← Back to Blog
Briefing Sécurité 5 min read 2026-04-10

Briefing Sécurité, 10 avril 2026 : Chrome DBSC, zero-day Adobe Reader, LucidRook, VENOM et la faille du SDK EngageLab

Le signal de ce matin est assez brutal : les attaquants continuent de gagner via le vol de session, les exploits documentaires, le phishing ciblé d’identifiants et les dépendances de la chaîne logicielle. Chrome apporte enfin une vraie amélioration défensive, mais le reste du briefing rappelle que l’identité et l’hygiène endpoint restent décisives.


En bref : un durcissement utile du navigateur, un zero-day PDF actif, deux campagnes d’intrusion ciblées, une large exposition liée à un SDK Android et davantage de pression de patch sur les équipements en périphérie.


1. Chrome 146 relève le niveau contre le vol de cookies

Google a déployé Device Bound Session Credentials (DBSC) dans Chrome 146 pour Windows. Cette fonction lie cryptographiquement les sessions courtes à des clés protégées par le matériel. En clair, un infostealer ne peut plus voler un cookie sur une machine et le rejouer ailleurs avec la même efficacité.

C’est important, car le vol de cookies est devenu l’un des chemins les plus rapides pour contourner mots de passe et MFA. Chrome ne supprime pas la compromission, mais rend le hijacking de session post-compromission plus coûteux.

Pourquoi c’est important


2. Un zero-day Adobe Reader est exploité via des PDF malveillants

Des chercheurs indiquent qu’un zero-day Adobe Reader inconnu est exploité depuis au moins décembre 2025 à travers des fichiers PDF piégés. Les échantillons exécutent du JavaScript obfusqué, collectent des informations locales, contactent un serveur distant et pourraient préparer une exécution de code ultérieure ou une sortie de sandbox.

C’est mauvais, car le PDF reste un format hautement trusted dans les workflows d’entreprise. Quand un exploit actif se cache dans une facture, la sensibilisation seule ne suffit plus.

Pourquoi c’est important


3. LucidRook cible des ONG et universités à Taïwan

Les éléments attribués à Cisco Talos décrivent LucidRook comme un malware modulaire basé sur Lua utilisé dans des campagnes de spear-phishing visant des ONG et universités taïwanaises. Le malware combine livraison en plusieurs étapes, DLL sideloading, obfuscation poussée et chargement externe de bytecode Lua.

Ce qui frappe n’est pas seulement la famille malware, mais la discipline opératoire. On parle d’une campagne conçue pour un accès ciblé et discret, pas d’une cybercriminalité bruyante.

Pourquoi c’est important


4. VENOM industrialise le vol des comptes Microsoft des dirigeants

La recherche d’Abnormal sur la plateforme fermée de phishing-as-a-service VENOM montre un ciblage net des dirigeants. Le kit imite des notifications SharePoint, cache les données de ciblage dans les fragments d’URL, utilise des QR codes pour pousser vers le mobile et vole les accès via des flux adversary-in-the-middle et device-code.

Il faut arrêter de se raconter des histoires : si vos dirigeants dépendent encore d’une MFA standard et de règles d’accès conditionnel molles, vous jouez perdant.

Pourquoi c’est important


5. La faille EngageLab SDK montre l’ampleur du risque supply chain mobile

Microsoft a détaillé une vulnérabilité corrigée du SDK EngageLab qui pouvait permettre à une application malveillante de contourner les hypothèses d’isolation Android et d’accéder à des données privées d’autres applications utilisant le même SDK. L’empreinte concernée dépasse 50 millions d’installations, dont 30 millions de wallets crypto.

Aucune exploitation malveillante publique n’est confirmée, mais la leçon est limpide. Les SDK tiers mobiles font partie intégrante de la surface d’attaque.

Pourquoi c’est important


6. Patch watch : Palo Alto Networks et SonicWall

SecurityWeek a aussi signalé de nouveaux correctifs high severity chez Palo Alto Networks et SonicWall. Le risque varie selon le produit, mais le schéma ne change pas : les équipements edge exposés restent l’un des moyens les plus rapides pour obtenir des privilèges élevés.


Ce que les équipes sécurité doivent faire aujourd’hui

  1. Renforcer l’identité : accélérer passkeys ou FIDO2 pour dirigeants et admins.
  2. Isoler les documents risqués : sandboxer ou détoner les PDF non fiables avant livraison.
  3. Traquer les chaînes discrètes : surveiller LNK, archives, DLL sideloading et FTP sortant inhabituel.
  4. Réviser les dépendances mobiles : inventorier les SDK tiers et pousser les mises à jour de sécurité.
  5. Patcher vite la périphérie : surtout pare-feu, VPN et interfaces d’administration exposées.

Sources suivies pour ce briefing : BleepingComputer, The Hacker News et SecurityWeek, publications du 9 au 10 avril 2026.

Réduisez la fenêtre sur laquelle comptent les attaquants

KENSAI aide les équipes à repérer les chemins d’attaque exposés, les contrôles d’identité faibles et les actifs internet vulnérables avant qu’ils ne deviennent un incident.

Lancer un scan gratuit →

Restez lucides.

🗡️ KENSAI Security Team