Le pipeline de build de ShapedPlugin a été compromis, injectant un malware dans les mises à jour Pro de trois extensions WooCommerce/WordPress (Product Slider Pro, Real Testimonials Pro, Smart Post Show Pro) distribuées via les canaux officiels licenciés entre avril et juin 2026. Des centaines de milliers de sites sont concernés.

Une opération de credential harvesting attribuée à des acteurs russophones cible plus de 430 000 firewalls FortiGate, ayant collecté plus de 110 millions d'identifiants (cf. newsletter #81). Plutôt qu'une 0-day, les attaquants abusent de la commande de diagnostic légitime diagnose sniffer packet via un outil Go, FortigateSniffer, pour capturer le trafic d'authentification sans déployer de malware. La chaîne combine reconnaissance, brute-force SSH/SSL-VPN et cracking GPU distribué. Les victimes sont majoritairement des PME du secteur IT services, profil typique d'Initial Access Brokers. (Autre source)

Un chercheur s'est inscrit comme agent de football sur la plateforme publique de la FIFA en envoyant une pièce d'identité, ce qui l'a ajouté au tenant Microsoft Entra interne de la FIFA. La vulnérabilité tient à une autorisation côté client sans contrôle côté serveur. Les API backend renvoyaient toutes les données malgré les messages « access denied » de l'interface 😄. La Football Data Platform livrait les clés de flux RTMP en direct, les flux caméra et les contrôles complets de diffusion pour chaque match de la Coupe du Monde.

Cloudflare, Firefox, Chrome et Microsoft Edge ont annoncé le développement conjoint de PACT (Private Access Control Tokens), un protocole visant à remplacer CAPTCHA, paywalls et suivi comportemental par des jetons cryptographiques anonymes. Les bots représentent désormais environ 58 % des requêtes HTTP mondiales, notamment via les agents IA autonomes. Un site de confiance émet un jeton réutilisable prouvant qu'un humain réel, ou un agent autorisé, est à l'origine de la session, sans permettre le pistage. Le projet reste en phase de standardisation, sans calendrier ni définition des émetteurs légitimes. (Autre source)

L'alliance de renseignement Five Eyes (États-Unis, Canada, Royaume-Uni, Australie, Nouvelle-Zélande) publie une alerte sur les modèles d'IA frontière, estimant qu'ils pourraient transformer en profondeur les capacités offensives et défensives dans le cyberespace « en quelques mois, pas en années ». Les agences citent un accès facilité aux capacités offensives et des cyberattaques plus rapides et sophistiquées. L'alerte fait écho à la restriction par le gouvernement américain, mi-juin 2026, des modèles Fable 5 et Mythos 5 d'Anthropic aux ressortissants étrangers.

Depuis le 18 juin 2026, actions/checkout v7 bloque par défaut les patterns de « pwn request » sur l'événement pull_request_target. Ce dernier exécute les workflows avec le GITHUB_TOKEN du dépôt de base. En effet, récupérer du code de fork non revu permet à un attaquant d'exécuter du code malveillant avec des privilèges élevés, à l'origine de plusieurs compromissions de supply chain.

Des acteurs malveillants abusent de Wallpaper Engine, application Steam légitime, en distribuant des fonds d'écran piégés via le Steam Workshop. Le format supportant des exécutables, les attaquants intègrent directement des fichiers .EXE, .DLL et scripts, ou dissimulent le malware dans des archives protégées par mot de passe stocké dans la configuration.

Le groupe Gentlemen, opérant en RaaS, maintient un arsenal d'EDR killers pour aider ses affiliés à contourner les défenses. Son outil phare, GentleKiller, existe en au moins huit variantes usurpant des produits légitimes (Kaspersky, Valorant, etc.). Selon ESET, chaque variante utilise un driver vulnérable différent via la technique BYOVD pour obtenir des privilèges noyau, ciblant plus de 400 processus de 48 éditeurs (Microsoft, CrowdStrike, SentinelOne, etc.). Les cibles sont sélectionnées selon leur configuration FortiGate, avec un botnet proxy recensant plus de 1 570 victimes présumées.

Paradigm Shift Technology dévoile usbliter8, un exploit du SecureROM affectant les processeurs Apple. La faille combine un bug matériel du contrôleur USB DesignWare et un défaut de configuration.

L'ANSSI cessera de certifier les produits de sécurité dépourvus de chiffrement résistant au quantique à partir de 2027. Sans cette conformité, les produits perdront leur approbation et deviendront inéligibles au déploiement dans les administrations et chez les opérateurs d'infrastructures critiques françaises. L'agence répond à la menace « harvest now, decrypt later », où des données chiffrées collectées aujourd'hui seraient déchiffrées une fois les ordinateurs quantiques suffisamment puissants.

Tout le réseau ferroviaire allemand a été paralysé pendant environ 2h30 par une panne du GSM-R, le système radio 2G reliant conducteurs et centres de contrôle depuis 2000. Aucune cyber-attaque ni dommage matériel n'a été constaté mais la cause technique exacte n'a pas été divulguée. L'incident souligne l'absence de redondance d'une technologie obsolète de 26 ans, dont le remplacement 5G (FRMCS) tarde.

Le groupe d'extorsion Icarus a compromis Klue, plateforme d'intelligence marché, via de vieux credentials d'un service d'intégration encore active, dérobant les tokens OAuth reliant Klue aux systèmes de ses clients (Salesforce, HubSpot, Gong, Slack…). L'incident a permis l'accès aux données Salesforce de LastPass : noms, emails, téléphones, adresses et informations de support clients. LastPass précise que ses produits, son infrastructure et les coffres-forts restent intacts. De nombreux éditeurs sont affectés, dont Recorded Future, Tanium, Jamf, Sprout Social et Huntress. Les données volées ont été publiées le 22 juin. (Autre source)

La Fédération Sportive de la Police Nationale (FSPN) enquête sur une fuite touchant plus de 224 000 membres actuels et anciens, couvrant jusqu'à 14 ans d'historique. Les données exposées incluent noms, dates de naissance, adresses, mais aussi des informations sensibles : grades, numéros de matricule, affectations, environ 180 000 certificats médicaux et 380 000 licences sportives. Le cybercriminel « Misère », déjà à l'origine de la compromission de la messagerie Tchap, revendique l'attaque et a partagé un échantillon de la base sur des forums du dark web. La FSPN a déposé plainte et alerte ses membres sur les risques de phishing.

Le groupe World Leaks revendique le vol de plus de 630 Go de données (200 000+ fichiers) chez Tata Electronics, fournisseur indien majeur d'Apple et de Tesla qui assemble environ un tiers des iPhone fabriqués en Inde. Les fichiers exfiltrés depuis l'usine du Tamil Nadu incluent de la propriété intellectuelle d'Apple ainsi que des spécifications et plans techniques de Tesla dont des documents classés « TOP SECRET » liés au projet Highland (Model 3/Y). Les pirates réclament une rançon après publication sur le dark web.

La plateforme française MesVaccins.net, qui centralise des données de vaccination et propose un carnet numérique, a subi un vol de données. Un tiers non autorisé a accédé puis copié des données personnelles : adresses e-mail, numéros de téléphone, données d'état civil (dont numéros de Sécurité sociale lorsqu'ils étaient renseignés) et profils vaccinaux stockés sous forme encodée. Les mots de passe n'ont pas été compromis. Tous les utilisateurs disposant d'un carnet numérique sont potentiellement concernés.

2 vulnérabilités critiques cette semaine dont une exploitée et une avec un code d'exploitation public :

Sur ces 7 derniers jours la CISA a ajouté 5 vulnérabilités exploitées :

Surnommée Squidbleed, la CVE-2026-47729 est une fuite mémoire de type Heartbleed affectant le proxy Squid. Le défaut réside dans le parseur de listing FTP : un appel à strchr() matche le caractère nul, provoquant un dépassement de lecture (heap overread) hors des limites du buffer. Squid ne réinitialisant pas ses pools mémoire recyclés, l'attaquant peut exfiltrer des en-têtes HTTP, identifiants et clés d'API d'autres utilisateurs. Présent depuis un commit de 1997, le bug affecte toutes les versions. Le correctif est intégré dans Squid v7.6, publié le 8 juin 2026.

NetSPI a découvert un contournement des Conditional Access Policies de Microsoft Entra via les flux Nested App Authentication (NAA). En échangeant un refresh token de l'Azure Portal contre un access token Microsoft Graph via le client ADIbizaUX (et deux extensions Intune), les politiques d'accès conditionnel n'étaient pas évaluées. Le jeton obtenu donnait accès à des permissions Graph étendues, dont des API non documentées sans journalisation.

Patch the Planet est une initiative conjointe de Trail of Bits et OpenAI associant des ingénieurs aux mainteneurs open source pour identifier et corriger des vulnérabilités via des modèles d'IA comme GPT-5.5-Cyber. Dès la première semaine, des centaines de bugs découverts, 64 pull requests et 51 issues sur 19 projets (cURL, NATS, aiohttp, Go, Python, PyPI, RustCrypto).

Datadog Security détaille quatre vecteurs de ransomware ciblant Azure Blob Storage. Deux sont activement exploités dont le chiffrement côté client et les encryption scopes via des clés Key Vault.

Datadog propose un guide de threat hunting pour Salesforce, structuré autour du playbook attaquant : authentifier, énumérer, extraire, rançonner. Les compromissions initiales reposent sur l'approbation d'applications OAuth malveillantes, des intégrations tierces compromises ou des identifiants SSO et codes MFA volés.

Mitiga Labs a analysé plus de 50 000 fichiers d'instructions IA dans plus de 7 000 dépôts, découvrant des malwares d'exfiltration de prompts, des overrides MITM via ANTHROPIC_BASE_URL, des contournements de permissions en mode YOLO, et plus de 1 230 clés API en dur. Ils ont publié Skillgate, un scanner gratuit, pour détecter ces techniques.

Quarkslab a mené une évaluation black-box de la puce sécurisée propriétaire MJA1 de Xiaomi, protégeant les données sensibles de caméras récentes.

PortSwigger a organisé son Extensibility Month en mai 2026, avec talks, workshops et récompenses communautaires pour les extensions Burp Suite, Bambdas et BChecks. Parmi les lauréats on trouve :

Synacktiv aborde la vague de vulnérabilités d'élévation de privilèges locale (LPE) Linux, l'IA facilitant la recherche de failles et le kernel diffing. Trois stratégies de durcissement sont proposées :

Ces techniques de défense en profondeur offrent du temps pour patcher avant les exploits N-day.

Unit 42 détaille comment les attaquants exploitent les services de logging cloud pour échapper à la détection et maintenir leur visibilité (désactivation des trails (AWS) ou sinks (Google Cloud), suppression des buckets S3, manipulation des clés KMS pour rendre les logs illisibles, etc.). Les attaquants redirigent également les logs vers leurs propres comptes en créant ou modifiant des routages.

GitHub a collaboré avec l'équipe Agents Offense de Microsoft pour fiabiliser son scan de secrets via un raisonnement LLM contextuel, inspiré de l'Agentic Secret Finder. Plutôt que d'analyser des fichiers entiers, le système extrait un contexte d'usage à fort signal : la valeur détectée est-elle passée à une requête API, un header d'authentification ou un client de base de données, etc.

Astral introduit uv audit, une commande native à uv qui analyse l'arbre de dépendances Python à la recherche de vulnérabilités connues, en s'appuyant sur les données OSV. Présentée comme une alternative à pip-audit, elle serait 4 à 10 fois plus rapide en exploitant les résolutions verrouillées et le cache de uv.

Bagel est un outil CLI multiplateforme qui inventorie les métadonnées sensibles présentes sur les postes de travail des développeurs : clés SSH, identifiants cloud, tokens GitHub CLI, configuration Git, historiques shell et credentials d'outils IA.

Burp-session-switcher est une extension Burp Suite conçue pour tester les vulnérabilités d'autorisation. Elle permet de sauvegarder puis de basculer instantanément les sessions HTTP d'une requête via un menu déroulant dans le Request Editor.

SkillSpector est un scanner de sécurité pour les skills d'agents IA (Claude Code, Codex CLI et plateformes similaires). Il analyse dépôts Git, répertoires, fichiers SKILL.md, archives ZIP et URLs, détectant 68 patterns de vulnérabilité répartis en 17 catégories : prompt injection, exfiltration de données, élévation de privilèges, etc. Selon ses recherches, 26% des skills contiennent des vulnérabilités.

Malsnitch est un outil CLI destiné aux reverseurs pour extraire automatiquement les secrets embarqués dans les binaires de malware. Il récupère identifiants C2, clés cryptographiques, webhooks Discord, tokens Telegram, clés API ou encore identifiants SMTP/FTP/HTTP stocké en dur.

Threatactorusernames.com est une plateforme de threat intelligence permettant de rechercher parmi plus de 3 millions d'enregistrements de pseudonymes d'attaquants et de découvrir où ils opèrent.

🎧️ NoLimitSecu - Episode consacré à la détection de secrets

🗓️ LeHack - Du 26 juin au 28 juin 2026 à Paris, France

🗓️ Pass The Salt - du 30 juin au 2 juillet 2026 à Lille, France

📈 🇮🇱 Dream annonce une levée de 260 millions de dollars, portant sa valorisation à 3 milliards. Co-fondée en 2023 par Shalev Hulio, ancien dirigeant de NSO Group, la startup israélienne protège gouvernements et infrastructures critiques (eau, pétrole, gaz) via sa plateforme d'IA souveraine Atlas.

🤝 🇫🇷 Stelau, cabinet français de conseil spécialisé dans l'audit, l'évaluation de conformité et la certification de sécurité des systèmes d'identité numérique, a été acquise par iDAKTO pour un montant non divulgué.

🤝 🇮🇱 Entro, société israélienne spécialisée dans la sécurité des identités non-humaines (NHI) et la gestion des secrets dans le cloud, a été acquise par SailPoint pour un montant non divulgué.

🤝 🇺🇸 WideField Security, société américaine de détection et réponse aux menaces liées aux identités, a été acquise par Cisco pour un montant non divulgué.

🤝 🇫🇷 EfficientIP, société française spécialisée dans le DNS, le DHCP, la gestion d'adresses IP et la sécurité DNS, a été acquise par Francisco Partners pour un montant non divulgué.

L'auteur décrit son implémentation de Hermes Agent, plateforme open source de Nous Research, pour automatiser sa veille technique en self-hosted.

Sur CNews, Firefox a été présenté comme un pare-feu pour TOUT . C'est en réalité un navigateur. Mais quelqu’un a décidé que Faillefox, lui, méritait d'exister 😅.

Retour sur la relay attack, démontrée par le YouTubeur Mark Rober. Une voiture interroge sa clé quatre fois par seconde. Des voleurs captent ce signal près du véhicule, l'amplifient et le relaient jusqu'à la clé restée à l'intérieur, ouvrant et démarrant la voiture en 30 secondes, sans effraction ni alarme. Rober a acheté un boîtier dark web à 12 000 dollars, avant de découvrir qu'un simple babyphone vidéo de 2004 transformé en relais radio fonctionnait mieux 🔥.

À partir du 8 juillet 2026, Anthropic exigera une vérification biométrique pour les utilisateurs individuels de Claude, via document officiel et scan de géométrie faciale. La mesure répond à des contrôles d'export américains imposant de bloquer certains ressortissants étrangers 😣. Bientôt un KYC pour utiliser Windows ?

Les élèves de 2de bénéficieront dès la rentrée 2027 d'une heure hebdomadaire d'enseignement à l'intelligence artificielle, intégrée au cours de sciences numériques et technologie. Le programme couvrira le fonctionnement des modèles, les usages, l'éthique, la souveraineté numérique et l'esprit critique face aux manipulations.

Epic Games publie un système de gestion de versions Open Source conçu pour gérer des projets à très grande échelle mêlant code et fichiers binaires volumineux.

L'Estonie prévoit de créer un code d'identification personnel pour chaque agent IA, afin d'assurer traçabilité et responsabilité. L'objectif est de clarifier qui agit, pour le compte de qui, avec quels droits et qui en porte la responsabilité.

Midjourney, leader de la génération d'images par IA, dévoile son premier produit physique : le Midjourney Scanner, un appareil à ultrasons réalisant une cartographie 3D complète du corps en 60 secondes, sans radiation ni champ magnétique. L'utilisateur s'immerge dans un bassin d'eau tiède et traverse un anneau de capteurs conçu avec Butterfly Network. La société lancera un réseau de spas, le premier ouvrant fin 2027 à San Francisco.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter