Advisory
Advisory
En plus du Patch Tuesday de Microsoft, de nombreuses mises à jour de sécurité sont apparues cette semaine pour des produits très répandus comme Chrome, Firefox, Adobe, VMware, Zoom, Citrix, Cisco, IBM WebSphere, Splunk et d’autres.
Lire la suite
Google a corrigé plusieurs vulnérabilités dans Chrome, y compris des failles critiques et de haute gravité, tandis que Mozilla a corrigé deux bugs critiques déjà activement exploités. ACN et d’autres sources ont signalé des vulnérabilités dans des produits enterprise comme Cisco RoomOS, IBM WebSphere, Splunk et Citrix, souvent avec des impacts sur l’authentification, l’accès à des informations sensibles ou l’écriture arbitraire de fichiers. Ce type de vague de patchs est important parce qu’il touche les couches logicielles utilisées comme porte d’entrée, canal de collaboration ou composant de plateforme. Les organisations qui ignorent les vendors secondaires risquent de conserver des surfaces exposées même si elles ont déjà couvert les principaux systèmes d’exploitation. La leçon est que la remediation doit être multi-vendor et coordonnée, non limitée aux seuls endpoints.
- Produit
- Chrome, Firefox, VMware
- Gravité
- critique, élevée
- Action
- mettre à jour tous les vendors
- Impact
- accès, fichiers, données
Zero-day
Zero-day
SonicWall a confirmé l’exploitation active de deux vulnérabilités zero-day affectant les appliances SMA 1000, contraignant les clients à mettre à jour immédiatement et à rechercher des signes de compromission.
Lire la suite
Les failles comprennent CVE-2026-15409, une SSRF critique qui permet à un attaquant distant non authentifié de forcer le dispositif à effectuer des requêtes vers des destinations arbitraires, et CVE-2026-15410, une vulnérabilité de code injection post-authentication pouvant conduire à l’exécution de commandes sur le système d’exploitation. Les indications de réponse sont sévères : si des IoC apparaissent, SonicWall recommande le re-image des appliances hardware ou le redéploiement des instances virtuelles, en plus du reset des mots de passe et des tokens TOTP. La gravité est élevée parce que SMA 1000 est souvent utilisé comme point d’accès distant pour les utilisateurs et les administrateurs, de sorte qu’une compromission peut ouvrir le réseau interne. La campagne est particulièrement préoccupante parce qu’elle combine deux vecteurs complémentaires, l’un pre-auth et l’autre post-auth, élargissant les possibilités d’exploit dans des scénarios réels. Pour les défenseurs, c’est une priorité de patching et de hunting à court terme.
- CVE
- CVE-2026-15409, 15410
- Produit
- SonicWall SMA 1000
- Gravité
- critique, élevée
- Action
- update, re-image, reset
Supply chain
Supply chain
L’organisation AsyncAPI a été compromise via GitHub Actions et a fini par publier des versions malveillantes de plusieurs packages npm très téléchargés. Les versions infectées ont introduit un payload install-time et un code capable de
Lire la suite
voler des identifiants, tokens, clés SSH, wallets crypto et secrets cloud, touchant un écosystème de plus de deux millions de téléchargements hebdomadaires. Microsoft a décrit l’attaque comme une compromission de la CI/CD exploitée pour distribuer du malware à travers un software de confiance, mettant en évidence à quel point la chaîne de build constitue un point d’entrée très puissant. L’événement est important non seulement pour les développeurs qui utilisent ces packages, mais pour toutes les organisations qui traitent npm et les workflows automatisés comme des canaux fiables. La combinaison de supply chain compromise, trust abuse et persistence du payload fait de ce cas un exemple classique de risque systémique. C’est aussi un signal fort que les dépendances populaires restent une cible prioritaire pour les attaquants.
- Produit
- packages npm AsyncAPI
- Action
- faire tourner les secrets, audit
- Impact
- vol d’identifiants, malware
Authentification
Authentification
Les campagnes d’account takeover évoluent du simple password spraying vers la manipulation des flux OAuth et device code. Proofpoint et Microsoft ont décrit comment le client ID spoofing dans Entra ID permet d’énumérer des comptes ou d’inférer l’état d’authentification sans générer un sign-in classique réussi.
Lire la suite
Une autre recherche a montré un « confused deputy » dans Google IdP via le device code flow hijacking, avec la possibilité de transférer des sessions et d’aboutir à des takeovers invisibles. Ces vecteurs sont très importants parce qu’ils contournent une partie de la télémétrie traditionnelle et exploitent la logique même de l’identity provider. En parallèle, des campagnes comme Forg365 et EvilTokens utilisent le device code phishing et le session theft pour maintenir des accès persistants à Microsoft 365. Le résultat est une menace qui ne dépend plus seulement de mots de passe faibles, mais de la manière dont les protocoles d’authentification sont implémentés et journalisés.
- Produit
- Entra ID, Google IdP
- Action
- surveiller OAuth et les flows
- Impact
- account takeover stealth
Firmware
Firmware
Des chercheurs d’ESET et de Binarly ont mis en évidence que plusieurs anciens shim UEFI signés par Microsoft peuvent encore être utilisés pour contourner Secure Boot. Les vulnérabilités affectent des bootloaders et des composants de
Lire la suite
démarrage qui, bien qu’ayant été révoqués ou corrigés, restent un risque s’ils sont encore présents dans la chaîne de boot ou dans des images de recovery. Le problème est sérieux parce qu’il permet de compromettre la confiance au niveau firmware, avant que le système d’exploitation ne puisse appliquer des contrôles de sécurité. Différentes sources relient la découverte à 11 shim vulnérables et à plusieurs vulnérabilités dans U-Boot, avec des impacts sur les routeurs, les dispositifs embedded et les infrastructures critiques. Cela étend la menace au-delà des PC : même les caméras intelligentes, les contrôleurs et les équipements réseau peuvent devenir des vecteurs de persistence stealth. La conséquence est une révision urgente des baselines de secure boot, des révocations et des mises à jour firmware.
- Produit
- UEFI shim, U-Boot
- Action
- révocations, update firmware
- Impact
- bypass Secure Boot
Ransomware
Ransomware
Les attaques contre Nichirei au Japon et fairlife, l’activité laitière de Coca-Cola aux États-Unis, montrent comment le cyber risk peut rapidement se traduire par des arrêts de production.
Lire la suite
Nichirei a subi une attaque qui a bloqué la logistique et les expéditions, tandis que fairlife a suspendu une partie de la production aux États-Unis après un incident de type ransomware ayant touché des systèmes liés à la production. Ces deux affaires montrent que le dommage n’est pas seulement informationnel : lorsque les systèmes opérationnels sont touchés, la continuité industrielle et l’approvisionnement des clients sont interrompus. Dans aucun des deux cas, au moins dans les premiers rapports, il n’y avait d’attribution publique complète ni de détails certains sur le ransomware group. Toutefois, le fait que la qualité et la sécurité du produit soient déclarées intactes alors que les operations s’arrêtent montre le trade-off typique des crises cyber-industrielles. Pour les entreprises du manufacturing et de la food chain, la résilience opérationnelle est désormais une mesure de sécurité à part entière.
- Produit
- Nichirei, fairlife
- Action
- containment, continuité
- Impact
- arrêt de production, expéditions
Fraudes
Fraudes
Plusieurs opérations de police en Europe ont frappé des réseaux de fraude financière extrêmement rentables, confirmant que le cybercrime est désormais une véritable industrie. Aux Pays-Bas et en Espagne, des réseaux qui géraient des call
Lire la suite
centers, de faux conseillers financiers et des plateformes d’investissement frauduleuses ont été démantelés, avec des profits estimés jusqu’à 100 millions d’euros par mois ou plus de 140 millions au total. Au Royaume-Uni, cinq personnes ont été inculpées pour un service de caller ID spoofing utilisé dans plus d’un million d’appels frauduleux. Parallèlement, des rapports de threat intel montrent que les tutoriels sur les forums underground augmentent et que les criminels continuent d’innover dans le phishing, le carding et le cash-out. Ces cas sont importants parce qu’ils combinent infrastructure technique, social engineering et blanchiment financier dans une seule filière. Pour les défenseurs et les forces de l’ordre, le défi consiste à bloquer non seulement l’accès mais aussi la monétisation.
- Produit
- call centers, spoofing
- Action
- arrestations, saisies
- Impact
- pertes financières
Enforcement
Enforcement
Les États-Unis, l’Union européenne et le Royaume-Uni ont intensifié les mesures contre des opérateurs et des infrastructures liés à des campagnes russes de cyberespionage, de sabotage et de soutien au crime.
Lire la suite
Parmi les cibles figurent des individus et des entités liés au FSB, des fournisseurs de hosting bulletproof comme Media Land et des services VPN ou cryptor utilisés par des ransomware affiliate. Les sanctions visent à interrompre le support logistique qui permet à des groupes comme Scattered Spider, à des opérateurs de ransomware et à des acteurs étatiques de se déplacer avec davantage d’impunité. Ces mesures montrent que la cyber deterrence ne concerne pas seulement le malware et les vulnérabilités, mais aussi les entreprises de support qui rendent l’écosystème criminel soutenable. Leur importance est élevée parce qu’elles frappent la supply chain de l’attaque et pas seulement le payload final. Même si l’efficacité à long terme est difficile à mesurer, la pression coordonnée signale une maturation de la réponse géopolitique au cybercrime.
- Produit
- hosting, VPN, cryptor
- Action
- sanctions coordonnées
- Impact
- pression sur les infrastructures
Phishing
Phishing
ClickFix s’est imposé comme l’un des vecteurs de social engineering les plus efficaces de ces derniers temps, passant d’une astuce occasionnelle à un écosystème industriel utilisé pour installer du malware et voler des identifiants.
Lire la suite
Les campagnes s’appuient sur de fausses pages qui imitent des CAPTCHA, des mises à jour de navigateur ou des erreurs de réunion et poussent les victimes à exécuter des commandes dans le terminal ou dans la fenêtre Run. Microsoft et d’autres chercheurs ont observé des familles comme ACR Stealer et TELEPUZ qui utilisent ClickFix pour dérober des cookies, tokens, documents et identifiants enterprise. En parallèle, diverses analyses montrent que les attaquants intègrent aussi l’AI pour générer des lures plus crédibles et automatiser des phases de la chaîne. Le résultat est une menace qui échappe souvent aux antivirus et aux contrôles endpoint traditionnels parce qu’elle utilise l’utilisateur comme mécanisme d’exécution. Son importance est élevée parce que la technique fonctionne aussi bien sur Windows que sur macOS et continue d’être réutilisée dans des contextes différents.
- Produit
- terminal, fenêtre Run
- Action
- sensibilisation, blocage des scripts
- Impact
- malware, vol de comptes