Le briefing sécurité du jour suit trois histoires concrètes : le Patch Tuesday d’avril de Microsoft, une campagne de plus de 100 extensions Chrome malveillantes et des défaillances de gouvernance des accès chez Kraken et McGraw-Hill.
Top line: Le signal le plus fort ce matin n’est pas une seule marque de ransomware. C’est la même dette de contrôle qui réapparaît dans plusieurs incidents : patching urgent, vol de sessions navigateur et accès qui survivent plus longtemps que prévu.
Microsoft a publié des correctifs pour 167 vulnérabilités en avril 2026, dont deux zero-days. L’une d’elles, une vulnérabilité d’usurpation sur SharePoint Server, était déjà exploitée dans la nature. Microsoft a aussi corrigé des RCE critiques dans Office et un problème d’élévation de privilèges dans Defender via la plateforme antimalware.
Les chercheurs de Socket ont relié plus de 100 extensions malveillantes du Chrome Web Store à une campagne coordonnée. Elles auraient volé des jetons OAuth2 Google, collecté des données de compte, détourné des sessions Telegram Web et récupéré des commandes à distance en arrière-plan. Ce n’est pas un simple risque d’extension. C’est un abus d’identité, de session et de confiance dans un environnement déjà authentifié.
Kraken affirme qu’un groupe d’extorsion menace de publier des vidéos de systèmes internes après un accès inapproprié par des employés du support ayant exposé des données limitées de support client touchant environ 2 000 comptes. McGraw-Hill a indiqué séparément que des attaquants avaient accédé à des données internes limitées via une mauvaise configuration d’une page hébergée par Salesforce, tandis que ShinyHunters revendiquait un butin bien plus important. Le périmètre exact diffère, mais le schéma est identique : les flux de support et les systèmes métiers hébergés conservent souvent plus de confiance que les équipes ne l’imaginent.
Bottom line: Toutes les histoires du jour pointent vers la même vérité opérationnelle. Les attaquants gagnent dans l’écart entre contrôle nominal et contrôle vérifié, entre “patché” et réellement corrigé, entre “connecté” et réellement digne de confiance, entre “accès temporaire” et privilège qui traîne.
KENSAI aide les équipes à vérifier les chemins de confiance exposés, la couverture des patchs et la réalité de leur surface internet avant que la dérive ne devienne un levier pour les attaquants.
Lancer un scan gratuit →Restez aiguisés.
🗡️ KENSAI Security Team