La leçon de ce matin est sale et familière : dès que des chemins d’admin ou de développement réputés sûrs sont empoisonnés, les attaquants n’ont plus besoin d’élégance pour faire des dégâts.
Top line: Cinq sujets dominent ce matin : la CISA veut des patchs Windows en urgence, la compromission supply chain s’est propagée des paquets npm SAP à PyTorch Lightning et intercom-client, les tentatives sur le bypass cPanel sont actives, Linux Copy Fail rend root bon marché, et Google a dû corriger une faille Gemini CLI à sévérité maximale.
BleepingComputer indique que la CISA a ajouté une faille Windows activement exploitée à son catalogue KEV et a imposé une échéance aux agences fédérales. Le signal est limpide : si la CISA force un mouvement d’urgence, les équipes entreprise doivent supposer que les attaquants disposent déjà d’une exploitation concrète.
The Hacker News rapporte que les versions malveillantes 2.6.2 et 2.6.3 de PyTorch Lightning publiées le 30 avril sont liées à la même activité Mini Shai-Hulud qui a touché des paquets npm liés à SAP. Les charges volent des secrets GitHub, npm, SSH, cloud, Kubernetes et CI. Chaque poste développeur ou runner touché doit donc être traité comme un incident.
BleepingComputer et The Register décrivent le bypass d’authentification cPanel/WHM comme critique, exploité et assez grave pour déclencher des correctifs d’urgence. Ce type de faille mène directement à des sites, boîtes mail, bases de données et parfois à toute une flotte d’hébergement.
The Register et The Hacker News décrivent Copy Fail (CVE-2026-31431) comme une élévation locale de privilèges Linux qui transforme un petit foothold en root sur les grandes distributions. C’est crucial dès qu’un code peu fiable peut déjà tourner localement : CI, serveurs partagés, bastions, conteneurs au noyau partagé.
The Register et The Hacker News rapportent que Google a corrigé une faille d’exécution de commandes à sévérité maximale dans Gemini CLI et son workflow GitHub Actions associé, avec aussi des problèmes Cursor menant à de l’exécution de code. C’est pénible pour l’exploitation, mais laisser un chemin d’exécution hôte ouvert serait pire.
Patchez les Windows urgents, faites tourner les secrets touchés par des installations compromises, fermez la faille cPanel, corrigez les noyaux Linux là où l’exécution locale compte, puis retestez la CI assistée par IA après les mises à jour Gemini. Le motif est brutal : les tuyaux opérationnels de confiance sont visés.