Blog
Analyses approfondies sur la sécurité du navigateur, l'isolation et les idées derrière Bromure.
Votre agent de codage a installé le faux Bitwarden
Le 22 avril, quelqu'un a publié sur npm un paquet malveillant nommé @bitwarden/[email protected] — un typosquat qui aspirait clés SSH, credentials AWS/Azure/GCP, jetons GitHub, jetons de publication npm et kubeconfigs sur toute machine qui l'exécutait. Ce dont il se nourrit est exactement ce que les agents de codage modernes font sans réfléchir : installer ce que npm leur renvoie. Voici à quoi ressemble cette chaîne, et ce qui change quand l'agent tourne dans une VM Bromure plutôt que sur votre portable.
L'appel venait de l'intérieur du helpdesk
Une nouvelle bande d'extorsion appelée BlackFile démarche au téléphone des employés du retail et de l'hôtellerie en se faisant passer pour l'IT, les amène à taper identifiants et OTPs sur une fausse page de connexion d'entreprise, puis enregistre son propre appareil MFA sur le compte réel. L'appel téléphonique n'est pas affecté par ce que peut faire un navigateur. La page sur laquelle l'utilisateur tape, si.
Une triche Roblox, un consentement OAuth et une fuite Vercel à $2M
La brèche Vercel divulguée cette semaine a commencé par un employé de Context.ai téléchargeant des exploits Roblox sur son PC personnel, et s'est terminée par un attaquant lisant les variables d'environnement des clients de Vercel. Bromure Enterprise, livré cette semaine, est conçu précisément pour cette chaîne.
La page d'hameçonnage qui s'est construite toute seule
Le rapport trimestriel Q1 2026 de Cisco Talos remet l'hameçonnage en tête des vecteurs d'accès initial et, en son sein, documente le premier cas que Talos attribue à un constructeur d'applications IA en « vibe-coding » — un clone d'Outlook Web Access déployé sur un sous-domaine `*.softr.app`, qui exfiltre les identifiants vers une feuille Google Sheets jetable. La réputation d'URL ne peut pas voir venir celui-là. La bonne réponse se situe plus bas dans la pile.
Supposer que le moteur de rendu tombe — ce que les 271 bugs trouvés par IA chez Mozilla signifient pour la sécurité des navigateurs
Une version précoce de Claude Mythos a aidé Mozilla à trouver 271 bugs de sécurité dans une seule version de Firefox. La bonne réaction n'est ni la panique, ni la célébration — c'est un recalibrage discret de ce que nous devons encore supposer à propos de chaque navigateur que nous livrons, utilisons, ou sur lequel nous construisons.
Le presse-papiers est l'exploit — là où ClickFix met tout défenseur en échec
Un faux CAPTCHA écrit une ligne PowerShell dans le presse-papiers. L'utilisateur appuie sur Win+R et colle. Pas d'évasion de sandbox, pas de 0-day, pas de binaire signé requis — l'humain est l'exploit. Voici ce que nous livrons contre cela aujourd'hui, où se trouvent encore les angles morts, et ce qu'Apple a eu raison et tort de faire dans macOS 26.4.
L'attaque en neuf étapes qui meurt à la première
Microsoft a documenté une chaîne de rançongiciel en neuf étapes qui commence par un message Teams externe se faisant passer pour le helpdesk et se termine par Rclone exfiltrant discrètement le partage réseau. Huit de ces neuf étapes ont besoin du système d'exploitation hôte. Aucune ne peut s'exécuter contre un onglet.
Quand c'est le magasin qui est la menace — 108 extensions Chrome malveillantes, un C2, 20 000 installations
Un seul opérateur a publié 108 extensions malveillantes sur le Chrome Web Store sous cinq éditeurs fictifs, cumulé environ 20 000 installations et les a toutes acheminées vers un unique serveur de commande et de contrôle. Le modèle de modération n'a rien vu. Voici pourquoi un navigateur axé sur la sécurité doit prendre une position plus dure.
Comment Bromure arrête l'hameçonnage avant qu'il n'atteigne vos parents
Un examen étape par étape de l'anti-hameçonnage de Bromure — l'inspection locale, le modèle, le verdict, et pourquoi vos parents, vos grands-parents et le voisin de palier sont exactement les personnes pour qui nous l'avons conçu.
Le BrowserGate de LinkedIn, et pourquoi une seule identité de navigateur ne suffit plus
LinkedIn sonde discrètement plus de 6 000 extensions de navigateur, collecte 48 attributs d'appareil, et récupère votre IP LAN via WebRTC à chaque visite. La solution n'est pas un réglage de confidentialité — c'est un navigateur d'une tout autre forme.
La confiance par conception — la philosophie derrière Bromure
Le web est hostile, les conseils de sécurité ne suffisent plus, et l'IA a changé les règles. Voici pourquoi nous avons conçu un navigateur qui vous décharge de ce fardeau.
Pourquoi les zero-days de navigateur ne disparaîtront pas, et ce que Bromure y fait
Apple et Google dépensent désormais des dizaines de millions de dollars par an pour traquer et corriger des bugs de navigateur. Il reste malgré tout entre huit et dix zero-days de navigateur activement exploités chaque année. Ce billet explique pourquoi ce calcul ne changera pas, comment Claude Mythos et la « Vulnpocalypse » s'apprêtent à aggraver la situation, et pourquoi un navigateur conçu en partant du principe qu'il sera compromis est un produit d'une toute autre nature.
Comment Bromure bloque les publicités avant même que la page ne les voie
La plupart des bloqueurs de publicités sont des extensions de navigateur, et la plupart des extensions de navigateur s'exécutent dans le même processus que la page dont elles cherchent à vous protéger. Bromure procède autrement. Voici comment, et pourquoi cela compte.
Comment les rançongiciels modernes entrent — et comment Bromure leur claque la porte au nez
La plupart des rançongiciels ne démarrent pas par une faille zero-day. Ils démarrent par un onglet de navigateur. Voici comment la chaîne d'attaque fonctionne vraiment en 2026 — et à quoi elle ressemble quand elle tombe sur un navigateur conçu pour encaisser le coup.
Faire tourner un VPN dans Bromure — et une introduction en langage clair à Cloudflare WARP
Ce qu'un VPN fait réellement, ce qu'il ne fait pas, pourquoi en exécuter un par profil dans Bromure change la donne en matière d'anonymat, et une visite guidée du fonctionnement interne de Cloudflare WARP.