← Retour au blog
Security Briefing4 min de lecture2026-04-21

Briefing sécurité, 21 avril 2026 : RCE SGLang, usurpation sur Microsoft Teams et malware OT ZionSiphon

Le paysage de menace de ce matin montre des flux de travail de confiance devenus hostiles. Le serving de modèles IA peut devenir de la RCE, les outils de collaboration deviennent des rampes de social engineering, et les malwares OT se rapprochent du sabotage réel.


Top line: Trois signaux comptent aujourd’hui : l’infrastructure IA fait partie de la surface d’attaque, les plateformes de collaboration servent d’intrusion humaine, et les malwares OT se rapprochent d’une perturbation physique.


1. Une faille critique de SGLang transforme des fichiers GGUF malveillants en RCE

The Hacker News a mis en avant CVE-2026-5760, un problème critique d’injection de commandes dans le point de terminaison de reranking de SGLang. Un fichier GGUF spécialement conçu peut déclencher l’exécution de code arbitraire dans le contexte du service SGLang. Si votre pile IA importe, teste ou sert des artefacts tiers, ce n’est pas un problème de niche, c’est un problème de production.


2. Microsoft indique que Teams est de plus en plus utilisé pour des attaques d’usurpation du helpdesk

BleepingComputer rapporte que des attaquants abusent de la collaboration externe dans Microsoft Teams puis s’appuient sur des outils d’administration légitimes pour l’accès et le mouvement latéral. Cela fonctionne parce que les employés s’attendent déjà à des échanges de support dans le chat.


3. ZionSiphon montre que les malwares OT continuent de sonder les opérations du secteur de l’eau

The Hacker News a aussi couvert ZionSiphon, un malware observé contre des systèmes israéliens de traitement de l’eau et de dessalement, avec persistance, altération locale, scan de services OT et logique orientée sabotage autour du chlore et de la pression. Le fait qu’il semble encore inachevé est précisément la raison d’agir maintenant.


Ce que les équipes sécurité doivent faire aujourd’hui

  1. Inventoriez toute utilisation de SGLang et patchez ou isolez d’abord les services d’inférence ou de reranking exposés.
  2. Examinez la fédération Teams, les politiques de chat externe et les conversations récentes de type helpdesk.
  3. Demandez aux équipes OT et facilities s’il existe des anomalies récentes côté contrôleurs, sous-réseaux ou supports USB.
  4. Expliquez à la direction le fil rouge : les workflows de confiance, pas seulement les systèmes exposés, sont désormais la première ligne.

Bottom line: En clair : les attaquants d’aujourd’hui n’entrent pas seulement par des trous évidents. Ils empruntent des fichiers de modèles, des workflows de chat et des outils opérationnels encore considérés comme familiers et sûrs. Cette hypothèse doit disparaître.

Trouvez les ruptures de confiance avant qu’elles ne deviennent des incidents

KENSAI aide les équipes à repérer les chemins d’attaque exposés à travers le cloud, la collaboration, l’IA et les systèmes internet-facing avant qu’ils ne se transforment en brèches.

Scan gratuit →

Restez affûtés.

🗡️ Équipe sécurité KENSAI