← Retour au blog
Briefing sécurité4 min read2026-04-20

Briefing sécurité, 20 avril 2026 : brèche chez Vercel, e-mails de phishing Apple et ralentissement CVE du NIST

Le signal de ce matin parle d’érosion de la confiance. Une plateforme cloud gère des revendications de compromission, le propre canal e-mail d’Apple est utilisé pour du phishing, et le pipeline des vulnérabilités est sous une telle pression que le NIST réduit l’enrichissement des cas moins prioritaires.


À retenir : Trois sujets comptent aujourd’hui : la confiance dans les plateformes fournisseurs, la confiance dans l’e-mail officiel, et la confiance dans la priorisation publique des vulnérabilités. Les trois viennent de se fragiliser.


1. Vercel a confirmé une brèche après la mise en vente de données volées

BleepingComputer indique que Vercel a révélé un incident de sécurité après que des attaquants ont affirmé avoir compromis ses systèmes et tenté de vendre des données dérobées. Même sans périmètre public complet, la leçon défensive est simple : l’accès aux plateformes cloud et développeur doit être traité comme un accès de production.


2. Des alertes Apple de changement de compte ont servi à rendre le phishing plus crédible

Des attaquants ont trouvé un moyen d’abuser des notifications légitimes d’Apple sur les changements de compte afin d’y faire passer du contenu de phishing dans des e-mails envoyés par l’infrastructure Apple. C’est important parce que les utilisateurs comme les filtres font confiance à l’expéditeur. Une vraie adresse d’envoi ne garantit pas un message sûr.


3. Le NIST réduit l’évaluation des vulnérabilités moins prioritaires

Le NIST a annoncé qu’il cessera d’attribuer un score complet de gravité aux CVE moins prioritaires parce que le volume de soumissions a explosé. The Hacker News parle d’une hausse de 263 % entre 2020 et 2025. En clair, les équipes trop dépendantes de l’enrichissement NVD devront mieux trier en interne.


Ce que les équipes sécurité doivent faire aujourd’hui

  1. Vérifiez si des systèmes de production ou de CI/CD dépendent de Vercel et faites tourner les secrets exposés en premier.
  2. Envoyez un bref avis phishing expliquant que des e-mails Apple légitimes peuvent quand même être détournés.
  3. Révisez les workflows vulnérabilités qui dépendent du scoring NVD et retirez les attentes inutiles.
  4. Expliquez à la direction le thème commun : les canaux de confiance font désormais partie de la surface d’attaque.

En bref : Aujourd’hui rappelle qu’une défense casse vite quand la confiance est déléguée trop facilement, aux plateformes cloud, à l’e-mail officiel ou aux systèmes publics de scoring. Vérifiez davantage, supposez moins.

Voir les angles morts de confiance avant les attaquants

KENSAI aide les équipes à repérer les systèmes exposés, les chemins d’identité fragiles et les dépendances risquées avant qu’ils deviennent des incidents.

Lancer un scan gratuit →

Restez affûtés.

🗡️ KENSAI Security Team