← Retour au blog
Briefing Sécurité 7 min de lecture

Contournement Auth CCTV Honeywell + Violation Figure 1M Comptes

CISA avertit sur une vulnérabilité critique CCTV Honeywell (CVSS 9.8) permettant un accès non autorisé. Violation fintech Figure expose près d'un million de comptes via ingénierie sociale. Quatre extensions VS Code avec 125M+ téléchargements contiennent des failles critiques. Un bug Microsoft Copilot contourne les politiques DLP depuis janvier.


Critique : Contournement Authentification CCTV Honeywell

Avis CISA : CVE-2026-1670 — CVSS 9.8

CISA avertit sur une vulnérabilité critique dans plusieurs produits CCTV Honeywell utilisés dans les infrastructures critiques. Les attaquants peuvent détourner des comptes et accéder aux flux de caméras sans authentification.

Découverte par le chercheur Souvik Kanda, CVE-2026-1670 est classée comme "authentification manquante pour fonction critique". La faille permet à un attaquant non authentifié de modifier l'adresse email de récupération associée à un compte d'appareil, permettant une prise de contrôle complète du compte.

Modèles Affectés

Modèle Version Firmware
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

Ces caméras conformes NDAA sont déployées dans les agences gouvernementales américaines, les contractants fédéraux et les installations critiques. CISA recommande :


Figure Fintech : 967K Comptes Violés

ShinyHunters Revendique la Responsabilité de l'Attaque par Ingénierie Sociale

L'entreprise fintech native blockchain Figure Technology Solutions a subi une violation affectant près d'un million de comptes. L'attaque a été exécutée via ingénierie sociale.

Figure, qui a débloqué plus de 22 milliards de dollars de capital immobilier avec 250+ partenaires incluant banques, coopératives de crédit et fintechs, a confirmé l'incident à TechCrunch. Les attaquants ont utilisé le phishing vocal (vishing) pour tromper un employé afin qu'il fournisse l'accès.

Données Exposées

Le groupe d'extorsion ShinyHunters a divulgué 2,5 Go de données de milliers de demandeurs de prêts sur leur site dark web. Cela fait partie d'une campagne plus large ciblant les comptes SSO chez Okta, Microsoft et Google à travers 100+ organisations de haut niveau.

🎯 Modèle d'Attaque

Les attaquants se font passer pour le support informatique, appellent les employés et les trompent pour qu'ils saisissent leurs identifiants et codes MFA sur des sites de phishing imitant les portails de connexion d'entreprise. Une fois à l'intérieur, ils obtiennent l'accès aux applications d'entreprise connectées incluant Salesforce, Microsoft 365, Google Workspace, Slack et Dropbox.


Extensions VS Code : 125M+ Téléchargements Affectés

Failles Critiques Permettent l'Exfiltration de Fichiers et l'Exécution de Code à Distance

Les chercheurs d'OX Security ont découvert plusieurs vulnérabilités dans quatre extensions VS Code populaires. Trois CVE restent non corrigés.

"Un pirate n'a besoin que d'une seule extension malveillante, ou d'une seule vulnérabilité dans une extension, pour effectuer un mouvement latéral et compromettre des organisations entières," ont averti les chercheurs.

CVE Extension CVSS Impact
CVE-2025-65717 Live Server 9.1 Exfiltration de fichiers locaux via site web malveillant
CVE-2025-65716 Markdown Preview Enhanced 8.8 Exécution JavaScript arbitraire via fichier .md
CVE-2025-65715 Code Runner 7.8 Exécution de code arbitraire via settings.json
Microsoft Live Preview Exfiltration fichiers sensibles (corrigé en v0.4.16)

Actions Immédiates


Microsoft Copilot Contourne les Politiques DLP

Bug Actif Depuis le 21 Janvier — Résume les Emails Confidentiels

Un bug de Microsoft 365 Copilot a provoqué la synthèse par l'assistant IA d'emails confidentiels, contournant les politiques de prévention de perte de données (DLP) qui protègent les informations sensibles.

Suivi comme CW1226324, ce bug affecte la fonctionnalité de chat "onglet travail" de Copilot. Il lit et résume incorrectement les emails dans les dossiers Éléments envoyés et Brouillons — incluant les messages avec des étiquettes de confidentialité explicitement conçues pour restreindre l'accès par les outils automatisés.

Chronologie

Microsoft a déclaré : "Cela n'a donné à personne l'accès à des informations qu'ils n'étaient pas déjà autorisés à voir... Une mise à jour de configuration a été déployée mondialement pour les clients entreprise."

Recommandation Entreprise

Examinez les journaux d'activité Copilot pour la période depuis le 21 janvier. Vérifiez que le contenu étiqueté sensibilité n'a pas été inclus par inadvertance dans les résumés Copilot partagés au-delà des destinataires prévus.


Autres Actualités

Le Texas Poursuit TP-Link pour Risques de Piratage Chinois

Le Texas a poursuivi TP-Link Systems, accusant l'entreprise de commercialiser de manière trompeuse des routeurs comme sécurisés tout en permettant aux pirates soutenus par l'État chinois d'exploiter les vulnérabilités du firmware.

Opération INTERPOL Red Card 2.0

651 arrestations dans 16 pays africains. Plus de 4,3 millions $ récupérés. L'opération a ciblé la fraude aux investissements, les arnaques à l'argent mobile et les applications de prêt frauduleuses liées à 45 millions $ de pertes.

PromptSpy : Premier Malware Abusant de l'IA Gemini

ESET a découvert un malware Android qui utilise l'IA Gemini de Google pour maintenir sa persistance. Le malware exploite l'IA générative pour analyser les écrans et générer des instructions étape par étape pour se maintenir épinglé dans les applications récentes.

Pirate Nigérian Condamné à 8 Ans pour Fraude Fiscale

Condamné pour piratage de plusieurs cabinets de préparation fiscale au Massachusetts et dépôt de déclarations frauduleuses demandant plus de 8,1 millions $ de remboursements.


Les Chiffres du Jour

Métrique Valeur
Comptes affectés violation Figure 967 200
Gravité CVE Honeywell (CVSS) 9.8
Téléchargements extensions VS Code à risque 125M+
Durée contournement DLP Copilot ~30 jours
Arrestations INTERPOL (Op Red Card 2.0) 651
Organisations ciblées par ShinyHunters 100+

Priorités du Jour

  1. ISOLER : Systèmes CCTV Honeywell — appliquer la segmentation réseau immédiatement
  2. AUDITER : Extensions VS Code — désactiver Live Server, Markdown Preview Enhanced, Code Runner jusqu'à correction
  3. FORMER : Sensibilisation à la sécurité sur les attaques vishing (playbook ShinyHunters)
  4. VÉRIFIER : Conformité DLP Microsoft Copilot — examiner l'activité depuis le 21 janvier
  5. RÉVISER : Contrôles de sécurité SSO — résistance au contournement MFA

Protégez Votre Organisation avec KENSAI

Gestion des vulnérabilités alimentée par IA avec 333 000+ CVE indexés.

Démarrer l'Analyse Gratuite

Restez en sécurité. Restez vigilants.

🗡️ Équipe Sécurité KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home