Et si la belle histoire d'une Chine sur le point de rattraper les États-Unis dans la course à l'IA n'était qu'un mythe ? Une analyse approfondie montre que l'avance américaine, portée par Nvidia, est non seulement intacte, mais s'accélère.

Vous avez peut-être une caméra Tapo C200 qui tourne chez vous pour surveiller le chat, le bébé ou l'entrée. C'est mon cas et j'adore cette caméra mais j'ai une mauvaise à vous annoncer... Le chercheur en sécurité Simone Margaritelli (alias evilsocket) vient de passer 150 jours à la disséquer et le résultat n'est pas glorieux pour TP-Link.

Alors déjà, commençons par le plus gros WTF qu'il a découvert... la clé privée HTTPS de la caméra, ce truc censé être ultra-secret qui permet de chiffrer les communications. Et bien elle est hardcodée dans le firmware. C'est donc la même clé pour TOUTES les caméras du même modèle. Du coup, n'importe qui peut faire un Man-in-the-Middle et intercepter ce que vous voyez sur votre caméra. Ah on se met bien déjà là, hein ? ^^

Et attendez, ça ne s'arrête pas là puisque Margaritelli a trouvé un bucket S3 chez Amazon, totalement ouvert au public, qui contient TOUS les firmwares de TOUS les produits TP-Link. C'est open bar, sans authentification, Noël avant l'heure pour les chercheurs en sécu... et les hackers.

En fouillant le firmware avec Ghidra et Claude (oui, l'IA a aidé au reverse engineering), le chercheur a découvert quatre failles critiques. La première, c'est un buffer overflow dans le parser SOAP XML utilisé par le protocole ONVIF. En gros, si vous envoyez un message trop long, la caméra plante. Pas besoin d'être authentifié pour ça, une requête HTTP suffit.

La deuxième faille est du même genre mais dans le header Content-Length. Envoyez 4294967295 (le max d'un entier 32 bits) et boum, integer overflow. Et la troisième, c'est la cerise sur le gâteau puisque l'endpoint connectAp reste accessible sans authentification même après le setup initial. Du coup, un attaquant peut forcer votre caméra à se connecter à son propre réseau WiFi malveillant et intercepter tout le flux vidéo. Vous ne vous y attendiez pas à celle-là, si ?

Et la quatrième faille, oubliée nulle part ailleurs c'est l'API scanApList qui balance la liste de tous les réseaux WiFi autour de la caméra, sans auth. Avec les BSSID récupérés et un outil comme apple_bssid_locator, on peut géolocaliser physiquement la caméra à quelques mètres près. Sur les 25 000 caméras exposées sur le net, ça fait froid dans le dos.

Le plus frustrant dans cette histoire, c'est que Margaritelli a signalé tout ça en juillet 2025 et TP-Link a demandé des rallonges de délai, encore et encore, durant plus de 150 jours. Et au final, les failles ont été corrigées mais pas de patch sur les pages publiques des CVE. Ah et petit détail rigolo, comme TP-Link est sa propre autorité de numérotation CVE, ils s'auto-évaluent sur leurs propres failles. Donc y'a pas de conflit d'intérêt du tout... ahem ahem...

Le chercheur estime qu'environ 25 000 de ces caméras sont exposées directement sur Internet donc si comme moi, vous en avez une, vérifiez que le firmware est bien à jour et surtout, ne l'exposez JAMAIS directement sur le net. Mettez-la derrière un VPN ou un réseau isolé.

Je trouve ça cool que Margaritelli ait utilisé de l'IA pour accélérer la phase de reverse engineering. Avec Claude Opus et Sonnet avec GhidraMCP, il a pu analyser le code assembleur et c'est comme ça que l'IA a identifié rapidement les fonctions vulnérables et expliqué le fonctionnement du code. Bref, l'IA comme outil de hacking, c'est assez ouf...

Voilà, donc si vous avez du matos TP-Link chez vous, gardez un œil sur les mises à jour et réfléchissez à deux fois avant de l'exposer sur le net. Et si vous aimez la lecture, l'analyse complète est dispo sur le blog d'evilsocket .

Beau boulot !

Merci à vous de suivre le flux Rss de www.sospc.name.

Vous aimez Firefox ? Vous souhaiteriez découvrir les nouvelles fonctionnalités que l'éditeur proposera dans quelques mois ?

Eh bien, oui, c'est possible, et ce n'est pas un scoop. 😁

Je vous avais déjà parlé de cette possibilité durant l'été 2024, et ce qui m'a donné envie de vous en parler à nouveau c'est le fait que j'ai appris que Firefox allait bénéficier de gros changements dans les prochains mois.

Oui, l'éditeur essaie de faire évoluer son navigateur afin de garder ses utilisateurs, et il semblerait que, par exemple, le patron de Mozilla ait décidé de céder aux sirènes de l'IA et de l'ajouter bientôt.

Mais, rassurez-vous, normalement cette nouvelle fonctionnalité sera désactivable de façon officielle et sans bidouilles...

Cet article Firefox : Tester les versions à venir du célèbre navigateur avant tout le monde est apparu en premier sur votre site préféré www.sospc.name

C'est le retour du feu de cheminée pour Supergiant Games. Le studio derrière Hades II offre à ses fans un petit cadeau d'ambiance pour les fêtes de Noël : une boucle vidéo de 12 heures, comme si on était au coin du feu avec Mélinoé à la croisée des chemins. À défaut d'avoir enflammé les The Game Awards 2025, Supergiant Games allume un feu virtuel chez vous.

Les festivités de décembre véhiculent généralement une image idyllique de détente absolue : boissons réconfortantes, moments privilégiés en famille, et promesse de ressourcement. Pourtant, nombreux sont ceux qui peinent à véritablement décompresser durant cette période. Comment expliquer que les fêtes brandissent l’espoir d’un répit sans jamais vraiment tenir leur promesse ? Un repos plus réparateur ... Lire plus

Depuis plusieurs années, Netflix s’impose comme un acteur central de l’univers One Piece. Après le succès notable de la série live-action et une meilleure accessibilité de l’anime original sur la plateforme, le géant du streaming avait surpris les fans en annonçant un projet encore plus ambitieux : un remake complet de l’anime, intitulé The One ... Lire plus

Depuis près d’un demi-siècle, l’œuvre de Stephen King nourrit inlassablement l’imaginaire du cinéma. Dès le milieu des années soixante-dix, ses récits ont quitté le papier pour envahir les écrans, donnant naissance à une filmographie foisonnante, mais profondément contrastée. Adapter King ne garantit jamais le succès, et l’histoire du septième art regorge d’exemples où l’ambition initiale ... Lire plus

Une analyse approfondie menée par le comité de prévention des maladies cardiovasculaires de l’American Heart Association renforce considérablement l’hypothèse selon laquelle préserver la santé de nos gencives contribue à protéger notre cœur. S’appuyant sur dix années de publications scientifiques (études génétiques, essais cliniques et tests en laboratoire), ce rapport actualise leur déclaration scientifique de 2012. ... Lire plus

Le manga Jujutsu Kaisen Modulo, lancé en septembre 2025, atteint son climax décisif alors que les sorciers affrontent leur plus grande menace. Des réfugiés appelés Simurians, bien plus puissants que la génération actuelle, défient la société jujutsu, qui cherche désespérément une coexistence pacifique. Depuis ses débuts, l’œuvre de Yuji Iwasaki séduit un large public grâce à son art saisissant et son récit ... Lire plus

Le vieillissement du corps humain se manifeste visiblement par des rides, cheveux gris et taches brunes. Pourtant, des transformations tout aussi significatives surviennent à l’intérieur de notre organisme sans que nous en ayons conscience. Vers 80 ans, la paroi intestinale de la plupart des individus présente de petites poches saillantes appelées diverticules. Ces excroissances se ... Lire plus

Mozilla fait face à une vague de critiques depuis l’annonce de son virage vers l’intelligence artificielle. Pour apaiser les tensions, l’entreprise vient de promettre l’intégration d’un mécanisme permettant aux utilisateurs de désactiver complètement les outils IA dans Firefox. Cette décision intervient après que le nouveau directeur général Anthony Enzor-DeMeo a dévoilé son ambition de transformer ... Lire plus

Le géant des réseaux sociaux mobilise l’ensemble de ses équipes pour concevoir de nouveaux systèmes d’IA sous la supervision de son laboratoire dédié à la superintelligence. Alexandr Wang, cofondateur de Scale AI, pilote désormais ce projet ambitieux. Deux créations occupent actuellement les chercheurs : un modèle image-vidéo baptisé en interne « Mango » et un ... Lire plus

L’intelligence artificielle soulève des inquiétudes croissantes quant à son impact sur les jeunes publics. OpenAI vient de franchir une nouvelle étape en révisant jeudi ses directives concernant le comportement de ses modèles face aux mineurs. L’entreprise a simultanément publié des ressources pédagogiques destinées aux adolescents et à leurs parents. Reste à savoir si ces mesures ... Lire plus

Un revirement judiciaire majeur vient de mettre fin à une bataille juridique qui aura duré plusieurs années. La Cour suprême du Delaware a décidé vendredi de rétablir l’accord de rémunération négocié en 2018 entre Tesla et son dirigeant emblématique, Elon Musk. Cette décision annule le jugement rendu l’année dernière par une juridiction inférieure, qui avait ... Lire plus

Un design radical, en forme de disque plat, pour surmonter les limites des CubeSats traditionnels et conquérir durablement les orbites les plus basses de la Terre.

Un concurrent de plus, un ! Les amateurs de ventilateurs à forte pression statique ne vont sans doute pas se plaindre de voir une marque supplémentaire leur faire les yeux doux, car la concurrence ne peut qu'avoir du bon sur un tel marché, même si, en combinant les mots "ASUS" et "ProArt", on se dou...