Trois jours après leur lancement, Anthropic a suspendu l'accès à Claude Fable 5 et Mythos 5. Au titre du contrôle des exportations, l'administration Trump a ordonné de couper l'accès à tout ressortissant étranger, y compris les employés étrangers de l'entreprise, invoquant la sécurité nationale. Jugeant impossible de trier ses utilisateurs par nationalité, Anthropic a désactivé brutalement les deux modèles pour tous ses clients. Selon Axios, la décision du secrétaire au commerce ferait suite au contournement des garde-fous. L'éditeur conteste la mesure et veut rétablir l'accès. Autre source.

Le laboratoire danois Novo Nordisk, connu pour l'Ozempic et le Wegovy, a subi une intrusion revendiquée par le groupe FulcrumSec, qui réclamait initialement 25 millions de dollars. Les attaquants ont exploité un token d'accès oublié sur GitHub en mars, puis cartographié les systèmes pendant deux mois. Plus de 1,3 To (700 000 fichiers) ont été exfiltrés : code source interne, modèles d'IA, procédés de fabrication et données de santé pseudonymisées de 11 500 participants à des essais cliniques. Autre source.

Entre les 17 et 18 juin 2026, 141 paquets du scope @mastra ont été republiés avec du code malveillant, dont @mastra/core (918 000 téléchargements hebdomadaires). L'attaquant a injecté une fausse dépendance, easy-day-js, imitant la librairie dayjs. Son hook postinstall exécutait un code obfusqué à l'installation, téléchargeait une charge de second étage et la lançait comme processus détaché invisible avant de s'auto-supprimer. Le malware visait plus de 160 extensions de portefeuilles crypto (MetaMask, Coinbase) et établissait une persistance sur Windows, macOS et Linux. Le schéma reproduit l'attaque axios précédente.

Le groupe DragonForce est resté caché un à deux mois dans le réseau d'une importante entreprise de services américaine. Son malware sur-mesure en Go, Backdoor.Turn, obtient un token Teams anonyme via les services d'identité de Microsoft, utilise un relais TURN légitime (Traversal Using Relays around NAT)puis ouvre une session QUIC vers le véritable serveur C2. Pour les défenseurs, le trafic malveillant ressemblait à une activité Teams normale, rendant l'exfiltration invisible.

Selon Sygnia, le groupe Velvet Ant a backdooré les composants PAM et OpenSSH de Linux pour se maintenir furtivement depuis 2016. Plutôt que de déposer un malware détectable, l'attaquant a modifié les programmes de connexion de confiance : certains modules PAM autorisaient l'accès via un mot de passe secret, d'autres enregistraient les identifiants saisis.

Le chercheur Nightmare Eclipse a encore publié un exploit, baptisé GreatXML, revendiquant un contournement de BitLocker sur les systèmes ayant exécuté une analyse Microsoft Defender Offline, donnant un accès au volume chiffré via une invite de commande. Microsoft enquête sur la validité des affirmations, sans correctif ni calendrier. La portée pratique est cependant contestée. La reproduction nécessite des droits administrateur et une session Windows ouverte, conditions permettant déjà de désactiver BitLocker 😌. Il s'agit de la huitième publication de zero-day de ce chercheur, jamais signalée à Microsoft via les canaux officiels.

GitHub indique que npm v12 bloquera l'exécution automatique de code et les sources de dépendances distantes lors de npm install, sauf approbation explicite. Cela empêche par défaut les scripts d'installation, les dépendances Git et les paquets basés sur des URL de s'exécuter, afin de réduire les attaques supply chain. Les développeurs doivent activer ces comportements et peuvent tester avec npm 11.16.0 avant de migrer.

Le groupe cybercriminel ShinyHunters affirme avoir compromis les serveurs Oracle PeopleSoft de plus de 100 organisations, dont de nombreuses universités. Les données volées comprendraient des adresses d'étudiants, des numéros de téléphone, des e-mails, des dates de naissance et d'autres informations sensibles. Le groupe cible des vulnérabilités logicielles courantes pour compromettre de nombreuses victimes à la fois.

Une opération coordonnée par Europol a démantelé AudiA6, service de blanchiment de cryptomonnaies massivement utilisé par des groupes de ransomware. En trois ans, la plateforme a blanchi plus de 336 millions d'euros via plus de 6 000 comptes bancaires et d'échange ouverts sous fausses identités, contre une commission de 3 à 10 %. Onze pays ont participé. Les deux administrateurs présumés ont été arrêtés en Géorgie et risquent jusqu'à 20 ans de prison aux États-Unis. Les autorités ont saisi 25 domaines, plus de 30 serveurs et gelé près de 700 000 euros de cryptos.

L'Office anti-cybercriminalité (OFAC) a interpellé sept personnes lors d'une opération visant le groupe Dumpsec, responsable de piratages contre environ 1 500 entités en France : mairies, fédérations sportives (handball, cyclisme, volley-ball, etc.), entreprises comme Adecco, Biocoop et Leroy Merlin. L'OFAC décrit de « jeunes hackers français en quête de notoriété », souvent mineurs ou jeunes majeurs, autodidactes, revendiquant publiquement leurs attaques.

Cisco passe à des publications de sécurité programmées les 1ᵉʳ et 3ᵉ mercredis de chaque mois à partir de juillet 2026, avec un préavis de 7 jours sur les produits concernés. L'éditeur justifie ce changement par le rythme de découverte de vulnérabilités via les modèles d'IA, que le modèle ad hoc ne pouvait absorber. Les correctifs seront regroupés par catégorie de faiblesse plutôt que par CVE individuel. Le chercheur Jay Jacobs critique ce regroupement, « dangereux » selon lui car l'agrégation détruit la granularité nécessaire à la détection, au pentest et à la priorisation.

L'ANSSI a publié un nouveau référentiel «Pilotage de la remédiation » destiné aux organismes de formation continue visant le label SecNumedu-FC. Il fournit une méthode adaptée de réponse aux incidents de sécurité ainsi que des supports pédagogiques réutilisables ou personnalisables.

Plus de 1 900 paquets fournis par les utilisateurs dans l'Arch User Repository (AUR) ont été compromis par des commits malveillants tentant de télécharger des charges basées sur npm à l'installation. Des commandes npm sans rapport ont été ajoutées à des paquets n'utilisant pas l'écosystème JavaScript. L'incident n'affecte que l'AUR communautaire, pas les dépôts officiels d'Arch Linux.

Apple et la Metropolitan Police ont conclu un accord pour réduire la valeur de revente des iPhone volés. Avec iOS 26.4, la fonction Stolen Device Protection exige désormais une authentification biométrique et non plus un simple code pour réinitialiser ou reconfigurer un appareil. La police partage les identifiants des appareils déclarés volés, et Apple signale leurs tentatives de reconnexion. Une baisse de 18 % des vols de téléphones à Londres a été observée, atteignant 45,8 % à Westminster. Des inquiétudes subsistent sur le verrouillage d'appareils signalés à tort.

Baptisée FortiBleed, cette fuite expose environ 73 932 URL de pare-feu dans 194 pays, avec identifiants administrateurs, e-mails et mots de passe en clair. Les données proviendraient de fichiers de configuration Fortinet exportés plutôt que d'une intrusion classique. Découvertes par Bob Diachenko et transmises à Hudson Rock, elles ont été authentifiées par Kevin Beaumont. Un groupe russophone aurait mené 1,16 milliard de tentatives de connexion contre 320 777 cibles FortiGate, avec des mouvements latéraux confirmés vers Active Directory. Chevron, Samsung, AT&T, Mercedes-Benz et Toyota figurent parmi les organisations concernées.

Kodak a confirmé une cyber-attaque après que le groupe d'extorsion ShinyHunters a revendiqué l'accès sur son site de fuite. Les pirates affirment avoir dérobé plus de 2,2 millions d'enregistrements, incluant des données personnelles de clients et des informations internes. Kodak reconnaît qu'une quantité « limitée » de données a été consultée, sans détailler, et affirme avoir engagé des experts externes et collaborer avec les autorités, sans menace pour ses opérations. ShinyHunters a fixé une échéance au 18 juin 2026, menaçant de publier les données.

Un chercheur a découvert plus de 985 000 pièces d'identité (passeports, permis, selfies) accessibles sans aucun contrôle à des URL publiques. En cause la société irlandaise Cannabis Club Systems (Nefos Solutions), éditrice du logiciel utilisé par des clubs, surtout à Barcelone.

Varonis Threat Labs détaille SearchLeak, une chaîne critique dans Microsoft 365 Copilot Enterprise permettant le vol de données en un seul clic. Elle combine trois faiblesses : une injection de prompt via le paramètre q de l'URL, une race condition sur le rendu HTML d'une balise <img> contournant la sanitisation, et un contournement de la CSP via le SSRF de Bing Image Search. Un lien piégé vers un domaine Microsoft de confiance déclenche la recherche dans la boîte mail (codes MFA, e-mails, fichiers SharePoint) puis l'exfiltration. Microsoft a corrigé la faille (CVE-2026-42824).

Splunk a publié un bulletin pour la CVE-2026-20253 (CVSS 9.8), une RCE pré-authentifiée affectant Splunk Enterprise 10.0 et supérieur, activée par défaut sur les déploiements AWS. La faille réside dans le service annexe PostgreSQL Sidecar, dont les endpoints /v1/postgres/recovery/backup et /restore n'appliquent aucune authentification.

44 vulnérabilités critiques cette semaine dont 4 exploitées et 3 avec un code d'exploitation public :

Un rappel d'alerte concerne une vulnérabilité dans Microsoft Exchange Server (CVE-2026-42897), mise à jour le 11 juin 2026 suite à la publication de correctifs par Microsoft.

Sur ces 7 derniers jour la CISA a ajouté 5 vulnérabilités exploitées :

Argus Security a découvert un bug d'une ligne dans sppp_pap_input() permettant de contourner l'authentification PAP d'OpenBSD. La fonction utilisait des champs de longueur contrôlés par l'attaquant qui validaient l'authentification sans condition. Introduit en juillet 1999 lors de l'import du code sppp depuis FreeBSD, le défaut (CVE-2026-55706) a été corrigé.

Un faux recruteur a contacté un développeur via LinkedIn pour un poste dans une startup crypto, lui transmettant un dépôt GitHub à examiner via npm install. Le fichier app/test/index.js contenait un code construisant une URL exécutant des charges arbitraires envoyées par le serveur de l'attaquant, déclenché automatiquement par le script prepare du package.json.

Qualys analyse HazyBeacon, un malware visant des gouvernements d'Asie du Sud-Est qui exploite les Lambda Function URLs d'AWS pour son C2.

Synacktiv publie un guide de réponse à incident sur AWS. Il rappelle l'organisation en comptes (management et membres), les types d'identités (root, IAM users, rôles, identités fédérées) et la hiérarchie de permissions, où un Deny défini dans une SCP prime sur toute autre policy. Les principales sources forensiques sont CloudTrail et GuardDuty, complétées par les VPC Flow Logs, S3 Access Logs et AWS Config.

Corgea propose une checklist de dix contrôles pour réduire les risques supply chain dans GitHub Actions. Les cinq priorités sont :

L'article propose un dispositif pour repérer et remédier les credentials stockés en clair sur les postes développeurs, cibles récurrentes des malwares supply chain. Il combine trois outils : bagel, Fleet et Fleebag.

L'InterCERT France met à disposition des fiches réflexes, guides pratiques pour réagir rapidement face à une cyber-attaque. Deux nouvelles fiches dédiées aux compromissions par infostealers sont désormais disponible : Qualification et Endiguement.

L'article retrace l'histoire de Let's Encrypt, lancé en 2014 par l'ISRG avec deux apports majeurs : des certificats gratuits et l'automatisation via le protocole ACME, qui ont généralisé HTTPS (un milliard de certificats émis en cinq ans). Le problème soulevé est la dépendance de cette autorité américaine émet plus de 60 % des certificats mondiaux, exposant les entités non alignées à un risque de coupure dans le contexte géopolitique actuel. Les alternatives européennes (ZeroSSL, Actalis, Gandi) restent limitées. Le frein est politique et financier, pas technique.

Des chercheurs de Cornell montrent qu'un fragment aussi court que 13 mots publié sur Reddit, Wikipedia ou Quora suffit à pousser des agents de recherche IA à produire du spam ou des contenus frauduleux.

L'outil Maigret recherche un pseudonyme sur plus de 3 000 sites pour agréger les comptes et informations publiques associés à une identité.

Anthropic a construit un dépôt de référence pour trouver, vérifier et corriger des vulnérabilités avec Claude. Il s'adresse aux équipes de sécurité souhaitant un workflow complet.

Ce dépôt compile des pseudonymes et renseignements extraits de forums cybercriminels, en alternative gratuite aux services CTI commerciaux. Il rassemble 834 274 pseudonymes collectés de 2018 à juin 2026, organisés par source dans des fichiers texte et une compilation JSON. Les forums couverts incluent Cracked, DarkForums, HackForums, Dread, XSS, OGUser et BlackHatWorld, ainsi que des plateformes disparues (BreachForums, Nulled, Leakbase, RAMP). Les données permettent d'enrichir une threat intelligence existante, de suivre les alias d'un acteur entre forums et d'alimenter des plateformes CTI.

Warpgate est un bastion et solution de PAM (Privileged Access Management) open source ne nécessitant aucun logiciel côté client. Il relaie de façon transparente les connexions SSH, HTTPS, Kubernetes, MySQL et PostgreSQL.

docker-mailserver est un serveur de messagerie prêt pour la production, configuré uniquement par fichiers (sans base SQL), facilitant le déploiement, le versionnage et les mises à jour. Il embarque Postfix, Dovecot et la gestion de quotas, avec support OAuth2.

🎧️ NoLimitSecu - Épisode #544 consacré au Panorama de la Cybermenace 2025, avec Vincent Strubel, Directeur Général de l'ANSSI.

🗓️ LeHack - Du 26 juin au 28 juin 2026 à Paris, France

🗓️ Pass The Salt - du 30 juin au 2 juillet 2026 à Lille, France

📈 🇺🇸 NinjaOne, plateforme américaine de gestion et de protection des endpoints, atteint une valorisation de 12,3 milliards de dollars après plus de 400 M$ d'extensions de Series C.

🤝 🇺🇸 Strata Identity, plateforme américaine d'orchestration de la gestion des identités et des accès (IAM) multi-cloud, a été acquise par Rubrik pour un montant non divulgué.

OpenAI déploie un mode Lockdown pour limiter les risques d'injection de prompt via des instructions malveillantes dissimulées dans des pages web ou des fichiers.

Sébastien Lecornu a annoncé que le renseignement intérieur français (DGSI) avait décidé de rompre son contrat avec le géant américain de l'analyse de données Palantir, dont le cofondateur Peter Thiel est proche de Donald Trump. La DGSI a finalement retenu la société française ChapsVision pour le remplacer.

Au moins une trentaine d'agents et collaborateurs au service de Pékin ont été identifiés en Europe et son voisinage ces deux dernières années. La stratégie viserait désormais les innovations technologiques (semi-conducteurs, IA), les infrastructures critiques, les processus de décision politique et les dissidents chinois. Exemples : un couple germano-chinois arrêté pour transfert de technologies militaires depuis des universités, l'expulsion de huit ressortissants chinois par l'Italie pour intimidation de la diaspora, et la perquisition des bureaux bruxellois de Huawei pour corruption présumée. Pékin dément systématiquement.

Le parquet de Paris a annoncé le défèrement de Cyrille B., informaticien niçois, soupçonné d'administrer le site CFake, spécialisé dans les deepfakes à caractère sexuel. Créée en 2007, la plateforme proposait 300 000 images et 7 000 vidéos (≈50 ajouts par jour), au préjudice de 14 000 victimes de tous pays, pour près de 200 000 comptes et 4 millions de vues mensuelles. L'interpellation découle d'une coopération avec la justice américaine.

Cloudflare lance en bêta fermée Application Services for Private Origins, permettant d'acheminer du trafic public vers des origines en IP privée sans les exposer à Internet. Les services de sécurité protègent ainsi des applications hébergées sur réseau privé, sans IP publique, règle de pare-feu entrante ni logiciel connecteur sur l'origine.

Apple publie la version 1.0 de Container, son outil écrit en Swift qui exécute des conteneurs Linux dans des micro-VM, avec un nouveau mode machine comparable à WSL. Il fait tourner de vraies distributions (Ubuntu, Debian, Alpine) avec leur système d'init (systemctl) et la persistance d'état entre reconnexions.

FixMyCV, outil web gratuit fait relire un CV par des « recruteurs IA » avant envoi, sur un marché junior IT où les logiciels ATS filtrent les candidatures. On dépose un PDF (et éventuellement une fiche de poste) et l'on reçoit en moins de deux minutes des retours sur la lisibilité, la cohérence, l'orthographe et la compatibilité ATS. Plusieurs personas analysent le CV sous différents angles (DSI, recruteur startup, RSSI, expert cyber). L'outil génère aussi une lettre de motivation et une simulation d'entretien.

Un démontage d'iFixit confirme que le Trump Phone T1 est essentiellement un HTC U24 Pro de 2024 modifié esthétiquement (coque dorée, motifs au drapeau américain), avec la même carte mère 😅. Les rares changements : grille de haut-parleur et bloc caméra redessinés, batterie légèrement plus grande, charge réduite de 60 à 30 W, mémoire Micron.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter