On fait le point sur le groupe TeamPCP qui a mené une campagne d'attaques sur la supply chain ciblant l'écosystème open source depuis un mois. Voici les derniers événements :

Les deux attaques reposent sur le même schéma qui passe par la compromission d’outils de confiance largement adoptés pour voler massivement des identifiants, puis les réutiliser pour propager d’autres attaques. La campagne TeamPCP a touché neuf écosystèmes en moins d'un mois. La rotation immédiate de tous les secrets exposés est la mesure prioritaire recommandée.

Les agents IA de Google parcourent désormais 10 millions de publications quotidiennes sur le dark web pour identifier les menaces réelles. Google a développé des agents Gemini qui profilent automatiquement les entreprises à partir de données publiques, puis analysent les échanges du dark web pour signaler les risques de sécurité réels, au lieu des 80-90 % habituels de faux positifs du filtrage par mots-clés. Google surveillerait actuellement 627 groupes d’attaquants.

L'opération « Alice », menée par les autorités allemandes avec le soutien d'Europol et de 23 pays, a permis la fermeture de plus de 373 000 sites frauduleux sur le dark web. Un opérateur de 35 ans basé en Chine a été identifié, ainsi que 440 clients à travers le monde.

L'entreprise américaine Intoxalock, fournisseur de systèmes d'éthylotests embarqués pour environ 150 000 utilisateurs dans 46 États, a été victime d'une cyberattaque majeure. Ces dispositifs, qui empêchent le démarrage du véhicule si le taux d'alcoolémie dépasse les limites légales, nécessitent un calibrage régulier. L'attaque a compromis le service de calibration, laissant de nombreux appareils verrouillés et des véhicules immobilisés, notamment dans le Maine, le Minnesota et New York. Intoxalock a suspendu les nouvelles installations par mesure de sécurité, sans préciser de date de rétablissement complet.

Le département de la Justice américain a démantelé les botnets Aisuru, Kimwolf, JackSkid et Mossad, totalisant plus de 3 millions d'appareils infectés. Aisuru et Kimwolf ont mené en novembre une attaque DDoS atteignant 31,4 térabits par seconde, près de trois fois le précédent record. Les quatre botnets, dérivés de Mirai, ciblaient DVR, caméras, appareils Android et TV connectées.

Team Cymru a découvert un serveur ouvert hébergé chez un fournisseur cloud allemand contenant l'arsenal complet d'un affilié du groupe ransomware Beast. Le toolkit incluait des outils de reconnaissance, cartographie réseau, vol de credentials, exfiltration et mouvement latéral. Les outils utilisés (AnyDesk, Mega) sont partagés par de nombreux groupes de ransomware, rendant l'attribution difficile sans le binaire.

DarkSword est un nouveau kit d'exploitation iOS permettant la compromission complète d'appareils iOS. Il chaîne six vulnérabilités pour cibler iOS 18.4 à 18.7 via du watering hole. L'outil extrait credentials, données personnelles et portefeuilles crypto en quelques minutes avant de supprimer ses traces. Lié au groupe UNC6353, aligné sur la Russie, il cible l'Arabie Saoudite, la Turquie, la Malaisie et l'Ukraine, notamment des sites gouvernementaux. La recherche conjointe de Lookout, iVerify et Google Threat Intelligence suit cette menace depuis novembre 2025.

Le CERT Santé a publié deux fiches réflexes destinées aux RSSI et administrateurs de systèmes d'information.

Le tribunal judiciaire de Paris a condamné sept personnes pour une escroquerie par SMS utilisant des IMSI-catchers, dispositifs d'interception téléphonique normalement réservés aux forces de l'ordre. Les escrocs ont écopé de cinq ans de prison ferme pour avoir fait circuler ces appareils dans des véhicules à Paris de septembre 2022 à février 2023, envoyant des SMS de phishing. Leur fournisseur chinois interpellé en Suisse, a été condamné à quatre ans de prison, soit un an par machine vendue. Une expertise a évalué que 3,7 millions de portables ont été interceptés.

La plateforme de streaming d'anime Crunchyroll a confirmé une fuite de données affectant 6,8 millions d'utilisateurs. Un attaquant a infecté l'appareil d'un employé de Telus, sous-traitant gérant le support client en Inde, obtenant l'accès à Slack, Zendesk et Google Workspace. Environ 100 Go de données ont été dérobées, incluant adresses IP, emails et numéros partiels de carte bancaire issus de 8 millions de tickets de support.

La plateforme de bug bounty HackerOne informe 287 employés d'une fuite de données consécutive au piratage de Navia, son administrateur de prestations sociales aux États-Unis.

Le Cnous a révélé une exfiltration de données touchant la plateforme mesrdv.etudiant.gouv.fr, utilisée pour la prise de rendez-vous avec les services sociaux des Crous. Les données de 774 000 personnes ont été compromises, dont 635 000 étudiants dont les coordonnées (nom, prénom, email, objet et date de rendez-vous) ont été dérobées. L'attaque, revendiquée par le gang DumpSec, déjà responsable du piratage de l'UNSS et de la Région Occitanie.

Les données personnelles d'environ 243 000 agents de l'Éducation nationale, principalement des enseignants, ont été piratées via le logiciel de ressources humaines Compas, utilisé pour la gestion des stagiaires du premier et second degrés. Les informations volées comprennent noms, prénoms, adresses postales, numéros de téléphone et périodes d'absence. Un échantillon a été mis en vente par un acteur sous le pseudonyme « Hexdex ». L'accès à Compas a été suspendu et l'ANSSI saisie.

Le fabricant de pneumatiques Michelin a confirmé avoir été victime d'une fuite de données dans le cadre de la campagne d'exploitation de vulnérabilités zero-day ciblant Oracle E-Business Suite. L'opération, attribuée au groupe Cl0p et au cluster FIN11, a touché plus de 100 organisations. Michelin indique qu'un volume faible et localisé de données, sans information sensible ou technique IT a été affecté. Les attaquants ont publié plus de 315 Go d'archives prétendument volées. Aucun ransomware n'a été déployé et les systèmes globaux de l'entreprise n'ont pas été impactés. Madison Square Garden et Korean Air figurent parmi les autres victimes confirmées.

4 vulnérabilités critiques cette semaine dont 2 avec un code d'exploitation public :

Le CERT-FR rappelle par ailleurs une alerte concernant le ciblage des messageries instantanées, avec une recrudescence de campagnes d'attaques visant notamment les secteurs régaliens et les personnels exerçant des fonctions sensibles.

Sur ces 7 derniers jours la CISA a ajouté 7 vulnérabilités exploitées :

La CVE-2026-26119 affecte Windows Admin Center en exploitant l'absence d'Extended Protection for Authentication (EPA) dans le serveur web Kestrel. Un attaquant disposant d'un compte de domaine à faible privilège peut réaliser une attaque par réflexion d'authentification via DCOM pour obtenir un accès NT AUTHORITY\SYSTEM. Microsoft a publié deux correctifs en janvier et en février dernier.

La CVE-2026-21992, notée CVSS 9.8, affecte Oracle Identity Manager (versions 12.2.1.4.0 et 14.1.2.1.0) et Oracle Web Services Manager. Cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code à distance via HTTP, pouvant mener à une compromission complète du système. Découverte par Adam Kues et Shubham Shah d'Assetnote, la faille est qualifiée de « facilement exploitable » par Oracle. Aucune exploitation active n'a été confirmée. Oracle recommande l'application immédiate des correctifs publiés dans son Critical Patch Update.

La CVE-2026-32746 est un buffer overflow pré-authentification dans le gestionnaire de négociation LINEMODE SLC du serveur Telnetd de GNU inetutils. Présente depuis 1994, cette faille permet un dépassement d'environ 400 octets en mémoire via des données non vérifiés envoyées durant la négociation du protocole. Les systèmes affectés incluent les distributions Ubuntu, Debian, FreeBSD, NetBSD, macOS et Citrix NetScaler.

La CVE-2026-20963, une vulnérabilité de désérialisation dans Microsoft SharePoint permettant l'exécution de code à distance sans authentification, est activement exploitée. Corrigée en janvier 2026, elle avait été initialement jugée peu susceptible d'être exploitée. Le 19 mars, la CISA l'a ajoutée à son catalogue des vulnérabilités exploitées connues, imposant un correctif sous trois jours aux agences fédérales. L'identité des attaquants reste inconnue. SharePoint a déjà fait l'objet d'attaques massives en 2025, notamment par des groupes chinois ayant compromis plus de 400 organisations, dont le département américain de l'Énergie.

Le chercheur Martin Sohn Christensen a découvert que les documentations de 16 éditeurs majeurs (Cisco, Citrix, CyberArk, Oracle, ServiceNow, HP, Entrust, entre autres) guidaient les administrateurs vers des configurations vulnérables d'Active Directory Certificate Services. 23 documents identifiés induisent principalement des vulnérabilités ESC1, ESC3 et ESC4, permettant à un utilisateur de domaine authentifié de demander des certificats au nom de n'importe quel sujet et d'obtenir des privilèges d'administrateur de domaine. CyberArk a corrigé sa documentation en un mois. Cisco, Oracle et ServiceNow n'avaient pas répondu à la date de publication.

Les chercheurs de Synacktiv détaillent l'exploitation de la Resource-Based Constrained Delegation (RBCD) dans des scénarios inter-domaines et inter-forêts Active Directory. L'attaque inter-domaines nécessite un processus en six étapes impliquant des tickets Kerberos de référence (referral) entre domaines enfant et parent. En revanche, le RBCD inter-forêts est fortement limité. L'utilisateur usurpé doit appartenir à la même forêt que le principal de délégation.

OktaHound est un nouveau collecteur de données pour la plateforme Okta qui modélise les entités et leurs relations dans la base graphe de BloodHound. L'outil identifie plusieurs chemins d'attaque : exposition des secrets d'applications par les administrateurs, synchronisation SCIM permettant de rediriger les mises à jour de mots de passe vers des URL contrôlées par l'attaquant, extraction de mots de passe en clair via l'API non documentée de Secure Web Authentication, etc.

Unit 42 analyse l'architecture cloud de Google pour les passkeys synchronisées. Lors de l'activation, Chrome génère deux paires de clés TPM : une clé d'identité (possession de l'appareil) et une clé de vérification (biométrie/PIN). L'authentificateur cloud génère les clés P-256 ECDSA, chiffre les clés privées avec un secret de domaine de sécurité symétrique, puis les synchronise entre appareils.

Dancho Danchev a publié deux compilations majeures liées au forum cybercriminel RAMP (Russian Anonymous Marketplace). La première recense les adresses de portefeuilles Bitcoin (SegWit et legacy) associées aux membres du forum, en les reliant à leurs pseudonymes et sources d'origine. La seconde inventorie les noms de domaine détenus par ces mêmes membres, cartographiant des centaines d'emails vers des domaines utilisés pour du phishing, de l'usurpation bancaire et diverses fraudes.

L'équipe sécurité de Cursor a déployé une flotte d'agents autonomes pour identifier et corriger les vulnérabilités dans leur base de code. Le système analyse plus de 3 000 PR internes par semaine et détecte plus de 200 vulnérabilités hebdomadaires.

Synacktiv présente son architecture de déploiement d'un serveur LLM isolé du réseau, basé sur un serveur GPU ASUS avec une RTX Pro 6000 Blackwell (96 Go vRAM). La stack comprend Debian 13 durci, llama.cpp comme serveur d'inférence et Podman en mode rootless.

JD Crandell analyse le vers Shai-Hulud 2.0 sous l'angle de l'Attack Path Management et introduit un outil pour visualiser les dépendances de packages NPM dans BloodHound OpenGraph. Le vers exploitait des pull requests malveillantes dans les workflows GitHub pour voler des tokens NPM, puis infectait les packages modifiables avant de se propager via la chaîne de dépendances.

Microsoft détaille trois axes pour renforcer la sécurité administrative d'Intune.

SpecterOps étend BloodHound Enterprise avec OpenGraph pour modéliser les chemins d'attaque dans les environnements GitHub Enterprise. L'outil identifie des scénarios concrets comme le pivot vers le cloud via des trusts OIDC, l’exposition de secrets par contrôle de workflow, etc.

De nombreuses applications d'entreprise sont livrées avec des centaines voire des milliers de dépendances tierces, ce qui rend pénible la localisation et l'analyse du code source propriétaire de l'application. On se noie dans le code tiers, pas dans la surface d'attaque exposée.

Cet article analyse la technique de HTTP request smuggling 0.CL, variante exploitant la divergence d'interprétation du Content-Length entre serveur frontal et serveur d'origine.

Cet outil .NET permet aux pentesteurs d'interagir avec les serveurs Microsoft SQL Server et leurs instances liées sans requêtes T-SQL complexes.

Trail of Bits publie un plugin Claude qui utilise l'IA pour annoter le code avec des types dimensionnels et détecter mécaniquement les incohérences, atteignant 93 % de recall contre 50 % pour les approches par prompt classiques.

Cet outil parse les paquets d'authentification Kerberos (AS-REQ, AS-REP et TGS-REP) depuis des fichiers pcap et génère des hashes compatibles Hashcat. Basé sur tshark pour l'extraction des paquets, l'outil accepte un fichier pcap et le type de paquet en arguments et produit des hashes prêts pour le password cracking.

Cet outil collecte les structures d'identité et de permissions Salesforce pour les modéliser en graphes d'attaque compatibles BloodHound CE. Il énumère utilisateurs, profils, permission sets, rôles, groupes, règles de partage et sécurité au niveau champ.

Cet outil open source combine les blocklists Data-Shield, Wazuh et Fail2ban pour bloquer le trafic malveillant au niveau kernel via Nftables. La couche statique déploie plus de 100 000 adresses IP malveillantes connues, le filtrage GeoIP et le blocage d'ASN.

La version 2.0 de cpe-guesser apporte des améliorations majeures à l'import de CPE, au classement et au traitement des données CVE v5. L'outil n'est plus limité au NVD comme seule source de CPE et peut exploiter les dumps de Vulnerability-Lookup.

Cet outil Go de Praetorian cartographie la surface d'attaque externe d'une organisation en identifiant domaines, sous-domaines et plages CIDR. Il exploite plus de 24 plugins couvrant les logs Certificate Transparency, le DNS passif, les 5 registres Internet régionaux, le reverse WHOIS et l'analyse de favicons.

Assetnote annonce la publication d'un outil open source qui filtre automatiquement les dépendances tierces des JAR Java et DLL .NET lors de la rétro-ingénierie, en utilisant la détection des runtimes Microsoft (via les tokens de clé publique PE), la correspondance de hash et la correspondance de noms de fichiers contre une base SQLite précalculée de 13,3 Go contenant plus de 12 millions de DLL et 14 millions de JAR.

Cet outil créé par l'auteur original de Gitleaks est un remplacement direct avec des améliorations significatives.

Ce framework de l'équipe de recherche de Binarly analyse les binaires logiciels et firmwares UEFI pour identifier des vulnérabilités. Basé sur le Binary Analysis and Inspection System (BIAS), il supporte l'analyse de fichiers individuels, d'archives BA2 et de bases Binary Ninja.

🎬 Don’t Go to the Police - Ce documentaire d'une heure revient sur une attaque par ransomeware ayant paralysé 350 000 entreprises en quelques heures en affectant un hébergeur français. Produit par Orange Cyberdefense.

🎬 Underscore_ - Xavier Niel, du hacking sur Minitel à la construction d'un empire

🎧️ NoLimitSecu - Episode consacré à l’automatisation des investigations du SOC

🗓️ Forum International de la Cybersécurité (FIC) - Du 31 mars au 2 avril 2026 à Lille, France

🗓️ BotConf - Du mardi 14 Avril au vendredi 17 Avril 2026 à Strasbourg, France

La Commission européenne a présenté « EU Inc », une nouvelle forme juridique d'entreprise visant à s'affranchir de la fragmentation des 27 régimes nationaux et des 60 formes de sociétés existantes. Le cadre propose une création en 48 heures maximum, un coût plafonné à 100 euros, zéro capital minimum, une procédure 100 % en ligne et une seule transmission de données administratives. Le régime prévoit la possibilité d'émettre des actions à droits de vote multiples et simplifie les procédures d'insolvabilité. L'objectif est d'enrayer le départ des pépites européennes vers les États-Unis.

📈 Armadin lève un montant record de 189 millions de dollars, la plus grosse levée seed/Series A de l'histoire de la cybersécurité, pour la simulation d'attaques pilotée par IA.

📈XBOW, plateforme américaine de tests de sécurité applicative autonomes, a levé 120,9 millions de dollars en Series C

🇫🇷 Lupin & Holmes, plateforme française de sécurité de la supply chain logicielle orientée attaquant, a levé 5,9 millions de dollars en pré-seed.

🇨🇦 Border0, plateforme canadienne d'accès distant sécurisé, a été acquise par Tailscale pour un montant non divulgué. Border0 n'avait pas divulgué de levées de fonds précédentes.

🤝 CloudQuery, plateforme open source israélienne de gestion d'inventaire d'actifs cloud, a été acquise par env0 pour un montant non divulgué. CloudQuery avait précédemment levé 34,5 millions de dollars.

Chez Meta et OpenAI, des classements internes mesurent la consommation de tokens par employé, devenue un indicateur de performance managérial. Chez Meta et Shopify, les managers récompensent les travailleurs utilisant intensivement les outils IA et reprochent aux autres leur faible usage. Un ingénieur OpenAI a consommé 210 milliards de tokens, l'équivalent de 33 Wikipédia 🙄. GPT-5.4 traite 5 000 milliards de tokens quotidiens une semaine après son lancement.

Le Conseil d'État a rejeté les recours contre l'autorisation de la CNIL pour le traitement de données de santé dans le cadre du projet Darwin EU, hébergé sur l'infrastructure Microsoft. La juridiction reconnaît explicitement le risque que les autorités américaines demandent à Microsoft l'accès aux données personnelles de santé, mais juge les garanties suffisantes…

Angela Lipps, 50 ans, grand-mère du Tennessee, a passé près de six mois en prison après qu'un algorithme de reconnaissance faciale l'a désignée à tort comme suspecte d'une fraude bancaire au Dakota du Nord, à 2 000 kilomètres de chez elle. Arrêtée sous la menace d'une arme le 14 juillet 2025, elle a attendu 108 jours avant sa première comparution. Ses relevés bancaires prouvaient sa présence au Tennessee au moment des faits. Les charges ont été abandonnées le 24 décembre. Elle a perdu sa maison, sa voiture et son chien pendant l'incarcération.

OVHcloud a été sélectionné par la Banque centrale européenne pour fournir l'infrastructure cloud souveraine de l'euro numérique, aux côtés de Senacor Technologies qui développe le système SEPI d'échange sécurisé de données de paiement. L'ensemble des serveurs sera opéré à 100 % depuis l'Union européenne, écartant les fournisseurs cloud américains.

Le directeur du FBI a révélé devant la commission sénatoriale du renseignement que l'agence achète des données de localisation commerciales pour suivre les déplacements des individus, contournant ainsi l'obligation de mandat imposée par la Cour suprême depuis 2018. Les sénateurs Ron Wyden et Mike Lee ont présenté le « Government Surveillance Reform Act » pour obliger les agences fédérales à obtenir un mandat avant tout achat de données personnelles. Le sénateur Wyden qualifie cette pratique de contournement scandaleux du quatrième amendement.

Le Monde a identifié un militaire français utilisant l'application sportive Strava avec un profil public au milieu de la Méditerranée, révélant la position exacte du porte-avions Charles-de-Gaulle.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter