Le briefing sécurité d’aujourd’hui suit trois signaux concrets : le correctif Webex SSO de Cisco qui exige encore une action client, le botnet PowMix de Talos visant la main-d’œuvre tchèque avec un C2 furtif, et la logique de sabotage OT de ZionSiphon contre le chlore et la pression dans le secteur de l’eau.
Top line : Le motif de ce matin est l’abus de confiance à trois niveaux en même temps : l’identité, la chaîne de diffusion vers les salariés et la logique de contrôle industriel. Les défenseurs ne doivent pas traiter cela comme trois files séparées.
Cisco a corrigé CVE-2026-20184 dans Webex Services, une faille de validation de certificat dans l’intégration SSO avec Control Hub qui pourrait permettre à un attaquant non authentifié d’usurper des utilisateurs. Le correctif côté service ne suffit pas : les organisations qui utilisent le SSO doivent aussi téléverser un nouveau certificat SAML pour leur fournisseur d’identité afin d’éviter une interruption et de fermer réellement la faille.
Cisco Talos a révélé PowMix, un botnet auparavant non documenté, actif au moins depuis décembre 2025 et visant les travailleurs en République tchèque. Le malware utilise des intervalles de beacon aléatoires, cache ses battements chiffrés dans des chemins d’URL ressemblant à du trafic REST API, et peut mettre à jour dynamiquement son domaine C2. Talos a aussi observé des recouvrements tactiques avec l’activité ZipLine et une infrastructure C2 hébergée sur Heroku.
Les chercheurs indiquent que l’échantillon actuel de ZionSiphon est cassé par un défaut de validation, mais l’intention est limpide et inquiétante. Le malware recherche des plages IP israéliennes et des logiciels de traitement de l’eau, puis tente de modifier la dose de chlore, l’état des vannes, l’état des pompes et la pression d’osmose inverse. Il contient aussi une propagation par USB, importante dans des environnements industriels encore dépendants des supports amovibles.
Bottom line : La leçon la plus forte du jour est simple : les attaquants se moquent de savoir si la faiblesse vit dans l’identité, le workflow utilisateur ou le contrôle de processus physique. Si cela transporte de la confiance, c’est une cible.
KENSAI aide les équipes à vérifier les chemins d’identité exposés, les chaînes d’attaque pilotées par phishing et le risque opérationnel réel avant que la confiance ne devienne compromission.
Lancer un scan gratuit →Restez affûtés.
🗡️ KENSAI Security Team