Sommaire

Infos

OX Security a révélé la compromission de l'organisation npm AsyncAPI, touchant quatre paquets totalisant plus de 2 millions de téléchargements hebdomadaires (@asyncapi/generator, generator-components, generator-helpers, specs). La charge utile, environ 92 000 lignes de code, combine info-stealer, crypto-stealer et RAT.

Selon le Financial Times, l'Iran ou des groupes affiliés ont exploité les faiblesses des réseaux mobiles du Moyen-Orient pour localiser des militaires et sous-traitants américains lors des récents conflits régionaux. L'opération s'est appuyée sur les accords de roaming entre opérateurs régionaux et sur les vulnérabilités du protocole SS7, un ensemble de signalisation datant de plusieurs décennies qui gÚre le routage des appels et des SMS. Les attaquants ont également exploité des bases de données publicitaires commerciales pour suivre des appareils au Kurdistan irakien.

Un chercheur d'ESET a identifié onze shims UEFI portant une signature Microsoft valide qui permettent de contourner Secure Boot. Sont concernés Red Hat Enterprise Linux 7.2, CentOS 7.2, Oracle Linux 7.2, openSUSE, Baramundi Management Suite, WipeDrive et Abitti. Aucune exploitation confirmée, mais le vecteur autorise le déploiement de bootkits.

Annoncée le 14 juillet 2026, l'initiative GOLD EAGLE établit une plateforme fédérale de coordination pour la détection et le patching de vulnérabilités dans les infrastructures critiques, en s'appuyant sur des capacités d'intelligence artificielle. Le dispositif ingÚre les vulnérabilités remontées par les secteurs industriels, coordonne les scans de vérification et diffuse une information de menace priorisée aux défenseurs publics et privés.

Le CERT-FR a publiĂ© un rapport documentant le ciblage et la compromission d'entitĂ©s françaises via le mode opĂ©ratoire Turla, opĂ©rĂ© par le 16Ăšme Centre du FSB russe. Actif depuis au moins 2004 contre des cibles stratĂ©giques mondiales, l'opĂ©ration a visĂ© en France des ministĂšres, le secteur diplomatique, la dĂ©fense, la justice et des entreprises technologiques. Une attribution formelle a Ă©tĂ© prononcĂ©e le mĂȘme jour par le ministĂšre français des Affaires Ă©trangĂšres et le Haut ReprĂ©sentant de l'Union europĂ©enne. Par ailleurs, un avis conjoint de la NSA, CISA, FBI et de nombreuses agences alliĂ©es dont l'ANSSI dĂ©taille l'activitĂ© des acteurs du Centre 16 du FSB, suivis sous les noms Berserk Bear, Energetic Bear ou Static Tundra. L'Union europĂ©enne a sanctionnĂ© neuf individus et quatre entitĂ©s liĂ©s au FSB russe.

L'équipe de recherche IA de CrowdStrike a ajouté 18 techniques à son inventaire d'injection de prompt, portant le total à plus de 200.

Le 8 juillet 2026, la Commission européenne a saisi la Cour de justice de l'Union européenne contre la France, l'Irlande, l'Espagne et les Pays-Bas pour absence de notification d'une transposition complÚte de la directive NIS 2, dont l'échéance était fixée au 17 octobre 2024. La Commission réclame des sanctions financiÚres combinant une somme forfaitaire et des astreintes journaliÚres. En France, NIS 2 est intégrée au projet de loi Résilience, adopté au Sénat mais dont l'examen parlementaire est reporté à septembre 2026, notamment en raison d'un désaccord sur l'article 16 bis relatif aux backdoors. Le nombre d'entités régulées passerait de quelques centaines à plus de 15 000.

On en parlait dans le newsletter #78, un dépÎt GitHub public nommé « Private CISA » a exposé 844 Mo de données sensibles, dont des identifiants administrateurs vers trois serveurs AWS GovCloud et des dizaines de couples identifiant/mot de passe en clair. Neuf alertes automatiques de GitGuardian sont restées sans réponse et la révocation des secrets a pris plus de 48 heures. Le postmortem de l'agence pointe trois failles : des canaux de signalement mal définis, un playbook d'incident ignorant les services cloud et un scan des dépÎts publics insuffisant. Le point positif est que les logs détaillés et le principes zero-trust ont permis de confirmer qu'aucune donnée mission n'avait fuité.

L'afflux rĂ©cent de courriels demandant l'autorisation d'utiliser des pixels de suivi s'explique par de nouvelles recommandations de la CNIL publiĂ©es le 14 avril 2026, assorties d'un dĂ©lai de mise en conformitĂ© de trois mois expirant le 14 juillet. Ces traqueurs invisibles, souvent une image d'un seul pixel, permettent de savoir si un e-mail est ouvert et si les liens sont cliquĂ©s, certains collectent la gĂ©olocalisation ou le type d'appareil. La pratique reste lĂ©gale sous rĂ©serve d'un consentement libre et Ă©clairĂ©. La CNIL prĂ©cise que le refus doit ĂȘtre aussi simple que l'acceptation et ne peut dĂ©grader le service.

Progress Software demande à ses clients d'éteindre immédiatement les serveurs Windows hébergeant les Storage Zone Controllers de ShareFile, en raison d'une « menace externe crédible » visant cette brique on-premise. L'éditeur n'a pas précisé s'il s'agit d'une faille zero-day ni confirmé de compromissions. En complément, l'accÚs cloud a été temporairement désactivé et la page de statut indique que les clients concernés ne sont plus opérationnels.

Par ailleurs, un compte GitHub créé le 25 novembre 2024 et resté dormant pendant dix-neuf mois a publié un kit d'exploitation clé en main pour la CVE-2026-8037, une injection de commandes OS non authentifiée dans Progress Kemp LoadMaster (CVSS 9.6). L'outil combine fingerprinting, reconnaissance de masse extrayant identifiants et configurations, reverse shell en un clic et template nuclei pour scanner Internet.

Des versions compromises du package npm jscrambler (8.14.0, 8.16.0, 8.17.0, 8.18.0 et 8.20.0) ont distribué des infostealers écrits en Rust. Le package, téléchargé environ 15 800 fois par semaine, embarquait trois binaires natifs compressés par plateforme.

Le Paris Peace Forum lance l'Integrated Network for Trusted AI in Cyberspace (INTAiC), une initiative internationale destinée à évaluer les menaces liées à l'IA pesant sur les infrastructures d'Internet. Microsoft, la Cyber Threat Alliance, la Cloud Security Alliance et Orange Cyberdefense participent.

Le gouvernement britannique a annoncé deux initiatives :

  • Le Cyber Shield, portĂ© par le NCSC, vise Ă  mobiliser l'IA frontiĂšre pour « identifier, rĂ©duire et rĂ©soudre » le risque cyber national, autour de six capacitĂ©s, IA fiable et explicable, agents fĂ©dĂ©rĂ©s, dĂ©couverte et correction de vulnĂ©rabilitĂ©s, dĂ©tection et rĂ©ponse coordonnĂ©es, scanning et mitigation Ă  l'Ă©chelle nationale.

  • Le Cyber Resilience Pledge signĂ© par 60 organisations fondatrices, qui s'engagent Ă  porter la cybersĂ©curitĂ© au niveau du conseil d'administration, Ă  s'inscrire au service d'alerte prĂ©coce du NCSC et Ă  dĂ©ployer Cyber Essentials.

La police criminelle norvégienne Kripos affirme avoir développé, dÚs 2025, une méthode permettant de tracer des paiements en Monero effectués sur le dark web. Contrairement à Bitcoin, Monero masque par défaut l'émetteur, le destinataire et le montant des transactions. La technique a conduit début juin 2026 à l'arrestation de 28 personnes en NorvÚge, SuÚde, Suisse, Canada, République tchÚque, Pologne et Allemagne, avec le soutien d'Europol.

L'opĂ©ration First Light 2026, coordonnĂ©e par Interpol du 15 janvier au 30 avril 2026 dans 97 pays dont la France, a ciblĂ© les arnaques par ingĂ©nierie sociale et le blanchiment associĂ©. Bilan, 5 811 suspects arrĂȘtĂ©s, 293 millions de dollars d'avoirs illicites interceptĂ©s, 31 014 comptes bancaires bloquĂ©s et plus de 142 000 victimes identifiĂ©es.

Fuites de données

Lidl a signalĂ© un vol de donnĂ©es touchant des clients de sa boutique en ligne en Allemagne, Belgique et aux Pays-Bas. L'incident ne provient pas des systĂšmes de Lidl mais d'un prestataire tiers, oĂč des inconnus ont briĂšvement accĂ©dĂ© Ă  un fichier stockĂ© sĂ©parĂ©ment. Les donnĂ©es dĂ©robĂ©es comprennent civilitĂ©, nom, prĂ©nom, numĂ©ro de tĂ©lĂ©phone, adresse e-mail, date de naissance et numĂ©ro client.

Accenture a confirmé une cyber-attaque aprÚs qu'un attaquant, opérant sous le pseudonyme "888", a mis en vente des données volées sur un forum cybercriminel. Selon ses affirmations, environ 35 Go de données auraient été exfiltrées, incluant du code source, des clés RSA et SSH, des Azure personal access tokens, des clés d'accÚs Azure Storage et des fichiers de configuration. L'attaquant a partagé une capture montrant le clonage d'un dépÎt Azure DevOps hébergé sur un domaine Accenture.

Le fournisseur allemand Nextcloud a exposé 367 000 enregistrements (7,92 Go) via un cluster Elasticsearch laissé accessible publiquement, suite à une mauvaise configuration de son hébergement. Les fichiers comprenaient factures, contrats, e-mails, données d'employés et de clients, ainsi que des scripts shell et Python contenant des identifiants de base de données en dur, destinés à déployer Nextcloud chez les clients.

Vulnérabilités

Nouveau record 🚀 ! Le Patch Tuesday de juillet 2026 corrige 622 vulnĂ©rabilitĂ©s Microsoft, plus 427 failles Chromium pour Edge, dont 62 jugĂ©es critiques. Deux vulnĂ©rabilitĂ©s sont activement exploitĂ©es : la CVE-2026-56155, une Ă©lĂ©vation de privilĂšges dans AD FS (CVSS 7.8) et la CVE-2026-56164, touchant SharePoint Server.

Parmi les failles critiques figurent des RCE sur SharePoint (CVE-2026-50522, CVSS 9.8), sur Microsoft Copilot (CVE-2026-48561) et des élévations de privilÚges sur Windows VMSwitch (CVE-2026-57092) et Azure OpenAI (CVE-2026-45499), toutes deux notées 9.9. Plusieurs composants IA (Copilot) sont également concernés.

RoguePlanet (CVE-2026-50656) était une faille zero-day d'élévation de privilÚges dans Windows Defender permettant d'obtenir des droits SYSTEM sur Windows 10 et 11. Microsoft a diffusé le correctif le 8 juillet 2026 via l'update du moteur Defender. Le chercheur Nightmare Eclipse a identifié deux effets de bord. D'abord, une fuite de 8 octets de données à l'ouverture de fichiers, exploitable uniquement au niveau driver. Ensuite, un déni de service par saturation disque. En pointant Defender vers un serveur SMB malveillant servant un flux surdimensionné qui se bloque, l'antivirus reste verrouillé et remplit progressivement le disque.

9 vulnérabilités critiques cette semaine dont 3 avec un code d'exploitation public :

Sur ces 7 derniers jours la CISA a ajouté 9 vulnérabilités exploitées :

  • CVE-2023-4346 : mĂ©canisme de verrouillage de compte trop restrictif dans KNX Association KNX Protocol Connection Authorization Option 1

  • CVE-2026-46817 : gestion inappropriĂ©e des privilĂšges dans Oracle E-Business Suite

  • CVE-2026-15410 : vulnĂ©rabilitĂ© d'injection de code dans les appliances SonicWall SMA1000

  • CVE-2026-15409 : vulnĂ©rabilitĂ© de falsification de requĂȘte cĂŽtĂ© serveur (SSRF) dans les appliances SonicWall SMA1000

  • CVE-2026-56164 : absence d'authentification sur une fonction critique dans Microsoft SharePoint Server

  • CVE-2026-56155 : granularitĂ© insuffisante du contrĂŽle d'accĂšs dans Microsoft Active Directory Federation Services

  • CVE-2008-4128 : vulnĂ©rabilitĂ©s de falsification de requĂȘte intersite (CSRF) dans Cisco IOS

  • CVE-2026-48939 : tĂ©lĂ©versement de fichier de type dangereux sans restriction dans iCagenda

  • CVE-2026-56291 : tĂ©lĂ©versement de fichier de type dangereux sans restriction dans Balbooa Forms

source: app.syrn.fr

Articles

Un article de la Cloud Security Alliance alerte sur cinq risques liés aux Agent Skills (fichiers SKILL.md). Les chiffres cités : 26,1 % de 42 447 skills analysées présentent au moins une vulnérabilité, et plus de 53 000 instances d'agents restent sans visibilité SOC. Les risques identifiés recoupent le référentiel OWASP Agentic Skills Top 10 :

  • Skill sprawl non gouvernĂ©, sans inventaire ni MDM

  • Empoisonnement de la supply chain (registries sans signature)

  • ExĂ©cution sur-privilĂ©giĂ©e, les skills hĂ©ritant du contexte de l'agent

  • Payloads invisibles en Markdown, indĂ©tectables par les SAST

  • PortabilitĂ© cross-plateforme effaçant la provenance

Microsoft a documenté GigaWiper, une backdoor Windows écrite en Golang qui regroupe dans un seul package modulaire des composants d'au moins trois familles, le ransomware Crucio, une réimplémentation de FlockWiper et un wiper autonome. Le malware écrase le contenu brut des disques et supprime les métadonnées de partition, chiffre les fichiers avec des clés aléatoires non récupérables, désactive la récupération Windows, déclenche des écrans bleus, enregistre l'écran et efface les journaux d'événements. Le C2 s'appuie sur RabbitMQ (AMQP) et Redis. Les premiÚres attaques remontent à octobre 2024.

SpecterOps détaille une technique qui force une authentification NTLM sortante vers Internet, la capture sur une VM cloud, puis la relaie vers le réseau cible via un tunnel SSH et un proxy SOCKS5. L'approche contourne la contrainte des agents C2 sans droits administrateur locaux qui ne peuvent lier le port 445. Elle exploite notamment ADCS ESC8 et le WebDAV sur HTTPS quand le SMB est bloqué.

Synacktiv a découvert que le navigateur Chrome intégré aux Kindle récents, basé sur un moteur de 2019, permettait la prise de contrÎle totale de la liseuse et du compte Amazon en ouvrant un site piégé. La cause : deux tirets manquants dans la commande censée désactiver le moteur JavaScript V8, laissant active une faille Chrome patchée par Google en 2022.

Les chercheurs de Ledger Donjon ont trouvé une vulnérabilité dans les portefeuilles matériels Tangem permettant, avec un accÚs physique, de réinitialiser le mot de passe et de dérober les fonds. L'attaque cible par une impulsion laser nanoseconde une unique vérification conditionnelle du firmware contrÎlant le mode de récupération avant d'accepter l'instruction SetPin.

L'auteur compare l'irruption de l'IA dans le bug bounty à la révolution du quartz en horlogerie : un artisanat rare devenu automatisable à bas coût. Les modÚles frontiÚre trouvent désormais des bugs critiques sans harnais complexe, l'offre explose, la demande stagne, et la valeur d'une vulnérabilité chute. Les polémiques sur l'Agentic PTaaS de HackerOne ou Savant de Bugcrowd lui semblent secondaires : les chasseurs affrontent déjà l'IA offensive. Le vrai risque tient au coût des tokens, qui pourrait fermer l'accÚs aux nouveaux talents et appauvrir la diversité méthodologique. Sa conclusion : imiter Seiko et Swatch, s'adapter plutÎt que résister.

Datadog Security Research a identifié une campagne soutenue ciblant les organisations GitHub via l'abus de l'API. Les opérateurs déploient des réseaux de comptes dormants créés 2 à 5 ans plus tÎt puis réactivés pour la reconnaissance, avec des motifs de nommage comme amazon-data-*, BirdWithDreams et la famille -orb.

Cloudflare présente un harness de découverte de vulnérabilités orchestré et model-agnostic qui traite les LLM comme des composants interchangeables persistant leur état en externe.

Unit 42 analyse The Gentlemen (Storm-2697), une opération Ransomware-as-a-Service active depuis juillet 2025, réunissant une vingtaine d'opérateurs issus d'ArmCorp. Le groupe propose une rétribution inédite de 90 % aux affiliés et s'est allié à BreachForums pour recruter.

Outils

NetSPI publie ADPathFinder, un outil open source qui automatise la découverte de chemins d'élévation de privilÚges dans Active Directory à partir des données de BloodHound CE.

Microsoft publie CTI-REALM, un benchmark open source mesurant la capacitĂ© des agents IA Ă  transformer de la threat intelligence en rĂšgles de dĂ©tection validĂ©es. Le test Ă©value la lecture de rapports CTI, le mapping des techniques MITRE ATT&CK, l'exploration des sources de tĂ©lĂ©mĂ©trie, l'Ă©criture de requĂȘtes KQL et la production de rĂšgles Sigma.

Cloudflare publie security-audit-skill, une skill transformant un agent de code en auditeur de sécurité automatisé. Elle orchestre un pipeline en six phases. L'objectif est de ne remonter que des vulnérabilités réellement exploitables, avec des scénarios d'attaque concrets.

Trail of Bits propose vsix-audit, un scanner analysant les extensions Visual Studio Code avant installation pour détecter patterns malveillants, indicateurs de compromission et signatures de malwares connus.

Bumblebee Hive est un fork du scanner de paquets sur disque Bumblebee de Perplexity AI qui ajoute un systĂšme d'inventaire de parc avec interface. Bumblebee recherche les paquets installĂ©s par les dĂ©veloppeurs sur leurs machines Ă  travers npm, PyPI, paquets Go, extensions VS Code, add-ons de navigateur et configurations de serveurs MCP, et Hive ajoute un serveur d'ingestion et un dashboard React oĂč consulter les rĂ©sultats.

Podcasts / Vidéos

🎬 Brut - Le jour oĂč leboncoin a dĂ©branchĂ© le mauvais cĂąble : retour sur l'incident de 2022 chez l'un des sites les plus visitĂ©s de France.

🎬 Underscore_- La dĂ©couverte du FBI dans 10 millions de salons : un malware invisible transforme des millions de boĂźtiers TV en outils malveillants.

đŸŽ§ïž NoLimitSecu - L’intelligence artificielle va-t-elle dĂ©clencher une « apocalypse des vulnĂ©rabilitĂ©s » en submergeant les dĂ©fenseurs sous un flot incontrĂŽlable de failles 0Day ?

Conférences / Salons

đŸ—“ïž Black Hat Training & Briefings USA - Du 1er au 6 aoĂ»t 2026 Ă  Las Vegas, US

đŸ—“ïž Defcon - Du 6 au 9 aoĂ»t 2026 Ă  Las Vegas, US

đŸ—“ïž Barbhack - Le samedi 29 aoĂ»t 2026 Ă  Toulon, France

Finances / Marché

Apple a dĂ©posĂ© une plainte civile contre OpenAI et deux anciens salariĂ©s. La firme de Cupertino accuse Tang Yew Tan, dĂ©sormais directeur hardware chez OpenAI, d'avoir utilisĂ© des secrets commerciaux issus de son ancien poste, et Chang Liu d'ĂȘtre parti avec des appareils internes servant Ă  se connecter au rĂ©seau d'Apple. Apple reproche aussi Ă  OpenAI une stratĂ©gie visant Ă  contourner ses procĂ©dures de sĂ©curitĂ© internes pour extraire des informations confidentielles. OpenAI dĂ©ment fermement, affirmant n'avoir connaissance d'aucun Ă©lĂ©ment Ă©tayant ces allĂ©gations et ne pas convoiter les secrets d'autres entreprises.

đŸ€ đŸ‡ș🇾 Evo Security, Evo Security, plateforme amĂ©ricaine de gestion des identitĂ©s et des accĂšs pour MSSP, a Ă©tĂ© acquise par Barracuda Networks pour un montant non divulguĂ©.

📈 đŸ‡ș🇾 Keyfactor annonce un financement Private Equity de 1,0 Md$. Keyfactor est une plateforme amĂ©ricaine de gestion d'infrastructure Ă  clĂ©s publiques (PKI) pour les identitĂ©s humaines et machines.

Misc

De nouveaux Ă©lĂ©ments d'une enquĂȘte du tribunal judiciaire de Paris prĂ©cisent l'utilisation du logiciel espion Pegasus, dĂ©veloppĂ© par NSO Group, par le Maroc contre la France. Sept ministres en exercice entre 2019 et 2021 figurent parmi les cibles, dont SĂ©bastien Lecornu et Florence Parly, sur un total de 23 personnes rĂ©pertoriĂ©es comme victimes. Les traces de compromission, identifiĂ©es sur les smartphones Ă  partir d'adresses e-mail servant d'identifiants, s'appuient sur les travaux de Forbidden Stories, de l'Amnesty Security Lab et d'un courrier de la DGSE d'avril 2022. NSO aurait proposĂ© sa technologie Ă  la France en 2020.

Moebius est un modÚle d'inpainting génératif de 0,22 milliard de paramÚtres développé par l'université Huazhong, pour qu'il tourne à 100% en local dans le navigateur. Converti de PyTorch vers ONNX, il s'exécute via ONNX Runtime Web sur le backend WebGPU, qui donne aux pages un accÚs direct au GPU. On peint la zone à supprimer et le modÚle reconstitue les pixels manquants, sans envoyer les données sur un serveur.

AWS détaille la résilience zonale intégrée à Amazon EKS. Le défi vient des pannes "grises" qui est une zone lente qui perd du trafic tout en passant les health checks. AWS applique le principe de stabilité statique : préserver la capacité existante et attendre.

Pékin a suspendu avec effet immédiat ses exportations d'hélium, gaz vital pour la fabrication de semi-conducteurs. La décision fait suite aux frappes de mars sur le complexe gazier de Ras Laffan au Qatar, qui ont retiré prÚs de 30% de l'offre mondiale et fait bondir les prix. La Chine, important 85% de son hélium, réserve désormais production et stocks à ses champions comme CXMT. Dans les salles blanches, l'hélium évacue la chaleur sous la galette pendant la gravure plasma, sans substitut viable. Le marché mémoire, déjà tendu, risque de nouvelles hausses.

Cloudflare Drop permet de publier un site statique sur le réseau mondial de Cloudflare sans créer de compte au préalable. On dépose un dossier ou une archive ZIP contenant les fichiers HTML, CSS et JavaScript ; Cloudflare les distribue et fournit une URL workers.dev accessible immédiatement. Le déploiement expire aprÚs 60 minutes, sauf si vous le réclamez.

Des escrocs détournent des sites .gov et .edu (plus de 2000 dans 80 pays) pour héberger de fausses pages "leaked OnlyFans" qui redirigent les victimes vers des malwares et des sites d'arnaque. Une mine d'or, car ils profitent du score d'autorité Google de l'ancien site légitime. Fun fact : les créatrices OnlyFans qui déposent des demandes de retrait DMCA jouent un rÎle gratuit de détection de menaces, avec plus de 384 000 demandes aidant à faire remonter des sites gouvernementaux compromis qu'elles ignoraient probablement piratés.

Le navigateur DuckDuckGo intÚgre dans sa derniÚre version un blocage des publicités YouTube, supprimant les annonces en début et milieu de vidéo.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter

Continuer la lecture