Douze ans après Heartbleed, la version 4.0.0 d'OpenSSL supprime le support de SSLv3 et le mécanisme d'extension "engines" au profit de l'architecture "providers". L'ajout majeur est le support de l'Encrypted Client Hello (ECH, RFC 9849), qui chiffre le SNI lors du handshake TLS pour masquer le domaine visité aux intermédiaires réseau. La cryptographie post-quantique standardisée par le NIST est également intégrée. Ces évolutions compliquent le filtrage étatique et l'inspection de trafic en entreprise. Cisco a déjà intégré un détecteur "ECH Servers" dans son Secure Firewall pour identifier ces connexions. Le filtrage SNI date de février 2019, déployé par la Corée du Sud pour bloquer les domaines interdits.

Le FBI a récupéré des messages Signal supprimés depuis l'iPhone d'un suspect en extrayant les données du stockage interne de notifications, même après la suppression de l'application. Cela a été possible, car l'accusée n'avait pas activé le paramètre Signal masquant le contenu des messages dans les notifications, permettant la mise en cache du texte intégral par iOS. Cependant, Apple a récemment modifié la validation des tokens de notifications push dans iOS 26.4, cette méthode pourrait donc ne plus fonctionner.

Un individu a acheté 30 plugins différents et implanté des backdoors dans chacun. L'auteur affirme que le marché des plugins WordPress a un problème de confiance. WordPress.org ne dispose d'aucun mécanisme pour signaler ou examiner les transferts de propriété de plugins. Aucune notification de changement de contrôle n'est envoyée aux utilisateurs. Aucune revue de code supplémentaire n'est déclenchée par un nouveau contributeur. L'équipe Plugins a réagi rapidement après la découverte, mais 8 mois se sont écoulés entre l'implantation de la backdoor et sa détection.

Le rapport annuel 2025 de l'IC3 du FBI révèle un record de 1 008 597 plaintes pour 20,877 milliards de dollars de pertes, soit une hausse de 26% par rapport à 2024. La fraude à l'investissement domine avec 8,6 milliards de dollars, suivie des compromissions d'e-mails professionnels (3 milliards) et du support technique frauduleux (2,1 milliards). Les victimes de plus de 60 ans concentrent 7,7 milliards de pertes. Le ransomware a généré 3 611 plaintes avec 63 nouvelles variantes identifiées, Akira en tête du classement.

ChipSoft, éditeur de systèmes de gestion des dossiers patients pour environ 70% des hôpitaux néerlandais, a été victime d'une attaque par ransomware. Z-Cert, le centre d'expertise en sécurité numérique pour la santé, a alerté les établissements. ChipSoft a confirmé un incident de données avec un « possible accès non autorisé » sans pouvoir exclure que des données patients aient été consultées ou volées.

MITRE publie le Fight Fraud Framework (F3), une base de connaissances open source répertoriant les tactiques et techniques utilisées par les acteurs de la fraude financière, issues d'observations réelles d'incidents.

Google déploie Device Bound Session Credentials (DBSC) dans Chrome 146 sur Windows, avec macOS à suivre. Cette technologie lie cryptographiquement les sessions d'authentification à l'appareil via des modules matériels sécurisés (TPM sur Windows, Secure Enclave sur macOS) pour générer des paires de clés non exportables. Les cookies liés à l'appareil de Chrome visent à éliminer le détournement de session.

Les campagnes ClickFix ont trouvé un nouveau vecteur d'infection sur macOS en abandonnant le Terminal au profit de Script Editor d'Apple. L'attaque utilise le schéma URL applescript:// pour ouvrir automatiquement Script Editor avec un script pré-chargé. Le leurre promet de « libérer de l'espace disque » et exécute en réalité une chaîne de scripts obfusqués téléchargeant l'infostealer Atomic Stealer (AMOS).

Un pirate a accédé à plus de 10 pétaoctets de données sensibles provenant du Centre National de Supercalcul (NSCC) de Tianjin. Sous le pseudonyme « FlamingChina », l'attaquant a publié des échantillons sur Telegram incluant des documents classifiés de défense, des schémas de missiles et des fichiers de recherche aérospatiale.

L'éditeur CPUID a été victime d'une cyberattaque entre le 9 et 10 avril. Les attaquants ont modifié les liens de téléchargement du site pour distribuer un malware d'origine russe à la place des outils légitimes CPU-Z et HWMonitor. Seuls les fichiers au format .ZIP étaient compromis, les installateurs .EXE restant intacts. Les liens malveillants sont restés actifs environ six heures. L'application non signée déclenchait immédiatement Windows Defender, limitant les infections. Les attaquants avaient exploité une vulnérabilité Apache pour obtenir des clés TLS privées, qui ont été révoquées.

La plateforme e-campus, outil de formation à distance de la Police Nationale administré par un prestataire privé a été piratée. L'intrusion est restée indétectée pendant un mois. Les données compromises incluent noms, prénoms, adresses mail professionnelles, villes, dates de connexion, modules de formation suivis et badges obtenus. Ces informations, désormais diffusées sur le dark web, pourraient alimenter des campagnes de phishing ciblées.

Booking.com a subi une intrusion conduisant à la compromission de données de réservations actives. Les attaquants ont accédé aux détails des réservations, noms, adresses e-mail, numéros de téléphone et informations partagées avec les hébergements. Les données bancaires n'ont pas été compromises. La plateforme a procédé à une réinitialisation d'urgence des codes PIN de toutes les réservations actives. Le risque principal réside dans des attaques de phishing sophistiquées où les attaquants, disposant des détails de réservation légitimes, pourraient se faire passer pour des hôtels et demander des virements frauduleux.

La chaîne de fitness européenne Basic-Fit a subi un accès non autorisé aux données de ses membres. Environ un million de personnes sont affectées, dont 200 000 aux Pays-Bas. Les données compromises incluent noms, adresses postales, e-mails, numéros de téléphone, dates de naissance et coordonnées bancaires. Les documents d'identité et mots de passe n'ont pas été exposés.

Le groupe ShinyHunters a compromis Rockstar Games via Anodot, une plateforme tierce de monitoring cloud, pour accéder à l'entrepôt de données Snowflake de l'éditeur. Les attaquants ont extrait des tokens d'authentification leur permettant de se faire passer pour des services légitimes. Après le refus de Rockstar de payer la rançon, 78,6 millions d'enregistrements ont été publiés. Les données exposent les revenus détaillés de GTA Online (~500 millions de dollars annuels) et Red Dead Online. Aucune donnée personnelle de joueurs ni code source n'a été compromis.

Le Patch Tuesday d'avril 2026 de Microsoft corrige 243 vulnérabilités, dont 78 liées à Chromium dans Edge. Parmi les 165 failles restantes, 8 sont critiques. La CVE-2026-33824 (Windows IKE Service) atteint un score CVSS de 9.8 avec une exécution de code à distance. La CVE-2026-33827 (Windows TCP/IP) permet une exécution de code arbitraire via une condition de concurrence. La CVE-2026-32201 (SharePoint Spoofing) est déjà activement exploitée. Une vulnérabilité dans Microsoft Defender (CVE-2026-33825) permettant une élévation de privilèges avait été divulguée publiquement.

13 vulnérabilités critiques cette semaine dont 2 exploitées et 2 avec un code d'exploitation public :

Sur ces 7 derniers jours la CISA a ajouté 9 vulnérabilités exploitées :

Le système EXPMON a détecté un exploit PDF ciblant les utilisateurs d'Adobe Reader via une vulnérabilité inconnue. L'attaque utilise du JavaScript fortement obfusqué intégré dans des objets PDF pour collecter des informations système. L'exploit abuse des API privilégiées d'Acrobat pour exfiltrer les données vers un serveur distant pouvant délivrer des charges supplémentaires. Adobe a reconnu la vulnérabilité sous la référence CVE-2026-34621 (CVSS 8.6) et publié des correctifs d'urgence.

Le plugin Ninja Forms - File Upload pour WordPress (50 000 installations actives) présente une vulnérabilité critique d'upload de fichiers arbitraires (CVE-2026-0740, CVSS 9.8). La faille réside dans la fonction handle_upload() qui ne valide pas le type de fichier de destination avant le déplacement. Un attaquant non authentifié peut ainsi téléverser des fichiers PHP malveillants et obtenir une exécution de code à distance. Le correctif complet est disponible dans la version 3.3.27.

Le CERT Polska célèbre son 30e anniversaire avec la publication de son rapport annuel 2025. Le document couvre la détection proactive des menaces, la réponse aux incidents, le partage de connaissances et la sensibilisation du public. Parmi les thématiques abordées on retrouve les campagnes de fraude, la surveillance de groupes APT, le malware mobile, le ransomware, l’analyse de vulnérabilités, etc.

L'auteur démontre que les LLM modernes dépassent la simple prédiction de tokens pour devenir des chercheurs de vulnérabilités grâce à trois mécanismes : la compréhension structurelle implicite du code, l'analyse de taint neuronale et le raisonnement en temps d'inférence. Les avancées architecturales (Mixture of Experts, fenêtres contextuelles d'un million de tokens, raisonnement par renforcement) démultiplient ces capacités. L'auteur réfute le mythe des vulnérabilités « nouvelles », arguant qu'elles se décomposent en primitives connues.

Bruce Schneier examine la décision d'Anthropic de restreindre l'accès à Claude Mythos Preview et de lancer Project Glasswing, une initiative de remédiation de vulnérabilités. Il qualifie l'annonce de « coup de communication » tout en reconnaissant des avancées réelles. Ces modèles écrivent des exploits fonctionnels sans intervention humaine et identifient des vulnérabilités complexes par chaînage de bugs. La société de sécurité Aisle a toutefois reproduit ces résultats avec des modèles publics plus anciens. Bruce Schneier appelle à se préparer à l'ère du logiciel instantané où les zero-days deviendraient monnaie courante.

Malware-check est une plateforme d'analyse de sécurité combinant analyse statique et dynamique pour détecter du code malveillant, des binaires suspects et des violations de vie privée. L'analyse statique couvre 15+ langages et les formats binaires PE, Mach-O et ELF.

Little Snitch, le célèbre pare-feu applicatif macOS, arrive sur Linux. L'application surveille en temps réel les connexions établies par les applications et permet de bloquer le trafic indésirable.

Goauld est un outil de post-exploitation et d'accès distant conçu pour les environnements réseau contraints (VPN, proxies authentifiés, contrôles de sortie restrictifs). L'outil encapsule les communications SSH dans de multiples protocoles de transport (TLS, QUIC, WebSocket, HTTP, DNS).

SysWarden est un orchestrateur de sécurité host-based open source pour Linux, conçu comme alternative aux technologies eBPF/XDP. L'outil intercepte les menaces au Layer 2 via des hooks d'entrée NIC et intègre un WAF dynamique Layer 7. Il combine blocklists OSINT, filtrage GeoIP, blocage par ASN et intégration WireGuard VPN dans une architecture Zero-Trust.

Dev-machine-guard est un outil CLI qui audite les machines de développement pour détecter les risques de sécurité dans l'outillage moderne. Il scanne les IDE, agents IA (Claude Code, Gemini CLI, Aider), serveurs MCP, extensions d'IDE et packages Node.js suspects.

Cet outil surveille en continu les principaux packages PyPI et npm pour détecter les compromissions de chaîne d'approvisionnement. Il interroge les registres pour les nouvelles versions, compare chaque release avec la précédente et utilise un LLM pour classifier les différences comme bénignes ou malveillantes.

Notyet est un outil qui démontre comment les attaquants exploitent la consistance éventuelle d'AWS IAM pour maintenir un accès persistant après la révocation d'identifiants. Le délai de propagation d'environ 4 secondes permet aux identifiants désactivés de rester fonctionnels, offrant une fenêtre d'attaque pour créer de nouveaux utilisateurs et rôles.

Un linter de sécurité pour les commandes AWS CLI qui détecte les mauvaises configurations avant exécution, avec 703 vérifications à travers 91 services AWS. L'outil analyse les commandes pour détecter l'absence d'IMDSv2, le stockage non chiffré, l'accessibilité publique, les politiques IAM trop permissives et la journalisation désactivée.

Développé par Praetorian, cet outil automatise la découverte d'endpoints API en analysant le trafic HTTP réel. Il génère des spécifications OpenAPI 3.0, GraphQL SDL et WSDL à partir de captures via navigateur headless, imports Burp Suite, fichiers HAR ou mitmproxy. Le pipeline en deux étapes capture le trafic avec exécution JavaScript complète, puis classifie les requêtes par niveau de confiance et déduplique les endpoints.

🎬 Brut - Il a hacké Microsoft et a été emprisonné aux États-Unis.

🎧️ NoLimitSecu - Hors Série – Standardisation de l’IA Agentique.

🗓️ THCon - Du 5 au 6 mai 2026 à Toulouse, France.

🗓️ ESIEA Secure Edition - Le samedi 30 mai 2026 à Paris, France.

CanIRun.ai est un outil web qui détecte automatiquement les caractéristiques matérielles de votre machine (GPU, CPU, RAM, bande passante) via le navigateur pour déterminer quels modèles d'IA peuvent être exécutés localement.

L'association Fairlinked documente des allégations selon lesquelles LinkedIn exécute un code caché lorsqu'un utilisateur visite le site, scannant les logiciels installés et transmettant les résultats à LinkedIn et à des tiers, dont la société américano-israélienne HUMAN Security. Le scan identifie les utilisateurs par nom, employeur et poste. LinkedIn détecterait plus de 200 produits concurrents et environ 509 outils de recherche d'emploi, révélant potentiellement des opinions politiques, des handicaps ou des activités de recherche d'emploi. Le tout sans consentement ni mention dans la politique de confidentialité.

Le Monde décrit l'accélération du projet de « RuNet souverain » lancé par le Kremlin en 2019 et renforcé depuis l'invasion de l'Ukraine. Roskomnadzor orchestre la censure via des boîtiers TSPU installés dans les data centers des opérateurs, permettant le filtrage du trafic et la mise en place de listes blanches. Les VPN, Telegram et WhatsApp sont ciblés, tandis que la messagerie russe Max, sans chiffrement de bout en bout, est imposée. En 2025, plus de 1,2 million de ressources ont été bloquées, dont 439 services VPN, avec 37 000 heures d'interruption affectant 146 millions de personnes. Un véritable ghetto numérique se dessine.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter