Le signal de ce matin est assez brutal : les attaquants continuent de gagner via le vol de session, les exploits documentaires, le phishing ciblé d’identifiants et les dépendances de la chaîne logicielle. Chrome apporte enfin une vraie amélioration défensive, mais le reste du briefing rappelle que l’identité et l’hygiène endpoint restent décisives.
En bref : un durcissement utile du navigateur, un zero-day PDF actif, deux campagnes d’intrusion ciblées, une large exposition liée à un SDK Android et davantage de pression de patch sur les équipements en périphérie.
Google a déployé Device Bound Session Credentials (DBSC) dans Chrome 146 pour Windows. Cette fonction lie cryptographiquement les sessions courtes à des clés protégées par le matériel. En clair, un infostealer ne peut plus voler un cookie sur une machine et le rejouer ailleurs avec la même efficacité.
C’est important, car le vol de cookies est devenu l’un des chemins les plus rapides pour contourner mots de passe et MFA. Chrome ne supprime pas la compromission, mais rend le hijacking de session post-compromission plus coûteux.
Des chercheurs indiquent qu’un zero-day Adobe Reader inconnu est exploité depuis au moins décembre 2025 à travers des fichiers PDF piégés. Les échantillons exécutent du JavaScript obfusqué, collectent des informations locales, contactent un serveur distant et pourraient préparer une exécution de code ultérieure ou une sortie de sandbox.
C’est mauvais, car le PDF reste un format hautement trusted dans les workflows d’entreprise. Quand un exploit actif se cache dans une facture, la sensibilisation seule ne suffit plus.
Les éléments attribués à Cisco Talos décrivent LucidRook comme un malware modulaire basé sur Lua utilisé dans des campagnes de spear-phishing visant des ONG et universités taïwanaises. Le malware combine livraison en plusieurs étapes, DLL sideloading, obfuscation poussée et chargement externe de bytecode Lua.
Ce qui frappe n’est pas seulement la famille malware, mais la discipline opératoire. On parle d’une campagne conçue pour un accès ciblé et discret, pas d’une cybercriminalité bruyante.
La recherche d’Abnormal sur la plateforme fermée de phishing-as-a-service VENOM montre un ciblage net des dirigeants. Le kit imite des notifications SharePoint, cache les données de ciblage dans les fragments d’URL, utilise des QR codes pour pousser vers le mobile et vole les accès via des flux adversary-in-the-middle et device-code.
Il faut arrêter de se raconter des histoires : si vos dirigeants dépendent encore d’une MFA standard et de règles d’accès conditionnel molles, vous jouez perdant.
Microsoft a détaillé une vulnérabilité corrigée du SDK EngageLab qui pouvait permettre à une application malveillante de contourner les hypothèses d’isolation Android et d’accéder à des données privées d’autres applications utilisant le même SDK. L’empreinte concernée dépasse 50 millions d’installations, dont 30 millions de wallets crypto.
Aucune exploitation malveillante publique n’est confirmée, mais la leçon est limpide. Les SDK tiers mobiles font partie intégrante de la surface d’attaque.
SecurityWeek a aussi signalé de nouveaux correctifs high severity chez Palo Alto Networks et SonicWall. Le risque varie selon le produit, mais le schéma ne change pas : les équipements edge exposés restent l’un des moyens les plus rapides pour obtenir des privilèges élevés.
Sources suivies pour ce briefing : BleepingComputer, The Hacker News et SecurityWeek, publications du 9 au 10 avril 2026.
KENSAI aide les équipes à repérer les chemins d’attaque exposés, les contrôles d’identité faibles et les actifs internet vulnérables avant qu’ils ne deviennent un incident.
Lancer un scan gratuit →Restez lucides.
🗡️ KENSAI Security Team