Google a mis hors service l'infrastructure du groupe UNC2814, lié à la Chine, responsable de la compromission de 53 organisations dans 42 pays. Le malware GRIDTIDE, développé en C, utilisait l'API officielle de Google Sheets comme serveur de commande et de contrôle.

La DGSI a publié un flash détaillant trois cas réels d'ingérence ciblant des professionnels français en déplacement à l'étranger. Parmi les techniques documentées on retrouve le vol d'ordinateur dans les bagages, le déverrouillage forcé de téléphone au contrôle douanier avec désactivation de l'authentification forte, et la fouille de chambre d'hôtel. L'agence recommande de voyager avec du matériel dédié vierge de données, d'activer l'authentification multifacteur, d'éviter les bornes USB publiques et les réseaux Wi-Fi non sécurisés. Au retour, faire vérifier les équipements par le service informatique avant reconnexion au réseau interne.

Le National Institute of Standards and Technology a lancé l'AI Agent Standards Initiative, un programme visant à développer des standards techniques pour les agents IA autonomes en production. L'initiative, pilotée par le Center for AI Standards and Innovation, cible les problématiques d'interopérabilité, d'identité et de sécurité liées à ces agents. Un axe majeur concerne l'authentification des agents, le périmètre des permissions et la traçabilité de leurs actions.

Des chercheurs en sécurité ont découvert que Persona Identities, prestataire de vérification d'âge pour Discord, Roblox et ChatGPT, dissimulait un système de surveillance biométrique comportant 269 contrôles distincts. Le code source de la version gouvernementale était librement accessible sans authentification. Le système incluait la comparaison faciale avec des listes de surveillance, le criblage antiterrorisme et la capacité de dépôt de rapports d'activité suspecte auprès du FinCEN. Discord a rompu son partenariat avec Persona suite à ces révélations.

Le groupe nord-coréen Lazarus a intégré le ransomware Medusa à son arsenal pour mener des attaques d'extorsion contre des organisations de santé. Selon Symantec et Carbon Black, au moins une tentative a visé un établissement de santé américain et une organisation au Moyen-Orient. Depuis novembre 2025, une trentaine de victimes figurent sur le site de fuite de Medusa, dont quatre organisations de santé.

Un acteur russophone financièrement motivé a compromis plus de 600 instances FortiGate dans 55 pays en utilisant des outils d'IA générative à chaque phase de l'opération. Selon AWS, aucune vulnérabilité FortiGate n'a été exploitée. La campagne a réussi en ciblant des interfaces d'administration exposées sur Internet et des identifiants faibles asans MFA. L'attaquant a généré des scripts Python assistés par IA pour extraire et déchiffrer les fichiers de configuration volés, puis a ciblé les environnements Active Directory et les serveurs de sauvegarde Veeam.

Une campagne de phishing utilise de fausses invitations Google Meet envoyées depuis des domaines récemment créés pour distribuer un malware. En cliquant sur le lien, la victime est redirigée vers une page imitant l'écran de connexion Google Meet, puis vers un faux Microsoft Store proposant un installateur malveillant. Le fichier MSI installe Teramind, un outil de surveillance à distance, et notifie l'attaquant via Telegram avec les informations de la victime (type d'appareil, navigateur, OS, géolocalisation, IP, FAI).

Un ressortissant russe de 39 ans a été condamné par le tribunal judiciaire de Paris à cinq ans de prison (dont un avec sursis) et 80 000 euros d'amende pour cyberattaques à l'aide du ransomware Phobos. Reconnu coupable de dizaines d'attaques contre des entreprises et collectivités françaises, il écope aussi d'une interdiction de territoire de dix ans. Les enquêteurs ont découvert dans une clé USB des conteneurs chiffrés dissimulés dans des fichiers sonores 😮, contenant sa méthodologie complète d'affilié ransomware et un journal de bord détaillé de ses attaques.

Des chercheurs de Jamf ont documenté comment le spyware Predator d'Intellexa dissimule les indicateurs d'enregistrement sur iOS. Le malware utilise une fonction hook pour intercepter les mises à jour d'activité des capteurs avant qu'elles n'atteignent l'interface utilisateur, empêchant l'affichage des points vert et orange signalant l'utilisation de la caméra ou du microphone.

Le département de la Justice américain a inculpé trois ingénieurs de San Jose pour vol de secrets industriels chez Google et d'autres entreprises technologiques. Les accusations incluent le transfert de documents confidentiels relatifs à la sécurité des processeurs et à la cryptographie vers des emplacements non autorisés, dont l'Iran. Les prévenus auraient exfiltré des centaines de fichiers via des plateformes de communication tierces, photographié manuellement des écrans et soumis de faux affidavits pour couvrir leurs actions. L'un d'eux a photographié des écrans contenant des secrets industriels la veille d'un voyage en Iran.

Deutsche Bahn, l'opérateur ferroviaire national allemand, a subi une attaque DDoS de grande envergure. L'attaque, survenue par vagues successives, a perturbé les systèmes d'information et de billetterie, les sites web ainsi que l'application DB Navigator pendant plusieurs heures. L'identité et les motivations des attaquants restent inconnues.

Plus d'un an après l'échéance européenne, la France n'a toujours pas transposé la directive NIS 2. Le blocage porte sur l'article 16 bis du projet de loi de transposition, un amendement anti-backdoor dans les messageries chiffrées adopté par le Sénat. Selon les parlementaires Philippe Latombe et Olivier Cadic, la DGSI s'oppose à cette disposition pour conserver ses capacités d'accès aux communications chiffrées. Les experts considèrent que l'introduction de portes dérobées constituerait un affaiblissement structurel de la sécurité. Ce retard expose la France à des risques juridiques et affaiblit sa crédibilité européenne.

L'Olympique de Marseille a subi une intrusion informatique ayant conduit au vol de données de 400 000 utilisateurs de sa billetterie en ligne. Les données compromises incluent informations personnelles, adresses postales, dates de naissance, numéros de téléphone, comptes de fidélité et profils de réseaux sociaux. Le club affirme que les données bancaires et mots de passe n'ont pas été affectés. Le pirate, identifié comme étant le même que celui ayant ciblé Réglo Mobile, a mis les données en vente sur BreachForums.

Réglo Mobile, opérateur mobile virtuel du groupe E.Leclerc, a été touché par une cyberattaque ciblant l'un de ses prestataires depuis le 13 février 2026. Les données exfiltrées comprennent noms, adresses, e-mails, numéros de téléphone, dates de naissance, codes PUK, relevés de communications, IBAN et numéros de carte bancaire partiellement masqués.

Le groupe cybercriminel ShinyHunters affirme avoir dérobé plus de 800 000 dossiers contenant les données d'employés de Wynn Resorts, géant hôtelier et casinotier de Las Vegas. Les données incluent noms, e-mails, numéros de téléphone, postes, salaires, dates d'embauche et de naissance. L'accès initial aurait été obtenu en septembre 2025 via une vulnérabilité Oracle PeopleSoft combinée à des identifiants d'un employé.

Cisco alerte sur la CVE-2026-20127, une vulnérabilité critique d'authentification (CVSS 10.0) dans Cisco Catalyst SD-WAN Controller et Manager, activement exploitée depuis au moins 2023. La faille permet à un attaquant distant de s'authentifier en tant qu'utilisateur privilégié et d'ajouter des pairs malveillants au réseau SD-WAN. Cisco Talos attribue l'exploitation à l’acteur malveillant UAT-8616 qui combinait cette faille avec la CVE-2022-20775 pour obtenir un accès root. Un guide de recherche de compromission a été publié par la coalition d'agences NSA, CISA, ACSC et NCSC-UK.

8 vulnérabilités critiques cette semaine dont deux exploitées et 4 avec un code d'exploitation public :

Sur ces 7 derniers jours la CISA a ajouté 5 vulnérabilités exploitées :

Cet article de SpecterOps détaille l'utilisation de BloodHound OpenGraph pour planifier et suivre des solutions de déception ciblant l'infrastructure SCCM. Trois techniques principales sont présentées : les comptes NAA (Network Access Account) canary avec audit SACL, les médias PXE factices sur les Distribution Points avec journalisation détaillée, et l'insertion de credentials expirés dans la table SC_UserAccount.

Un chercheur a découvert une vulnérabilité zero-day dans SpiderMonkey, le moteur JavaScript de Firefox, causée par une faute de frappe d'un seul caractère. Dans le code de gestion des tableaux Wasm GC, un opérateur & (AND) était utilisé à la place d'un | (OR), provoquant l'écriture d'un pointeur de forwarding à zéro lors du déplacement d'objets par le garbage collector. Cette erreur permet de confondre un tableau out-of-line avec un tableau inline, ouvrant la voie à une corruption mémoire exploitable. Le chercheur a démontré l'obtention d'une lecture/écriture arbitraire menant à une exécution de code dans le processus renderer.

Des chercheurs de Doyensec ont publié une implémentation pour sécuriser les mécanismes de mise à jour des applications Electron sur macOS. L'étude identifie quatre menaces non couvertes par les solutions existantes telles que les attaques par downgrade, les atteintes à l'intégrité des binaires, les conditions de concurrence entre vérification et installation et l'injection de versions non testées.

Outflank analyse comment l'entitlement allow-jit de macOS permet l'exécution de code non signé malgré les protections du Hardened Runtime. Des applications courantes comme Firefox, VSCode, Microsoft Office, VLC et Spotify disposent de cet entitlement, élargissant la surface d'attaque potentielle.

Un chercheur questionne la fiabilité de la cryptographie standardisée par le NIST, rappelant le précédent du générateur aléatoire Dual_EC_DRBG, backdooré sous l'influence de la NSA. Sans preuves de nouvelles portes dérobées, l'auteur souligne que les algorithmes standardisés contiennent de nombreux pièges d'implémentation comme SHA-2 qui est vulnérable aux attaques par extension de longueur ou AES qui présente de multiples modes avec des propriétés de sécurité variables.

Un chercheur détaille cinq techniques de spoofing de fichiers LNK Windows permettant aux attaquants de masquer les cibles malveillantes et les arguments en ligne de commande dans la boîte de dialogue Propriétés de l'Explorateur. Le chercheur a publié lnk-it-up, un toolkit open source contenant lnk-generator (création de LNK malveillants exploitant ces variantes) et lnk-tester.

Le Google Threat Intelligence Group (GTIG) publie une analyse des menaces ciblant la base industrielle de défense. Le rapport identifie plusieurs points intéressants :

Hermes est un agent de commande et contrôle écrit en Python, conçu pour les systèmes Linux et intégré au framework collaboratif Mythic. Cet agent permet aux opérateurs red team de gérer des implants sur des cibles Linux via l'interface web de Mythic, avec un système de communication basé sur des tâches.

ShipSecAI Studio est une plateforme open source d'automatisation des workflows destinée aux équipes de sécurité. L'outil permet de concevoir et d'exécuter des pipelines automatisés pour les opérations de sécurité courantes, incluant le triage d'alertes, l'enrichissement d'indicateurs de compromission et la coordination de la réponse aux incidents.

Titus est un scanner de secrets disponible en CLI, bibliothèque Go, extension Burp Suite et extension Chrome. L'outil embarque 459 règles de détection couvrant clés API, tokens d'accès, identifiants de bases de données et autres secrets sensibles. Sa particularité est la validation en temps réel des identifiants découverts, permettant de distinguer les secrets actifs des faux positifs.

Ce Beacon Object File communique directement avec les packages d'authentification Windows via l'interface client LSA, sans accéder à la mémoire du processus LSASS. Cette approche évite les détections basées sur l'accès au processus LSASS, couramment surveillé par les solutions EDR. L'outil permet d'interroger les packages d'authentification NTLM, Kerberos et autres pour extraire des informations d'identification. Il s'intègre nativement dans Cobalt Strike.

Caterpillar est un scanner de sécurité dédié à l'analyse des fichiers de compétences (skills) pour agents IA comme ceux de Claude Code. L'outil détecte les comportements malveillants potentiels tels que le vol d'identifiants, l’exfiltration de données, les mécanismes de persistance, le vol de portefeuilles crypto, l’obfuscation de code ou encore les attaques supply chain.

Brutus est un outil de test d'identifiants multiprotocole. Il supporte 24 protocoles (SSH, RDP, MySQL, PostgreSQL, SMB, LDAP, Redis, etc.) dans un binaire unique sans dépendances externes.

Sur les dernières versions de Windows, mimikatz devient inutile pour dumper LSASS car les secrets sont désormais stockés dans un processus protégé séparé, lsaiso.exe. Ce mécanisme de protection, Credential Guard, est activé par défaut à partir de Windows 22H2 / Windows Server 2025. Mais un contournement exploite Remote Credential Guard, normalement utilisé pendant les sessions RDP pour éviter d'envoyer les identifiants au serveur distant, afin de récupérer tous les hashes NTLMv1 malgré la protection activée.

Redamon est un framework de red team piloté par IA qui automatise l'ensemble des opérations de sécurité offensive sans intervention humaine. La plateforme, conteneurisée via Docker, enchaîne six phases de reconnaissance automatisée, un orchestrateur d'agents IA basé sur LangGraph, et un graphe d'attaque Neo4j servant de base de connaissances.

PMG (Package Manager Guard) agit comme une couche de sécurité intermédiaire qui analyse les paquets avant leur installation. L'outil intercepte les gestionnaires de paquets (npm, pip, pnpm, yarn, bun, poetry, uv) pour détecter les malwares en temps réel, sandboxer le processus d'installation et auditer chaque événement.

Aikido Safe Chain intercepte les téléchargements de paquets npm et PyPI via un proxy local qui vérifie chaque paquet en temps réel contre la base de threat intelligence Aikido Intel.

🎬 Sylvqin - CLODO : Le groupe qui a terrorisé l’informatique française

🎧️ Le monde de la cyber - Scène de crime numérique : la PJ mène l’enquête

🗓️ Mars@Hack - Le 10 mars 2026 à Mont de Marsan, France

🗓️ Insomni'hack - Du 16 mars au 20 mars 2026 à Lausanne, Suisse

L'annonce de Claude Code Security par Anthropic le 20 février dernier a provoqué une chute brutale des actions des entreprises de cybersécurité, parfois supérieure à 7%. Pourtant, l'outil n'est qu'un assistant d'analyse de code détectant des vulnérabilités (corruption mémoire, injections, contournements d'authentification) et proposant des correctifs sous supervision humaine. Il ne remplace pas les fonctions critiques : analyse des menaces réseau, réponse à incident ou conformité réglementaire. Cette réaction excessive illustre la crainte de la « SaaSpocalypse », où l'IA automatiserait progressivement les services SaaS spécialisés.

🤝 Palo Alto Networks acquiert Koi Security, spécialiste de la sécurité des endpoints agentiques, pour sécuriser les endpoints pilotés par l'IA

Le secrétaire à la Défense Pete Hegseth a posé un ultimatum à Anthropic, exigeant la levée de toutes les restrictions d'usage de Claude pour l'armée américaine. En cas de refus, la startup pourrait être exclue des fournisseurs du Pentagone ou soumise à une loi de réquisition. Anthropic, qui a déjà 200 millions de dollars de contrats avec le Pentagone et a développé les modèles "Claude Gov", refuse l'utilisation de ses modèles pour les armes autonomes et la surveillance de masse. Des négociations parallèles seraient en cours avec Google, OpenAI et xAI pour remplacer Claude.

Un homme a été reconnu coupable de blanchiment d'argent par un tribunal fédéral d'Albany. Entre 2019 et 2021, il a échangé 2 285 039 dollars en cartes cadeaux achetées par des victimes d'escroqueries à travers les États-Unis, utilisant les fonds pour acheter d'autres cartes dans les magasins Walmart et Sam's Club en Floride. Pour éviter la détection, il utilisait différentes caisses et visitait plusieurs magasins le même jour. Il risque jusqu'à 20 ans de prison et 500 000 dollars d'amende.

Le gouvernement américain prépare le lancement de Freedom.gov, un service VPN gratuit destiné aux Européens pour accéder aux contenus bloqués par les régulations de l'Union européenne 🙃. Le projet vise explicitement à contourner le Digital Services Act (DSA). Cette initiative s'inscrit dans une offensive frontale de l'administration Trump contre la souveraineté numérique européenne, transformant le VPN en outil de politique étrangère.

L'Observatoire 2026 de l'ARCEP révèle que 94% des consommateurs français ont subi au moins une sollicitation indésirable ces derniers mois. Des applications comme Orange Téléphone ou Begone peuvent permettre de filtrer ce genre d'appels.

Un dev a utilisé Claude Code pour créer une application connectant son aspirateur DJI Romo à une manette PS5. En extrayant le jeton d'authentification de son propre appareil, les serveurs DJI lui ont renvoyé les données de 7 000 autres aspirateurs dans 24 pays. Avec un simple numéro à 14 chiffres, il pouvait contrôler les robots, accéder aux caméras et microphones en direct, et générer des cartes 2D des domiciles. DJI a déclaré avoir corrigé la faille, mais le chercheur a constaté que certaines vulnérabilités persistaient après le correctif.

Un rapport des ONG Corporate Europe Observatory et LobbyControl dénombre 890 lobbyistes tech à Bruxelles, contre 720 eurodéputés. En deux ans, le budget des lobbys tech est passé de 113 à 151 millions d'euros (+33%). Meta domine avec 10 millions d'euros, suivie de Microsoft, Apple et Amazon. Les dix plus grandes entreprises du numérique dépensent trois fois plus que les secteurs pharmaceutique, financier et automobile réunis. Cette montée en puissance viserait à affaiblir les législations numériques européennes, notamment via le Digital Omnibus présenté en novembre 2025.

GreyNoise a lancé IP Check, un outil gratuit permettant de vérifier en quelques secondes si votre adresse IP a été repérée dans des activités de scanning suspectes.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter