Le portail France Titres (ants.gouv.fr) a été mis hors-ligne le vendredi 24 avril suite à la découverte d'un vol de données affectant environ 11,7 millions de comptes utilisateurs. Les services d'identité en ligne sont désactivés, seule la consultation reste possible. Les nouvelles demandes de titres d'identité nécessitent une visite en mairie sur rendez-vous. Les inscriptions de permis de conduire sont gelées et les déclarations de cession de véhicule doivent passer par l'application Simplimmat. L'agence indique mobiliser toutes ses ressources sans annoncer de date de réouverture, mais l'accès aurait été restauré le 29 avril.

TeamPCP is back. Le groupe a compromis simultanément plusieurs canaux Checkmarx. Le dépôt Docker Hub officiel a vu ses tags de confiance écrasés par un binaire KICS contenant un malware exfiltrant des secrets lors des scans IaC pour Terraform, CloudFormation et K8S. Le détournement npm de Bitwarden CLI fait visiblement partie de la même campagne.

Vimeo a confirmé une cyber-attaque exploitant des tokens d'authentification volés à Anodot, plateforme d'analyse pilotée par IA. Le groupe d’attaquants ShinyHunters a accédé aux instances Snowflake et BigQuery de Vimeo, exposant des métadonnées techniques, des titres de vidéos et certaines adresses email d'utilisateurs. Vimeo précise que les vidéos uplodées, les identifiants de connexion et les données de paiement n'ont pas été touchés. Les attaquants ont exigé une rançon avant le 30 avril 2026, menaçant de divulguer les données.

Un citoyen américano-estonien de 19 ans utilisant l'alias "Bouquet" a été arrêté par les autorités finlandaises à l'aéroport d'Helsinki le 10 avril alors qu'il tentait de rejoindre le Japon. Il fait face à six chefs d'accusation fédéraux pour fraude électronique, complot et intrusion informatique. Les procureurs le décrivent comme un membre prolifique de Scattered Spider, ayant participé à au moins quatre cyber-attaques.

SentinelOne a identifié Fast16, un malware de sabotage actif en 2005, antérieur de cinq ans à Stuxnet 😮. Composé d'un loadeur (svcmgmt.exe), d'un driver kernel (fast16.sys) et de charges utiles Lua, il corrompt les calculs de précision plutôt que de voler des données. Le malware ciblait LS-DYNA 970 (simulations de crash et structurelles), PKPM (logiciel chinois de conception structurelle) et MOHID (modélisation hydrodynamique). Le driver intercepte les opérations système et altère subtilement les résultats par manipulation de virgule flottante. Des indices de compilation et la présence dans les fuites ShadowBrokers de la NSA suggèrent une origine américaine.

Kaspersky a détecté "Lotus Wiper", un malware destructeur conçu pour cibler PDVSA, la compagnie pétrolière d'État vénézuélienne. Le code a été compilé fin septembre 2025, l'attaque ayant eu lieu le 13 décembre 2025, reconnue publiquement par PDVSA deux jours plus tard. Le ciblage était précis : le domaine PDVSA.com était codé en dur, limitant la destruction aux systèmes concernés. Le wiper écrase les disques, supprime les sauvegardes et journaux, et neutralise les alertes Windows Interactive Services Detection. L'attribution reste indéterminée malgré un historique d'opérations cyber américaines contre Caracas 🤔.

Le NCSC britannique alerte sur la prolifération des spywares commerciaux, désormais accessibles à 100 pays contre 80 en 2023. Le NCSC estime que les entreprises britanniques sous-estiment la réalité des menaces actuelles. Les victimes ne sont plus seulement gouvernementales mais aussi les banquiers et hommes d'affaires fortunés sont également ciblés. La majorité des cyber-attaques d'envergure visant le Royaume-Uni proviennent de gouvernements adversaires plutôt que de cybercriminels. Des sociétés privées comme NSO Group (Pegasus) et Paragon (Graphite) développent ces outils. La fuite en 2026 du toolkit "DarkSword" contenant des exploits iPhone illustre les risques de prolifération.

Une agence fédérale américaine au minimum a vu son équipement Cisco Firepower compromis via les vulnérabilités CVE-2025-20333 et CVE-2025-20362 par la backdoor "Firestarter". Le malware installe un hook dans Lina, le moteur de traitement réseau du firewall, pour exécuter des commandes arbitraires et déployer Line Viper. Les mises à jour firmware n'éliminent pas le malware. Seul un redémarrage à froid (débranchement électrique) restaure les listes originales. Cisco attribue l'opération à UAT-4356, lié à la campagne ArcaneDoor d'origine chinoise.

L'ANFR a détecté le 13 avril 2026 des accès non autorisés à son téléservice Radiomaritime, dédié à la gestion administrative des licences radio maritimes. L'intrusion s'est déroulée entre le 4 et le 10 avril, exposant les données d'environ 330 000 usagers : noms, prénoms, adresses postales, numéros de téléphone, adresses email et dates de naissance. Les données de licence et les pièces jointes n'ont pas été touchées.

Le groupe d'extorsion ShinyHunters revendique une cyberattaque contre Udemy, plateforme d'e-learning. Après l'échec des négociations, les attaquants ont publié un dataset contenant 1,4 million d'enregistrements. Selon Have I Been Pwned, les données exposées incluent noms, adresses, numéros de téléphone, informations sur les employeurs et méthodes de paiement des instructeurs. 56% des emails étaient déjà apparus dans d'autres fuites.

L'ASP a détecté le 1er avril 2026 un accès non autorisé à un compte utilisateur de son portail Profil, utilisé pour la gestion de la rémunération des stagiaires. L'incident a entraîné l'exfiltration de documents personnels comprenant état civil, coordonnées, numéros de sécurité sociale, montants des prestations et coordonnées bancaires (RIB/IBAN). L'ASP, sous tutelle des ministères de l'Agriculture et du Travail, n'a pas communiqué le nombre exact de comptes touchés.

Le ministère de l'Éducation nationale a annoncé une fuite affectant environ 705 000 candidats Parcoursup de la région Occitanie ou ayant déposé un dossier lors des sessions 2023 ou 2025. L'accès non autorisé est intervenu en octobre 2025 mais n'a été détecté qu'en mars 2026, soit six mois plus tard. Les données exposées incluent noms, prénoms, nationalité, dates de naissance, adresses, emails, téléphones, parcours scolaires, statuts boursiers, et pour les mineurs les coordonnées et catégories socioprofessionnelles des parents. Les attaquants ont usurpé un compte d'un module de gestion réservé au personnel d'Occitanie.

cPanel a publié un correctif pour CVE-2026-41940 (CVSS 9.8), une vulnérabilité critique affectant cPanel & WHM et WP Squared. La faille, due à une injection CRLF dans les processus de chargement de session qui permet à un attaquant non authentifié de manipuler un cookie pour injecter des propriétés arbitraires (ex. user=root) et obtenir un accès administrateur. Environ 1,5 million d'instances seraient exposées. L'hébergeur KnownHost rapporte une exploitation active dès février 2026, avant divulgation publique. watchTowr a publié un PoC. Les administrateurs doivent appliquer les correctifs en urgence plutôt que recourir à des contournements via blocage des ports 2083/2087.

19 vulnérabilités critiques cette semaine dont 4 avec un code d'exploitation public pour des vulnérabilités affectant Traefik :

À noter également la mise à jour de l'alerte CERTFR-2026-ALE-003 relative au ciblage des messageries instantanées.

Sur ces 7 derniers jours la CISA a ajouté 7 vulnérabilités exploitées :

La CVE-2026-3854 (CVSS 8.7) exploite une injection dans le proxy git interne babeld de GitHub. Celui-ci ne nettoie pas les points-virgules dans les valeurs d'options de push avant de les insérer dans l'en-tête X-Stat, qui utilise précisément ce caractère comme séparateur. Sur GitHub.com, l'impact est multi-tenant. Sur GHES, c'est la compromission complète du serveur. Au moment de la divulgation, 88% des instances restaient vulnérables.

CrowdStrike a corrigé la CVE-2026-40050, une vulnérabilité critique de path traversal non authentifiée dans une API cluster spécifique de LogScale self-hosted. La faille permet à un attaquant distant de lire des fichiers arbitraires du système de fichiers serveur sans authentification, exposant potentiellement fichiers de configuration, identifiants et informations système internes.

La CVE-2026-3844 (CVSS 9.8) touche plus de 400 000 installations WordPress utilisant le plugin Breeze Cache jusqu'en version 2.4.4. La faille réside dans la fonction fetch_gravatar_from_remote qui ne valide pas le type de fichier, permettant à un attaquant non authentifié d'uploader des fichiers arbitraires sur le serveur, ouvrant la voie à l'exécution de code à distance. L'exploitation requiert l'activation de l'option "Host Files Locally – Gravatars", désactivée par défaut.

La CVE-2026-34621 (CVSS 9.6) exploite une prototype pollution dans la sandbox JavaScript d'Adobe Reader. Un PDF malveillant a été soumis à VirusTotal le 28 novembre 2025, détecté par seulement 13 antivirus sur 64. La faille n'a été nommée et corrigée que le 12 avril 2026, soit 136 jours plus tard. Une campagne ciblait le secteur pétrolier et gazier russe via des leurres de factures, avec un second échantillon apparu le 23 mars 2026.

Le NCSC britannique publie un avis sur la montée en puissance des botnets opérés par des acteurs liés à la Chine, utilisés pour masquer reconnaissance, livraison de malwares, communications C2 et vol de données. Ces réseaux ciblent principalement les routeurs SOHO en fin de vie (Cisco, NetGear), équipements IoT (caméras IP, enregistreurs vidéo), NAS et pare-feu. Le réseau Raptor Train a compromis plus de 200 000 équipements dans le monde en 2024.

Un chercheur a déployé un honeypot SSH simulant un serveur Ubuntu sur le port 22 pendant 54 jours. Bilan : 269 000 connexions issues de 7 556 IPs uniques, soit environ 5 000 tentatives quotidiennes. 99,6 % des attaquants se contentent d'un fingerprint automatisé (uname) avant de partir. Les credentials testés mêlent classiques (123456), mots de passe IoT hardcodés et ciblage explicite des nœuds Solana. Seuls 0,4 % ouvrent un shell interactif, dont un opérateur professionnel utilisant /dev/tcp/ avec rotation de C2 et binaires UPX, ainsi qu'une variante du botnet Mirai (Senpai). Le trafic provient majoritairement de VPS cloud bon marché.

Synacktiv révèle la CVE-2026-24294, qui contourne le correctif Microsoft pour la CVE-2025-33073 jugé insuffisant. La nouvelle attaque exploite le multiplexage SMB et une fonctionnalité de Windows 11 24H2 / Server 2025 autorisant des ports TCP personnalisés pour SMB. La méthode consiste à établir un serveur SMB local sur un port non standard (12345) via WNetAddConnection4W, monter le partage de l'attaquant pour maintenir une connexion TCP persistante, forcer un service privilégié comme LSASS à s'authentifier sur le même chemin, puis exploiter la réutilisation de la connexion SMB pour relayer l'authentification NTLM locale et obtenir SYSTEM. Windows Server 2025 est plus exposé du fait que la signature SMB est désactivée par défaut.

Cloudflare décrit son système de revue de code natif CI bâti sur OpenCode, qui a traité 131 246 exécutions de revue sur 48 095 merge requests en environ un mois. L'architecture repose sur un design plugin avec sept reviewers spécialisés coordonnés par un modèle haut de gamme (Claude Opus 4.7 ou GPT-5.4) qui dédoublonne les findings.

Un chercheur argumente que les prédictions de croissance exponentielle des cyber-attaques découlant des capacités de découverte de vulnérabilités par IA (comme Claude Mythos) sont surestimées. Il pointe le fait que les capacités IA précédentes (chat passant le test de Turing à bas coût, dialogue vocal et deepfakes) n'ont pas provoqué le tsunami prédit d'attaques d'ingénierie sociale, d'arnaques téléphoniques ou de désinformation, malgré leur gratuité et leur accessibilité. Les attaquants choisissent le chemin le plus simple, et puisque la plupart des groupes atteignent déjà leurs objectifs via phishing, credential stuffing et exploitation de CVE connues, ils ne sont pas limités par les contraintes de la recherche de vulnérabilités.

Encore une autre liste awesome-*, cette fois axée sur les outils de protection de la vie privée : alias email anonymes, messagerie chiffrée, navigateurs et moteurs de recherche privés, extensions de confidentialité, VPN/Tor, blocage DNS et trackers, gestionnaires de mots de passe, etc.

Trailmark est un outil de visualisation des chemins de code et des dépendances. On lui fournit une codebase à analyser, et il construit un AST au format Treesitter qu'il transmet à une fonction de graphe. On peut ensuite interroger le graphe pour des classes ou chemins de code spécifiques, ainsi que réaliser de l'analyse de reachability, annoter des fonctions, trouver des dépendances ou rechercher les "chemins entre" deux nœuds.

DorkEye est un outil Python de reconnaissance qui automatise des requêtes de recherche avancées via DuckDuckGo pour découvrir des ressources web exposées.

MSSQLHound, désormais réécrit en Go par SpecterOps, identifie les chemins d'attaque dans les environnements Microsoft SQL Server. La nouvelle version réduit le temps d'exécution de 17 minutes à moins de 17 secondes avec 15 workers sur le même lab.

Claude-Red rassemble 38 fichiers de skills structurés conçus pour le système de skills de Claude. Chaque module se compose d'un fichier SKILL.md décrivant une méthodologie de niveau expert pour une surface d'attaque spécifique. Les domaines couverts incluent la sécurité applicative web, l'authentification et identité ainsi que la reconnaissance OSINT, le fuzzing et test de sécurité IA/ML.

SmokedMeat est un framework de post-exploitation pour pipelines CI/CD qui démontre la kill chain complète utilisée par TeamPCP pour compromettre Trivy, LiteLLM, KICS et d'autres.

Fork Commit Detector détecte les fork commits GitHub (commits accessibles via le namespace d'un dépôt mais absents de toutes ses branches) exploités par des attaquants pour injecter du code malveillant dans les pipelines CI/CD en les référençant directement par SHA ou tags.

GitHub-Token-Tester teste les permissions sur les cinq formats de tokens GitHub : PAT classiques, PAT fine-grained, App Installation Tokens , App User Access Tokens et OAuth App Tokens.

Pike, agent expérimental, analyse l'exécution de programmes Linux à partir de traces de syscalls. Il capture les appels système via strace et les stocke dans une base SQLite pour interroger efficacement des logs de plusieurs gigaoctets.

Ressource pour apprendre le développement de malware, l'analyse et l'ingénierie de détection sur Windows en Rust. 15 leçons ou étapes, chacune conçue pour enseigner une technique particulière.

🎧️ NoLimitSecu - Le grand test des clés USB "perdues" au Luxembourg

🗓️ THCon - Du 5 au 6 mai 2026 à Toulouse, France.

🗓️ ESIEA Secure Edition - Le samedi 30 mai 2026 à Paris, France.

🎤 Souveraineté de l'IA du data center à l'inférence (Jean-Baptiste Kempf)

📈 Cloudsmith, une plateforme britannique spécialisée dans l'observabilité de la sécurité des applications et la gestion de la chaîne d'approvisionnement, a levé 72 millions de dollars dans le cadre d'un tour de table de série C

🤝 Airbus a annoncé l'acquisition de Quarkslab, société française de cybersécurité fondée en 2011, employant environ 100 personnes à Paris et Rennes.

🤝 Atos renforce son portefeuille cybersécurité avec l'acquisition de cryptovision, société allemande fondée en 1999 à Gelsenkirchen, spécialisée dans les logiciels cryptographiques et solutions de protection d'identité numérique.

La protection anti-tamper Denuvo a été contournée sur l'ensemble des jeux vidéo solo qu'elle protégeait précédemment. En réponse, 2K Games et Denuvo auraient déployé des vérifications en ligne obligatoires tous les 14 jours en guise de contre-mesure.

FranceFuites est un site parodique français qui se présente comme le catalogue officiel d'un fictif "Ministère des Pertes Numériques", moquant l'incompétence administrative et les défaillances de sécurité.

L'auteur de Fiat Tux développe plusieurs arguments contre l'usage de l'IA :

Dr. Semiconductor a réussi à fabriquer 20 cellules DRAM fonctionnelles dans une cleanroom de classe 100 installée dans son abri de jardin.

Meta installe sur les postes de ses employés américains le logiciel Model Capability Initiative, qui capture mouvements de souris, clics, frappes clavier et captures d'écran ponctuelles. l’objectif est d’entraîner ses agents IA à reproduire les interactions humaines (menus déroulants, raccourcis clavier). Cette collecte alimente le programme Agent Transformation Accelerator, visant à faire effectuer le travail par les agents sous supervision humaine. Meta assure que ces données ne serviront pas à l'évaluation des employés 🙄.

LLMFit est un outil en ligne de commande qui détecte automatiquement la configuration matérielle et recommande les LLM compatibles.

Zondacrypto, plateforme polonaise de cryptomonnaies enregistrée en Estonie, ne répond plus à ses milliers d'utilisateurs incapables de retirer leurs fonds depuis plusieurs semaines. Le parquet régional de Katowice a ouvert une enquête pour fraude et soupçonne des opérations de blanchiment, avec un préjudice estimé à au moins 82,5 millions d'euros. Le PDG Przemyslaw Kral, dont l'entreprise sponsorisait le Comité olympique polonais et la Juventus, aurait fui en Israël, pays dont il détient la nationalité depuis 2025 et qui extrade rarement ses ressortissants.

Sundar Pichai (patron de Google) annonce aujourd'hui que 75 % du code chez Google est désormais écrit par des IA. C'était encore 50 % à l'automne dernier.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter