← Retour au blog sécurité
Bulletin de sécurité 7 min de lecture

Tempête de failles zero-day : Apple et Microsoft sous attaque active

Apple corrige une attaque ciblée « extrêmement sophistiquée » sur iOS/macOS, tandis que Microsoft corrige 6 failles zero-day activement exploitées lors du Patch Tuesday. Parallèlement, un botnet de 2 millions d'appareils perturbe les réseaux de confidentialité, et les tactiques de guerre psychologique des acteurs malveillants s'intensifient.


Correctifs critiques requis

Faille zero-day Apple (CVE-2026-20700) — CORRIGEZ MAINTENANT

Le dyld (Dynamic Link Editor) d'Apple présente une faille de corruption mémoire permettant l'exécution de code arbitraire. Google TAG a découvert qu'elle était utilisée dans des « attaques extrêmement sophistiquées contre des individus spécifiquement ciblés ».

Systèmes affectés : iOS, iPadOS, macOS Tahoe, tvOS, watchOS, visionOS

Patch Tuesday Microsoft — 6 failles zero-day exploitées

CVE Composant Impact
CVE-2026-21510 Windows Shell Un simple clic sur un lien contourne la sécurité
CVE-2026-21513 MSHTML Contournement du moteur de navigation
CVE-2026-21514 Microsoft Word Contournement via document
CVE-2026-21533 Bureau à distance Élévation de privilèges local → SYSTEM
CVE-2026-21519 Desktop Window Manager Élévation de privilèges
CVE-2026-21525 Accès à distance Perturbation du VPN

Total : 59 vulnérabilités (5 critiques, 52 importantes)

Autres mises à jour critiques


Violations majeures de la semaine

Organisation Enregistrements Type
Odido (Télécommunications Pays-Bas) 6,2 M Données clients
ApolloMD Healthcare 626 000 Dossiers patients
Conduent → Volvo Group 17 000 Données employés
Conpet (Roumanie, pétrole) Inconnu Rançongiciel Qilin

Recrudescence des menaces alimentées par l'IA

Fausses extensions Chrome IA : 30 extensions malveillantes avec plus de 300 000 installations volant des identifiants en se faisant passer pour des assistants IA.

AMOS Infostealer : Les utilisateurs macOS sont ciblés via des applications IA empoisonnées exploitant l'engouement pour l'IA.

Alerte vol de modèles : Google GTIG met en garde contre des pirates utilisant des accès API légitimes pour extraire/reproduire la logique des modèles IA.


Acteur malveillant en vedette : SLSH

Le groupe Scattered Lapsus ShinyHunters a évolué au-delà des rançongiciels vers la guerre psychologique :

Conseil d'expert : ne négociez jamais, ne payez jamais.


Comment Kensai vous protège

Surveillance CVE en temps réel — Les 6 failles zero-day Microsoft indexées en quelques heures

Score de priorité des correctifs — Évaluation des risques par IA pour votre infrastructure

Analyse de la chaîne d'approvisionnement — Détection des dépendances abandonnées/détournées

Gestion continue de l'exposition — Gardez une longueur d'avance sur les 84 % sans CTEM


Actions recommandées

  1. Immédiat : Appliquer les correctifs Apple et Microsoft
  2. Aujourd'hui : Auditer les installations BeyondTrust, WordPress WPvivid, SAP
  3. Cette semaine : Passer en revue les extensions Chrome dans votre organisation
  4. En continu : Mettre en œuvre le CTEM — seulement 16 % des organisations l'ont déployé

Protégez votre organisation avec Kensai

Gestion des vulnérabilités par IA avec plus de 331 910 CVE indexées.

Commencer l'essai gratuit

Restez en sécurité. Restez vigilant.

🗡️ Équipe sécurité KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home