- Erreur 403
- Posts
- Erreur 403 | #61
Erreur 403 | #61
Zero day Fortinet et autres failles critiques exploitées (Microsoft Office, WinRAR, Telnet), Microsoft fournit des clés BitLocker au FBI, le NIST reconnait être débordé par le nombre de CVE à analyser, fuite massive chez SoundCloud, extensions VS Code malveillantes ciblant un million de développeurs, la France abandonne Zoom et Teams, Pwn2Own Automotive dévoile 76 zero-days, etc.
Bastien Cacace
29th janvier 2026
Sommaire
Infos
Microsoft a fourni au FBI des clés de récupération BitLocker pour déverrouiller les ordinateurs portables de trois suspects dans une enquête pour fraude. Les clés BitLocker sont souvent stockées par défaut dans le cloud de Microsoft, permettant à l'entreprise et aux autorités d'accéder aux disques chiffrés.
Le NIST réévalue stratégiquement son implication dans le National Vulnerability Database face à l'afflux de vulnérabilités impossible à traiter. L'agence priorisera désormais l'enrichissement des CVE selon leur présence dans le catalogue KEV de la CISA, leur utilisation par les agences fédérales et leur criticité. Le NIST prévoit de transférer le travail d'enrichissement aux CVE Numbering Authorities (CNA) et abandonne le terme "backlog", reconnaissant qu'enrichir toutes les CVE existantes n'est plus réaliste.
Anthropic révèle que son modèle Claude Sonnet 4.5 peut désormais exfiltrer des données personnelles dans une simulation d’attaque qu’avait subi Equifax en 2017, en utilisant uniquement les outils de pentest disponibles sur Kali Linux. Le modèle a réussi l'exercice dans 2 essais sur 5, reconnaissant instantanément une CVE publique et écrivant du code d'exploitation sans recherche préalable. Cette progression souligne l'urgence d'appliquer les correctifs de sécurité rapidement, car les agents IA capables opèrent désormais sans outils spécialisés.
Koi Security a identifié deux extensions VS Code qui fonctionnent comme assistants IA tout en exfiltrant le code source vers des serveurs en Chine. Les extensions surveillent les fichiers en temps réel, encodent leur contenu en Base64 et peuvent récolter jusqu'à 50 fichiers sur commande du serveur. Elles collectent également des identifiants, clés API, mots de passe et clés SSH via des iframes cachés contenant des SDK d'analytics.
ClawdBot (maintenant Moltbot), qui est passé de 9K étoiles GitHub à 75K en un temps record, présente des vulnérabilités majeures. C'est un agent IA auto-hébergé qui se connecte à WhatsApp, Telegram, Slack, iMessage, Signal et Discord, avec accès complet au shell, navigateur et fichiers. Des escrocs crypto ont également pompé un faux token $CLAWD à 16M$ avant un crash de 90% 😬.
Meta lance "Strict Account Settings", une fonctionnalité de sécurité destinée aux journalistes, personnalités publiques et activistes confrontés à des menaces sophistiquées. Une fois activée, elle impose la vérification en deux étapes, bloque les médias des contacts inconnus, rend silencieux les appels d'étrangers, désactive les aperçus de liens et restreint la visibilité du profil. Ce déploiement fait suite aux années d'attaques documentées via des exploits zero-click, notamment par le logiciel espion Pegasus de NSO Group.
La France a décidé d'éliminer Zoom, Teams, Webex et Google Meet du secteur public, les remplaçant par Visio, développé par la DINUM. La plateforme, testée avec des dizaines de milliers d'agents, sera obligatoire d'ici 2027. Le gouvernement invoque la protection des données sensibles et l'indépendance vis-à-vis des acteurs non européens, estimant une économie d'un million d'euros annuels pour 100 000 utilisateurs.
Le gang ShinyHunters a compromis les systèmes SoundCloud, exposant les emails, localisations et informations de profil de 29,8 millions d'utilisateurs. La plateforme a découvert l'activité non autorisée en décembre 2025 sur un tableau de bord auxiliaire. Après une tentative d'extorsion échouée, les attaquants ont publié les données et lancé des campagnes de harcèlement par email. SoundCloud affirme qu'aucune donnée financière ou mot de passe n'a été compromis, les informations volées étant principalement déjà publiques. Les données sont indexées sur HIBP.
Microsoft reconnaît que certains PC Windows 11 ne démarrent plus après l'installation des mises à jour de sécurité de janvier 2026. L'entreprise a publié deux correctifs d'urgence en une semaine.
Les chercheurs de Synacktiv ont démontré une évasion complète de machine virtuelle via la CVE-2025-41238, une vulnérabilité de heap overflow dans le contrôleur PVSCSI de VMware Workstation. Les détails sont dans leur blog post.
Un malware de type wiper a ciblé le réseau électrique polonais fin décembre 2025, déployé à la date anniversaire de l'attaque russe contre l'Ukraine en 2015. Selon ESET, l'attaque visait à perturber les communications entre les installations renouvelables et les opérateurs de distribution, mais a échoué. L'analyse des tactiques, techniques et procédures attribue l'attaque au groupe Sandworm avec une confiance moyenne, en raison de recoupements avec leurs précédentes activités destructrices.
La troisième édition du Pwn2Own Automotive à Tokyo a rassemblé 73 participants qui ont découvert 76 vulnérabilités zero-day dans des systèmes automobiles. Fuzzware.io remporte le titre Master of Pwn avec 215 500$ et 28 points. Le chargeur EV Alpitronic HYC50 a été ciblé plusieurs fois, dont une démonstration installant Doom jouable. L'équipe Synacktiv a compromis le système d'infodivertissement Tesla en chaînant une fuite d'information avec une écriture hors limites.
Une déclaration du FBI révèle comment un informaticien d'un sous-traitant gouvernemental, a été identifié grâce aux capacités de journalisation avancées de son imprimante de bureau. En tentant de contourner la détection via des captures d'écran de documents classifiés collées dans Word sous un nom anodin, il ignorait que l'employeur pouvait récupérer non seulement les métadonnées mais aussi le contenu réel des documents imprimés. Une vidéosurveillance a également capturé la prise de notes manuscrites.
La Poste a subi une attaque DDoS sans précédent entre fin décembre 2025 et début janvier 2026, atteignant 2,5 milliards de paquets par seconde selon Philippe Bertrand, directeur sécurité. L'attaque, d'une durée de deux semaines, se distinguait par son caractère adaptatif, les attaquants modifiant leurs tactiques en temps réel pour contrer chaque mesure défensive. Jusqu'à 400 spécialistes en cybersécurité ont été mobilisés. Les services en ligne de La Banque Postale et Digiposte ont été perturbés.
MITRE annonce l'Embedded Systems Threat Matrix (ESTM), un référentiel de cybersécurité inspiré d'ATT&CK et conçu pour protéger les systèmes embarqués critiques. La version ESTM 3.0 catégorise les tactiques et techniques d'attaque spécifiques aux environnements matériels et firmware. Le framework cible les secteurs de l'énergie, robotique, contrôle industriel, transport et santé.
Le gouvernement irlandais a annoncé vouloir adopter une législation accordant à la police des pouvoirs de surveillance étendus, notamment l'utilisation de logiciels espions pour lutter contre la criminalité grave. Par ailleurs, Sébastien Lecornu a missionné un député pour explorer les évolutions juridiques permettant aux enquêteurs et services de renseignement d'accéder aux communications chiffrées dans la lutte contre le terrorisme et la criminalité organisée. Cette mission fait suite au rejet en mars 2025 d'un amendement controversé qui aurait forcé les messageries comme Signal et WhatsApp à modifier leur chiffrement pour permettre l'accès aux autorités. Les résultats sont attendus dans trois mois.
La Commission européenne a présenté un package visant à renforcer la résilience de l'UE tout en réduisant la charge administrative pour les entreprises. Les modifications ciblent la clarté juridictionnelle, la collecte de données sur les ransomwares et la supervision des entités transfrontalières.
Des chercheurs ont découvert une famille de vulnérabilités dans l'implémentation Google Fast Pair sur des accessoires audio. De nombreux appareils n'appliquent pas la vérification du mode appairage, permettant à un attaquant de lancer le processus en moins de 10 secondes jusqu’à 14 mètres de distance. Une seconde faille permet le tracking via Find Hub si l'accessoire n'a jamais été appairé. Google a attribué la CVE-2025-36911 avec une prime de 15 000$. La correction nécessite des mises à jour firmware des fabricants.
Vulnérabilités
Bulletin d'actualité du CERT-FR de la semaine 4
12 vulnérabilités critiques cette semaine dont une exploitée et trois avec un code d'exploitation public :
CVE-2026-20045 : Cisco Unified Communications Manager Session Management Edition, Unified Communications Manager IM & Presence Service, Webex Calling Dedicated Instance et Unity Connection
CVE-2025-12383 : Oracle Database Server et Weblogic
CVE-2025-9287 : Atlassian Jira
CVE-2025-9288 : Atlassian Jira
Le CERT-FR rappelle également l'existence d'une vulnérabilité activement exploitée dans Fortinet FortiCloud Single Sign-On permettant de contourner le mécanisme d'authentification. Fortinet fournit des indicateurs de compromission ainsi que des mesures de contournement (cf. article ci-dessous).
La CISA ajoute 7 vulnérabilités exploitées à son catalogue
Sur ces 7 derniers jours la CISA a ajouté sept vulnérabilités exploitées :
CVE-2026-24858 : contournement d'authentification via un chemin alternatif dans Fortinet FortiAnalyzer, FortiManager, FortiOS et FortiProxy (cf. article ci-dessous)
CVE-2026-21509 : contournement de fonctionnalité de sécurité dans Microsoft Office (cf. article ci-dessous)
CVE-2026-24061 : injection d'arguments dans GNU InetUtils telnetd permettant un contournement d'authentification à distance (cf. article ci-dessous)
CVE-2026-23760 : contournement d'authentification via l'API de réinitialisation de mot de passe dans SmarterTools SmarterMail
CVE-2025-52691 : téléversement de fichiers dangereux sans restriction dans SmarterTools SmarterMail
CVE-2018-14634 : dépassement d'entier dans la fonction create_elf_tables() du noyau Linux
CVE-2024-37079 : écriture hors limites dans l'implémentation du protocole DCERPC de Broadcom VMware vCenter Server
Fortinet a confirmé la CVE-2026-24858, une faille critique de contournement d'authentification SSO FortiCloud (CVSS 9.4) activement exploitée. Les attaquants utilisaient des comptes FortiCloud malveillants pour s'authentifier sur les appareils d'autres clients et créer des comptes administrateurs persistants. Fortinet a désactivé temporairement le SSO FortiCloud globalement le 26 janvier avant une restauration sélective bloquant les firmwares vulnérables. FortiOS, FortiManager et FortiAnalyzer sont affectés, les correctifs restent en développement.
La CISA a ajouté la CVE-2026-24061 à son catalogue KEV, une faille de contournement d'authentification dans GNU InetUtils telnetd présente depuis 2015. La vulnérabilité permet aux attaquants d'obtenir un accès root via une simple injection d'argument -f root. Selon Shadowserver Foundation, environ 800 000 instances Telnet sont exposées globalement. Forescout note que l'usage de Telnet a augmenté dans tous les secteurs, notamment dans les réseaux gouvernementaux où il est passé de 2% à 10% des appareils 🙃.
La CVE-2025-8088, une vulnérabilité de path traversal dans WinRAR exploitant les Alternate Data Streams, est activement utilisée par des groupes APT russes et chinois depuis juillet 2025. Les groupes RomCom, APT44, TEMP.Armageddon et Turla ciblent principalement l'Ukraine avec des leurres militaires, déployant des malwares dans les dossiers de démarrage Windows. Des acteurs financiers distribuent également XWorm et AsyncRAT. Un acteur "zeroplayer" commercialise des exploits fonctionnels depuis juillet 2025. La mise à jour vers WinRAR 7.13 corrige cette faille.
La CVE-2026-21509 (CVSS 7.8) permet de contourner les protections des composants COM et OLE dans Microsoft Office. L'exploitation nécessite l'ouverture d'un fichier malveillant par l'utilisateur. Office 2016, 2019, LTSC et Microsoft 365 sont affectés. Les correctifs sont disponibles pour les versions récentes, mais les utilisateurs d'Office 2016/2019 ont initialement dû recourir à des modifications de registre.
WatchTowr Labs a découvert la vulnérabilité WT-2026-0001 dans SmarterMail permettant de réinitialiser le mot de passe administrateur sans authentification. L'endpoint ForceResetPassword, marqué AllowAnonymous, ne valide jamais l'ancien mot de passe quand IsSysAdmin est à true.
L’auteur de l’article critique la gestion du programme CVE par MITRE depuis 26 ans, arguant que l'organisation n'a jamais rempli les critères requis pour un FFRDC. Il souligne qu'ISS maintenait déjà une base de vulnérabilités publique en 1997, avant le lancement du CVE. Les délais d'attribution de CVE s'étalent de jours à années, et le budget a explosé de 5 millions à 29 millions de dollars entre 2005 et 2025, soit 664$ par CVE publié.
Articles
Un chercheur décrit son expérience d'utilisation d'un agent LLM pour identifier des vulnérabilités dans des projets open source auto-hébergés. L'approche combine l'automatisation par IA avec la méthodologie de recherche en sécurité, créant une boucle itérative d'analyse.
L'équipe Splunk Threat Research a analysé 18 familles de malwares pour identifier leurs comportements communs via le framework MITRE ATT&CK. L'Ingress Tool Transfer (T1105) apparaît dans 13 familles, suivi de la découverte d'informations système (T1082) et du vol d'identifiants navigateur (T1555.003). Pour la persistance, les clés de registre Run et les tâches planifiées dominent. Cette approche par techniques plutôt que par signatures permet de détecter plusieurs familles avec des règles unifiées.
Les attaquants utilisent la Windows Filtering Platform (WFP) pour bloquer les communications entre les agents EDR et leurs consoles cloud. Des outils comme EDRSilencer et BlockEDRTraffic exploitent l'API FwpmFilterAdd0 pour appliquer des règles de filtrage réseau ciblant les processus de sécurité. Contrairement aux approches par pilote kernel utilisées par les ransomwares, cette technique n'entraîne pas de crash des services, maintenant une furtivité opérationnelle tout en aveuglant les équipes de sécurité.
Brian Krebs a identifié Chen Daihai et Zhu Zhiyu comme opérateurs probables du botnet Badbox 2.0 après que les administrateurs du botnet Kimwolf ont compromis son panneau de contrôle. L'enquête a retracé des emails et enregistrements de domaines vers Beijing Astrolink Wireless Digital Technology. Badbox 2.0 infecte plus de 10 millions d'appareils Android TV servant de plateforme de fraude publicitaire et de distribution de malwares pré-installés en usine.
Ce guide explique OAuth 2.1 qui permet aux utilisateurs de prouver leur identité sans partager leurs mots de passe. L'article détaille le flux complet (redirection, code temporaire, échange de token) et les mécanismes de sécurité comme le paramètre state contre le détournement de session, l'enregistrement des URI de redirection et les scopes définissant les permissions accordées.
Même avec la signature SMB activée, les attaques par réflexion NTLM restent possibles si les systèmes ne sont pas entièrement patchés. Cette technique permet à un attaquant de relayer les authentifications NTLM capturées pour compromettre des ressources Active Directory. La vulnérabilité souligne l'importance d'appliquer tous les correctifs de sécurité et de considérer la désactivation complète de NTLM au profit de Kerberos dans les environnements sensibles.
Un chercheur a découvert une vulnérabilité XSS dans Salesforce Commerce Cloud via le contrôleur EinsteinCarousel-Load, où le paramètre mainColor était reflété sans sanitisation. Pour contourner le WAF Cloudflare, il a utilisé des échappements Unicode. L'escalade vers un vol de tokens OAuth exploite astucieusement le WAF comme gadget. Ainsi, en injectant un cookie malveillant déclenchant un blocage WAF, l'attaquant interrompt le flux OAuth au moment critique, permettant de récupérer les paramètres code et state non utilisés depuis l'iframe, menant à une prise de contrôle de compte.
Outils
CT Log Explorer est un outil web permettant de parcourir les journaux de Certificate Transparency. Il permet de rechercher tous les certificats SSL publics émis, utile pour identifier les sous-domaines d'une organisation, détecter des certificats frauduleux ou surveiller l'émission de nouveaux certificats pour un domaine.
IDE-SHEPHERD est une extension pour VS Code et Cursor qui assure une protection en temps réel contre les extensions malveillantes et les attaques supply chain. L'outil utilise l'instrumentation RITM pour intercepter les opérations Node.js au niveau du chargement des modules. Il analyse les métadonnées suspectes, surveille les requêtes réseau vers des domaines d'exfiltration et détecte les tentatives d'injection de commandes ou d'élévation de privilèges.
Sec-context compile plus de 150 sources pour documenter les anti-patterns de sécurité que les IA reproduisent systématiquement. Les statistiques montrent 86% de taux d'échec XSS et 72% de code Java vulnérable dans les générations IA. L'outil fournit deux documents : un couvrant 25+ anti-patterns avec références CWE (~65K tokens) et un approfondissant 7 vulnérabilités prioritaires (~100K tokens).
Fence est un utilitaire sandbox pour sécuriser les agents IA CLI comme Claude Code. Sans nécessiter Docker, il bloque par défaut toutes les connexions réseau sortantes et restreint l'accès au système de fichiers. Des templates pré-configurés autorisent les cas d'usage courants (npm, PyPI, fournisseurs LLM).
apk.sh est un script Bash automatisant les tâches répétitives d'analyse Android : extraction d'APK depuis appareil connecté, décompilation, reconstruction et patching. L'outil intègre Frida pour l'injection de gadgets d'instrumentation au démarrage sans nécessiter de root.
Portracker est une plateforme auto-hébergée de monitoring de ports en temps réel. L'outil scanne automatiquement les hôtes pour détecter les services actifs, distingue les ports internes des conteneurs des ports publiés, et supporte le monitoring distribué multi-instances.
Conférences / Salons
🗓️ Hack'In - Le 30 et 31 janvier 2026 à Aix-en-Provence, France
🗓️ Swiss Cyber Security Days - Le 17 et 18 février 2026 à Berne, Suisse
🎤 Panorama de la cybercriminalité du Clusif de Janvier 2026.
Finances / Marché
Le secteur technologique ne représente plus que 2,3% de l'emploi total aux États-Unis, son plus bas niveau depuis début 2021. Ce pourcentage a atteint son pic lors du lancement de ChatGPT en novembre 2022 avant de décliner pendant trois ans. Les secteurs de l'infrastructure cloud, traitement de données, hébergement web, recherche et conception de systèmes informatiques ont perdu 91 000 emplois, inversant une tendance haussière de 20 ans. Les offres d'emploi développeur sur Indeed ont chuté de 71% depuis février 2022.
🇫🇷 Stoïk, une entreprise française d'assurance cyber, a levé 23,5M$ en Série C.
Misc
Le suivi des livraisons de pizza près du Pentagone s'est imposé comme un baromètre informel de l'activité militaire. Quand les crises se développent, les officiels commandent des pizzas plutôt que de quitter leurs postes. Le 27-28 janvier 2026, les commandes Papa John's ont bondi de 167% avant l'annonce de menaces américaines contre l'Iran. Des comptes comme Pentagon Pizza Watch croisent ces données avec d'autres signaux. Un trader aurait gagné 80 000$ en pariant sur l'intervention au Venezuela grâce à cet indicateur.
DroidDock est une application macOS open source remplaçant l'abandonné Android File Transfer de Google. Elle utilise ADB pour naviguer dans les fichiers Android comme dans le Finder, avec prévisualisation d'images et vidéos sans téléchargement préalable.
Selon une étude, près de 3 abonnés ChatGPT sur 4 l'utilisent désormais comme page d'accueil, supplantant Google Search. Cette tendance marque un changement dans les habitudes de recherche d'information, les utilisateurs préférant l'interface conversationnelle aux résultats de moteur de recherche traditionnels. Ce basculement représente un défi majeur pour le modèle économique de Google, historiquement dominé par la publicité sur les pages de résultats.
Pipenet est une alternative moderne à localtunnel développée par glama.ai. Une simple commande expose votre serveur local via une URL HTTPS publique. L'outil supporte le multiplexage sur port unique pour les déploiements cloud, les WebSockets et le SSE pour le streaming.
Terraform-skill est un skill pour Claude Agent fournissant des bonnes pratiques infrastructure-as-code pour Terraform 1.0+ et OpenTofu 1.6+. Il inclut des matrices de décision pour les frameworks de test, des conventions de nommage de modules, des templates CI/CD pour GitHub Actions et GitLab, et des patterns de sécurité avec Trivy et Checkov.
Ubisoft a dévoilé une refonte radicale incluant annulations de jeux, fermetures de studios et plan d'économies, entraînant une perte prévue de plus d'un milliard d'euros. L'action a chuté de 38% à la Bourse de Paris, s'ajoutant à une perte de moitié de sa valeur en 2025. Le syndicat Solidaires-Informatique dénonce l'absence de concertation, alors que le studio parisien avait organisé une "journée anti-blues" quelques heures avant l'annonce.
Une étude de Stanford et Yale démontre que les IA mémorisent des textes entiers de leurs données d'entraînement. Les chercheurs ont fait réciter à Gemini 2.5 Pro 77% du texte de Harry Potter à l'école des sorciers en lui demandant de compléter des phrases progressivement. Cette découverte contredit l'argument selon lequel les modèles ne stockent que des fragments d'information, et pourrait avoir des implications majeures dans les procès en cours concernant les droits d'auteur.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien