Italie & SuisseMis à jour ·
Le Journal de la Cybersécurité
Fil d'actuPatch Tuesday Microsoft avec des zero-day actifs // Vague de patch critiques multi-vendor // Zero-day SonicWall SMA 1000 en attaque // AsyncAPI compromise dans la supply chain npm
Patch Tuesday Microsoft avec des zero-day actifsZero-day
● À la une — Zero-day

Patch Tuesday Microsoft avec des zero-day actifs

Microsoft a publié sa mise à jour mensuelle de juillet 2026 avec un volume sans précédent de correctifs, cité par diverses sources comme 621, 622 ou plus de 570 vulnérabilités, y compris plusieurs failles déjà exploitées dans des attaques. Parmi les zones touchées figurent SharePoint, RDP, Hyper-V, Active Directory Federation Services et d’autres composants largement déployés dans les environnements d’entreprise et gouvernementaux.

Lire la suite

La présence de zero-day déjà actifs rend la fenêtre de risque immédiatement concrète, en particulier pour les organisations qui gèrent des infrastructures Windows exposées à internet ou dotées de privilèges élevés. CISA a en outre inscrit plusieurs vulnérabilités Microsoft dans le catalogue KEV, poussant les administrations et les entreprises à accorder une priorité absolue au patching. L’ampleur de la publication augmente aussi la probabilité d’erreurs de triage et de retards dans l’application des mitigations. En pratique, ce Patch Tuesday n’est pas seulement massif : c’est un événement qui modifie la file de travail des équipes de sécurité à l’échelle mondiale.

Produit
Windows, SharePoint, RDP
Action
patching prioritaire
Impact
risque immédiat
La rédaction
Vague de patch critiques multi-vendorAdvisory
Advisory

Vague de patch critiques multi-vendor

En plus du Patch Tuesday de Microsoft, de nombreuses mises à jour de sécurité sont apparues cette semaine pour des produits très répandus comme Chrome, Firefox, Adobe, VMware, Zoom, Citrix, Cisco, IBM WebSphere, Splunk et d’autres.

Lire la suite

Google a corrigé plusieurs vulnérabilités dans Chrome, y compris des failles critiques et de haute gravité, tandis que Mozilla a corrigé deux bugs critiques déjà activement exploités. ACN et d’autres sources ont signalé des vulnérabilités dans des produits enterprise comme Cisco RoomOS, IBM WebSphere, Splunk et Citrix, souvent avec des impacts sur l’authentification, l’accès à des informations sensibles ou l’écriture arbitraire de fichiers. Ce type de vague de patchs est important parce qu’il touche les couches logicielles utilisées comme porte d’entrée, canal de collaboration ou composant de plateforme. Les organisations qui ignorent les vendors secondaires risquent de conserver des surfaces exposées même si elles ont déjà couvert les principaux systèmes d’exploitation. La leçon est que la remediation doit être multi-vendor et coordonnée, non limitée aux seuls endpoints.

Produit
Chrome, Firefox, VMware
Gravité
critique, élevée
Action
mettre à jour tous les vendors
Impact
accès, fichiers, données
Zero-day SonicWall SMA 1000 en attaqueZero-day
Zero-day

Zero-day SonicWall SMA 1000 en attaque

SonicWall a confirmé l’exploitation active de deux vulnérabilités zero-day affectant les appliances SMA 1000, contraignant les clients à mettre à jour immédiatement et à rechercher des signes de compromission.

Lire la suite

Les failles comprennent CVE-2026-15409, une SSRF critique qui permet à un attaquant distant non authentifié de forcer le dispositif à effectuer des requêtes vers des destinations arbitraires, et CVE-2026-15410, une vulnérabilité de code injection post-authentication pouvant conduire à l’exécution de commandes sur le système d’exploitation. Les indications de réponse sont sévères : si des IoC apparaissent, SonicWall recommande le re-image des appliances hardware ou le redéploiement des instances virtuelles, en plus du reset des mots de passe et des tokens TOTP. La gravité est élevée parce que SMA 1000 est souvent utilisé comme point d’accès distant pour les utilisateurs et les administrateurs, de sorte qu’une compromission peut ouvrir le réseau interne. La campagne est particulièrement préoccupante parce qu’elle combine deux vecteurs complémentaires, l’un pre-auth et l’autre post-auth, élargissant les possibilités d’exploit dans des scénarios réels. Pour les défenseurs, c’est une priorité de patching et de hunting à court terme.

CVE
CVE-2026-15409, 15410
Produit
SonicWall SMA 1000
Gravité
critique, élevée
Action
update, re-image, reset
AsyncAPI compromise dans la supply chain npmSupply chain
Supply chain

AsyncAPI compromise dans la supply chain npm

L’organisation AsyncAPI a été compromise via GitHub Actions et a fini par publier des versions malveillantes de plusieurs packages npm très téléchargés. Les versions infectées ont introduit un payload install-time et un code capable de

Lire la suite

voler des identifiants, tokens, clés SSH, wallets crypto et secrets cloud, touchant un écosystème de plus de deux millions de téléchargements hebdomadaires. Microsoft a décrit l’attaque comme une compromission de la CI/CD exploitée pour distribuer du malware à travers un software de confiance, mettant en évidence à quel point la chaîne de build constitue un point d’entrée très puissant. L’événement est important non seulement pour les développeurs qui utilisent ces packages, mais pour toutes les organisations qui traitent npm et les workflows automatisés comme des canaux fiables. La combinaison de supply chain compromise, trust abuse et persistence du payload fait de ce cas un exemple classique de risque systémique. C’est aussi un signal fort que les dépendances populaires restent une cible prioritaire pour les attaquants.

Produit
packages npm AsyncAPI
Action
faire tourner les secrets, audit
Impact
vol d’identifiants, malware
OAuth et device code sous attaqueAuthentification
Authentification

OAuth et device code sous attaque

Les campagnes d’account takeover évoluent du simple password spraying vers la manipulation des flux OAuth et device code. Proofpoint et Microsoft ont décrit comment le client ID spoofing dans Entra ID permet d’énumérer des comptes ou d’inférer l’état d’authentification sans générer un sign-in classique réussi.

Lire la suite

Une autre recherche a montré un « confused deputy » dans Google IdP via le device code flow hijacking, avec la possibilité de transférer des sessions et d’aboutir à des takeovers invisibles. Ces vecteurs sont très importants parce qu’ils contournent une partie de la télémétrie traditionnelle et exploitent la logique même de l’identity provider. En parallèle, des campagnes comme Forg365 et EvilTokens utilisent le device code phishing et le session theft pour maintenir des accès persistants à Microsoft 365. Le résultat est une menace qui ne dépend plus seulement de mots de passe faibles, mais de la manière dont les protocoles d’authentification sont implémentés et journalisés.

Produit
Entra ID, Google IdP
Action
surveiller OAuth et les flows
Impact
account takeover stealth
Des shim UEFI vulnérables sapent Secure BootFirmware
Firmware

Des shim UEFI vulnérables sapent Secure Boot

Des chercheurs d’ESET et de Binarly ont mis en évidence que plusieurs anciens shim UEFI signés par Microsoft peuvent encore être utilisés pour contourner Secure Boot. Les vulnérabilités affectent des bootloaders et des composants de

Lire la suite

démarrage qui, bien qu’ayant été révoqués ou corrigés, restent un risque s’ils sont encore présents dans la chaîne de boot ou dans des images de recovery. Le problème est sérieux parce qu’il permet de compromettre la confiance au niveau firmware, avant que le système d’exploitation ne puisse appliquer des contrôles de sécurité. Différentes sources relient la découverte à 11 shim vulnérables et à plusieurs vulnérabilités dans U-Boot, avec des impacts sur les routeurs, les dispositifs embedded et les infrastructures critiques. Cela étend la menace au-delà des PC : même les caméras intelligentes, les contrôleurs et les équipements réseau peuvent devenir des vecteurs de persistence stealth. La conséquence est une révision urgente des baselines de secure boot, des révocations et des mises à jour firmware.

Produit
UEFI shim, U-Boot
Action
révocations, update firmware
Impact
bypass Secure Boot
Des attaques stoppent la logistique et la production alimentaireRansomware
Ransomware

Des attaques stoppent la logistique et la production alimentaire

Les attaques contre Nichirei au Japon et fairlife, l’activité laitière de Coca-Cola aux États-Unis, montrent comment le cyber risk peut rapidement se traduire par des arrêts de production.

Lire la suite

Nichirei a subi une attaque qui a bloqué la logistique et les expéditions, tandis que fairlife a suspendu une partie de la production aux États-Unis après un incident de type ransomware ayant touché des systèmes liés à la production. Ces deux affaires montrent que le dommage n’est pas seulement informationnel : lorsque les systèmes opérationnels sont touchés, la continuité industrielle et l’approvisionnement des clients sont interrompus. Dans aucun des deux cas, au moins dans les premiers rapports, il n’y avait d’attribution publique complète ni de détails certains sur le ransomware group. Toutefois, le fait que la qualité et la sécurité du produit soient déclarées intactes alors que les operations s’arrêtent montre le trade-off typique des crises cyber-industrielles. Pour les entreprises du manufacturing et de la food chain, la résilience opérationnelle est désormais une mesure de sécurité à part entière.

Produit
Nichirei, fairlife
Action
containment, continuité
Impact
arrêt de production, expéditions
Les fraudes en ligne industrialisées dans le viseur européenFraudes
Fraudes

Les fraudes en ligne industrialisées dans le viseur européen

Plusieurs opérations de police en Europe ont frappé des réseaux de fraude financière extrêmement rentables, confirmant que le cybercrime est désormais une véritable industrie. Aux Pays-Bas et en Espagne, des réseaux qui géraient des call

Lire la suite

centers, de faux conseillers financiers et des plateformes d’investissement frauduleuses ont été démantelés, avec des profits estimés jusqu’à 100 millions d’euros par mois ou plus de 140 millions au total. Au Royaume-Uni, cinq personnes ont été inculpées pour un service de caller ID spoofing utilisé dans plus d’un million d’appels frauduleux. Parallèlement, des rapports de threat intel montrent que les tutoriels sur les forums underground augmentent et que les criminels continuent d’innover dans le phishing, le carding et le cash-out. Ces cas sont importants parce qu’ils combinent infrastructure technique, social engineering et blanchiment financier dans une seule filière. Pour les défenseurs et les forces de l’ordre, le défi consiste à bloquer non seulement l’accès mais aussi la monétisation.

Produit
call centers, spoofing
Action
arrestations, saisies
Impact
pertes financières
Sanctions occidentales contre l’écosystème cyber russeEnforcement
Enforcement

Sanctions occidentales contre l’écosystème cyber russe

Les États-Unis, l’Union européenne et le Royaume-Uni ont intensifié les mesures contre des opérateurs et des infrastructures liés à des campagnes russes de cyberespionage, de sabotage et de soutien au crime.

Lire la suite

Parmi les cibles figurent des individus et des entités liés au FSB, des fournisseurs de hosting bulletproof comme Media Land et des services VPN ou cryptor utilisés par des ransomware affiliate. Les sanctions visent à interrompre le support logistique qui permet à des groupes comme Scattered Spider, à des opérateurs de ransomware et à des acteurs étatiques de se déplacer avec davantage d’impunité. Ces mesures montrent que la cyber deterrence ne concerne pas seulement le malware et les vulnérabilités, mais aussi les entreprises de support qui rendent l’écosystème criminel soutenable. Leur importance est élevée parce qu’elles frappent la supply chain de l’attaque et pas seulement le payload final. Même si l’efficacité à long terme est difficile à mesurer, la pression coordonnée signale une maturation de la réponse géopolitique au cybercrime.

Produit
hosting, VPN, cryptor
Action
sanctions coordonnées
Impact
pression sur les infrastructures
ClickFix industrialise phishing et malwarePhishing
Phishing

ClickFix industrialise phishing et malware

ClickFix s’est imposé comme l’un des vecteurs de social engineering les plus efficaces de ces derniers temps, passant d’une astuce occasionnelle à un écosystème industriel utilisé pour installer du malware et voler des identifiants.

Lire la suite

Les campagnes s’appuient sur de fausses pages qui imitent des CAPTCHA, des mises à jour de navigateur ou des erreurs de réunion et poussent les victimes à exécuter des commandes dans le terminal ou dans la fenêtre Run. Microsoft et d’autres chercheurs ont observé des familles comme ACR Stealer et TELEPUZ qui utilisent ClickFix pour dérober des cookies, tokens, documents et identifiants enterprise. En parallèle, diverses analyses montrent que les attaquants intègrent aussi l’AI pour générer des lures plus crédibles et automatiser des phases de la chaîne. Le résultat est une menace qui échappe souvent aux antivirus et aux contrôles endpoint traditionnels parce qu’elle utilise l’utilisateur comme mécanisme d’exécution. Son importance est élevée parce que la technique fonctionne aussi bien sur Windows que sur macOS et continue d’être réutilisée dans des contextes différents.

Produit
terminal, fenêtre Run
Action
sensibilisation, blocage des scripts
Impact
malware, vol de comptes
Autres actualités