Le signal de ce matin est moche et familier : outils de confiance, systèmes industriels exposés, sessions volées et exploitation quasi immédiate. Le seul point positif est que l’e-mail sécurisé par défaut devient enfin un peu plus praticable sur mobile.
Top line: Une compromission de supply chain logicielle, une alerte OT, une campagne de vol de paie, une RCE pour outils développeurs exploitée en moins de 10 heures et une avancée défensive de Google.
Des attaquants ont compromis une API secondaire de CPUID pendant environ six heures et ont remplacé les liens de téléchargement officiels afin de rediriger les utilisateurs de CPU-Z et HWMonitor vers un installeur HWiNFO trojanisé. Les chercheurs décrivent le malware comme multi-étapes, fortement obfusqué et probablement orienté vol d’informations. CPUID affirme que ses binaires originaux signés n’ont pas été modifiés, mais la frontière de confiance a déjà été cassée, et c’est bien le vrai problème.
Les agences fédérales ont averti que des acteurs liés à l’Iran ciblent depuis mars des PLC Rockwell Automation et Allen-Bradley, provoquant des perturbations et manipulant les écrans HMI et SCADA. Censys a ensuite recensé 5 219 hôtes exposés dans le monde, dont 3 891 aux États-Unis. Ce n’est pas juste une mauvaise statistique. C’est une invitation permanente.
Selon Microsoft, Storm-2755 a utilisé des pages de phishing Microsoft 365 en adversary-in-the-middle, le vol de cookies de session, des règles de boîte de réception cachées et l’ingénierie sociale sur le dépôt direct pour détourner la paie d’employés canadiens. La leçon est simple : une MFA héritée ne vous sauve pas quand l’attaquant vole la session authentifiée.
Sysdig a observé l’exploitation de la faille RCE pré-authentifiée de Marimo dans les 9 heures et 41 minutes suivant sa divulgation publique. Le bug se trouvait dans l’endpoint WebSocket /terminal/ws, qui sautait l’authentification et offrait aux attaquants un shell interactif sur les instances exposées. C’est la nouvelle norme : les fenêtres entre divulgation et exploitation s’effondrent.
Google indique que le chiffrement de bout en bout de Gmail est désormais disponible sur Android et iOS pour les utilisateurs enterprise, permettant de lire et rédiger des messages protégés sur mobile sans outils supplémentaires. Cela ne résout ni la compromission d’identité ni le vol d’endpoint, mais cela réduit l’excuse habituelle selon laquelle l’e-mail sécurisé serait trop pénible pour les usages réels.
Sources tracked for this briefing: Sources suivies pour ce briefing : BleepingComputer, The Hacker News et des rapports d’agences fédérales ou d’éditeurs publiés du 10 au 11 avril 2026.
KENSAI aide les équipes à repérer les systèmes exposés sur Internet, les flux d’identité fragiles et les angles morts supply chain avant qu’ils ne deviennent des incidents.
Lancer un scan gratuit →Restez affûtés.
🗡️ KENSAI Security Team