Moltbot (ex Clawdbot) : Attention à la sécurité avec cet assistant IA à la mode

Moltbot, anciennement Clawdbot, est un assistant IA open-source auto-hébergé qui explose en popularité depuis fin 2025. Connecté à vos messageries comme WhatsApp ou Telegram, il automatise tâches et commandes système, mais son déploiement massif révèle des failles critiques dues à des installations hâtives.

Qu’est-ce que Moltbot ?

Moltbot est un agent IA personnel utilisant des modèles comme Claude ou LLM locaux, accessible via une gateway WebSocket sur port 18789. Il gère sessions, outils (shell, navigateur, fichiers) et mémoire persistante en Markdown/JSON, idéal pour l’auto-hébergement Docker.

Open-source sur GitHub, il séduit par sa polyvalence : réponses proactives, skills personnalisés et intégrations messagerie.

L’engouement viral et ses pièges

Depuis janvier 2026, Moltbot cumule des centaines de milliers de stars GitHub, boosté par une hype sur TikTok, Reddit et YouTube. Les utilisateurs le voient comme un « Jarvis » personnel pour automation quotidienne.

L’explosion des installations non sécurisées : la faute aux vidéos YouTube

L’explosion des ~1000 instances exposées publiquement (détectées par Shodan/Censys) provient largement de tutoriels vidéo YouTube conçus pour monétiser la hype IA. Des créateurs sans expertise IT publient des « installs en 5 min sur VPS/Docker » : un simple docker run avec bind 0.0.0.0, sans auth ni firewall, pour views et revenus ads.

Ces vidéos, vues des millions de fois, attirent Monsieur et Madame Tout-le-Monde vers un outil « révolutionnaire », ignorant les warnings du repo GitHub. Résultat : port 18789 ouvert à l’internet mondial, clés API et historiques volés en clair.

Le problème critique : le port par défaut exposé

La gateway écoute par défaut sur localhost:18789, sécurisé localement. Mais ces tutos simplistes forcent « 0.0.0.0 » pour accès distant, exposant l’API sans JWT ni proxy sécurisé.

Risques sécuritaires détaillés

Risque	Description	Conséquences
Exposition port 18789	Bind public sans protection	Shell root, vol tokens OAuth/Anthropic
Auth bypass	Trafic proxifié comme localhost	Accès externe sans token
Credentials en clair	Stockage non chiffré	Fuites historiques/chats sensibles
Prompt injection	Accès outils système	Compromission hôte via messages malveillants

Comment sécuriser votre installation (simplissime !)

Ces fixes sont ultra-simples, même pour débutants :

• Éditez config.yaml : gateway.bind: "127.0.0.1" et ajoutez GATEWAY_AUTH_TOKEN=supersecret.
• Docker : --network=host --cap-drop=ALL --read-only, ou volume chiffré.
• Proxy : Nginx avec trusted_proxies: ["127.0.0.1"], Fail2Ban, VPN/Cloudflare Zero Trust.
• Vérifiez : moltbot doctor et scan Shodan.

5 minutes pour blinder, vs des semaines de regrets !

Conclusion et conseils

Moltbot brille par sa puissance, mais la ruée non sécurisée via vidéos lucratives crée une épidémie de failles évitables. Lisez le GitHub officiel, ignorez les tutos-clickbait, et sécurisez en 3 commandes. Votre IA personnelle doit être une alliée, pas une porte d’entrée aux hackers !

la France s’apprête à imposer une vérification d’âge obligatoire

À partir du 1er septembre 2026, la France s’apprête à imposer une vérification d’âge obligatoire pour l’accès aux réseaux sociaux, avec une régularisation des comptes existants d’ici le 31 décembre de la même année. Derrière ce texte présenté comme une protection des mineurs, se cache un changement potentiellement massif de notre rapport au numérique, à l’anonymat… et même au jeu vidéo en ligne.

Ce que prévoit la nouvelle loi

La mesure impose un contrôle d’âge pour s’inscrire sur les réseaux sociaux à partir du 1er septembre 2026. Les comptes déjà existants devront, eux, être vérifiés avant le 31 décembre 2026, sous peine de suppression ou de restriction d’accès.

Quelques points clés ressortent du texte et des débats :

• Vérification d’âge obligatoire à l’inscription sur les plateformes de type « réseau social ».
• Extension possible à des services en ligne qui permettent d’échanger publiquement ou en groupe (dimension « sociale »).
• Forte probabilité d’une vérification via documents officiels (scan de pièce d’identité, justificatif), et pas seulement via analyse faciale anonymisée.
• Objectif affiché : empêcher l’inscription et l’usage de ces services par des « mineurs numériques » sans contrôle parental et sans garde‑fou.

L’enjeu ne se limite donc pas à TikTok, Instagram ou Snapchat, mais à toute plateforme où l’on peut interagir socialement de manière publique ou semi‑publique.

Où s’arrête un « réseau social » ?

La définition retenue pour « service de réseaux sociaux en ligne fournis par une plateforme » est volontairement large. Elle englobe tout service en ligne permettant de communiquer facilement et publiquement avec d’autres personnes.

Dans cette logique, la frontière entre un réseau social classique et un jeu vidéo en ligne social devient floue :

• Un réseau social, c’est une plateforme où l’on peut publier, réagir, discuter, échanger en public ou en semi‑public.
• Un jeu comme Roblox, Fortnite, Minecraft, GTA Online ou même League of Legends offre du chat, de la messagerie, des salons vocaux et des interactions sociales constantes.

Résultat : juridiquement, rien n’empêche d’inclure ces jeux dans le champ de la régulation, puisqu’ils remplissent les critères sociaux visés par la loi. Et ce n’est pas parce que l’enrobage est ludique que l’interaction cesse d’être un « réseau » au sens de la réglementation.

Vers une fin de l’anonymat en ligne ?

L’un des aspects les plus sensibles est le mode de vérification de l’âge. Plusieurs indices laissent penser qu’on ne se contentera pas d’une simple estimation biométrique sur photo ou vidéo, mais qu’on ira vers l’envoi de documents d’identité.

Ce basculement a plusieurs conséquences majeures :

• Fin de fait du pseudonymat sur de nombreuses plateformes : pour accéder à un service social (ou un jeu très social), il faudra avoir fourni une identité réelle.​
• Constitution de bases de données massives de pièces d’identité par des plateformes privées, avec tous les risques de fuite de données que cela implique.
• Possibilité accrue de recouper identité réelle, pseudonyme et activité en ligne, notamment en cas de fuite, de mauvaise implémentation sécurité ou d’abus.

L’argument « il suffit d’un VPN » ne tient pas longtemps : certains États réfléchissent déjà à restreindre l’accès aux VPN, voire à les bloquer, ce qui limite fortement cette échappatoire.

Pour les profils techniques, cela signifie une augmentation de la surface d’attaque : plus de données d’identité circulent, plus elles seront ciblées par le cybercrime.

Impact possible sur les jeux en ligne

Si l’on applique strictement la logique du texte aux services comportant une forte dimension sociale, les jeux en ligne grand public sont en première ligne.

Sont potentiellement concernés :

• Jeux « plateforme » comme Roblox ou Fortnite, centrés sur la création, les interactions et les événements en ligne.
• Jeux massivement multijoueurs, MOBA, battle royale, etc., comme League of Legends ou d’autres jeux compétitifs populaires.
• Jeux à forte composante sociale/roleplay, notamment certains serveurs GTA ou des sandbox en ligne.

Concrètement, cela pourrait se traduire par :

• Obligation de vérifier l’âge (et donc l’identité) pour jouer en ligne ou accéder aux fonctionnalités multijoueurs.
• Exclusion de facto d’une partie des mineurs, soit parce qu’ils n’ont pas de document, soit parce que les parents refusent la transmission de la pièce d’identité.
• Une modification profonde de la démographie des joueurs : bascule vers une base plus âgée, avec des jeux qui s’adaptent à un public plus « adulte ».

Certains craignent même que ce soit le prétexte pour interdire purement et simplement l’accès au online aux mineurs, dans les faits, faute d’infrastructure d’age‑gating vraiment fonctionnelle à grande échelle.

Sécurité, fuites de données et risques bien réels

Il existe un décalage important entre l’ambition politique et l’état réel de la cybersécurité. Les fuites massives de données se multiplient, autant chez des acteurs privés que dans des services publics.

Dans ce contexte, demander à des millions d’utilisateurs d’uploader une copie de carte d’identité pour accéder à un jeu ou à un réseau social pose un vrai problème :

• Chaque nouvelle base de données d’identité devient une cible idéale pour les attaquants.
• En cas de fuite, les risques vont au‑delà du simple spam : usurpation d’identité, fraude, harcèlement ciblé, doxxing, etc.
• Pour un joueur, se faire « retrouver » IRL par quelqu’un de malveillant rencontré sur un jeu ou une plateforme devient plus crédible si des informations d’identité sont mal protégées.

On se retrouve alors avec un paradoxe : on dit vouloir protéger les mineurs et les utilisateurs, mais on augmente la quantité et la sensibilité des données à risque dans l’écosystème numérique.

L’exemple de l’Australie

Un exemple parlant est celui de l’Australie, où une régulation similaire a déjà commencé à produire des effets. Depuis décembre, plus d’un demi‑million de comptes Meta auraient été supprimés dans le cadre de ces dispositifs de vérification.

Cela donne un aperçu de ce qui pourrait se passer à large échelle :

• Des millions de comptes fermés, suspendus ou « en attente de vérification ».
• Des migrations d’utilisateurs vers d’autres plateformes moins strictes… jusqu’à ce qu’elles soient elles aussi régulées.
• Une fragmentation de l’Internet social, avec d’un côté des espaces très régulés et de l’autre des zones plus « grises » ou auto‑hébergées.

Pour les acteurs techniques (devs, admins, hébergeurs), cela signifie plus de contraintes légales, plus d’implémentations KYC‑like et un risque juridique accru.

Que peuvent faire parents, joueurs et pros du numérique ?

Face à ce type de virage réglementaire, l’enjeu est de ne pas rester passif. Quelques pistes d’action raisonnables :

• Informer les adolescents et leurs parents des changements à venir, pour anticiper les blocages à partir de 2026.
• Sensibiliser aux risques liés au partage de pièces d’identité avec des plateformes privées, même réputées sérieuses.
• Pour les pros IT, se tenir à jour sur les exigences légales (hébergement, stockage des pièces, durée de conservation, chiffrement) et anticiper les impacts techniques et organisationnels.
• Soutenir ou participer aux débats publics, via les associations, syndicats ou collectifs du numérique, pour peser sur les décrets d’application et les exceptions possibles (par exemple pour certains types de jeux).

Pour le monde du jeu vidéo, la question clé sera : comment concilier un contrôle d’âge raisonnable, la protection des mineurs, et un minimum d’anonymat et de liberté en ligne ?

Conclusion

L’interdiction des réseaux sociaux aux mineurs n’est pas un simple ajustement technique : c’est une redéfinition en profondeur de ce qu’est un compte en ligne, un pseudonyme, une identité numérique. Si les jeux en ligne sont aspirés dans le même mouvement, c’est tout un pan de la culture numérique qui risque de se retrouver derrière le mur de la carte d’identité.

En 2026, la question ne sera plus seulement « à quel jeu tu joues ? », mais « qu’es‑tu prêt à donner comme informations personnelles pour continuer à jouer et à socialiser en ligne ? ».

Panne mondiale chez Cloudflare : Internet paralysé le 18 novembre 2025

Ce qui s’est passé

Aujourd’hui le mardi 18 novembre 2025, une panne majeure chez Cloudflare a provoqué une interruption massive de services en ligne à l’échelle mondiale. À partir de 11h30 GMT (12h30 en France), des milliers d’utilisateurs ont constaté des erreurs 500, des pages blanches et/ou des ralentissements sur des sites très populaires comme X (ex-Twitter), ChatGPT, Google, Canva, Spotify, League of Legends, et même Downdetector ou DashDoc l’outil censé surveiller les pannes.

Cloudflare, qui protège et optimise près de 20 % du web mondial, a confirmé l’incident sur sa page de statut :

« Nous sommes conscients d’un problème affectant plusieurs clients : erreurs 500 généralisées, Dashboard et API indisponibles. Nous enquêtons activement. »

Cause probable

Les premières analyses indiquent que la panne serait liée à une surcharge interne dans le réseau Cloudflare, provoquant un pic anormal de charge CPU et une dégradation des services. Certains médias évoquent aussi la coïncidence avec des opérations de maintenance programmées dans plusieurs datacenters (Santiago, Atlanta, Los Angeles), ce qui pourrait avoir amplifié le problème.

Impact global

• Sites touchés : X, ChatGPT, Spotify, Canva, OpenAI, Google, Zoom, et des milliers d’autres plateformes.
• Durée : toujours en cours au moment de la rédaction de cette article.
• Zones affectées : Monde entier, avec des pics en Europe, Amérique du Nord et Asie.
• Conséquences :
  • Perte de trafic et de revenus pour les entreprises.
  • Communication interrompue pour des millions d’utilisateurs.
  • Dépendance critique révélée : un seul acteur peut perturber une large portion du web.

Retour à la normale

À partir de 13h GMT, Cloudflare a annoncé un retour progressif des services, tout en prévenant que des taux d’erreurs supérieurs à la normale pouvaient persister pendant la phase de remédiation.

Pourquoi c’est important

Cet incident rappelle la fragilité structurelle d’Internet, reposant sur quelques géants comme Cloudflare, AWS ou Azure. Une panne chez ces acteurs entraîne un effet domino mondial. Les experts appellent à :

• Diversifier les fournisseurs (multi-CDN, architectures distribuées).
• Mettre en place des plans de continuité pour limiter l’impact des interruptions.

En résumé

• Date : 18 novembre 2025
• Cause : Surcharge interne + maintenance
• Impact : Sites majeurs inaccessibles, erreurs 500 généralisées
• Retour à la normale : Progressif depuis 13h GMT
• Leçon : Internet dépend trop de quelques infrastructures centrales

👉 Astuce pour les entreprises : Pensez à tester régulièrement vos plans de continuité et à envisager des solutions multi-cloud pour réduire les risques liés à ce type d’incident.

Shodan.io : le moteur de recherche qui voit (presque) tout sur Internet

La réalité cyber est locale : une simple recherche Shodan sur “Bressuire” expose bien plus que des IP ou des ports. On y trouve des équipements métiers (serveur web Jetty, imprimante Samsung, routeur Mikrotik…), des détails lan, hostnames, et surtout des noms d’entreprises comme “Graphic” qui permettent un recoupement ultra rapide pour un pirate.

Shodan : le premier outil de reconnaissance… et d’attaque

Shodan scanne le web mondial, indexe les ports ouverts, les bannières techniques, le nom des services, parfois l’organisation propriétaire. Pour un hacker, cela donne un catalogue d’accès direct, avec parfois la capacité d’identifier en quelques clics l’entreprise derrière l’équipement exposé.​

Détails de la capture + scénario d’attaque pour chaque équipement

1. MikroTik / Graphic

Ce qui est visible :

• Hostname “graphic”, géolocalisation Bressuire, IP publique, port PPTP ouvert.

Comment le pirate entre :

• Il lance une recherche “Bressuire” sur Shodan et repère le hostname “graphic”.​
• Une recherche internet (“Graphic Bressuire”) lui donne aussitôt le site web de la société, parfois le mail, et l’activité même du propriétaire.​
• Il cible ensuite le routeur : tente les identifiants par défaut (MikroTik est connu pour ses failles historiques), cherche la version du firmware dans la bannière pour voir s’il existe des CVE applicables, puis lance des outils de brute-force sur SSH/Winbox/API… ou essaye des exploits publiés si la version n’est pas à jour.
• Si l’accès est obtenu, il pivote sur le LAN : prise de contrôle, rebond botnet, écoute SNMP, scan interne pour identifier d’autres failles.

Résolutions détaillées :

• Renommer l’équipement et bannière pour effacer toute référence à Graphic ou Bressuire.
• Changer tous les mots de passe admin, désactiver services inutiles, firewall strict en whitelist d’IP de management.
• Mettre à jour le firmware MikroTik ; activer alertes et logs sur tous accès extérieurs.
• Passer SNMP à SNMPv3, retirer la config publique.
• Tester les accès WAN (Winbox, SSH, API, Telnet : tout ce qui n’est pas utile doit être coupé).
• Segmenter le LAN pour que tout accès pirate soit limité au routeur.

2. Serveur Jetty (Communauté de communes)

Données exposées :

• Bannière indiquant la commune, mail technique, SNMP, IP.

Méthode pirate :

• Il détecte l’orga et mail, lance des scripts pour le port HTTP/Jetty (scan de vulnérabilité, brute-force admin), tente identifiants par défaut/reconnaissance.
• Utilise les contacts pour du phishing ultra-ciblé, se fait passer pour l’IT ou le support.
• Si accès admin Jetty, il peut lire/falsifier les données, injecter des scripts ou installer des backdoors.

Résolutions :

• Restreindre l’accès à l’interface Jetty web par VLAN/IP locaux, désactiver les access publics.
• Activer HTTPS/TLS et nettoyer la bannière des infos d’orga/société/mail.
• Changer tous les mots de passe, supprimer les comptes inutiles.
• Désactiver SNMP en externe, limiter aux accès locaux.
• Audit RGPD et revue des configs exposées.

3. Imprimante Samsung / Orange

Détails exposés :

• Hostname domaine technique, modèle, firmware et date session.

Scénario pirate :

• Il scanne SyncThru sur Shodan, identifie l’imprimante, tente l’accès par brute-force ou défaut admin web.
• Si réussi, configuration réseau accessible, extraction de documents imprimés ou usurpation de la passerelle d’impression.

Contremesures :

• Couper tout accès WAN/public au web service de l’imprimante.
• Mettre un mot de passe fort sur le SyncThru et désactiver comptes invités.
• Isoler l’imprimante sur un VLAN dédié, surveiller les logs d’accès.
• Mettre systématiquement à jour le firmware du constructeur.

4. VoIP/PPTP / Orange

Données exposées :

• Hostname “BRESSUIRE ALIP XDSL VOIP”, domaine technique, firmware.

Méthode pirate :

• Il repère le port PPTP ouvert, tente usurpation SIP/VoIP, lance des attaques sur le VPN (tunnels non chiffrés).
• Peut s’infiltrer et pivoter sur le réseau téléphonique ou préparer un rebond sur d’autres machines connectées via VoIP.

Résolutions :

• Migrer de PPTP vers un protocole sécurisé (WireGuard/OpenVPN).
• Firewall sur toutes IP extérieures, whitelist sur les équipements VoIP.
• Changer le hostname de tous les équipements pour masquer la ville/site.
• Mettre à jour firmwares, journaliser tous accès extérieurs.
• Chiffrer toute communication VoIP.

Points clés à retenir

• Avec Shodan, il suffit d’une bannière, d’un nom, d’un hostname pour lier un équipement à sa société réelle et en déduire la cible suivante.
• La méthode pirate commence toujours par la reconnaissance : chercher ce qui est exposé, identifier l’organisation, et exploiter la chaîne technique (mots de passe, failles firmware, protocoles faibles).
• Changer les noms, masquer la bannière, filtrer et monitorer tous les accès, mettre à jour les équipements : c’est la clé pour éteindre la portée des attaques les plus simples.

En conclusion :
Un scan Shodan à Bressuire permet d’identifier la société Graphic, de voir comment un pirate réagit, et d’adapter la configuration pour boucher tous ces trous.
N’attendez pas d’être la prochaine cible ! Faites vos propres scans, appliquez chaque recommandation, et sensibilisez vos collègues et clients.​​

Panne mondiale Microsoft Azure & Microsoft 365 : analyse, impacts et leçons à retenir

Résumé : Le 29 octobre 2025, un problème majeur de DNS a frappé Microsoft Azure et l’ensemble des services Microsoft 365, paralysant temporairement de nombreux sites web et infrastructures critiques, du grand public comme aux entreprises. Parmi les plateformes affectées : Heathrow, NatWest, Minecraft, Xbox et de nombreux autres services essentiels, à l’image de la panne AWS de la semaine précédente.

​

Que s’est-il passé ?

Dans la journée du 29 octobre 2025, Microsoft a connu une importante défaillance DNS, rendant inaccessibles des milliers de sites web et services dépendant d’Azure, sa plateforme cloud. Cette panne a été rapide à identifier au niveau mondial grâce aux nombreuses alertes des utilisateurs et d’institutions majeures : aéroports, banques et plateformes de jeu ont été simultanément touchés.

​

La mauvaise résolution DNS empêchait les utilisateurs, tant professionnels que particuliers, d’accéder aux ressources hébergées sur Azure ou intégrées à Microsoft 365. Les réseaux sociaux et forums IT comme Reddit ou Slack ont massivement relayé l’événement.

​

Services impactés

En France comme à l’international, plusieurs grands noms ont subi des interruptions :

• Heathrow Airport : retards d’affichage, perturbation de la gestion des vols.
• NatWest (banque britannique) : indisponibilité partielle de l’espace client et des transactions en ligne.
• Minecraft/Xbox : impossibilité de connexion pour des millions de joueurs, serveurs hors-ligne.
• Sites PME et grandes entreprises : webapps, CRM, solutions internes (mode SaaS), etc.

La panne rappelle la dépendance croissante des organisations publiques comme privées à des plateformes cloud mondiales, avec des conséquences en chaîne et à large échelle.

​

Chronologie et résolution

La défaillance a été repérée dans la matinée (heure de Londres), avec un retour progressif des services dans l’après-midi et la soirée. Microsoft a confirmé une cause principale liée au système de noms de domaine (DNS), reprenant une structure d’incident similaire à celle rencontrée récemment chez Amazon Web Services (AWS).

​

Le rétablissement a nécessité plusieurs heures, le temps pour les équipes techniques de Microsoft de réinitialiser et mettre à jour les enregistrements DNS, tout en communiquant en temps-réel sur la progression via leurs canaux officiels.

Pourquoi est-ce arrivé ? (Analyse technique simplifiée)

La gestion DNS est centrale dans toute architecture cloud : le moindre incident affectant sa disponibilité bloque instantanément l’accès aux applications, API et espaces clients, même si le contenu ou les serveurs de calculs restent opérationnels.

Ce type de faille souligne l’importance :

• D’avoir des stratégies de fallback DNS,
• De monitorer en temps réel (avec de vrais tests utilisateurs/robots, pas seulement des checks API),
• D’envisager une redondance multi-cloud ou des solutions hybrides (Azure + AWS + Google Cloud, etc.) pour les usages critiques.

Conséquences et leçons à tirer pour les pros

Cette panne illustre surtout :

• La nécessité d’inclure des plans B et des procédures de crise même pour les plateformes cloud “premium”,
• Les limites des promesses de SLA dans les contextes “as-a-Service”,
• L’urgence, pour les DSI et architectes IT, de remettre à jour leurs PCA/PRA (Plan de Continuité et Plan de Reprise d’Activité).

Pour les structures IT : pensez à documenter ce genre de panne, à sensibiliser vos clients, et à inclure la gestion des défaillances cloud majeures dans vos audits/réunions de sécurité.

Retour utilisateurs & perspectives

Du côté des utilisateurs finaux, cette panne a généré frustration, témoignages d’impuissance et questions légitimes sur l’avenir de la concentration des infrastructures numériques mondiales. Sur LinkedIn, Twitter et dans la presse généraliste, le sujet a fait rapidement le tour, rappelant que même les géants de la tech ne sont pas à l’abri d’incidents critiques.

​

Microsoft a depuis communiqué sur le renforcement de ses processus de surveillance et d’alerting. Ce type d’incident donne aussi à réfléchir sur la diversification de ses choix techniques, surtout pour les applications stratégiques.

Intégration de Wazuh avec Zabbix : une alliance puissante pour la supervision et la gestion des vulnérabilités

La sécurité et la supervision des systèmes informatiques sont souvent traitées séparément : d’un côté la détection d’incidents et d’anomalies de sécurité, de l’autre la surveillance des performances et de la disponibilité des infrastructures. Pourtant, ces deux univers gagnent à se rencontrer.
C’est exactement ce que permet l’intégration de Wazuh avec Zabbix : une vue unifiée de la supervision technique et de la cybersécurité, pour anticiper les incidents avant qu’ils ne deviennent critiques.

Objectif de l’intégration

Le but de cette intégration est simple :

Centraliser la supervision et la gestion des vulnérabilités au sein d’une seule interface.

Grâce à cette approche, les équipes IT et sécurité peuvent :

• Visualiser les vulnérabilités détectées en temps réel directement dans Zabbix,
• Prioriser les actions correctives selon la criticité (High, Medium, Low, Critical, Solved),
• Corréler les alertes de performance avec les événements de sécurité,
• Renforcer la posture de sécurité globale sans multiplier les outils.

Comprendre les rôles de Wazuh et Zabbix

Wazuh

Wazuh est une plateforme open source de détection d’intrusion, de gestion des vulnérabilités et de conformité.
Elle collecte, corrèle et analyse les événements de sécurité issus des systèmes, serveurs et applications.
Ses principales fonctions :

• Analyse des logs en temps réel,
• Détection des menaces et anomalies,
• Inventaire des logiciels et gestion des vulnérabilités,
• Suivi de la conformité (PCI DSS, GDPR, ISO 27001, etc.),
• Réponse automatique à certains incidents.

Zabbix

Zabbix, de son côté, est une solution open source de supervision d’infrastructure.
Elle surveille la santé des serveurs, équipements réseau, services applicatifs et bases de données.
Ses points forts :

• Supervision en temps réel des performances,
• Alertes configurables et actions automatisées,
• Tableaux de bord personnalisables,
• Support d’une grande variété d’environnements (physiques, virtuels, cloud).

Le principe de l’intégration Wazuh + Zabbix

L’idée est de connecter Wazuh comme une source de données dans Zabbix.
Ainsi, les informations issues de la détection de vulnérabilités, d’incidents ou de logs de sécurité sont envoyées à Zabbix, où elles sont corrélées avec les métriques systèmes.

Cette intégration permet notamment de :

• Afficher le nombre total de vulnérabilités détectées selon leur niveau de criticité,
• Lister les CVE les plus récurrentes afin de prioriser les correctifs,
• Croiser les alertes de performance et de sécurité (ex. : un serveur lent parce qu’il subit une attaque),
• Générer des rapports consolidés pour la direction ou les audits.

Exemple concret

Dans le projet présenté ici, la configuration met en place un cluster Wazuh supervisé dans Zabbix.
Le tableau de bord affiche en un coup d’œil :

• Le total de vulnérabilités critiques, hautes, moyennes et basses,
• Le nombre d’alertes résolues,
• Les CVE les plus fréquentes,
• Et la répartition par nœud du cluster.

Ce type de vue centralisée permet à une équipe d’exploitation de comprendre instantanément l’état global de la sécurité, sans devoir jongler entre plusieurs interfaces.

Les avantages d’une telle intégration

1. Vision unifiée de la sécurité et de la supervision
   → Fini les silos entre l’équipe réseau et l’équipe cybersécurité.
2. Réactivité accrue
   → Les alertes critiques de Wazuh sont directement visibles dans Zabbix, avec un système de notification déjà éprouvé.
3. Priorisation intelligente
   → En combinant la fréquence et la sévérité des vulnérabilités, il devient plus simple de planifier les correctifs.
4. Meilleure posture de sécurité globale
   → Les corrélations entre supervision et sécurité permettent une approche proactive face aux menaces.
5. Solution 100 % open source
   → Aucun coût de licence, une flexibilité totale et une communauté active pour le support.

Étapes clés d’installation (aperçu)

1. Installer et configurer Wazuh Manager sur un serveur dédié.
2. Déployer les agents Wazuh sur les hôtes à superviser.
3. Installer Zabbix Server et configurer ses agents.
4. Intégrer les données Wazuh via l’API REST ou par scripts d’import automatisés.
5. Créer des dashboards Zabbix personnalisés pour afficher les indicateurs de sécurité.
6. Configurer les alertes Zabbix pour notifier automatiquement les nouvelles vulnérabilités.

💡 Astuce : pour plus de clarté, il est conseillé de séparer les dashboards « Supervision » et « Vulnérabilités », tout en les liant par des widgets communs (état des hôtes, niveau de criticité, tendances).

Conclusion

L’intégration de Wazuh avec Zabbix n’est pas qu’une fusion technique — c’est une approche stratégique de la cybersécurité opérationnelle.
Elle permet d’obtenir une visibilité complète sur l’état du parc informatique, d’unifier la gestion des incidents et d’optimiser la réactivité face aux menaces.

Dans un contexte où la sécurité doit être à la fois préventive et agile, ce type d’intégration open source représente une solution robuste, flexible et durable.

Windows : la CISA alerte sur une faille SMB activement exploitée !

Que faut-il savoir sur cette faille en 2025 ?

Le 20 octobre 2025, la CISA (Cybersecurity and Infrastructure Security Agency) a publié une alerte concernant une vulnérabilité critique de type « zero-day » dans le protocole SMB, identifiée sous la référence CVE-2025-33073. Cette faille touche Windows 10, Windows 11 et toutes les versions récentes de Windows Server. Elle permet à un attaquant d’obtenir les privilèges SYSTEM via une connexion SMB malveillante, c’est-à-dire un accès illimité à la machine cible avec la possibilité d’installer des ransomwares, voler des données ou pivoter sur le réseau.​

Rappel sur le protocole SMB

Le protocole SMB (Server Message Block) est utilisé dans les environnements Windows pour le partage de fichiers, d’imprimantes et d’autres ressources en réseau. Historique : SMB est déjà connu pour avoir été la cible d’attaques majeures dans le passé, comme WannaCry en 2017, qui exploitait une vulnérabilité SMBv1 pour chiffrer des centaines de milliers de PC dans le monde.​

Détail technique de la faille CVE-2025-33073

La faille permet l’élévation de privilèges via une connexion à un serveur SMB contrôlé par l’attaquant. L’attaque s’effectue principalement via des liens ou scripts malveillants, parfois distribués par mail ou par phishing. Les mécanismes d’authentification NTLM sont contournés, ce qui rend la faille particulièrement dangereuse.​

Points clés :

• Score CVSS : 8.8/10 (critique)​
• Impact : droits SYSTEM, prise de contrôle totale
• Vecteur : connexion réseau SMB manipulée, souvent interne ou via VPN

Exploitation active et raisons de l’alerte

Depuis la mise en lumière de l’exploitation active, la CISA exige une mise à jour rapide des systèmes pour les agences publiques et entreprises américaines avant le 10 novembre 2025. Les exploits sont diffusés sur les forums spécialisés et pourraient prochainement apparaître dans les kits d’attaque de ransomwares, ce qui augmente le risque pour tous les environnements Windows mal protégés.​

Conseils avancés pour professionnels IT

• Vérifier et appliquer le Patch Tuesday de juin 2025 sur toutes les machines.​
• Activer la signature SMB côté client et serveur pour limiter les attaques par rejeu et spoofing.​
• Désactiver les versions obsolètes de SMB (notamment SMBv1) et renforcer NTLM avec les politiques de domaine.
• Surveiller le trafic réseau SMB pour détecter toute connexion suspecte, surtout depuis l’extérieur ou via VPN.
• Sensibiliser les utilisateurs à la menace : méfiance vis-à-vis des liens et pièces jointes, particulièrement si le contexte semble inhabituel.
• Utiliser des solutions EDR pour détecter et bloquer les tentatives d’exploitation.​
• Segmenter les réseaux et appliquer le principe du moindre privilège.

Points de vigilance pour les TPE/PME

• Les petites structures sont ciblées via les boîtes mail compromises ou l’exploitation de failles réseau internes.
• Mettre à jour tous les équipements (serveurs et postes), même hors domaine Active Directory.
• Limiter l’exposition des ports SMB sur Internet grâce à des règles de firewall strictes.
• Sauvegarder régulièrement toutes les données hors ligne et tester les procédures de restauration.

Autres informations utiles

• Selon Forbes et TechRadar, Microsoft a confirmé travailler sur un patch complémentaire spécifique destiné aux endpoints où la mise à jour de juin 2025 ne suffit pas.​
• Les CERT européens, dont le CERT-FR, suivent les variantes d’exploitation et publient des guides de mitigation à destination des DSI et responsables cybersécurité.​
• Il existe des outils de scan spécialisés pour détecter les systèmes vulnérables (CrowdStrike, Tenable, Nessus).
• De grands groupes bancaires et de santé ont déjà rapporté des attaques ciblées depuis fin septembre 2025, surtout via des VPN non patchés et des serveurs de fichiers mal configurés.​

Conclusion

La faille SMB CVE-2025-33073 illustre le danger des services réseau exposés et l’importance de maintenir tous les systèmes à jour, de surveiller le trafic et de sensibiliser les utilisateurs. Partage cet article pour alerter tes clients et lecteurs : la sécurité passe toujours par la veille, la correction anticipée et la rigueur dans la configuration réseau !

Faut-il tout auto-héberger ? Vu les cyberattaques, la question mérite (vraiment) d’être posée.

Chaque semaine, on apprend qu’un mastodonte de l’informatique vient de se faire secouer : hôpitaux paralysés, banques bloquées, données clients en balade…
Et là, on se pose la question que beaucoup évitent :
“Mais… au lieu de confier mes données à ces géants, je ne ferais pas mieux de tout héberger moi-même ?”

Eh bien …
Mais avant de tout débrancher et d’acheter un rack de serveurs, posons les choses calmement.

Le Cloud, c’est pratique… jusqu’à ce que ça casse

Les services cloud comme Google Drive, Dropbox ou OneDrive sont simples, rapides et accessibles de partout.
Mais ils ont un point faible : ils ne sont pas à vous.
Si demain Microsoft ou Google subit une panne (ou pire, une fuite de données), vos fichiers deviennent temporairement… le nuage d’un autre.

Alternative auto-hébergée : Nextcloud
Nextcloud : partage de fichiers, synchronisation, galerie photo, messagerie, calendrier, tout y est.
Et pour compléter la suite bureautique, ajoutez OnlyOffice : vos documents Word, Excel et PowerPoint, sans quitter votre serveur.
Le tout sous votre contrôle, sur votre matériel, avec vos règles.

Les boîtes mail : le dernier bastion (à ne pas bricoler à la légère)

Soyons honnêtes : héberger soi-même une messagerie complète, c’est un vrai métier.
Spam, sécurité, DNS, SPF, DKIM, DMARC… (oui, rien que les acronymes donnent mal à la tête).

C’est pourquoi, pour les mails, mieux vaut rester sur des valeurs sûres :

• Microsoft 365,
• GlobalSP
• ou encore ProtonMail pour les plus paranos.

Bref : tout ne peut pas être retiré.
(Il fallait la placer celle-là, et elle est capitale : on ne gagne pas à tout vouloir héberger soi-même, surtout quand il s’agit de services critiques.)

Les photos : adieu Google Photos, bonjour Photoprism

Photoprism, c’est un bijou open source : gestion de vos albums, reconnaissance d’images en local, interface moderne, tout ça sans envoyer vos photos à personne.
C’est le Google Photos de ceux qui aiment garder le contrôle (et qui ne veulent pas que leurs selfies servent à entraîner des IA douteuses).

Teams ? Non merci, j’ai Rocket.Chat (et Jitsi)

Teams, c’est bien… si on aime les mises à jour forcées et les réunions qui coupent pile au moment où quelqu’un dit “attends je parta—”.
Rocket.Chat, c’est l’alternative open source : chat, canaux, notifications, intégrations.
Et pour la visioconférence, ajoutez Jitsi Meet, qui fonctionne dans un simple navigateur, sans compte, sans tracking et possible de l’integrer a Rocket.Chat.
(Si vos collègues arrivent à se connecter sans micro coupé, c’est bonus.)

Outlook ? Non merci, j’ai Thunderbird ou Evolution

Deux valeurs sûres, légères, multiplateformes, qui savent tout faire :

• Thunderbird, pour les fans du classique et du fiable.
• Evolution, pour ceux qui veulent du “Outlook-like” sous Linux.
  Les deux gèrent Exchange, les agendas, les tâches… bref, pas besoin de Microsoft pour s’organiser comme un pro.

En résumé

Auto-héberger ses services, c’est comme faire son potager :

• C’est un peu plus long,
• Il faut s’y connaître un peu,
• Mais au final, vous savez exactement ce que vous consommez, et vous ne dépendez plus d’un géant qui peut fermer le robinet du jour au lendemain.

Et puis, soyons réalistes : tout ne peut (ni ne doit) pas être auto-hébergé.
Mais beaucoup de choses le peuvent, et souvent en mieux.

Et toi ?

Donne-moi un logiciel ou un service que tu utilises au quotidien…
et je te dirai son équivalent open source et auto-hébergeable

(Spoiler : il y a presque toujours une alternative.)

Amazon Web Services subit une panne majeure

1. Qu’est-ce qui s’est passé ?

Ce lundi 20 octobre 2025, vers 08 h (heure du Royaume-Uni / UTC+1), une panne majeure est survenue au sein d’AWS, la branche « cloud » du groupe Amazon.

• AWS a indiqué que plusieurs de ses services affichaient des « taux d’erreur augmentés » et des « latences importantes », notamment dans la région US-East-1 (Virginie, États-Unis).
• Le cœur du problème : l’architecture DNS (système de résolution de noms de domaine) d’AWS a connu des dysfonctionnements, et le service de base de données DynamoDB d’AWS était particulièrement affecté.

2. Étendue et secteurs impactés

La panne a eu un effet domino très large.

Plateformes grand public touchées

• Des applications populaires comme Snapchat, Signal, Fortnite, Roblox ont été perturbées.
• Les services d’Amazon eux-mêmes (ex : boutique Amazon, assistants vocaux, etc.) ressortent comme concernés.

Secteurs professionnels et institutions

• Dans le secteur bancaire/finance : par exemple la banque britannique Lloyds Bank, ainsi que ses filiales, ont subi des interruptions.
• Dans les télécommunications / gouvernements : par exemple le site de l’administration fiscale britannique HM Revenue & Customs (HMRC) a indiqué être en coordination avec AWS pour rétablir ses services.
• Le fait que de nombreuses grandes entreprises/départements s’appuient sur AWS en tant qu’infrastructure critique est clairement mis en lumière par cet incident.

3. Chronologie et résolution

Voici un aperçu de la chronologie basée sur les informations publiques :

• Début de l’incident : vers 08 h (UK) / début de la matinée pour l’Est des États-Unis.
• AWS a commencé à publier des mises à jour indiquant qu’ils avaient détecté le problème, qu’il touchait plusieurs services.
• Vers 11 h UK, AWS annonçait que la plupart des services étaient en cours de rétablissement.
• La cause principale (DNS + DynamoDB) avait été identifiée et résolue selon AWS.

4. Pourquoi cet incident est‐il important ?

a) L’effet « domino » sur l’internet

Cette panne montre à quel point de nombreuses applications, services et organisations dépendent d’une poignée de fournisseurs de cloud pour leur infrastructure : si ces fournisseurs rencontrent un souci, cela peut affecter en cascade beaucoup d’autres entités.

b) Risques pour les entreprises et les utilisateurs

• Pour les entreprises : perte de service, impact sur la productivité, potentiellement perte de revenus.
• Pour les utilisateurs : interruption de services qu’ils utilisent tous les jours (réseaux sociaux, messagerie, jeux, achats en ligne).
• Pour les infrastructures critiques : banques, gouvernements, services publics peuvent être vulnérables à de tels incidents.

c) La confiance dans le cloud mise à l’épreuve

L’incident soulève des questions : peut-on se fier à un seul fournisseur pour des infrastructures critiques ? Quelle redondance doit être mise en place ? Des associations de défense des droits numériques ont appelé à plus de diversification.

5. Que faire face à ce type d’incident ?

Voici quelques pistes et recommandations :

• Pour les utilisateurs individuels : rester patient, vérifier les comptes officiels d’Amazon/AWS pour des mises à jour, et être attentif à d’éventuels abus (phishing) pendant que l’infrastructure est perturbée.
• Pour les entreprises :
  • Mettre en place des plans de continuité : multi-régions, multi-fournisseurs de cloud.
  • Surveiller les dépendances cachées : même des services “externes” peuvent reposer sur votre fournisseur de cloud.
  • Avoir un canal d’alerte indépendant pour informer les utilisateurs en cas de panne.
• Pour les responsables/infrastructures critiques : envisager des scénarios de “outsourcing” plus diversifiés, audits de dépendance, exercices de simulation (“et si AWS tombait”).

6. Perspectives & questions ouvertes

• Même si AWS a annoncé que l’incident était “entièrement atténué”, la question de la résilience globale reste posée.
• Il n’est pas clairement précisé s’il y a eu une faille de sécurité ou si c’était purement un problème interne. Les expertises penchent pour un dysfonctionnement interne, non pour une attaque externe.
• L’impact économique exact de cette panne : combien d’acheteurs, d’entreprises, de transactions ont été bloqués ? Peu d’estimations publiques pour l’heure.
• À long terme : est-ce qu’on va voir un changement dans l’architecture du cloud global ? Plus de “multi-cloud”, plus de redondance ? Certains analystes l’affirment.

7. En résumé

Aujourd’hui, un des plus grands fournisseurs de cloud au monde, AWS, a connu une panne significative qui a affecté un large éventail de services internet mondiaux – applications grand public, entreprises, institutions. Le point de défaillance a été identifié (DNS / base de données DynamoDB dans la région US East). Bien que le service soit en voie de rétablissement, l’événement rappelle la vulnérabilité qu’entraîne la concentration des services sur quelques plateformes cloud dominantes.

Présentation de mon infrastructure Proxmox / Pimox

Mon homelab repose sur une architecture Proxmox VE combinant des serveurs physiques traditionnels et des Raspberry Pi 4 transformés en véritables hyperviseurs grâce à Pimox, un portage optimisé de Proxmox pour ARM.
Cette configuration me permet d’héberger mes services personnels et de maintenir un environnement homogène entre les machines x86 et ARM — tout en restant économe et résiliente.

L’architecture globale

L’infrastructure est organisée autour de quatre nœuds Proxmox actifs, complétés par un troisième Raspberry Pi dédié aux sauvegardes :

• RPi4-01-PVE et RPi4-02-PVE : deux Raspberry Pi 4 sous Pimox (8 Go de RAM chacun), destinés à héberger des services légers, stables et consommant peu d’énergie.
• prox01 : un mini PC x86 avec trois cartes réseau physiques, servant de cœur réseau pour la gestion du routage, du réseau domestique et du réseau public.
• proxnuc : un NUC Intel, plus puissant, dédié aux applications plus exigeantes comme Nextcloud ou Paperless.
• RPi4-03-PBS : un troisième Raspberry Pi 4 configuré en Proxmox Backup Server, centralisant toutes les sauvegardes automatiques de mes machines virtuelles et conteneurs.

Les Raspberry Pi sous Pimox

RPi4-01-PVE

Ce premier Raspberry Pi fait office de nœud utilitaire. On y trouve :

• Bookstack (VM 1001) → Plateforme de documentation interne, idéale pour centraliser tutos, notes et procédures techniques.
• Joplin-server (VM 2002) → Synchronisation des notes Joplin entre mes appareils, hébergé localement.
• Zabbix (VM 1002) → Supervision complète de l’ensemble du parc (serveurs, routeurs, conteneurs, services).
• NetAlert (VM 1003) → Outil de détection de nouveaux appareils sur le réseau, pratique pour surveiller les connexions suspectes.

RPi4-02-PVE

Ce second Raspberry Pi est plutôt orienté multimédia et automatisation :

• Jellyfin (VM 106) → Serveur multimédia open source pour le streaming local de films et séries.
• BitcoinTrading (CT 111) → Conteneur exécutant un script Python maison chargé de surveiller le cours du Bitcoin.
  Il analyse les tendances du marché et m’indique les moments opportuns pour acheter ou vendre, selon mes propres seuils et algorithmes.
• Photoprism (VM 2003) → Gestionnaire de photos intelligent, auto-hébergé pour remplacer Google Photos

Les deux Pi utilisent un stockage partagé et sont intégrés à PBSpi, le Proxmox Backup Server hébergé sur le troisième Raspberry Pi, garantissant une sauvegarde complète et redondante de l’ensemble du cluster.

prox01 — Le cœur réseau et le routage

Le prox01 est un mini PC équipé de trois interfaces réseau physiques, utilisé pour :

• Le routage entre les différents sous-réseaux,
• La gestion du réseau domestique (LAN privé, domotique, serveurs internes),
• Et la liaison vers le réseau public.

Il héberge :

• nginxproxymanager (VM 4003) → Reverse proxy et gestion centralisée des certificats SSL, simplifie l’accès à mes services internes via des noms de domaine locaux.
• OpenWRT (VM 110) → Routeur principal de l’infrastructure, positionné derrière ma box Free configurée en mode bridge.
  OpenWRT assure le routage complet du trafic Internet, la sécurité du réseau, la gestion du DHCP, et la segmentation entre les VLANs domestiques et techniques.

proxnuc — La puissance de calcul

Le NUC est le nœud principal, utilisé pour les services nécessitant plus de CPU et de RAM.
On y trouve :

• Nextcloud (VM 102) → Cloud personnel complet (fichiers, calendriers, contacts).
• Frigate (VM 104) → Système de vidéosurveillance intelligent compatible Home Assistant.
• Vaultwarden (VM 105) → Gestionnaire de mots de passe auto-hébergé, alternative légère à Bitwarden.
• Paperless-NGX (VM 109) → Gestion électronique de documents avec reconnaissance de texte et classement automatique.
• Elgg (VM 115) → Réseau social interne orienté informatique, pour mes projets communautaires.
• Haos15.3 (VM 103) → Home Assistant OS pour la domotique.
• DL (VM 302) → Serveur de téléchargement, centralisé et isolé du reste du réseau.

Consommation et sécurité électrique

Malgré la diversité des services, l’ensemble du cluster reste extrêmement économe :
la consommation totale ne dépasse pas 1,8 kWh par jour.

Tous les nœuds (Pi, prox01 et proxnuc) sont alimentés via un onduleur, garantissant une protection complète contre les coupures de courant et les surtensions.
En cas de panne secteur, le système a le temps de s’éteindre proprement, préservant ainsi la cohérence des sauvegardes et l’intégrité des données.

En résumé

Nœud	Type	Rôle principal	Exemple de service
RPi4-01-PVE	Pimox (ARM)	Documentation / supervision	Bookstack, Zabbix
RPi4-02-PVE	Pimox (ARM)	Multimédia / script Python Bitcoin	Jellyfin, BitcoinTrading
RPi4-03-PBS	Pimox (ARM)	Sauvegardes centralisées	Proxmox Backup Server
prox01	Mini PC (x86, 3 NICs)	Routage / sécurité / Internet	OpenWRT, Nginx Proxy Manager
proxnuc	x86	Applications lourdes	Nextcloud, Paperless-NGX

Grâce à cette combinaison de Proxmox sur x86 et Pimox sur Raspberry Pi, j’ai un environnement modulaire, économe (1,8 kWh/jour), sécurisé par onduleur et entièrement sauvegardé.
Un parfait équilibre entre performance, fiabilité et autonomie pour mon infrastructure personnelle.