https://cyberveille.ch/tags/dod-contractor/ Recent content in DoD Contractor on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Wed, 06 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-06-vulnerabilite-zero-auth-sur-l-api-d-un-contractant-dod-donnees-militaires-exposees-pendant-150-jours/ Wed, 06 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-06-vulnerabilite-zero-auth-sur-l-api-d-un-contractant-dod-donnees-militaires-exposees-pendant-150-jours/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Article publié le 3 mai 2026 par Alex Schapiro sur le blog de Strix (strix.ai). Strix est une entreprise développant un agent IA offensif open-source d&rsquo;audit de sécurité. L&rsquo;article constitue un post-mortem de divulgation responsable concernant <strong>Schemata</strong>, une plateforme d&rsquo;entraînement militaire virtuel en 3D, contractant actif du Département de la Défense américain (DoD) et financée par Andreessen Horowitz.</p> <h2 id="-vulnérabilité-découverte">🔍 Vulnérabilité découverte</h2> <p>Strix a pointé son agent autonome contre l&rsquo;application Schemata dans le cadre d&rsquo;un benchmark. L&rsquo;agent a identifié une <strong>absence totale de contrôle d&rsquo;autorisation sur l&rsquo;API multi-tenant</strong> de la plateforme. Avec un simple compte non privilégié, il était possible d&rsquo;accéder à l&rsquo;ensemble des données de tous les tenants sans restriction.</p>