La CISA alerte sur une vulnérabilité critique CCTV Honeywell (CVSS 9.8) permettant un accès non autorisé. La violation de la fintech Figure expose près d'un million de comptes via ingénierie sociale. Quatre extensions VS Code avec 125M+ de téléchargements contiennent des failles critiques. Un bug de Microsoft Copilot contourne les politiques DLP depuis janvier.
La CISA alerte sur une vulnérabilité critique dans plusieurs produits CCTV Honeywell utilisés dans les infrastructures critiques. Les attaquants peuvent détourner des comptes et accéder aux flux de caméras sans authentification.
Découverte par le chercheur Souvik Kanda, CVE-2026-1670 est classée comme « authentification manquante pour une fonction critique ». La faille permet à un attaquant non authentifié de modifier l'adresse e-mail de récupération associée à un compte d'appareil, permettant une prise de contrôle complète du compte.
| Modèle | Version firmware |
|---|---|
| I-HIB2PI-UL 2MP IP | 6.1.22.1216 |
| SMB NDAA MVO-3 | WDR_2MP_32M_PTZ_v2.0 |
| PTZ WDR 2MP 32M | WDR_2MP_32M_PTZ_v2.0 |
| 25M IPC | WDR_2MP_32M_PTZ_v2.0 |
Ces caméras conformes NDAA sont déployées dans les agences gouvernementales américaines, les prestataires fédéraux et les installations critiques. La CISA recommande :
La société fintech blockchain Figure Technology Solutions a subi une violation affectant près d'un million de comptes. L'attaque a été réalisée par ingénierie sociale.
Figure, qui a débloqué plus de 22 milliards de dollars en capital immobilier avec plus de 250 partenaires dont des banques, coopératives de crédit et fintechs, a confirmé l'incident à TechCrunch. Les attaquants ont utilisé l'hameçonnage vocal (vishing) pour tromper un employé et obtenir l'accès.
Le groupe d'extorsion ShinyHunters a divulgué 2,5 Go de données de milliers de demandeurs de prêt sur leur site dark web. Cela fait partie d'une campagne plus large ciblant les comptes SSO chez Okta, Microsoft et Google dans plus de 100 organisations de haut profil.
Les attaquants se font passer pour le support informatique, appellent les employés et les incitent à saisir leurs identifiants et codes MFA sur des sites de phishing imitant les portails de connexion de l'entreprise. Une fois connectés, ils accèdent aux applications d'entreprise connectées, notamment Salesforce, Microsoft 365, Google Workspace, Slack et Dropbox.
Les chercheurs d'OX Security ont découvert de multiples vulnérabilités dans quatre extensions VS Code populaires. Trois CVE restent non corrigées.
« Un pirate n'a besoin que d'une seule extension malveillante, ou d'une seule vulnérabilité dans une extension, pour effectuer un mouvement latéral et compromettre des organisations entières », ont averti les chercheurs.
| CVE | Extension | CVSS | Impact |
|---|---|---|---|
| CVE-2025-65717 | Live Server | 9.1 | Exfiltration de fichiers locaux via site malveillant |
| CVE-2025-65716 | Markdown Preview Enhanced | 8.8 | Exécution JavaScript arbitraire via fichier .md |
| CVE-2025-65715 | Code Runner | 7.8 | Exécution de code arbitraire via settings.json |
| — | Microsoft Live Preview | — | Exfiltration de fichiers sensibles (corrigé en v0.4.16) |
Un bug de Microsoft 365 Copilot amène l'assistant IA à résumer des e-mails confidentiels, contournant les politiques de prévention de perte de données (DLP) qui protègent les informations sensibles.
Identifié sous le code CW1226324, ce bug affecte la fonctionnalité de chat « onglet travail » de Copilot. Il lit et résume incorrectement les e-mails dans les dossiers Éléments envoyés et Brouillons — y compris les messages avec des étiquettes de confidentialité explicitement conçues pour restreindre l'accès par les outils automatisés.
Microsoft a déclaré : « Cela n'a donné accès à personne à des informations auxquelles il n'était pas déjà autorisé à accéder... Une mise à jour de configuration a été déployée mondialement pour les clients entreprise. »
Examiner les journaux d'activité de Copilot pour la période depuis le 21 janvier. Vérifier que le contenu étiqueté comme sensible n'a pas été inclus par inadvertance dans les résumés Copilot partagés au-delà des destinataires prévus.
Le Texas a poursuivi TP-Link Systems, accusant l'entreprise de commercialiser de manière trompeuse des routeurs comme sécurisés tout en permettant à des pirates soutenus par l'État chinois d'exploiter des vulnérabilités firmware.
651 arrestations dans 16 pays africains. Récupération de plus de 4,3 millions de dollars. L'opération ciblait la fraude à l'investissement, les arnaques de mobile money et les applications de prêt frauduleuses liées à 45 millions de dollars de pertes.
ESET a découvert un malware Android qui utilise Google Gemini AI pour maintenir sa persistance. Le malware exploite l'IA générative pour analyser les écrans et générer des instructions pas à pas afin de rester épinglé dans les applications récentes.
Condamné pour avoir piraté plusieurs cabinets de préparation fiscale au Massachusetts et déposé des déclarations frauduleuses réclamant plus de 8,1 millions de dollars de remboursements.
| Métrique | Valeur |
|---|---|
| Comptes affectés par la violation Figure | 967 200 |
| Sévérité CVE Honeywell (CVSS) | 9.8 |
| Téléchargements d'extensions VS Code à risque | 125M+ |
| Durée du contournement DLP Copilot | ~30 jours |
| Arrestations INTERPOL (Op Red Card 2.0) | 651 |
| Organisations ciblées par ShinyHunters | 100+ |
Gestion des vulnérabilités propulsée par l'IA avec plus de 333 000 CVE indexées.
Lancer un scan gratuitRestez en sécurité. Restez vigilants.
🗡️ Équipe Sécurité KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →