← Back to Blog
Briefing Sécurité5 min read2026-04-14

Briefing sécurité, 14 avril 2026 : démantèlement de W3LL, leurres Facebook d’APT37, rotation du certificat OpenAI, infostealer Storm et faux certificats wolfSSL

Le signal du jour est net : l’ingénierie sociale devient plus patiente, le vol de session plus discret, et les ancres de confiance, des kits de connexion au code signing jusqu’aux bibliothèques TLS, sont attaquées en même temps.


Top line: Un grand démantèlement de kit de phishing, une chaîne nord-coréenne d’ingénierie sociale, une mesure de confinement supply chain chez OpenAI, un modèle d’infostealer plus silencieux et un sale bug de validation de certificats dans des logiciels très présents dans l’embarqué.


1. W3LL prouve que les kits de phishing sont devenus des plateformes de fraude complètes

Le FBI et la police nationale indonésienne ont perturbé l’opération W3LL, saisi l’infrastructure et arrêté le développeur présumé. Le kit aurait visé plus de 17 000 victimes entre 2023 et 2024 et soutenu plus de 20 millions de dollars de fraude tentée, surtout via le vol d’identifiants Microsoft 365 et de cookies de session dans des scénarios adversary-in-the-middle.


2. APT37 transforme la confiance sur Facebook en canal de livraison de malware

Les chercheurs attribuent à APT37 une campagne fondée sur de faux profils Facebook, des échanges Messenger puis Telegram pour pousser les cibles à installer un lecteur PDF trojanisé. La chaîne déploie RokRAT, abuse d’un site légitime compromis pour le C2 et cache une charge ultérieure dans une image.


3. OpenAI a fait tourner son certificat de signature macOS après l’incident Axios

OpenAI a indiqué qu’un workflow GitHub Actions utilisé pour la signature macOS avait téléchargé la version empoisonnée d’Axios. L’entreprise n’a vu aucune preuve d’exfiltration ou de vol de certificat, mais a tout de même révoqué et renouvelé le certificat ; les anciennes versions perdront le support de mise à jour et la confiance macOS par défaut après le 8 mai 2026.


4. Storm déplace le vol d’identifiants hors du poste et vers l’infrastructure attaquante

Selon BleepingComputer, Storm vole bases navigateurs, cookies, données de wallet et jetons, puis déchiffre et restaure les sessions côté serveur chez l’attaquant. Cela retire précisément un des signaux endpoint classiques que les défenseurs savaient surveiller.


5. wolfSSL a corrigé un problème de faux certificats à fort risque aval

CVE-2026-5194 affaiblit la vérification des certificats dans wolfSSL en acceptant des digests trop petits pour plusieurs schémas de signature. Comme wolfSSL se retrouve dans des milliards d’applications et d’équipements, surtout embarqués, IoT, industriels et appliances, l’impact dépasse largement les serveurs web.


Ce que les équipes sécurité doivent faire aujourd’hui

  1. Renforcer les contrôles d’identité résistants au phishing autour de Microsoft 365 et des profils sensibles.
  2. Examiner comment réseaux sociaux, messageries et partage de fichiers se combinent dans les ciblages dirigeants.
  3. Auditer les pipelines de signature et renouveler le matériel sensible après un incident supply chain.
  4. Étendre la détection du vol de mot de passe au vol de session et au rejeu de jetons.
  5. Trouver wolfSSL dans les environnements embarqués et OT avant que le trou d’inventaire ne vous trouve.

Sources suivies pour ce briefing : articles de The Hacker News et BleepingComputer publiés le 13 avril 2026, ainsi que les avis éditeurs et chercheurs qu’ils citent.

Réduisez l’écart de confiance avant que les attaquants n’en profitent

KENSAI aide les équipes sécurité à repérer les chemins d’identité exposés, les chaînes logicielles fragiles et les systèmes internet discrètement risqués avant qu’ils ne deviennent des incidents.

Start Free Scan →

Restez aiguisés.

🗡️ KENSAI Security Team