Deux sections pour maintenir une veille efficace et rapide en cybersécurité. Une section de news pour avoir un aperçu des articles récents en rapport avec la cybersécurité et une section qui référence les CVE à haut score les plus récentes afin de comprendre du premier coup d'oeil ce qu'elles concernent sans avoir besoin de consulter de pages supplémentaires.
Publication du code d'exploitation de type preuve de concept (PoC) pour une faille de sécurité récemment corrigée dans le noyau Linux, permettant une élévation locale des privilèges. Cette vulnérabilité, appelée DirtyDecrypt (aka DirtyCBC), a été découverte par l'équipe de sécurité Zellic et V12 le 9 mai 2026, pour être ensuite identifiée comme un doublon par les mainteneurs.
En février 2026, la plateforme de phishing en tant que service (PhaaS) appelée EvilTokens a été lancée. En l'espace de cinq semaines, elle avait compromis plus de 340 organisations Microsoft 365 dans cinq pays. Les cibles de la plateforme ont reçu un message leur demandant de saisir un code court sur microsoft.com/devicelogin et de compléter leur challenge MFA habituel, puis sont partis en croyant avoir vérifié
Drupal a annoncé la sortie d'une mise à jour de sécurité pour toutes les branches supportées le 20 mai 2026 de 17h à 21h UTC. Il est recommandé de prévoir du temps pour effectuer cette mise à jour afin de prévenir d'éventuelles attaques.
Des vulnérabilités critiques de sécurité ont été révélées dans SEPPMail Secure E-Mail Gateway, une solution de sécurité de messagerie d'entreprise, qui pourraient être exploitées pour permettre une exécution de code à distance et permettre à un attaquant de lire des courriels arbitraires à partir de l'appliance virtuelle. Ces vulnérabilités auraient pu être exploitées pour lire tout le trafic de messagerie ou comme vecteur d'entrée dans le réseau interne.
Dans une autre attaque de la chaîne d'approvisionnement logicielle, des acteurs malveillants ont compromis le flux de travail populaire des actions GitHub, actions-cool/issues-helper, pour exécuter un code malveillant qui récolte des identifiants sensibles et les exfiltre vers un serveur contrôlé par un attaquant. Chaque tag existant dans le référentiel a été déplacé pour pointer vers un commit d'imposteur qui n'apparaît pas dans l'historique normal des commits de l'action.
Des chercheurs en cybersécurité ont découvert une nouvelle campagne d'attaque de la chaîne d'approvisionnement logicielle qui a compromis divers packages npm associés à l'écosystème @antv dans le cadre de la vague d'attaques Mini Shai-Hulud en cours. L'attaque affecte les packages liés au compte de mainteneur npm atool, notamment echarts-for-react, un wrapper React largement utilisé pour Apache ECharts avec environ 1,1 million d'utilisateurs hebdomadaires.
INTERPOL a coordonné une opération sans précédent contre la cybercriminalité au Moyen-Orient et en Afrique du Nord (MENA) qui a abouti à 201 arrestations et à l'identification de 382 autres suspects. Cette initiative a impliqué 13 pays de la région entre octobre 2025 et février 2026, visant à enquêter et neutraliser les infrastructures malveillantes, ainsi qu'à arrêter les auteurs de ces actes.
Le lundi commence avec un problème de confiance. Une faille de serveur de messagerie est activement exploitée. Un système de contrôle réseau a été ciblé. Des paquets de confiance ont été empoisonnés. Une fausse page de modèle a poussé un voleur. Puis est venue la revendication de rançon habituelle : les données ont été restituées et supprimées. Le schéma est clair. Une dépendance faible peut divulguer des clés. Une clé divulguée peut ouvrir l'accès au cloud. Une prise de pied dans le cloud peut devenir une production
Qu'advient-il lorsqu'un e-mail de phishing semble suffisamment propre pour passer les mesures de sécurité, mais assez dangereux pour exposer l'entreprise après un clic ? C'est la lacune avec laquelle de nombreux centres opérationnels de sécurité luttent encore : les attaques qui laissent les équipes incertaines quant à ce qui a été exposé, qui d'autre a été ciblé et jusqu'où le risque s'est propagé. La détection précoce du phishing comble cette lacune. Elle aide les équipes à passer de l'incertitude aux preuves plus rapidement.
Les attaquants de la chaîne logistique tentent non seulement d'insérer du code malveillant dans des logiciels de confiance. Ils essaient de voler l'accès qui rend possible les logiciels de confiance. Récemment, trois campagnes distinctes ont visé npm, PyPI et Docker Hub dans une fenêtre de 48 heures, et les trois ont ciblé des secrets des environnements de développement et des pipelines CI/CD, y compris des clés API, des identifiants cloud, des clés SSH et des jetons.
Le chercheur en sécurité Chaotic Eclipse, à l'origine des failles Windows récemment divulguées, YellowKey et GreenPlasma, a publié une preuve de concept (PoC) pour une faille zero-day d'escalade des privilèges Windows qui accorde aux attaquants les privilèges SYSTEM sur des systèmes Windows entièrement patchés. Surnommée MiniPlasma, cette vulnérabilité affecte 'cldflt.sys', qui fait référence au pilote Mini Filtre de Fichiers Cloud Windows.
Une nouvelle analyse du malware Fast16 basé sur Lua a confirmé qu'il s'agissait d'un outil de sabotage cybernétique conçu pour manipuler des simulations de tests d'armes nucléaires. Selon les équipes de Symantec (propriété de Broadcom) et Carbon Black, cet outil pré-Stuxnet était conçu pour corrompre les simulations de compression d'uranium essentielles à la conception d'armes nucléaires. Le moteur d'accrochage de Fast16 est sélectivement intéressé par...
Ivanti, Fortinet, SAP, VMware et n8n ont publié des correctifs de sécurité pour diverses vulnérabilités pouvant être exploitées par des acteurs malveillants pour contourner l'authentification et exécuter du code arbitraire. En tête de liste se trouve une faille critique impactant Ivanti Xtraction (CVE-2026-8043, score CVSS : 9,6) qui pourrait être exploitée pour divulguer des informations ou mener des attaques côté client. Il s'agit d'un cas de 'contrôle externe d'un nom de fichier'.
Des chercheurs en cybersécurité ont découvert quatre nouveaux packages npm contenant des malwares pour vol d'informations, dont l'un est un clone du ver Shai-Hulud publié en open source par TeamPCP. Voici la liste des packages identifiés : chalk-tempalte (825 téléchargements), @deadcode09284814/axios-util (284 téléchargements), axois-utils (963 téléchargements), color-style-utils (934 téléchargements).
Une faille de sécurité récemment divulguée affectant NGINX Plus et NGINX Open est actuellement exploitée dans la nature, quelques jours après sa divulgation publique, selon VulnCheck. La vulnérabilité, identifiée sous le code CVE-2026-42945 (score CVSS : 9.2), est un dépassement de tampon de tas dans ngx_http_rewrite_module touchant les versions de NGINX de 0.6.27 à 1.30.0. Selon la société de sécurité basée sur l'IA depthfirst,
Une partie non autorisée a obtenu un jeton permettant d'accéder à l'environnement GitHub de l'entreprise Grafana et de télécharger sa base de code. Aucune donnée client ou information personnelle n'a été compromise lors de cet incident, et aucune preuve d'impact sur les systèmes ou opérations des clients n'a été trouvée.
Une vulnérabilité critique affectant le plugin Funnel Builder pour WordPress est activement exploitée pour injecter du code JavaScript malveillant dans les pages de paiement WooCommerce dans le but de voler des données de paiement. Les détails de cette activité ont été publiés cette semaine par Sansec. La vulnérabilité n'a pas encore de CVE officiellement identifié.
Le groupe de piratage parrainé par l'État russe connu sous le nom de Turla a transformé son backdoor personnalisé Kazuar en un botnet peer-to-peer (P2P) modulaire conçu pour l'efficacité et l'accès persistant aux hôtes compromis. Turla, selon l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), est estimé être affilié au Centre 16 du Service fédéral de sécurité de la Russie (FSB).
Des chercheurs en cybersécurité ont révélé un ensemble de quatre failles de sécurité dans OpenClaw qui pourraient être enchaînées pour permettre le vol de données, l'escalade de privilèges et la persistance. Les vulnérabilités, collectivement appelées Claw Chain par Cyera, peuvent permettre à un attaquant d'établir une position, d'exposer des données sensibles et de placer des portes dérobées. Une brève description des failles est donnée ci-dessous -
Dans notre précédent article 'Votre plus grande menace en matière de sécurité n'est pas les logiciels malveillants - c'est ce en quoi vous avez déjà confiance', nous avons soutenu que l'activité la plus dangereuse au sein de la plupart des organisations ne ressemble plus à une attaque mais à de l'administration. PowerShell, WMIC, netsh, Certutil, MSBuild - les mêmes utilitaires de confiance que votre équipe informatique utilise au quotidien sont également les outils préférés des cybercriminels modernes. Analyse de Bitdefender.
OpenAI a révélé que deux appareils de ses salariés dans son environnement d'entreprise ont été impactés via l'attaque de la chaîne d'approvisionnement Mini Shai-Hulud sur TanStack, mais a noté qu'aucune donnée utilisateur, aucun système de production ou propriété intellectuelle n'ont été compromis ou modifiés de manière non autorisée. Après avoir identifié l'activité malveillante, nous avons rapidement travaillé pour enquêter, contenir et prendre des mesures pour
Microsoft a révélé une nouvelle faille de sécurité impactant les versions sur site du serveur Exchange, qui a été exploitée de manière active dans la nature. La vulnérabilité, identifiée sous le code CVE-2026-42897 (score CVSS : 8.1), a été qualifiée de bug d'usurpation d'identité résultant d'une faille de script entre sites. Un chercheur anonyme est crédité pour avoir découvert et signalé le problème.
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté jeudi une vulnérabilité récemment divulguée affectant le contrôleur Cisco Catalyst SD-WAN à son catalogue de vulnérabilités exploitées connues (KEV), obligeant les agences du pouvoir exécutif civil fédéral (FCEB) à résoudre le problème d'ici le 17 mai 2026. La vulnérabilité est une faille critique de contournement de l'authentification suivie sous le nom de CVE-2026-20182.
Une faille d'authentification de gravité maximale a été corrigée par Cisco sur le contrôleur Catalyst SD-WAN, qui a été exploitée dans des attaques limitées. La vulnérabilité, référencée CVE-2026-20182, a un score CVSS de 10.0.
Des chercheurs en cybersécurité tirent la sonnette d'alarme concernant ce qui a été décrit comme une 'activité malveillante' dans les nouvelles versions publiées de Node-IPC. Selon Socket et StepSecurity, trois versions différentes du package npm ont été confirmées comme malveillantes - node-ipc@9.1.6, node-ipc@9.2.3, node-ipc@12.0.1. Une analyse précoce indique que node-ipc@9.1.6, node-ipc@9.2.3 et node-ipc@12.0.1...