GitHub a désactivé 73 dépôts répartis sur quatre organisations Microsoft (Azure, Azure-Samples, Microsoft, MicrosoftDocs) en 105 secondes, après un commit malveillant poussé sur Azure/durabletask via un compte contributeur compromis. L'attaque, attribuée au ver Miasma (groupe TeamPCP, campagne Mini Shai-Hulud), a déposé cinq fichiers de configuration exécutant une charge d'exfiltration de credentials dès l'ouverture du dépôt dans Claude Code, Gemini CLI, Cursor ou VS Code.

Le modèle Claude Opus 4.8 a identifié, un jour après sa sortie, une faille critique dans le pool de confidentialité Orchard de Zcash (cryptomonnaie), active depuis mai 2022. Le défaut résidait dans un contrôle de validation des entrées de transaction qui n'appliquait pas réellement les règles attendues, permettant de générer des ZEC à partir de rien, le système de preuve à divulgation nulle validant la transaction frauduleuse. Les propriétés de confidentialité d'Orchard rendent toute exploitation indétectable : impossible de savoir si la faille a été exploitée durant ces quatre ans. Un correctif d'urgence a été déployé le 1ᵉʳ juin 2026.

Anthropic lance Claude Fable 5, une version « sûre pour un usage général » de son modèle Mythos, dont l'accès reste restreint en raison de ses capacités offensives. Des garde-fous réorientent vers Claude Opus 4.8 les requêtes touchant à la cybersécurité, la biologie, la chimie ou la distillation. En parallèle, le Financial Times rapporte que la NSA déploierait environ six ingénieurs d'Anthropic pour intégrer Mythos à ses opérations, malgré la classification de l'éditeur comme risque supply chain par le département de la Défense.

Le chercheur Nightmare Eclipse a publié un PoC exploitant une race condition dans Microsoft Defender, permettant d'obtenir un invite de commande avec les privilèges SYSTEM sur des Windows 10 et 11 entièrement à jour. La faille provient des API liées au traitement des fichiers sur partages SMB distants. Microsoft s’était déjà agacé la semaine dernières sur des publications non coordonnées de failles mais apparement cela continue…

Socket a identifié le 8 juin une nouvelle vague de la campagne Shai-Hulud compromettant 19 paquets Python (37 versions), dont des outils de bio-informatique populaires comme Dynamo, Spateo, CoolBox et U-FISH, cumulant des centaines de milliers de téléchargements.

WhatsApp indique avoir détecté et stoppé des campagnes de spear-phishing attribuées au groupe NSO, après des signalements d'utilisateurs. Les attaquants cherchaient à faire cliquer les cibles sur des liens malveillants redirigeant vers des sites externes, selon un schéma proche des campagnes 1-clic déjà documentées.

Selon Politico, la Commission européenne s'apprêterait à saisir la Cour de justice de l'Union européenne contre la France, l'Espagne et d'autres États pour défaut de transposition de la directive NIS2, dont l'échéance était fixée à octobre 2024. Le retard français s'explique par la transposition simultanée de trois directives (NIS2, DORA, REC), NIS2 faisant passer le nombre d'entités régulées de 600 à 15 000. Une disposition controversée, l'article 16 bis, protège le chiffrement et interdit les portes dérobées dans les messageries, créant des tensions avec les services de sécurité.

La cour d'appel de Paris a jugé sans cause réelle et sérieuse le licenciement d'un responsable informatique d'une banque, congédié après la découverte, lors d'un test d'intrusion en novembre 2019, d'un serveur non corrigé qu'il avait pourtant déclaré patché en juin 2017. La cour a sanctionné l'employeur pour avoir dépassé le délai légal d'un mois entre la connaissance des faits et la procédure.

Un affilié du ransomware Nova (opération RAlord) a chiffré par erreur Eriell Group, une société de services pétroliers basée en Ouzbékistan avec un bureau à Moscou, deux pays de la Communauté des États indépendants (CIS). Les groupes cybercriminels appliquent une règle tacite : ne jamais viser d'organisations en Russie ou dans la CIS, où ils bénéficient d'une relative tolérance. Après le signalement direct d'Eriell, Nova a banni l'affilié, présenté ses excuses, promis une récupération gratuite et s'est engagé à ne pas divulguer les données volées.

Le gestionnaire de mots de passe Dashlane indique que des attaquants ont brute-forcé son système de double authentification pour enregistrer de nouveaux appareils sur une vingtaine de comptes clients et télécharger leurs coffres chiffrés. Au moins une douzaine de coffres ont été dérobés. Les systèmes de Dashlane n'auraient pas été compromis.

Des chercheurs de Calif ont dévoilé HTTP/2 Bomb, une attaque par déni de service saturant la RAM des serveurs web en moins de 60 secondes. Elle combine une amplification de la compression HPACK (ratio jusqu'à 4 000:1 sur Apache) et un blocage du contrôle de flux empêchant la libération de la mémoire.

L'ANSSI a publié un guide de recommandations de sécurité relatives à la gestion technique et centralisée du bâtiment (GTB/GTC). Ces systèmes permettent de contrôler à distance plusieurs sous-ensembles d'un bâtiment et, souvent gérés en prestation, peuvent s'avérer critiques selon les contextes (hôpitaux, laboratoires, manufactures).

Google déploie une solution face au problème croissant des arnaques par voix deepfake. Sa nouvelle fonction de détection des faux appels pour les appareils Android 12+ fait envoyer par le téléphone de l'appelant un signal de confirmation silencieux et chiffré au destinataire. Si ce signal n'apparaît pas, votre téléphone interroge automatiquement votre véritable contact pour lui demander « est-ce bien toi qui m'appelles ? ». S'il répond non, vous recevez un avertissement vous invitant à raccrocher immédiatement.

Quelqu'un vient de passer cinq mois à dérober méthodiquement tout l'historique d'e-mails d'un cadre de place boursière, et il faut reconnaître à quel point l'opération a été patiente et disciplinée. Les attaquants ont utilisé un outil sur mesure bâti autour d'Aspose (une bibliothèque .NET légitime) pour découper les fichiers OST d'Outlook en petits morceaux, puis ont tout exfiltré via Dropbox et OneDrive Personal pour se fondre dans le trafic cloud normal. Ils ont récupéré les e-mails de façon incrémentale sur des fenêtres de deux à quatre semaines, en veillant à ne déclencher aucune alerte par des transferts massifs.

La Dinum a signalé un incident de sécurité sur Tchap, la messagerie de la fonction publique basée sur le protocole Matrix, généralisée en septembre à l'ensemble des agents publics. L'incident provient d'un compte compromis utilisé pour des requêtes malveillantes, sans atteinte aux serveurs. Un internaute a revendiqué sur un forum cybercriminel l'exfiltration d'environ 73 000 profils d'agents et 643 000 messages. Le gouvernement assure que les conversations privées restent chiffrées de bout en bout, mais que les salons publics ont pu être consultés. Autre source.

Le Patch Tuesday de juin 2026 corrige 204 vulnérabilités, dont 38 critiques et 3 déjà divulguées publiquement, sans aucune exploitée à ce jour. Parmi les notables : la CVE-2026-49160, une « bombe de compression » HTTP/2 et HTTP/3 dans HPACK, et la CVE-2026-47291, une exécution de code distante critique dans http.sys par dépassement d'entier. Trois contournements de fonctionnalité de sécurité touchant BitLocker sont également corrigés.

3 vulnérabilités critiques cette semaine dont 2 exploitées et 1 avec un code d'exploitation public :

Aucun rappel d'alerte n'a été émis cette semaine.

Sur ces 7 derniers jours la CISA a ajouté 6 vulnérabilités exploitées :

Ivanti a publié un avis corrigeant deux failles dans Sentry. La CVE-2026-10520 (CVSS 10.0) est une injection de commande OS pré-authentifiée permettant à un attaquant distant non authentifié d'obtenir une exécution de code en root. La CVE-2026-10523 est un contournement d'authentification autorisant la création de comptes administrateurs arbitraires. Sont concernées les versions antérieures à R10.5.2, R10.6.2 et R10.7.1.

La CVE-2026-23111 est un use-after-free dans le code nf_tables du noyau Linux, permettant à un utilisateur local non privilégié d'obtenir les droits root et de s'échapper d'un conteneur. Le défaut tient à un contrôle inversé d'un seul caractère, corrigé le 5 février 2026 (CVSS 7.8). Plusieurs exploits publics existent.

L'Unité 42 confirme l'exploitation active depuis au moins le 29 mai de la CVE-2026-0257, un contournement d'authentification affectant le portail et la passerelle GlobalProtect de PAN-OS, ajouté au catalogue KEV de la CISA. La faille permet de contourner les contrôles et d'initier des connexions VPN sans identifiants valides. Palo Alto fournit des indicateurs et recommande d'appliquer les correctifs et d'examiner les logs GlobalProtect.

SpecterOps montre comment trois fonctions IA natives de Microsoft SQL Server 2025 offrent un canal d'exfiltration de données et de transport C2 au sein même du moteur de base.

Le rapport 2026 de l'ENISA sur l'adoption des SBOM, basé sur 334 organisations met en lumière un écart persistant entre génération et utilisation. Si 74 % automatisent au moins partiellement la génération, 67 % rapportent un écart modéré à significatif avec l'usage réel et seulement 7 % l'ont comblé. Par ailleurs, 39 % ne reçoivent jamais de SBOM de leurs fournisseurs commerciaux, 58 % citent le matching de vulnérabilités (CPE/PURL) comme obstacle majeur, et 28 % utilisent encore des formats propriétaires.

Krebs revient sur The Gentlemen, devenu le deuxième groupe de ransomware le plus actif au compteur de victimes, avec au moins 332 victimes revendiquées depuis mi-2025. Le groupe attire les affiliés grâce à un partage de rançon inhabituel de 90/10, contre le standard 80/20. Des chercheurs attribuent son administration à Alexander Andreevich Yapaev, 36 ans, d'Ijevsk en Russie, alias Hastalamuerte et Zeta88, identifié via une adresse ProtonMail, des comptes Telegram et des bases de données gouvernementales piratées. Le groupe vise les accès exposés (VPN, pare-feu) puis chiffre les réseaux en quelques heures.

L'agent de sécurité autonome de DepthFirst a identifié 21 vulnérabilités inédites dans FFmpeg, après des efforts similaires de Google Big Sleep et du modèle Mythos d'Anthropic. Le système produit des PoC reproductibles pour confirmer ses trouvailles, à un coût d'environ 1 000 dollars contre 10 000 pour Anthropic. Huit failles ont reçu un numéro de CVE. Plusieurs étaient très ancienne (de 15 à 23 ans).

Daniel Stenberg, mainteneur de curl depuis 30 ans, décrit une hausse sans précédent des rapports de vulnérabilités, désormais plus d'un par jour (4 à 5 fois plus qu'en 2024), corrélée à l'afflux de rapports générés par IA sur les plateformes de bug bounty. Avec environ 30 milliards d'installations de curl, l'enjeu est considérable. Travaillant plus de 50 heures par semaine, il évoque le risque d'épuisement de toute l'équipe. Le projet attend au moins 30 CVE en 2026, un record, toutes classées LOW ou MEDIUM. Il appelle à davantage de financements pour répartir la charge.

Docker explique le principe des images durcies : des images de base minimales et continûment patchées ne contenant que les composants d'exécution nécessaires, accompagnées de métadonnées vérifiables (SBOM, provenance SLSA, signatures, données VEX). Une image durcie équivalente, réduite à ~30 paquets, passe de ~200 CVE à moins de 5, réduisant la surface d'attaque jusqu'à 95 %.

Permiso détaille ChatGPhish, une technique exploitant la façon dont ChatGPT rend le Markdown lors du résumé d'une page web. Un attaquant non authentifié insère des instructions dans n'importe quelle page et lorsqu'une victime la résume (par exemple via la fonction de résumé de Firefox), le modèle intègre la charge malveillante à sa réponse, affichée comme un contenu de confiance dans l'interface.

Trail of Bits a contourné en moins d'une heure plusieurs détecteurs de skills malveillants : celui de ClawHub, le scanner d'agents de Cisco et les trois scanners intégrés à skills.sh (Gen, Socket, Snyk). Les techniques : préfixer 100 000 sauts de ligne pour tronquer l'analyse ou encore empoisonner du bytecode Python (.pyc) tout en gardant un code source bénin. Recommandation : privilégier des collections de confiance plutôt que les marketplaces publiques.

Le projet OhAuth a audité 2 890 applications OAuth publiques sur Google Workspace et GitHub, totalisant 4,39 milliards d'installations. 918 d'entre elles (32 %) présentent au moins un signal de risque : permissions trop larges, domaines d'éditeur morts ou signalements de threat intelligence. 677 demandent des scopes excédant leur fonction annoncée, 206 ont un domaine inactif et 89 un domaine rachetable, ouvrant la voie à des prises de contrôle. Une fois accordés, les accès OAuth persistent même après expiration ou compromission du domaine, la revue de marketplace n'étant qu'un contrôle au moment de l'approbation.

JFrog décrit IronWorm, un infostealer écrit en Rust découvert à partir d'un paquet npm malveillant. Il dérobe les secrets des machines de développeurs, injecte des hooks dans des wallets comme Exodus pour capturer mots de passe et se dissimule derrière un rootkit noyau eBPF avec C2 via Tor.

Doyensec a mené une évaluation comparative de deux plateformes de pentest assistées par IA : Attack AI Pentest d'Aikido et Lightspeed de XBOW. L'objectif affiché était de mesurer le niveau de maturité réel de ces plateformes plutôt que se fier aux promesses des éditeurs.

Framework de découverte d'actifs open source en Python. Il gère la découverte d'hôtes, le scan de ports, le fingerprinting de services et l'enrichissement en un seul passage, puis organise les résultats dans une unique application web. Adapté à l'inventaire de surface d'attaque et à la cartographie rapide lorsqu'on a besoin d'une vue claire d'un sous-réseau ou d'un environnement.

Outil open source de Cisco Talos produisant des logs de sécurité synthétiques réalistes pour l'entraînement au threat hunting et la recherche. À partir de fichiers de scénario YAML (utilisateurs, systèmes, topologie, trame d'attaque), il génère des logs temporellement cohérents dans plus de 20 formats corrélés (Windows Security Events, Sysmon, Zeek, syslog, Snort, proxy…) à partir d'un modèle unique d'événement.

Plateforme open source d'investigation OSINT reposant sur une visualisation en graphe, destinée aux analystes en cybersécurité, journalistes et enquêteurs. Elle permet d'explorer les relations entre entités via une interface interactive gérant des milliers de nœuds en temps réel, avec plus de 40 collecteurs automatisés (domaine, IP, réseaux sociaux, e-mail, cryptomonnaies…).

Outil de proxy local d'OpenBash qui détecte et remplace les données sensibles telles que les adresses IP, noms d'hôtes, identifiants et informations personnelles dans vos prompts avant qu'ils ne quittent votre environnement, puis restaure les vraies valeurs dans la réponse.

🎬 MiCode - Comment une armée d'IA a percé le code de GTA : l'IA bouleverse le reverse engineering

🎧️ NoLimitSecu - Épisode #543 consacré aux Vulnerability Operations Center (VOC)

🎬 SSTIC 2026 - Clôture de l'édition 2026 du SSTIC

🗓️ LeHack - Du 26 juin au 28 juin 2026 à Paris, France

🗓️ Pass The Salt - du 30 juin au 2 juillet 2026 à Lille, France

🎤 SSTIC 2026 - Vidéos et slides des présentations

🤝 🇺🇸 VoidZero, plateforme open source de chaîne d'outils JavaScript (Vite, Vitest, Rolldown, Oxc), a été acquise par Cloudflare pour un montant non divulgué. Les projets restent open source sous licence MIT et l'équipe d'Evan You continue de les diriger.

📈 🇺🇸 Cyera, plateforme de Data Security Posture Management, annonce une Series G d'au moins 300 millions de dollars pour une valorisation de 12 milliards de dollars.

Le Virtual OS Museum est une collection de plus de 1 700 systèmes d'exploitation et applications préinstallés, couvrant toute l'histoire de l'informatique à programme enregistré, du Manchester Baby de 1948 à nos jours. Le tout est distribué sous forme d'une unique machine virtuelle Linux pour QEMU, VirtualBox et UTM, avec émulateurs intégrés et lanceurs en un clic pour Windows et Linux.

L'application Ma banque du Crédit agricole a été perturbée à la suite d'une erreur lors d'un test interne. L'ensemble des clients a reçu une notification mentionnant uniquement « Test cedric ». L'affluence inhabituelle générée par cet envoi a entraîné des difficultés d'accès à l'application et à certains services. L'incident a rapidement fait réagir sur le réseau social X où le Crédit Agricole a fait de cette bourde une occasion de soigner habilement sa communication de marque avec humour.

Après que Wired a révélé la présence du projet Name Tag, un système de reconnaissance faciale, dans le code de l'application Meta AI, l'entreprise de Mark Zuckerberg a totalement supprimé cette fonction, alors inactive mais bel et bien intégrée.

Google déploie en France sa fonctionnalité « Sources préférées », qui permet d'indiquer à son moteur quels sites afficher en priorité dans les résultats et la rubrique « À la une ».

Un compétiteur de CTF (Capture The Flag) soutient que l'IA a brisé le format CTF ouvert. Des modèles comme Claude Opus 4.5 résolvent désormais la plupart des challenges de difficulté moyenne et certains difficiles, déplaçant la compétence vers l'orchestration et la quantité de tokens disponibles (« pay-to-win »). Le classement CTFTime ne refléterait plus le niveau humain : équipes légendaires disparues, participation en baisse, créateurs démotivés. La conséquence pour les joueurs est que la performance en CTF est devenue un signal de recrutement plus faible qu'auparavant.

Emergence AI présente EMERGENCE WORLD, une plateforme de simulation multi-agents conçue pour étudier le comportement d'agents IA autonomes sur des durées étendues, là où les benchmarks classiques échouent. Tournant en continu sur plus de 40 lieux, elle intègre des données réelles (météo de New York, API d'actualités, accès internet), plus de 120 outils et trois systèmes de mémoire persistante par agent.

L’auteure de l’article détaille les outils qu'elle utilise réellement, par opposition à ceux qu'elle recommande.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter