Moltbook : une mauvaise configuration Supabase expose 1,5 M de tokens et permet la modification de contenus

Selon Wiz (blog), une analyse non intrusive du rĂ©seau social d’agents IA Moltbook a mis au jour une clĂ© Supabase exposĂ©e dans le JavaScript client, pointant vers une base de production sans Row Level Security, ce qui a permis un accĂšs anonyme en lecture et en Ă©criture Ă  de nombreuses tables jusqu’à la correction appliquĂ©e en plusieurs Ă©tapes. Impact et donnĂ©es exposĂ©es. L’équipe Wiz a constatĂ© l’exposition de 1,5 million de tokens d’authentification d’API, d’environ 35 000 adresses e‑mail (tables owners et observers) et de 4 060 messages privĂ©s entre « agents », certains contenant des clĂ©s OpenAI en clair. Les enregistrements d’agents incluaient des secrets sensibles (api_key, claim_token, verification_code), rendant possible une usurpation complĂšte d’identitĂ© et l’interaction Ă  la place de n’importe quel agent, y compris des comptes Ă  forte « karma ». ...

4 fĂ©vrier 2026 Â· 3 min

OpenClaw: plus de 1 800 instances d’agents IA exposent clĂ©s API et historiques, Cisco alerte sur un « cauchemar » sĂ©curitĂ©

Selon VentureBeat, l’agent IA open source OpenClaw (ex-Clawdbot/Moltbot) connaĂźt un essor fulgurant, mais des scans Internet ont rĂ©vĂ©lĂ© plus de 1 800 instances exposĂ©es divulguant des clĂ©s API, des historiques de chats et des identifiants. Des chercheurs et des Ă©quipes sĂ©curitĂ© (Cisco, IBM Research) soulignent que les agents IA crĂ©ent une surface d’attaque sĂ©mantique que pare-feu, EDR et SIEM voient mal, en particulier sur du BYOD. ‱ Pourquoi les pĂ©rimĂštres Ă©chouent ⚠: les attaques visent la sĂ©mantique (ex. « Ignore previous instructions ») plutĂŽt que des signatures de malware. La « trifecta lĂ©tale » dĂ©crite par Simon Willison — accĂšs Ă  des donnĂ©es privĂ©es, exposition Ă  du contenu non fiable, et communication externe — est rĂ©unie dans OpenClaw, permettant des fuites sans alerte. Les SOC voient un HTTP 200 et du comportement process standard, alors que l’attaque est dans le raisonnement du modĂšle. ...

4 fĂ©vrier 2026 Â· 3 min

RFC 9849 : Publication du standard TLS Encrypted Client Hello (ECH) par l'IETF

🌐 Contexte PubliĂ© le 3 mars 2026 sur le datatracker de l’IETF (https://datatracker.ietf.org/doc/rfc9849/), ce document constitue la RFC 9849, un standard de la catĂ©gorie Standards Track produit par le groupe de travail TLS de l’IETF. Les auteurs sont Eric Rescorla (Independent), Kazuho Oku (Fastly), Nick Sullivan (Cryptography Consulting LLC) et Christopher A. Wood (Apple). 🔐 Objet du standard La RFC 9849 spĂ©cifie le mĂ©canisme TLS Encrypted Client Hello (ECH), une extension TLS permettant aux clients de chiffrer leur message ClientHello sous la clĂ© publique du serveur. Ce mĂ©canisme protĂšge notamment : ...

4 fĂ©vrier 2026 Â· 2 min

Web PKI réinventé : Google lance les Merkle Tree Certificates pour l'Úre post-quantique

📅 Source : Feisty Duck Cryptography & Security Newsletter, numĂ©ro 135, publiĂ© le 31 mars 2026. 🔐 Contexte gĂ©nĂ©ral Cet article de newsletter spĂ©cialisĂ©e couvre plusieurs dĂ©veloppements majeurs en cryptographie et PKI. Le sujet central est la refonte du Web PKI par Google via les Merkle Tree Certificates (MTCs), en rĂ©ponse aux contraintes imposĂ©es par la cryptographie post-quantique (PQC) et les limites actuelles de Certificate Transparency (CT). 🌳 Merkle Tree Certificates : la refonte du Web PKI Google travaille depuis dĂ©but 2023 sur une nouvelle architecture PKI. Fin 2025, ce travail a Ă©tĂ© transfĂ©rĂ© au groupe de travail IETF PLANTS, en collaboration avec Cloudflare. Les grandes Ă©tapes annoncĂ©es : ...

4 fĂ©vrier 2026 Â· 3 min

WinDbg MCP : serveur exposant 55 outils de débogage Windows via le Model Context Protocol

🔧 Contexte PubliĂ© le 02/04/2026 sur GitHub, WinDbg MCP est un projet open source qui expose l’intĂ©gralitĂ© des fonctions du dĂ©bogueur Windows pybag/WinDbg sous forme d’outils natifs MCP (Model Context Protocol). Il s’adresse aux dĂ©veloppeurs, chercheurs et agents IA souhaitant automatiser l’analyse de processus, de sessions kernel ou de crash dumps. ⚙ Fonctionnement technique Le serveur s’exĂ©cute comme un processus stdio local et communique via JSON-RPC 2.0. Il expose 55 outils couvrant : ...

4 fĂ©vrier 2026 Â· 2 min

ClawdBot: 386 « skills » malveillants sur ClawHub/GitHub déploient un stealer et pillent des crypto-actifs

Selon OpenSourceMalware.com, une vaste campagne d’empoisonnement de registre touche l’écosystĂšme des « skills » ClawdBot/Moltbot, avec des paquets publiĂ©s sur ClawHub et GitHub entre fin janvier et dĂ©but fĂ©vrier 2026. – Des dizaines puis des centaines de « skills » thĂ©matisĂ©s crypto (ByBit, Polymarket, Axiom, Reddit, LinkedIn) utilisent une ingĂ©nierie sociale sophistiquĂ©e (fausses alertes et « AuthTool » obligatoire) pour conduire l’utilisateur Ă  tĂ©lĂ©charger et exĂ©cuter des binaires malveillants. Le tout vise des utilisateurs macOS et Windows de ClawdBot/Claude Code/Moltbot, avec un C2 unique 91.92.242.30. Les auteurs citent un total de 386 skills impliquĂ©s, avec une premiĂšre salve fin janvier et une seconde, plus massive, entre le 31 janvier et le 2 fĂ©vrier. ...

2 fĂ©vrier 2026 Â· 3 min

Fuite de données au DFAE: des documents «internes» stockés par erreur dans le cloud Microsoft 365

Selon la NZZ am Sonntag, une rĂ©vision interne du DĂ©partement fĂ©dĂ©ral des affaires Ă©trangĂšres (DFAE/EDA) a mis en Ă©vidence une faille dans les dispositifs de protection: des documents classĂ©s «internes» ont Ă©tĂ© stockĂ©s dans le cloud de Microsoft, malgrĂ© des rĂšgles censĂ©es empĂȘcher l’upload de contenus sensibles. Contexte: alors que la France Ă©carte Zoom/Teams des administrations, la Chancellerie fĂ©dĂ©rale a gĂ©nĂ©ralisĂ© Microsoft 365 Ă  quelque 54 000 postes de la ConfĂ©dĂ©ration. Des mĂ©canismes de sĂ©curitĂ© prĂ©voient que les contenus sensibles soient Ă©tiquetĂ©s et bloquĂ©s pour tout stockage dans le cloud. Or, ces mesures ne fonctionnent que partiellement. ...

2 fĂ©vrier 2026 Â· 2 min

Le Comité Nobel évoque un espionnage numérique derriÚre la divulgation anticipée du prix de la paix 2025

Selon Reuters (Gwladys Fouche), le ComitĂ© Nobel norvĂ©gien considĂšre que l’« espionnage numĂ©rique » est probablement Ă  l’origine de la rĂ©vĂ©lation anticipĂ©e du nom du laurĂ©at du Prix Nobel de la paix 2025, avant l’annonce officielle Ă  Oslo. Le secrĂ©taire permanent du comitĂ© a indiquĂ© Ă  Reuters que, bien qu’il soit impossible Ă  ce stade de dĂ©terminer prĂ©cisĂ©ment ce qui s’est passĂ© ou qui est derriĂšre la brĂšche, le domaine numĂ©rique reste le « principal suspect ». Il s’agit d’une fuite d’information attribuĂ©e Ă  un probable espionnage numĂ©rique . ...

2 fĂ©vrier 2026 Â· 2 min

OpenSSL: débordement de pile CVE-2025-15467 exposant à une exécution de code (RCE)

Selon JFrog Security Research (research.jfrog.com), une nouvelle vulnĂ©rabilitĂ© OpenSSL, CVE-2025-15467, a Ă©tĂ© dĂ©voilĂ©e: un dĂ©bordement de pile susceptible d’entraĂźner une exĂ©cution de code Ă  distance (RCE). Bien qu’aucun score CVSS officiel ne soit encore publiĂ©, OpenSSL la classe Ă©levĂ©e, et JFrog estime qu’elle pourrait ĂȘtre Ă©valuĂ©e critique par le NVD. ⚠ La faille survient lors du traitement de CMS AuthEnvelopedData utilisant des chiffrements AEAD (ex. AES-GCM): l’IV extrait des paramĂštres ASN.1 peut ĂȘtre surdimensionnĂ©. OpenSSL le copie alors dans un tampon de pile de taille fixe sans vĂ©rifier la longueur (au-delĂ  de EVP_MAX_IV_LENGTH), provoquant un dĂ©bordement avant toute authentification. Un attaquant n’a donc pas besoin de clĂ©s valides: un message CMS spĂ©cialement conçu avec un IV trop grand suffit Ă  causer un crash ou potentiellement une RCE. ...

2 fĂ©vrier 2026 Â· 2 min

đŸȘČ Semaine 5 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-01-25 → 2026-02-01. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-21509 CVSS: 7.8 EPSS: 2.83% VLAI: High (confidence: 0.9823) CISA: KEV ProduitMicrosoft — Microsoft Office 2019 PubliĂ©2026-01-26T17:06:35.512Z Reliance on untrusted inputs in a security decision in Microsoft Office allows an unauthorized attacker to bypass a security feature locally. ...

1 fĂ©vrier 2026 Â· 22 min
Derniùre mise à jour le: 18 juillet 2026 📝