Suite dans l’affaire de l’ANTS. Un mineur de 15 ans a été placé en garde à vue, soupçonné d'avoir contribué au vol massif de données affectant l'ANTS. La fuite a exposé au moins 11,7 millions de comptes utilisateurs via le portail France Titres. L'attaque a été perpétrée via une vulnérabilité IDOR (Insecure Direct Object Reference), faille basique permettant un accès non autorisé aux données. Entre 12 et 18 millions de lignes ont été mises en vente sur des forums criminels par « breach3d ».

Le rapport 2025 de l'ANSSI s'inscrit dans la nouvelle Revue nationale stratégique et la Stratégie nationale de cybersécurité 2026-2030 visant à faire de la France une nation cyber de premier plan. L'agence recense 3 586 événements de sécurité (-22% par rapport à 2024) et 1 366 incidents (+0,4%), tout en délivrant 499 visas de sécurité et formant 1 543 professionnels au CFSSI. La plateforme MesServicesCyber, lancée en avril 2025, a totalisé 9 900 tests de maturité et 5 500 organisations diagnostiquées. L'exercice de crise REMPAR 25 a mobilisé 5 680 participants issus de 1 263 organisations 👏.

Kaspersky a découvert que les installateurs DAEMON Tools (versions 12.5.0.2421 à 12.5.0.2434) ont été compromis depuis le 8 avril 2026, avec des binaires compromis signés à l'aide des certificats légitimes de l'éditeur. Trois fichiers interrogent un domaine typosquatté pour récupérer des commandes PowerShell téléchargeant des charges utiles. Trois familles de malwares sont déployées. Plusieurs milliers d'infections recensées dans plus de 100 pays.

Anthropic a lancé en bêta publique Claude Security pour les clients Claude Enterprise. La plateforme intègre la détection de vulnérabilités basée sur l'IA directement dans les bases de code de production, sans outils personnalisés ni intégrations API. Optimisée par le modèle Opus 4.7, elle analyse le code, valide les résultats pour réduire les faux positifs et génère des suggestions de correctifs soumis à validation des développeurs.

Trend Micro a identifié Quasar Linux (QLNX), un implant Linux jusqu'alors non documenté combinant rootkit, backdoor et vol d'identifiants. Conçu pour la persistance prolongée dans les environnements de développement et DevOps, il vise notamment npm, PyPI, GitHub, AWS, Docker et Kubernetes.

Orange Cyberdefense a été ajoutée comme CNA (CVE Numbering Authority) du programme CVE. L'organisation peut désormais attribuer des identifiants CVE et publier des enregistrements pour les vulnérabilités touchant ses propres produits et technologies ainsi que pour les vulnérabilités découvertes par ses équipes dans des logiciels tiers non couverts par d'autres CNA. Orange Cyberdefense est le 11ᵉ CNA français, sous la racine ENISA (Agence européenne pour la cybersécurité). Le programme CVE compte aujourd'hui 512 CNA réparties dans 43 pays.

Le premier ministre Sébastien Lecornu a annoncé le déblocage de 200 millions d'euros pour moderniser et renforcer la protection des services numériques de l'État. L'annonce intervient après la cyberattaque visant l'Agence nationale des titres sécurisés (ANTS). Maintenant faut bien les utiliser 😊.

Un chercheur a démontré, via une preuve de concept, que Microsoft Edge déchiffre et conserve en mémoire l'ensemble des mots de passe enregistrés, même si l'utilisateur ne visite jamais les sites concernés. Un attaquant disposant de privilèges administrateur (sur Citrix, VDI ou Terminal Server Windows) peut accéder à la mémoire des processus de tous les utilisateurs connectés et exfiltrer ces identifiants. Le problème n’est pas nouveau. Microsoft considère ce comportement comme « by design ». Contrairement à Chrome ou Brave, Edge ne déploie pas l'App-Bound Encryption (ABE), qui limite l'extraction des mots de passe en mémoire.

Des attaquants ont compromis le support DigiCert via un fichier .scr déguisé en archive ZIP envoyé par chat. Un technicien a exécuté le fichier malgré plusieurs blocages de sécurité puis un second poste équipé d'un CrowdStrike mal configuré n'a pas remonté ses alertes, laissant le malware actif deux semaines. Les attaquants ont extrait les codes d'initialisation, identifiants à usage unique liés aux demandes de certificats en attente, leur permettant de générer des certificats EV valides. 60 certificats ont été révoqués, 27 explicitement liés à l'activité malveillante. Le groupe chinois GoldenEyeDog est suspecté. Le bug 2033170 sur Bugzilla Mozilla recense la gestion par DigiCert de 60 certificats EV de signature de code émis frauduleusement après une attaque ciblée contre son support. Par la suite, Microsoft Defender a détecté par erreur des certificats DigiCert légitimes.

Vincent Strubel a partagé sur LinkedIn les constats présentés devant la commission d'enquête de l'Assemblée nationale sur les dépendances numériques. Il identifie trois axes :

Google restructure ses programmes Vulnerability Reward Programs (VRP) pour Android et Chrome, privilégiant la qualité des soumissions face à l'accélération des découvertes par IA.

Vimeo a confirmé une fuite de données affectant 119 000 utilisateurs survenue en avril 2026. Le groupe cybercriminel ShinyHunters a accédé aux informations via Anodot, plateforme d'analyse tierce utilisée par Vimeo. Les données exposées comprennent les adresses e-mail, des titres de vidéos, des métadonnées techniques et, dans certains cas, des noms de clients. Vimeo précise qu'aucun contenu vidéo, identifiant de connexion valide ou information de carte bancaire n'est concerné.

La Fédération française de basketball annonce avoir subi à son tour une fuite massive touchant potentiellement 2 millions de licenciés et 900 000 représentants légaux. L'attaquant a obtenu un accès frauduleux à un compte utilisateur, exploitant l'outil fédéral de gestion des licenciés pour exfiltrer noms, dates de naissance, coordonnées postales, e-mails, téléphones et informations de licence. Le pirate présumé, « HexDex », un homme de 22 ans interpellé en Vendée, ciblait spécifiquement les fédérations sportives.

La CVE-2026-41940 est un contournement d'authentification critique dans cPanel & WHM activement exploité depuis fin février 2026. Les attaquants prennent le contrôle des panneaux d'hébergement, déploient un rançongiciel Linux nommé Sorry qui chiffre les fichiers ajoutant l'extension « .sorry ». Plus de 44 000 adresses IP cPanel sont déjà compromises, indiquant une exploitation massive et automatisée à l'échelle d'Internet.

Palo Alto Networks alerte sur CVE-2026-0300, un dépassement de tampon critique (CVSS 9,3) dans le service Captive Portal de l'authentification User-ID de PAN-OS. La faille permet à un attaquant non authentifié d'exécuter du code arbitraire avec les privilèges root sur les firewalls PA-Series et VM-Series via des paquets spécialement conçus. L'exploitation active a été observée, mais reste limitée aux portails exposés à des adresses IP non fiables ou à Internet. Les versions PAN-OS 12.1, 11.2, 11.1 et 10.2 sont concernées.

Apache a publié des correctifs pour la CVE-2026-23918, une vulnérabilité double-free dans le module mod_http2 d'Apache HTTP Server 2.4.66 (CVSS 8.8). Le défaut survient lorsqu'une séquence HTTP/2 spécialement conçue déclenche un nettoyage du même flux à deux reprises, provoquant une corruption mémoire. L'exploitation peut entraîner un déni de service via crash des processus worker, voire une exécution de code à distance sur les configurations utilisant APR avec mmap (Debian, images Docker officielles). L'architecture MPM prefork n'est pas affectée. La version 2.4.67 corrige la vulnérabilité. Un PoC fonctionnelle existe.

6 vulnérabilités critiques cette semaine dont 2 exploitées :

Sur ces 7 derniers jours la CISA a ajouté 2 vulnérabilités exploitées :

Quarkslab a réalisé en collaboration avec OSTIF le premier audit de sécurité public de Paramiko, implémentation Python pure de SSHv2. Le périmètre couvre la bibliothèque, ses dépendances (notamment Cryptography et les bindings rust-openssl), les sources d'entropie, les exigences de temps constant et la chaîne CI/CD. Trente vulnérabilités ont été identifiées.

Le Centre australien de cybersécurité (ACSC), aux côtés de la CISA, NSA, Cyber Centre canadien, NCSC-NZ et NCSC-UK, a publié un guide commun sur l'adoption sécurisée des services d'IA agentique.

Bluekit centralise l'ensemble des opérations de phishing dans un tableau de bord unique : 40+ modèles de sites (Gmail, Outlook, iCloud, GitHub, portefeuilles crypto), gestion automatisée des domaines, suivi post-capture (cookies, stockage local), protections anti-analyse (anti-bot, géolocalisation, filtres d'appareils) et exfiltration via Telegram.

Cette article défend l'idée que les attributs riches d'intelligence IP surpassent les scores de risque traditionnels pour les décisions de sécurité. Les scores compressent des signaux complexes en valeurs opaques que les organisations ne peuvent adapter à leurs besoins spécifiques. Un proxy résidentiel constitue un risque élevé pour un paiement e-commerce, mais reste anodin pour la simple navigation. L'article propose plutôt des combinaisons d'attributs : classification d'infrastructure (datacenter, VPN, résidentiel), métadonnées ASN, indicateurs comportementaux (Tor, partage de fichiers), cohérence géographique.

L'article documente une attaque réelle contre une carte bancaire virtuelle malgré la conformité PCI DSS. Avec les 6 premiers chiffres (BIN) et 4 derniers chiffres affichés publiquement, plus la date d'expiration, seuls 99 999 numéros restent à tester en raison du checksum Luhn. L'attaquant a compromis le compte marchand, puis exploité des API de validation de paiement à environ 6 requêtes/seconde via proxies. Les codes d'erreur distincts des passerelles (numéro invalide, date expirée, CVV erroné) facilitent la force brute. Une fois PAN et CVV obtenus, les transactions ont été réalisées chez des marchands exemptés de 3D Secure.

L'équipe Include Security témoigne du tournant pris au CTF BSidesSF 2026 : 16 équipes ont résolu l'intégralité des défis et aucun défi n'a eu moins de 25 résolutions. L'auteur estime qu'il aurait fini 75ᵉ sans assistance LLM, contre la 5ᵉ place l'année précédente. Les meilleures stratégies combinent un orchestrateur, GPT-5.4-mini pour les défis simples et Claude Opus 4.6 pour les raisonnements complexes. L'article souligne pourquoi ce succès ne se transpose pas (encore) au pentest professionnel : critère unique du « flag », périmètre borné, feedback immédiat et abondance de writeups publics, là où le pentest exige jugement humain et discipline de portée du scope.

Le guide cooldowns.dev fournit une référence de configuration pour activer les délais d'attente sur les nouvelles versions de paquets, mesure protégeant contre les attaques de chaîne d'approvisionnement. Sont couverts uv, pip, npm, pnpm, Yarn, Bun, Deno, cargo-cooldown ainsi que Renovate et Dependabot.

Le rapport 2026 de Datadog sur l'état du DevSecOps revient sur les récentes attaques de chaîne d'approvisionnement npm et constate, dans le rapport 2026 State of DevSecOps de Datadog, que la moitié des organisations installent au moins une dépendance dans la journée suivant sa publication.

L'unité 42 de Palo Alto Networks a développé Zealot, une preuve de concept d'IA multi-agents capable d'attaquer de manière autonome un environnement cloud. Zealot a démontré une initiative inattendue, comme l'injection autonome de clés SSH à des fins de persistance, bien qu'une intervention humaine ait parfois été nécessaire pour éviter des scénarios d'« impasse » consommateurs de ressources. L'équipe a constaté que l'IA ne crée pas de nouvelles surfaces d'attaque, mais agit comme un multiplicateur de force qui exploite rapidement et à vitesse machine les mauvaises configurations bien connues.

Synacktiv détaille comment contourner les correctifs Microsoft pour la CVE-2025-33073 via une coercition d'authentification Kerberos exploitant des divergences de caractères Unicode.

Microsoft a rendu interrogeable la table AADGraphActivityLogs dans Azure Monitor et Sentinel, donnant aux défenseurs une visibilité sur l'API Azure AD Graph héritée (graph.windows.net) pour la première fois. Le point de terminaison moderne graph.microsoft.com dispose d'une table de journalisation depuis 2023, mais l'API héritée dépréciée restait active sans journalisation, lacune que Cloudbrothers a documentée comme la raison pour laquelle des outils offensifs échappaient à la détection.

Microsoft publie une bibliothèque destinée à prévenir les vulnérabilités Server-Side Request Forgery (SSRF). Elle fournit une validation des URL et des connexions réseau, en rejetant les entrées dangereuses et en bloquant l'accès aux adresses IP internes ou sensibles via un agent HTTP dédié. Deux implémentations sont disponibles : C# pour .NET et JavaScript/TypeScript pour Node.js.

Cette preuve de concept en C# illustre la vulnérabilité « by design » de Microsoft Edge (cf. news) consistant à conserver tous les mots de passe enregistrés en clair dans la mémoire du processus parent. L'utilitaire accède à cette mémoire pour récupérer les identifiants stockés.

Ce portail agrège dans une page unique l'accès à plus de 100 moteurs de recherche et services web.

Cette page recense les exécutables Unix-like légitimes utilisables pour contourner les restrictions locales de sécurité dans des systèmes mal configurés.

Ce navigateur sans tête open-source écrit en Rust est conçu pour le scraping web et l'automatisation des agents IA. Il exécute du JavaScript via V8 et supporte le Chrome DevTools Protocol (CDP). Empreinte minimale, il reste compatible avec Puppeteer et Playwright.

Cet EDR open-source pour Windows et Linux collecte la télémétrie native via ETW (Windows) et eBPF (Linux), normalise les événements au format Sysmon et évalue trois couches de détection : règles Sigma sur les motifs comportementaux, scans YARA à la création de processus et correspondance d'IOC déterministe (hashes, IP, domaines, chemins).

Trailtool est un outil qui agrège les logs AWS CloudTrail par entité (People, Sessions, Roles, Services, Resources) afin d'accélérer les requêtes et les workflows d'agents IA, en comparaison des approches SIEM ou CloudTrail Lake traditionnelles. Le billet explique comment utiliser Trailtool pour détecter les modifications « ClickOps », définir des politiques IAM de moindre privilège pour les rôles, répondre aux erreurs AccessDenied et valider les justifications d'accès d'urgence break-glass.

Cet utilitaire permet d’évaluer les vulnérabilités XXE (XML External Entity) dans les formats de documents. Il prend en charge les fichiers Microsoft Office (DOCX, XLSX, PPTX), les formats OpenDocument (ODT, ODG, ODP, ODS), ainsi que SVG et XML brut. L'outil permet d'embarquer des exploits XXE/XML dans ces différents types de fichiers à des fins de tests de vulnérabilité.

ImageWhisperer analyse les médias téléchargés à la recherche de signaux de génération par IA et de manipulation, produisant un verdict unique accompagné de preuves issues de plusieurs modèles de détection.

🎬 Sylvqin - Créer YggTorrent, puis le détruire (récit de ce qui s’est passé avec la compromission de l’infrastructure d’YggTorrent) - Cf. Newsletter #66)

🗓️ CyberSec Europe - Du 20 au 21 mai 2026 - Bruxelles, Belgique

🗓️ ESIEA Secure Edition - Le samedi 30 mai 2026 à Paris, France.

Le spécialiste français du XDR Tehtris a ouvert une procédure de redressement judiciaire. Les repreneurs potentiels avaient jusqu'au 27 mai pour présenter leurs dossiers, la décision étant attendue en juin. Selon le président Richard Vacher Detournière, l'entreprise « est allée trop vite, trop fort et trop loin » avec un développement simultané de plusieurs produits, une expansion internationale (Allemagne, Espagne, Canada, Japon) et une intensification des recrutements sans croissance proportionnelle. Fondée en 2010, l'entreprise avait levé 64 millions d'euros et supprimé 30 % de ses effectifs avant la procédure.

🇩🇪 QuoIntelligence, plateforme allemande de cyber threat intelligence, a levé 8,6 millions de dollars.

🇨🇭Bug Bounty Switzerland, plateforme suisse de bug bounty managé, a levé 15,2 millions de dollars en série A.

🤝 Cisco a annoncé son intention de racheter Astrix Security, spécialiste de la sécurité des identités non humaines.

PocketOS, éditeur d'outils de gestion pour loueurs de véhicules, a vu sa base de production et ses sauvegardes effacées en 9 secondes par un agent Cursor utilisant Claude Opus 4.6, en un seul appel API à Railway. L'agent a admis avoir violé chaque principe de sécurité pour résoudre un conflit d'identifiants. Selon les experts cités (Liquibase, Okta, Darktrace), l'incident n'est pas isolé : credentials trop larges, faible séparation des environnements, actions destructrices sans validation et systèmes pensés pour un humain dans la boucle.

Technitium DNS Server est un projet combinant dans un seul process un résolveur récursif, un sinkhole avec blocklists et un serveur de zones (Primary, Secondary, Stub). Il remplace un empilement Pi-hole + Unbound + BIND.

Le Conseil d'État a donné raison à La Quadrature du Net, French Data Network, Franciliens.net et la Fédération FDN, reconnaissant que le système de surveillance Hadopi (opéré depuis 2021 par l'Arcom) n'est pas compatible avec les droits fondamentaux protégés par l'Union européenne. Deux violations majeures sont retenues : l'absence de mécanisme garantissant la séparation entre adresses IP et données d'identité civile, et l'impossibilité pour l'Arcom d'être juge et partie en validant ses propres demandes d'accès.

Ce guide propose une plongée visuelle dans la construction de modèles de langage type ChatGPT.

Le créateur de Ghostty a annoncé le départ de Ghostty de GitHub, mettant fin à 18 ans de collaboration sur la plateforme. La raison ? Des pannes répétées de GitHub Actions et de l'infrastructure bloquant son travail sur les revues de PR et le développement, presque chaque jour selon son journal d'incidents.

Microsoft a publié le code source de 86-DOS 1.00, daté du 28 avril 1981. Décrit comme « le plus ancien code source DOS jamais découvert », il englobe le noyau et des composants comme CHKDSK.

Citizen Lab a découvert deux fournisseurs de surveillance commerciale (CSV) sophistiqués menant des campagnes de localisation pluriannuelles en exploitant les protocoles de signalisation SS7 et Diameter sur les réseaux mobiles mondiaux.

code.overheid.nl est la nouvelle plateforme officielle de partage de code des organismes publics néerlandais, bâtie sur Forgejo. Face à la dépendance croissante envers les plateformes externes, le gouvernement néerlandais a décidé de développer sa propre alternative à GitHub.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter