Le NIST met à jour les opérations de sa National Vulnerability Database pour absorber la croissance record des soumissions CVE : +263 % entre 2020 et 2025, et près d'un tiers supplémentaire au Q1 2026 comparé à l'année précédente. Malgré l'enrichissement de 42 000 CVE en 2025, l'agence ne suit pas le rythme. Depuis le 15 avril 2026, une priorisation basée sur le risque s'applique :

Le parquet de Paris a annoncé l'interpellation en Vendée d'un jeune homme agissant sous le pseudonyme « HexDex ». Depuis le 19 décembre 2025, la section cybercriminalité le relie à une centaine de piratages visant des fédérations sportives (voile, athlétisme, ski, escalade), le Système d'Information sur les Armes (SIA), les syndicats CFDT et FO, ainsi que des sites d'agents de l'éducation nationale. La base Compas du ministère de l'Éducation (243 000 agents), e-Campus, l'ANCT, des banques alimentaires et des chaînes hôtelières figurent parmi les cibles. Son matériel et son compte Darkforum ont été saisis.

Vercel a détecté un accès non autorisé à ses systèmes internes après compromission de Context.ai, un outil IA utilisé par un employé. L'attaquant a exploité des tokens OAuth pour accéder au compte Google Workspace de l'employé, puis aux systèmes de Vercel. Un employé avait accordé à l'outil des permissions « Allow All » sur son compte entreprise, et la configuration OAuth de Vercel autorisait cette élévation.

Des chercheurs d'Unit 42 dévoilent AirSnitch au NDSS Symposium 2026, un ensemble de techniques exploitant l'infrastructure Wi-Fi elle-même plutôt que les terminaux. Ces attaques contournent le chiffrement WPA2/WPA3-Enterprise et l'isolation des clients en manipulant des états bas niveau comme la table MAC et les mappings d'interfaces. Un attaquant peut ainsi intercepter ou injecter du trafic sur les réseaux d'entreprise, affectant Android, macOS, iOS, Windows et Ubuntu.

Socket et StepSecurity rapportent une attaque de type CanisterWorm sur des paquets npm liés à Namastex Labs. Les versions compromises incluent @automagik/genie, pgserve, @fairwords/websocket et @openwebconcept/design-tokens. Le malware vole jetons, credentials, clés API/SSH et secrets de services cloud, CI/CD, Kubernetes, Docker et plateformes LLM. Il cible également MetaMask, Phantom et divers portefeuilles crypto. La charge utile référence explicitement la méthode « TeamPCP/LiteLLM » pour l'injection de fichiers .pth.

D'après Check Point Research au Q1 2026, Microsoft représente 22 % des tentatives d’usurpation de marque dans les campagnes de phishing. Le secteur technologique reste la cible principale, devant les réseaux sociaux et le secteur bancaire. Les méthodes documentées incluent l'abus de sous-domaines, de faux sites e-commerce, des QR codes frauduleux imitant WhatsApp Web et la diffusion de Remote Access Trojans via de fausses pages de téléchargement logicielles.

Selon Axios, la NSA utilise Mythos Preview, le modèle le plus avancé d'Anthropic, malgré l'insistance de responsables du Département de la Défense qualifiant l'entreprise de « supply chain risk ». Deux sources indiquent que les besoins de cybersécurité du gouvernement l'emportent sur le différend opposant le Pentagone à Anthropic. Le Département de la Défense supervise pourtant la NSA, ce qui illustre un décalage interne entre priorités opérationnelles de sécurité nationale et politique d'acquisition 🤷🏻‍♂️.

Microsoft a diffusé des mises à jour hors bande corrigeant deux problèmes liés au Patch Tuesday d'avril 2026 :

Un attaquant s'est fait passer pour un responsable officiel de la Linux Foundation sur Slack afin de cibler des développeurs des projets TODO et CNCF. La victime recevait un lien Google Sites imitant une page Google Workspace, incitant à saisir des credentials puis à installer un faux certificat racine présenté comme une mesure de sécurité Google.

Balens détaille une campagne conduite entre décembre 2025 et février 2026 par un opérateur unique ayant compromis neuf organisations gouvernementales mexicaines. L'attaquant s'est appuyé sur Claude Code d'Anthropic et sur GPT-4.1 d'OpenAI pour traiter les données exfiltrées via un outil custom. Résultats : 2 597 rapports de renseignement structurés sur 305 serveurs internes, 400 scripts d'attaque et 20 exploits dédiés à diverses CVE, 5 317 commandes exécutées par IA sur 34 sessions 😮. Des centaines de millions de dossiers citoyens ont été exfiltrés.

OpenAI a annoncé GPT-5.4-Cyber, une variante « cyber-permissive » de GPT-5.4 destinée aux défenseurs, dont l'accès est conditionné au programme Trusted Access for Cyber.

Bruce Schneier pointe un manque de transparence autour de Claude Mythos Preview d'Anthropic, présenté via un « highlight reel » de succès spectaculaires mais sans données publiques suffisantes sur les faux positifs. Le programme Project Glasswing restreint l'accès à une cinquantaine d'éditeurs majeurs (Microsoft, Apple, AWS, CrowdStrike). Schneier juge ce ciblage logique mais insuffisant car les logiciels hors distribution d'entraînement tels que les firmware de dispositifs médicaux, infrastructures financières sur mesure, les logiciels bancaires régionaux, les systèmes embarqués anciens sont précisément là où Mythos est le moins capable de trouver ou d'exploiter des bugs.

Un article d'opinion publié sur Dark Reading analyse comment l'IA transforme des vulnérabilités classiques en menaces amplifiées. L'auteur illustre le propos avec la CVE-2026-26144 dans Copilot Agent pour Excel. Un XSS classique, habituellement limité au vol de cookies, permet désormais à l'agent IA d'exfiltrer silencieusement l'ensemble des données d'un classeur vers un endpoint attaquant, sans interaction utilisateur.

L'opération PowerOFF coordonne 21 pays contre l'écosystème DDoS-for-hire. Plus de 75 000 utilisateurs de plateformes de booter ont reçu avertissements par email ou courrier, 53 domaines ont été mis hors ligne, 4 arrestations et 25 perquisitions ont été effectuées. Les participants incluent plusieurs pays de l'UE, l'Australie, la Thaïlande, les États-Unis, le Royaume-Uni, le Japon et le Brésil.

France Titres (ANTS) a détecté le 15 mars 2026 un incident de sécurité sur le portail ants.gouv.fr, avec potentiellement 11,7 millions de comptes particuliers et professionnels impactés. Les données concernées comprennent identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique, et parfois adresse postale, lieu de naissance et téléphone. Les pièces jointes et données biométriques ne sont pas concernées. Aucune action n'est requise des usagers, hormis changer de mot de passe à la prochaine connexion. L'incident a été notifié à la CNIL et l'Office anti-cybercriminalité mène l'enquête judiciaire. Selon Clubic et FrenchBreaches, une vulnérabilité IDOR (Insecure Direct Object Reference) sur l'API de moncompte.ants.gouv.fr aurait permis à un attaquant de récupérer les millions d'enregistrements citoyens.

Trois PoC publiés par le chercheur Nightmare-Eclipse détournent Microsoft Defender contre les organisations qu'il protège :

Seul BlueHammer a été corrigé en avril 2026. RedSun et UnDefend restent sans correctif. Huntress observe une exploitation active via des comptes VPN SSL sans MFA.

24 vulnérabilités critiques cette semaine dont 4 exploitées :

Sur ces 7 derniers jours la CISA a ajouté 10 vulnérabilités exploitées :

Shadowserver signale que plus de 1 300 serveurs Microsoft SharePoint restent vulnérables à la CVE-2026-32201, une faille de spoofing exploitée en zero-day. Elle affecte SharePoint Enterprise Server 2016, SharePoint Server 2019 et Subscription Edition. L'exploitation, de faible complexité et sans authentification ni interaction utilisateur, permet de consulter des informations sensibles et de modifier des données. Microsoft a publié un correctif lors du Patch Tuesday d'avril 2026. La CISA l'a ajoutée à son catalogue KEV.

Akamai détecte début mars 2026 une campagne Mirai active exploitant la CVE-2025-29635, une injection de commande dans les routeurs D-Link DIR-823X. Un attaquant envoie une requête POST sur /goform/set_prohibiting pour déclencher une RCE. Le même acteur exploite également CVE-2023-1389 (TP-Link) et une faille RCE des ZTE ZXV10 H108L. Les DIR-823X étant EoL depuis novembre 2024, aucun correctif n'est prévu.

Fingerprint révèle une vulnérabilité de tracking (CVE-2026-6770) dans les navigateurs basés sur Firefox et sur Tor. L'ordre de retour des bases IndexedDB via indexedDB.databases() dérive d'une hashtable globale partagée entre origines, produisant un identifiant déterministe et stable durant toute la vie du processus navigateur. Des sites non liés peuvent indépendamment observer le même identifiant, y compris en navigation privée après fermeture des fenêtres, et sur Tor Browser même après l'action « New Identity ». Mozilla a corrigé la faille dans Firefox 150 et ESR 140.10.0.

L'Australian Cyber Security Centre publie une mise à jour d'avril 2026 de ses recommandations sur les risques liés aux réseaux sociaux et messageries (Signal, Telegram, WhatsApp, WeChat, LinkedIn, etc.).

Wiz décrit trois risques majeurs en s'appuyant sur des incidents récents (tj-actions, Ultralytics, Trivy). La confusion entre pull_request (lecture seule, pas d'accès aux secrets) et pull_request_target (contexte de confiance avec secrets et permissions Write) reste la source la plus fréquente de compromission.

Tyler Holmwood rétro-ingénierie la fonctionnalité Remote Control d'Anthropic Claude Code. L'option non documentée --sdk-url <URL> permet de connecter une instance Claude Code à une adresse arbitraire. En couplant cette option à la variable d'environnement CLAUDE_CODE_USE_CCR_V2, un serveur HTTPS contrôlé par l'attaquant peut piloter intégralement l'agent de code via le endpoint /worker/events/stream.

Des chercheurs analysent plus de 160 conversations issues de forums cybercriminels collectées sur sept mois via une plateforme de cyber threat intelligence. L'étude documente comment les acteurs malveillants comprennent l'IA et discutent de son exploitation.

Un chercheur de BeyondTrust démontre comment un agent "computer use" peut servir de framework C2 agentique baptisé Claude & Control. L'implant C# utilise les APIs Windows natives (SetCursorPos, SendInput) et communique via Azure Blob Storage et Azure Function Apps (proxy d'API), rendant le trafic indétectable.

Thomas Preece démontre comment un job CodeBuild utilisant CodeConnections peut appeler une API AWS non documentée pour récupérer en clair les tokens GitHub App ou Bitbucket JWT.

Sonrai a collaboré avec Eduard Agavriloae pour éprouver notyet (cf. newsletter #72), un outil open-source exploitant la fenêtre de propagation de l'eventual consistency d'AWS IAM afin de maintenir la persistance malgré les actions de containment.

WHOIS a été remplacé par RDAP. Le nom a changé mais les données restent les mêmes. Et il peut être nécessaire de remonter dans l'historique pour savoir non pas qui est, mais qui était. Le service WhoWas d'ARIN fournit l'historique de registration des adresses IP et des ASN (inscription requise).

Magika utilise un petit modèle deep learning pour détecter rapidement les types de fichiers. Il est livré sous forme de CLI Rust accompagné de bindings Python et autres, avec des modes de confiance et des sorties JSON/JSONL.

Scanner ciblant la configuration Claude Code à chaque scope (user, project, local, managed) ainsi que les fichiers de dépôt (CODEOWNERS, CLAUDE.md). L'outil embarque plus de 50 contrôles de sécurité, chacun associé à un scénario d'attaque, une sévérité et une remédiation documentée.

Base de données publique recensant jailbreaks, prompt injections et incidents de sécurité affectant les principaux modèles IA. Le site catalogue les modèles suivis, les incidents documentés, les techniques utilisées et les types d'attaque.

Mandiant publie une réimplémentation complète d'Impacket en Go incluant 63 outils et 24 packages de bibliothèque. L'outil couvre l'exécution distante (psexec, smbexec, wmiexec, dcomexec, atexec), le credential dumping (secretsdump, DPAPI, esentutl), les attaques Kerberos (Kerberoasting, AS-REP roasting, Golden/Silver Tickets, S4U2Self/Proxy, raiseChild) et l'énumération Active Directory. Compilable pour Linux, macOS et Windows avec ou sans cgo.

Un skill transformant un agent LLM en expert YARA en embarquant les bonnes pratiques de YARA-Forge et yaraQA. Il couvre l'écriture, la revue, l'optimisation et la validation de règles, avec plus de 20 contrôles automatisés : erreurs logiques, atomes courts, regex non ancrés, conventions de nommage, etc.

🎧️ NoLimitSecu - Épisode consacré au rapport M-Trends 2026

🗓️ THCon - Du 5 au 6 mai 2026 à Toulouse, France.

🗓️ ESIEA Secure Edition - Le samedi 30 mai 2026 à Paris, France.

Scaleway (groupe iliad) a été retenu pour reprendre l'hébergement de la Plateforme des données de santé (Health Data Hub), jusqu'ici opérée sur Microsoft Azure.

Studio open-source de synthèse vocale fonctionnant entièrement en local, alternative à ElevenLabs. Sept moteurs TTS sont disponibles (Qwen3-TTS, Qwen CustomVoice, LuxTTS, Chatterbox Multilingual et Turbo, HumeAI TADA, Kokoro), couvrant 23 langues et 50+ voix préétablies.

Patrick Stevens reproduit l'expérience initiée par Kelsey Piper. Claude Opus 4.7 identifie des auteurs par stylométrie à partir de quelques paragraphes d'écrits non publiés, même en mode incognito et après avoir supprimé les instructions personnalisées.

Cloudflare introduit un score Agent Readiness pour les sites. Cloudflare lance isitagentready.com pour évaluer la facilité avec laquelle les agents IA peuvent découvrir, lire, accéder et utiliser un site.

Dans un manifeste en 22 points publié sur X le 18 avril 2026, Palantir synthétise la thèse du livre The Technological Republic d'Alex Karp et Nicholas Zamiska. L'entreprise argue que la Silicon Valley doit servir la domination des États-Unis, et que la « puissance coercitive » du XXIe siècle reposera sur des outils numériques.

Le 15 avril 2026, Ursula von der Leyen annonce l'application officielle de vérification d'âge européenne comme techniquement prête. Dès le 16 avril, le consultant Paul Moore contourne les protections en moins de deux minutes. Manipulation du fichier de configuration pour supprimer les entrées PIN chiffrées et définir un nouveau code, compteur de tentatives stocké en simple entier, et booléen désactivant l'authentification biométrique.

Shalev Hulio (ex-CEO) et Omri Lavie, les deux cofondateurs de NSO Group éditeur de Pegasus, ont été entendus par le juge Serge Tournaire respectivement en janvier et février dans le cadre de la procédure ouverte en juillet 2022 après la plainte de Reporters sans frontières. Une note de la DGSE de novembre 2022 versée au dossier estime « hautement probable » que NSO, et éventuellement Israël, connaissent les téléphones ciblés et les données exfiltrées. 23 personnes ont déposé plainte en France, dont l'ancienne ministre Florence Parly et des journalistes de Médiapart. Les deux cofondateurs sont désormais placés sous le statut de témoins assistés.

Chris Garry de la NASA a publié en domaine public sur GitHub le code source original du programme Apollo 11. Le dépôt contient Comanche055 (Command Module) et Luminary099 (Lunar Module), écrits pour l'Apollo Guidance Computer : 3 840 octets de RAM, 69 120 octets de stockage, environ 85 000 instructions par seconde.

Kalshi, plateforme américaine de marchés de prédiction, a enregistré plus de 230 millions de dollars de paris sur le climat et la météo depuis juillet 2021, dont plus de la moitié sur les neuf premiers mois de 2025. Les contrats « oui/non » portent sur la température quotidienne, le trajet des ouragans, ou encore le franchissement des 2 °C avant 2050.

Intel lance une gamme Core Series 3 orientée entrée de gamme, fabriquée aux États-Unis sur le process Intel 18A (classe 2 nm) dans les fabs de Hillsboro et Chandler.

Une campagne de phishing cible les youtubeurs. Le courriel, envoyé depuis un Gmail jetable avec un nom différent de l'adresse réelle, évoque une plainte pour usage non autorisé de musique sans jamais préciser la vidéo ni le morceau.

Application macOS open-source (MIT) alternative à CleanMyMac, sans collecte de données ni abonnement.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter