Microsoft a confirmé qu'un bug dans Microsoft 365 Copilot Chat permet à l'assistant IA de résumer des emails marqués comme confidentiels en contournant les politiques de prévention de perte de données (DLP). En même temps, si un label “confidentiel” était vraiment censé protéger les données, cela se saurait 🤔.

Un acteur malveillant a accédé au fichier national des comptes bancaires (FOCOBA) en exploitant les identifiants compromis d'un agent de l'État. Les données consultées concernent 1,2 million de comptes et incluent l'identité des titulaires, adresses, coordonnées bancaires (RIB/IBAN) et, dans certains cas, des identifiants fiscaux. Le ministère de l'Économie a indiqué que les usagers concernés recevraient une notification individuelle. Les établissements bancaires ont été alertés.

Paragon Solutions, société israélienne de surveillance, a involontairement exposé son panneau de contrôle de spyware sur LinkedIn. Son produit phare, Graphite, exploite des vulnérabilités zero-click pour compromettre des appareils et accéder aux communications chiffrées. Énorme erreur d'OPSEC de la directrice juridique de Paragon Solutions, qui a publié une photo d'elle devant un panneau de contrôle de spyware en fonctionnement affichant un numéro de téléphone cible en Tchéquie.

Le CNRS a subi une fuite de données affectant les dossiers de ressources humaines des personnels recrutés avant le 1er janvier 2007. Les données exfiltrées comprennent noms, prénoms, dates de naissance, adresses, numéros de sécurité sociale et RIB. Le serveur compromis a été isolé immédiatement. La CNIL, l'ANSSI et le parquet de Paris (section cybercriminalité) ont été notifiés.

La plateforme Choisir le service public a confirmé un incident de cybersécurité survenu le 28 janvier 2026. Un compte gestionnaire a été utilisé frauduleusement pour accéder au vivier de candidats, exposant les données personnelles de 377 418 personnes telles que l’identité, aspirations professionnelles, préférences géographiques et compétences linguistiques. Environ 1 000 dossiers ont été rendus publics en ligne et l'ensemble du fichier aurait été proposé à la vente sur le dark web.

Microsoft renouvelle pour la première fois depuis 2011 les certificats Secure Boot. Les anciennes clés expirent en juin 2026 et les PC non mis à jour basculeront en “état de sécurité dégradé”. La plupart des PC récents (à partir de 2024) intègrent déjà les nouveaux certificats.

HackerOne a lancé Agentic PTaaS, un service de test d'intrusion continu combinant des agents IA avec des experts humains. Les agents automatisent la reconnaissance, la configuration et l'exploitation, tandis que les pentesteurs humains assurent la validation et le jugement expert. Le service s'appuie sur une base propriétaire de renseignements d'exploitation issus de tests en environnements de production.

Le CERT-EU a publié un framework pour la classification et l'évaluation des activités cyber malveillantes ciblant les institutions de l'Union européenne. Il définit neuf catégories de menaces (cyberespionnage, cybercriminalité, hacktivisme, destruction, exposition de données) et couvre sept composantes de l'écosystème surveillé (pays, secteurs, événements géopolitiques, fournisseurs IT, logiciels). L'évaluation repose sur des scores numériques mesurant criticité, fréquence, ciblage et récence.

La Commission européenne a détecté une cyberattaque ciblant son infrastructure centrale de gestion des appareils mobiles. L'incident, ayant potentiellement permis l'accès aux noms et numéros de téléphone du personnel, a été contenu en 9 heures. Aucune compromission des terminaux mobiles n'a été constatée. Le 20 janvier 2026, la Commission avait présenté un nouveau paquet Cybersécurité incluant le Cybersecurity Act 2.0, introduisant notamment un cadre pour une chaîne d'approvisionnement TIC de confiance.

La Commission coréenne de protection des données a infligé des amendes à Louis Vuitton (16,4 M$), Dior (9,4 M$) et Tiffany (1,85 M$) pour défaut de sécurité ayant permis l'exposition des données de 5,5 millions de clients. Chez Louis Vuitton, un malware a compromis l'accès à un SaaS cloud, exposant 3,6 millions de clients. Chez Dior, une attaque par phishing a touché 1,95 million de comptes.

Le gouvernement français a déposé un amendement confiant à la CNIL la mise en œuvre du règlement européen sur l'IA (AI Act). L'autorité supervisera les pratiques d'IA interdites, les exigences de transparence pour la reconnaissance des émotions et la catégorisation biométrique, et évaluera les systèmes à haut risque. La CNIL l'emporte sur l'ARCOM et la DGCCRF, également candidates. Il va falloir que la CNIL recrute !

Le groupe Lazarus cible des développeurs JavaScript et Python via de fausses offres d'emploi dans le secteur crypto, publiées sur LinkedIn, Facebook et Reddit. Les candidats reçoivent un projet à debugger contenant des dépendances malveillantes hébergées sur npm et PyPI.

Huit personnes comparaissent devant le tribunal judiciaire de Paris pour avoir détourné des IMSI-catchers à des fins de phishing. Ces équipements de surveillance, normalement réservés aux services de renseignement, imitent les antennes-relais pour intercepter les communications mobiles. Les accusés les utilisaient pour envoyer massivement des SMS frauduleux, contournant ainsi les filtres anti-spam des opérateurs. L'affaire débute par une plainte d'Orange en 2022 qui a reçu des SMS frauduleux signalés par des clients n’apparaissant pas sur le réseau.

La France a échoué à imposer son modèle SecNumCloud au niveau européen. La Commission européenne a présenté le 20 janvier son Cybersecurity Act 2 (CSA2) sans intégrer de protections juridiques contre les législations extraterritoriales, se limitant aux risques techniques de supply chain. L'Allemagne poursuit une approche différente via le “cloud souverain” d'AWS 😆. La France conserve néanmoins la possibilité de maintenir SecNumCloud au niveau national, le CSA2 n'abordant pas les questions juridictionnelles.

PortSwigger publie la 19e édition de son classement annuel des techniques de hacking web, sélectionnées parmi 63 nominations communautaires. Dans le top 3 :

16 vulnérabilités critiques cette semaine dont 7 exploitées et 4 avec un code d'exploitation public :

Vulnérabilités exploitées :

Vulnérabilités avec code d'exploitation public :

Le CERT-FR rappelle l'alerte en cours concernant les multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (EPMM).

Sur ces 7 derniers jours la CISA a ajouté 11 vulnérabilités exploitées :

BitSight analyse les deux bases de données de vulnérabilités chinoises :

L'étude révèle qu'environ 1 400 vulnérabilités apparaissent dans ces bases des mois avant leur publication CVE (3 mois en moyenne). Cependant, la réglementation chinoise de juillet 2021 a modifié les pratiques en interdisant le partage de détails avant la disponibilité d'un correctif. Des problèmes de qualité (erreurs de formatage CVE, horodatages incohérents) suggèrent une saisie manuelle des données.

La vulnérabilité CVE-2026-1357 (CVSS 9.8) dans le plugin WPvivid Backup & Migration permet l'exécution de code à distance sans authentification. La faille exploite une mauvaise gestion d'erreur dans le déchiffrement RSA. Seuls les sites avec l'option receive backup from another site activée sont vulnérables. La version 0.9.124 corrige le problème.

Google a déployé un correctif d'urgence pour la CVE-2026-2441 (CVSS 8.8), une vulnérabilité use-after-free dans le moteur CSS de Chrome activement exploitée. La faille permet à un attaquant distant d'exécuter du code arbitraire dans un environnement sandboxé via une page HTML spécialement conçue. Le navigateur référence des objets CSS déjà libérés en mémoire, permettant l'injection de code.

Microsoft Defender a observé des intrusions exploitant des instances SolarWinds Web Help Desk exposées sur Internet, potentiellement via la CVE-2025-40551 (désérialisation non fiable) et la CVE-2025-40536 (contournement de contrôle de sécurité). Les attaquants utilisent PowerShell et BITS pour télécharger des charges utiles, installent l'outil RMM ManageEngine pour le contrôle à distance et établissent des reverse SSH.

Cyera Research Labs a découvert la CVE-2025-64712 (CVSS 9.8) dans Unstructured.io, outil ETL utilisé par 87 % des entreprises Fortune 1000. La faille de type path traversal permet l'écriture arbitraire de fichiers et l'exécution de code à distance lors du traitement de pièces jointes Outlook (.msg). Avec plus de 4 millions de téléchargements mensuels et son intégration dans LlamaIndex et LangChain, l'impact sur la supply chain est significatif.

FIRST publie ses prévisions de vulnérabilités pour 2026 et anticipe le franchissement du seuil des 50 000 CVE publiées en une année. Le modèle statistique prévoit une médiane de 59 427 vulnérabilités, avec une fourchette possible entre 30 000 et 117 000.

Acronis analyse LockBit 5.0, lancé en septembre 2025, ciblant Windows, Linux et ESXi. La variante Windows utilise un packing personnalisé. Les variantes Linux/ESXi détectent les outils de debug (gdb, strace, lldb). Toutes les versions chiffrent avec XChaCha20 (symétrique) et Curve25519 (asymétrique). La variante ESXi cible spécifiquement les machines virtuelles via /vmfs/.

Semgrep publie un guide de sécurité dédié à OpenClaw, le fameux orchestrateur LLM comptant plus de 160 000 stars sur GitHub. Les audits révèlent que 12 % des skills de l'écosystème sont activement malveillants et 26 % contiennent au moins une vulnérabilité. Le guide recommande l'isolation en VM dédiée, le sandboxing au niveau kernel, la segmentation réseau et l'audit des skills avant installation.

Mandiant a publié un livre blanc sur la standardisation des architectures d'accès privilégiés dans les environnements multi-cloud. Face à l'expansion des surfaces d'attaque et la complexité des modèles de permissions, les mauvaises configurations créent des opportunités pour les attaquants. Le document propose un modèle de sécurité par niveaux (tiering) indépendant du fournisseur cloud, articulé autour de plusieurs contrôles (segmentation des ressources par criticité, cloisonnement des identifiants pour limiter les mouvements latéraux, etc.).

Sysdig TRT documente une intrusion AWS où un attaquant, assisté par un LLM, a obtenu un accès administrateur en moins de 10 minutes. Les identifiants initiaux provenaient de buckets S3 exposés contenant des données RAG. L'attaquant a injecté du code malveillant dans une fonction Lambda pour créer des clés d'accès, compromis 19 principals IAM et créé un utilisateur backdoor avec droits administrateur.

SpecterOps publie CAPSlock, un outil d'analyse hors ligne des politiques d'accès conditionnel (CAP) Microsoft Entra ID. Basé sur les exports ROADrecon, il simule des scénarios d'authentification sans générer d'activité sur le tenant. Utilisable en red team pour identifier des chemins d'accès et en blue team pour auditer la conception des politiques.

Ce projet propose un manuel sur Mimikatz. Le manuel détaille les techniques de dump de credentials, forgery de tickets Kerberos, attaques DCSync et DCShadow, ainsi que l'analyse des journaux d'événements associés.

Des chercheurs de l'ETH Zurich et de l'USI ont analysé la sécurité de quatre gestionnaires de mots de passe cloud revendiquant un chiffrement “zero knowledge” : Bitwarden, LastPass, Dashlane et 1Password. L'étude révèle que ce terme marketing désigne en réalité du chiffrement de bout en bout, sans preuve à divulgation nulle de connaissance. Les chercheurs ont identifié 27 attaques distinctes qu'un serveur malveillant pourrait exécuter, allant de violations d'intégrité à la compromission complète du coffre-fort. Les gestionnaires restent néanmoins recommandés.

Trail of Bits maintient un marketplace de plugins Claude Code vérifiés par la communauté. Chaque skill subit une revue de code ligne par ligne avant acceptation, en réponse à la découverte de backdoors et hooks malveillants dans l'écosystème.

Des chercheurs de SpecterOps ont développé azureBlob, un profil C2 Mythic exploitant Azure Blob Storage pour les communications de commande et contrôle. La technique abuse des exceptions de pare-feu que les entreprises accordent aux services cloud de confiance, notamment via les wildcards *.blob.core.windows.net recommandés dans la documentation de déploiement de Citrix, Parallels ou Nerdio.

🎧️ NoLimitSecu - Episode consacré au marché noir des “credentials”

🗓️ Mars@Hack - Le 10 mars 2026 à Mont de Marsan, France

🗓️ Insomni'hack - Du 16 mars au 20 mars 2026 à Lausanne, Suisse

🗒️ The Forensic Trail On GitHub: Hunting For Supply Chain Activity

📈 Vega Security, startup israélienne spécialisée dans l'analyse et la détection de la menace, lève 120 millions de dollars

📈 VulnCheck, société américaine qui suit le cycle de vie des vulnérabilités et leur exploitation active, a bouclé un tour de 25 millions de dollars en Series B portant le total levé à 45 millions.

🇫🇷 GitGuardian, plateforme française de détection automatisée de secrets et d'identités non-humaines, a levé 50 millions de dollars en Series C

🤝 Check Point a acquis les sociétés israéliennes de cybersécurité Cyata, Cyclops et Rotate.

L'armée suisse a résilié son contrat avec Palantir Technologies à la suite d'un audit de sécurité concluant à une « probabilité significative » d'accès aux données de défense suisses par les agences de renseignement américaines. Pour cet État neutre, hors OTAN, ce risque a été jugé inacceptable malgré la qualité technique reconnue de la plateforme.

Return on Security publie son analyse annuelle du marché de la cybersécurité en 2025 qui donne 25 milliards de dollars de financement en capital-risque et croissance et 76 milliards de dollars en fusions-acquisitions. L'analyse révèle une reprise inégale selon les segments et les acteurs du secteur.

Le ministère des Armées lance la Cyber Defense Factory, une plateforme basée à Cesson-Sévigné (Rennes), cogérée par l'Agence de l'innovation de défense et le Commandement de la cyberdéfense. Les start-up sélectionnées accèdent à des jeux de données réelles issus de capteurs militaires, incluant des traces de cyberattaques subies par les armées. Le programme offre un accompagnement d'experts opérationnels en cybersécurité, IA et traitement du langage naturel pour une durée de six à douze mois. Les candidats conservent leur propriété intellectuelle.

La Commission européenne a approuvé sans condition l'acquisition de Wiz par Google pour 32 milliards de dollars. L'enquête a conclu que des concurrents crédibles existent et que les clients conserveraient la possibilité de changer de fournisseur si Google venait à bundler la plateforme multi-cloud de Wiz avec ses produits. La Commission a vérifié que les données obtenues par Google via Wiz ne sont pas commercialement sensibles. L'acquisition avait passé l'examen antitrust du DOJ américain en novembre 2025.

L'Assemblée nationale a voté en première lecture l'expérimentation de la vidéosurveillance algorithmique (VSA) pour lutter contre le vol à l'étalage, par 60 voix contre 13. Le texte autorise l'analyse en temps réel des flux vidéo pour détecter les gestes suspects, avec envoi d'alertes au gérant. L'expérimentation est prévue jusqu'en 2027, soumise à autorisation préfectorale et analyse d'impact. L'entreprise Veesion, déjà déployée dans 5 000 magasins, avait été jugée non conforme au RGPD par la CNIL en 2024.

Des chercheurs de l'UCSC ont développé CHAI (Command Hijacking Against Embodied AI), une attaque par injection de prompt physique ciblant les véhicules autonomes et drones. En collant des instructions textuelles optimisées sur des panneaux routiers, l'attaque atteint 81,8 % de succès avec GPT-4o en simulation et 92,5 % en conditions réelles sur véhicule télécommandé.

Un monteur câbleur a été placé en garde à vue pour “atteinte aux intérêts de la nation” après avoir été surpris portant des lunettes Ray-Ban Meta sur le site Dassault Aviation de Cergy, où est assemblé le Rafale. Après 48 heures d'investigation, le parquet de Pontoise a écarté l'espionnage.

Des documents internes obtenus par 404 Media révèlent que le bureau du shérif de Miami-Dade et le LAPD ont acquis GeoSpy, un outil d'intelligence artificielle capable de géolocaliser des photos quasi instantanément.

Les employés ayant le plus adopté les outils d'IA sont les premiers à montrer des signes d'épuisement professionnel. Parce qu'ils accomplissent davantage en moins de temps, leur charge de travail s'étend plutôt que de se réduire. Les tâches débordent sur les pauses déjeuner et les soirées, la liste de choses à faire s'allongeant pour occuper chaque heure libérée par l'IA. Le phénomène suggère que la culture organisationnelle, et non la technologie, détermine si l'adoption de l'IA améliore réellement les conditions de travail.

Dans l'affaire de l'enlèvement de Nancy Guthrie, le FBI a récupéré des vidéos de sa caméra Google Nest alors qu'elle ne payait pas d'abonnement au stockage cloud. Google a mis plusieurs jours à localiser ces données résiduelles dans les systèmes backend. L'affaire démontre que les flux vidéo sont transmis aux serveurs indépendamment de l'abonnement, et que l'entreprise conserve des données auxquelles les utilisateurs n'ont théoriquement plus accès. Le Cloud Act permet aux autorités américaines d'exiger ces données.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter