Vague d'attaques supply chain attribuée majoritairement à TeamPCP et à des variantes du ver Mini Shai-Hulud. Les payloads exfiltrent credentials cloud (AWS, Azure, GCP, Kubernetes, Vault), tokens GitHub/npm et plantent des backdoors dans VS Code et Claude Code. Incidents identifiés :

Le marketplace B1ack's Stash a publié gratuitement 4,6 millions de dossiers CVV2 volés (4,3 millions valides après filtrage des doublons et cartes expirées), dont 70 % issus des États-Unis. Cette diffusion est présentée comme une mesure disciplinaire visant des vendeurs qui revendaient ailleurs des données achetées chez B1ack's Stash 👋. Chaque enregistrement contient numéro de carte, date d'expiration, CVV2, nom du titulaire, adresse de facturation, email, téléphone et IP.

Le groupe d’attaquants Storm-2949 cible les environnements Microsoft 365 et Azure en exploitant le flux SSPR. L'attaque débute par une réinitialisation de mot de passe, puis ingénierie sociale pour obtenir l'approbation MFA en se faisant passer pour un agent IT. Post-compromission : énumération via Graph API et scripts Python, extraction massive depuis OneDrive et SharePoint (configurations VPN), abus des permissions RBAC Azure pour déployer Web Deploy/Kudu, modifier Key Vault et créer des comptes administrateurs rogue via VMAccess.

Linus Torvalds qualifie la mailing list de sécurité Linux de "presque entièrement ingérable" en raison des rapports dupliqués générés par plusieurs chercheurs utilisant les mêmes outils IA. Les mainteneurs perdent leur temps à transférer les rapports aux bonnes personnes ou à signaler que les bugs ont déjà été corrigés, ce qu'il qualifie de "travail inutile". Torvalds appelle les utilisateurs d'IA à aller plus loin : lire la documentation, produire des correctifs et apporter une réelle valeur ajoutée.

Le Project Glasswing a dirigé le modèle Mythos Preview d'Anthropic vers plus de 50 dépôts critiques de Cloudflare. Le modèle peut chaîner plusieurs vulnérabilités de faible sévérité en un exploit fonctionnelle, là où les précédents modèles de pointe s'arrêtaient à un bug intéressant, mais avec une exploitabilité incertaine.

Vincent Strubel, directeur général de l'ANSSI, reconnaît que l'agence ne peut pas tout contrôler face aux fuites de données répétées affectant les institutions publiques, dont l'ANTS avec environ 11,7 millions de comptes compromis. L'agence ne mène que 50 contrôles annuels alors que des milliers de systèmes critiques de l'État existent. Strubel réfute toute tension avec Matignon et compare les critiques à "jeter des cailloux sur les camions de pompiers". Une restructuration du pilotage numérique est annoncée, incluant la création d'une nouvelle autorité baptisée Ariane, distincte des missions cyber actuelles.

L'opération Ramz d'INTERPOL a conduit à 201 arrestations sur 382 suspects identifiés dans 13 pays (Algérie, Bahreïn, Égypte, Irak, Jordanie, Liban, Libye, Maroc, Oman, Palestine, Qatar, Tunisie, Émirats arabes unis). 53 serveurs de phishing, malware et fraude ont été saisis, 3 867 victimes confirmées et environ 8 000 paquets de renseignement récupérés. Parmi les succès notables on note le démantèlement d'une arnaque à l'investissement en Jordanie exploitant 15 travailleurs asiatiques forcés et le démantèlement d'une plateforme phishing-as-a-service en Algérie.

Des chercheurs confirment que Fast16 (cf. newsletter 74), malware sophistiqué contemporain de Stuxnet (vers 2005), ciblait les logiciels de simulation LS-DYNA et AUTODYN utilisés pour modéliser les explosions nucléaires, probablement en Iran. Plutôt que de causer des dommages physiques, Fast16 surveillait la densité du cœur d'uranium pendant les simulations et remplaçait les données légitimes par de fausses lectures, faisant croire aux ingénieurs que les tests échouaient.

Le premier jour de Pwn2Own Berlin 2026 a vu 24 zero-days uniques exploitées pour un total de 523 000 dollars distribués aux chercheurs. Cheng-Da Tsai (DEVCORE Research Team) remporte 175 000 dollars en chaînant quatre bugs logiques pour s'échapper du sandbox d'Edge. Autre découvertes :

Une longue campagne de phishing baptisée Operation HookedWing a volé des credentials à plus de 500 organisations dans de nombreux secteurs critiques. Les attaquants ont utilisé GitHub et des serveurs compromis pour héberger de fausses pages de connexion aux thèmes Outlook collectant email, mot de passe, IP, géolocalisation et données d'organisation.

Après le Pixel 9, les chercheurs de Project Zero ont reproduit sur le Pixel 10 une attaque « 0-click » menant d'un simple message piégé à un contrôle total de l'appareil. Faute du pilote utilisé précédemment, ils ont audité un nouveau composant gérant le décodage vidéo et y ont trouvé une faille majeure : il laissait une application accéder à des zones mémoire normalement protégées, y compris le cœur du système. En quelques lignes de code, il devenait possible de prendre la main sur le noyau Android. Google a corrigé le problème en 71 jours.

Foxconn confirme que le groupe de ransomware Nitrogen a compromis certaines de ses usines en Amérique du Nord. Les cybercriminels revendiquent le vol de 8 To de données, soit plus de 11 millions de fichiers, incluant des documents confidentiels et schémas techniques liés à des clients majeurs : Intel, Apple, Google, Dell et Nvidia. L'entreprise affirme avoir activé immédiatement son mécanisme de réaction et mis en place des mesures de continuité opérationnelle. Les installations affectées reprennent progressivement leurs activités.

Un étudiant taïwanais a utilisé un soft de radio pour analyser, faire de la rétro-ingénierie et rejouer des signaux sur le système de communication radio du Taiwan High Speed Rail. Il a envoyé une fausse alarme générale au centre de contrôle qui a arrêté les trains pendant 20 minutes. La police a trouvé près d'une dizaine de radios bidirectionnelles à son domicile et confirmé qu'il avait également accédé aux fréquences du département des pompiers de New Taipei City et du MRT de l'aéroport de Taoyuan.

Le groupe Pierre & Vacances - Center Parcs a subi une cyberattaque visant son site de réservations "La France du Nord au Sud". 1,6 million de dossiers compromis exposent noms d'occupants, dates de naissance, numéros de téléphone et informations détaillées sur les séjours. Les emails et coordonnées bancaires ne sont pas affectés. L'attaquant revendique des données sur plus de 4 millions de personnes (plusieurs personnes par dossier). Le groupe a notifié les clients concernés et déposé plainte.

Un adolescent de 19 ans a été interpellé à son retour de Thaïlande le 14 mai 2026 et placé en détention provisoire par le parquet de Paris. Il est soupçonné d'avoir créé "C3N Backup", un portail frauduleux usurpant l'identité du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie nationale 😲. Le site proposait des recherches par identité, numéro de téléphone, email ou immatriculation véhicule, et vendait des identifiants bancaires, données médicales ou liées à la détention d'armes à feu. Le parquet qualifie ce service de site de "lookup" agrégeant des bases de données illicites à des fins malveillantes.

BWH Hotels (Best Western, WorldHotels, Sure Hotels, plus de 4 000 hôtels) a découvert qu'un attaquant accédait à ses données de réservation depuis le 14 octobre 2025, soit plus de six mois. Les cybercriminels ont consulté une application web contenant noms, adresses email, numéros de téléphone et détails des réservations. Les informations de paiement n'étaient pas stockées dans le système affecté. Le nombre exact de victimes reste indéterminé.

L'exploit YellowKey, publié par le chercheur Nightmare-Eclipse en violation des bonnes pratiques de divulgation coordonnée, permet à un attaquant avec accès physique de contourner les protections BitLocker par défaut sur Windows 11 en quelques secondes. La procédure :

Microsoft a émis la CVE-2026-45585 avec un guide de mitigation en attendant le correctif. Windows 10 n'est pas affecté.

Drupal a annoncé un core security release pour le 20 mai 2026, prévenant que des exploits pourraient apparaître quelques heures après divulgation. La vulnérabilité touche Drupal core 8+, mais toutes les configurations ne sont pas impactées.

Microsoft a divulgué le 14 mai 2026, hors du cycle Patch Tuesday, la vulnérabilité CVE-2026-42897 affectant Outlook Web Access (OWA). Via un e-mail spécialement conçu, un attaquant peut faire exécuter du code JavaScript arbitraire dans le navigateur de la victime lorsqu'elle ouvre le message dans OWA. Sont concernées les versions on-premises Exchange Server 2016, 2019 et Subscription Edition ; Exchange Online n'est pas impacté. Aucun correctif n'étant encore disponible, Microsoft recommande d'activer le service Exchange Emergency Mitigation (EM), qui applique automatiquement l'atténuation, ou d'utiliser l'outil EOMT dans les environnements isolés.

La vulnérabilité CVE-2026-47100 (CVSS 8.7) affecte Funnel Builder by FunnelKit (versions antérieures à 3.15.0.3) et touche plus de 40 000 boutiques WooCommerce. Sansec observe une exploitation active avec des scripts obfusqués déguisés en Google Tag Manager qui chargent du code de skimming via WebSocket, volant numéros de carte, CVV et adresses.

Une autre faille (CVE-2026-8181) affecte le plugin Burst Statistics (versions 3.4.0 et 3.4.1), utilisé par 200 000 sites WordPress.

14 vulnérabilités critiques cette semaine dont 3 exploitées et 2 avec un code d'exploitation public :

Un rappel d'alerte a été émis cette semaine concernant la vulnérabilité CVE-2026-42897 dans Microsoft Exchange Server (CERTFR-2026-ALE-005).

Sur ces 7 derniers jours la CISA a ajouté 7 vulnérabilités exploitées :

Les attaques de support technique utilisent de plus en plus l'outil Quick Assistant, installé sur Windows 10 et 11. TrustedSec montre comment identifier et répondre aux attaques utilisant cet outil.

Retour d'expérience sur la certification BSCP : 4 heures, deux applications web à exploiter en trois étapes (accès utilisateur, pivot admin, RCE), 99 $ et validité à vie. La préparation recommandée combine 23+ labs Practitioner, 8 labs spécifiques, 30-50 Mystery Labs et les deux Practice Exams. Ressources intéressantes : la Web Security Academy et le dépôt Botesjuan rassemblant payloads et chaînes d'exploitation.

Mitiga Labs détaille une chaîne d'attaque exploitant le fichier ~/.claude.json comme point de contrôle dans Claude Code. Un hook npm malveillant modifie cette configuration pour rediriger les requêtes MCP vers une infrastructure attaquant.

Datadog Security Labs démontre comment les skills Claude Code peuvent constituer un vecteur d'attaque supply chain. Les skills se chargent depuis plusieurs emplacements (entreprise, personnel, projet, plugins), un dépôt cloné pouvant introduire des instructions malveillantes. Le point critique : les commandes préfixées par ! s'exécutent immédiatement, avant que le modèle ne voie le contenu, contournant les défenses LLM. Recommandations : rechercher dans .claude/skills/ les commandes curl/wget, les autorisations Bash(*) sans restriction, les références à des URLs externes, et traiter les skills comme du code tiers à auditer avant utilisation.

Mozilla a identifié et corrigé un nombre sans précédent de bugs latents dans Firefox 150 grâce à Claude Mythos Preview : 271 bugs au total, dont 180 sec-high, 80 sec-moderate et 11 sec-low. Plusieurs échappements de sandbox ont été détectés dans WebAssembly, IPC et XSLT.

TrustedSec analyse comment les LLM accélèrent le reverse engineering des outils défensifs eux-mêmes, transformant ce qui prenait des semaines en quelques jours.

Des pentesteurs de TrustedSec répondent à des questions sur le pentest physique fort de leurs années d'expérience à s’infiltrer dans des bâtiments pour leurs clients.

Google a lancé l'Android Intrusion Logging (IL), première solution majeure conçue pour aider la détection forensique d'attaques sophistiquées sur Android. Intégré au mode Advanced Protection (AAPM), IL chiffre les journaux avec une clé utilisateur et les archive dans le compte Google sous contrôle exclusif de l'utilisateur. Trois catégories d'événements enregistrées : sécurité (déverrouillage, activité ADB, applications), DNS et connexion. Les chercheurs utilisent MVT (Mobile Verification Toolkit) et AndroidQF pour analyser ces logs sur une chronologie unifiée. IL doit être activé avant l'attaque pour produire des données exploitables.

Le 12 mai 2026, un dépôt GitHub contenant le code source complet du framework Shai-Hulud (attribué à TeamPCP) a circulé avant suppression.

Synacktiv documente le contournement du mécanisme anti-downgrade ajouté par Tesla après Pwn2Own 2025.

L'auteur de r136a1.dev analyse le déclin des analyses approfondies de malwares Windows complexes. I cite quatre facteurs possibles :

Conséquences : chute des publications académiques, migration des chercheurs vers le cloud et la recherche de vulnérabilités, complexité croissante des techniques de dissimulation chez les APT réellement avancés.

Base de données et API pour connaitre les extensions VSCode, Skills et MCP à risque.

Projet OWASP combinant les scanners Trivy, Hadolint et Docker Scout avec un LLM pour analyser les conteneurs Docker. L'IA traduit les résultats de scan en recommandations actionnables pour développeurs.

Outil de sauvegarde supportant PostgreSQL, MySQL, MariaDB et MongoDB. Planification flexible et il effectue de réelles restaurations pour vérifier l'intégrité des sauvegardes et génère un rapport avec décompte des lignes par table.

Outil Python qui fouille et identifie les adresses email et les noms d'utilisateur à travers des centaines de ressources en ligne.

Preuve de concept publique de la vulnérabilité CVE-2026-45585 (YellowKey). Cf. section vulnérabilités.

Outil d'analyse des politiques Entra Conditional Access. Un "gap" est une combinaison d'accès où aucun contrôle fort (blocage, MFA, MFA anti-phishing) n'est appliqué, l'utilisateur pouvant accéder uniquement avec un mot de passe. l’outil énumère toutes les combinaisons d'accès possibles et les évalue hors ligne contre la configuration actuelle.

Outil qui rassemble tout le cycle de vie de réponse à incident dans un binaire Go unique, incluant Velociraptor, Volatility, KAPE et la pile forensique standard, plus 28 cas d'usage IR mappés MITRE (ransomware, BEC, mouvement latéral, vol de credentials, détection de rootkit). Fonctionne sur Windows ou Linux avec gestion de cas intégrée, traitement de preuves inaltérables et support air-gap complet.

Visualiseur Event Log Windows construit par Microsoft. Cela ressemble à un Wireshark, mais pour l'analyse Event Log.

La dernière version d'EventHawk arrive avec un bon timing alors que Microsoft EventLogExpert vient d'être listé juste au-dessus. EventHawk est également un outil d'analyse Windows Event Log, mais il propose beaucoup plus de fonctionnalités et une interface utilisateur plus propre pour l'analyse.

🎬 Micode - J'ai infiltré le réseau d'escrocs qui vous harcèlent au téléphone

🗓️ ESIEA Secure Edition - Le samedi 30 mai 2026 à Paris, France

🗓️ SSTIC - Du 3 au 5 juin 2026 à Rennes, France

🗓️ LeHack - Du 26 juin 2026 au 28 juin 2026 à Paris, France

📈 Exaforce annonce une Series B de 125 millions de dollars menée par Mayfield et Khosla Ventures, portant son financement total à 200 M$.

🤝 Driftnet, plateforme américaine de threat intelligence et de gestion de surface d'attaque, a été acquise par SecurityScorecard pour un montant non divulgué.

🤝 LayerX Security, plateforme israélienne de sécurité navigateur centrée utilisateur, a été acquise par Akamai Technologies pour 205,0 millions de dollars.

L'Office fédéral allemand pour la protection de la Constitution (renseignement intérieur) a retenu la société française ChapsVision pour son logiciel d'analyse de données. La décision écarte Palantir, controversée pour son rôle central dans l'action de la police de l'immigration américaine ICE et pour les liens de l'entreprise avec Peter Thiel. Les inquiétudes portaient également sur la protection des données individuelles et l'opacité du système américain. L'idée de souveraineté numérique progresse progressivement outre-Rhin, dans un pays très consommateur de services informatiques américains.

Utilitaire CLI open source réunissant plusieurs outils de maintenance Mac dans un binaire unique. Fonctionnalités : nettoyage profond, dashboard temps réel CPU/mémoire/disque/réseau, nettoyage des artefacts de projets (node_modules, target), etc.

Epic Games annonce le retour de Fortnite sur l'App Store d'Apple, six ans après son retrait en août 2020 pour avoir contourné le système de paiement Apple et sa commission de 30 % sur les V-Bucks. Le retour intervient après l'application du DMA européen (mars 2024) qui a ouvert les iPhone aux magasins d'applications concurrents, et une décision de justice américaine en mai 2025.

Simon Willison condense six mois d'évolution des LLM dans un lightning talk à PyCon US 2026. Novembre 2025 identifié comme point d'inflexion : le modèle leader a changé cinq fois entre Anthropic, OpenAI et Google (Claude Sonnet 4.5, GPT-5.1, Gemini 3, Claude Opus 4.5). Les agents de codage ont franchi un seuil qualitatif grâce à l'optimisation par apprentissage par renforcement. Le projet OpenClaw (initialement Warelay) est devenu viral en février 2026 et a provoqué une pénurie de Mac Mini utilisés comme serveurs d'exécution. Les modèles ouverts locaux (Gemma 4, GLM-5.1, Qwen3.6) dépassent en avril certains modèles propriétaires antérieurs sur les benchmarks visuels.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter