Épisode 0x282 - Patch Tuesday ou Patch Everyday!

Synopsis

Dans cet épisode, Steve, Patrick, Francis et Jacques revient sur une semaine particulièrement chargée en actualité cybersécurité, mêlant enjeux technologiques, sécurité publique et décisions politiques. On débute avec des nouvelles locales et matérielles, notamment la nomination de Pierre Brochet comme nouveau chef de la police de Laval, ainsi que la découverte de failles majeures et d’un microphone non documenté dans le NanoKVM de Sipeed, soulevant des questions sérieuses sur la chaîne d’approvisionnement et la confiance envers le matériel.

La discussion se poursuit avec les correctifs Microsoft de décembre 2025 : trois failles zero-day activement exploitées, des dizaines de vulnérabilités corrigées et une mise à jour de sécurité étendue pour Windows 10. L’équipe analyse aussi une arrestation marquante en Espagne liée au vol de 64 millions de dossiers personnels, ainsi qu’une attaque zéro-clic particulièrement inquiétante capable d’effacer un Google Drive complet via de simples courriels piégés.

Un large segment est consacré aux menaces à grande échelle : l’exploitation de la faille React2Shell, ses impacts en cascade (jusqu’à une panne Cloudflare), des campagnes liées à la Chine, et un botnet responsable d’une attaque DDoS record de près de 30 Tbps. S’ajoutent des cas troublants de cybercriminalité, comme la vente de vidéos intimes issues de caméras IP piratées.

Enfin, l’épisode explore les enjeux émergents autour de l’IA : vulnérabilité persistante des LLM aux prompt injections, utilisation militaire de l’IA par Google, cyberassurance couvrant les deepfakes, et avertissements sur le rôle croissant de l’IA dans la chaîne de menaces. Le tout est replacé dans un contexte géopolitique et sociétal, entre surveillance étatique, hacktivisme pro-russe et nouvelles régulations, notamment l’interdiction des réseaux sociaux pour les moins de 16 ans en Australie.

Nouvelles

Francis


Pierre Brochet, nouveau chef de la police de Laval TVA Nouvelles
Researcher finds undocumented microphone and major security flaws in Sipeed NanoKVM


Jacques


Microsoft December 2025 Patch Tuesday fixes 3 zero-days, 57 flaws
Microsoft releases Windows 10 KB5071546 extended security update
Spain arrests teen who stole 64 million personal data records
Zero-Click Agentic Browser Attack Can Delete Entire Google Drive Using Crafted Emails


Steve


India backs off mandatory “cyber safety” app after surveillance backlash
Researchers track dozens of organizations affected by React2Shell compromises tied to China’s MSS
React2Shell flaw exploited to breach 30 orgs, 77k IP addresses vulnerable
Cloudflare blames today’s outage on React2Shell mitigations
Aisuru botnet behind new record-breaking 29.7 Tbps DDoS attack
Korea arrests suspects selling intimate videos from hacked IP cameras
Pro-Russia hacktivists conduct opportunistic attacks against U.S. and global critical infrastructure (JCA-AA25-343A)
Organizations can now buy cyber insurance that covers deepfakes
UK cyber agency warns LLMs will always be vulnerable to prompt injection
Ignoring AI in the threat chain could be a costly mistake, experts warn
Millions of children and teens lose access to accounts as Australia’s world-first social media ban begins
Australia social media ban – explainer video
Google is powering a new US military AI platform


Crew


Patrick Mathieu
Steve Waterhouse
Francis Coats
Jacques Sauvé


Shamelessplug


Join Hackfest/La French Connection Discord #La-French-Connection
Join Hackfest us on Masodon
POLAR - Québec - 29 Octobre 2026
Hackfest - Québec - 29-30-31 Octobre 2026


Crédits


Montage audio par Hackfest Communication
Music par Kazuki – Four Day Weekend - Dusk
Locaux virtuels par Streamyard