut aussi reconnaitre que laisser des serveurs vulnérables pendant une semaine n’est pas mieux.
Aussi bien de la part du chercheur de chez Elastic Security que chez Ox Security, on ne trouve aucune précision sur comment détecter une exploitation de cette vulnérabilité dans les journaux par exemple. Un autre expert en cybersécurité s’est attelé à la tâche : Eric Capuano. Sur son blog, il recommande évidemment d’appliquer les correctifs, mais ajoute que « le patch seul ne suffit pas — il faut savoir si vous avez été ciblé avant le patch ».
Il explique que la particularité de cette brèche est qu’elle ne semble « détectable que dans les journaux du serveur MongoDB, qui ont très peu de chance d’être transmis à un système SIEM [Security Information and Event Management ou gestion des événements et des informations de sécurité, ndlr], et nécessite une logique relativement complexe qui pourrait être difficile à intégrer à la plupart des moteurs de détection SIEM ». Il propose un « artefact » pour Velociraptor, une plateforme open source de collecte et d’analyse. Si vous avez d’autres moyens de vérifier ce qu’il en est, n’hésitez pas à nous le signaler via les commentaires.
Ce n’est pas la première fois que MongoDB défraye la chronique. On se souvient par exemple en 2015 que plusieurs dizaines de milliers de bases de données étaient ouvertes aux quatre vents. Pas à cause d’une faille, mais d’un défaut de configuration avec des administrateurs qui laissaient les bases accessibles depuis n’importe quelle adresse IP. MongoDB avait alors réagi avec quasiment un simple RTFM (Read The Fucking Manuel). Deux ans plus tard, rebelote. En 2023, MongoDB s’était fait pirater et des données de ses clients avaient été dérobées.
Abonnez-vous à Frandroid sur Google pour ne manquer aucun article !
Pour ne rater aucun bon plan, rejoignez notre nouveau channel WhatsApp Frandroid Bons Plans, garanti sans spam !
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Le calme habituel des parties en ligne de Rainbow Six Siege a été brutalement interrompu ce week-end, à la suite d’une cyberattaque qui a compromis les serveurs du jeu pendant plusieurs heures.
L’article Tout débloqué, comptes bannis : Rainbow Six Siege victime d’une attaque de hackers est apparu en premier sur Toms Guide.
Connexion