← Retour au blog
Briefing sécurité5 min de lecture2026-05-01

Briefing sécurité, 1er mai 2026 : alerte Windows de la CISA, attaque supply chain SAP/PyTorch, 0-day cPanel, Copy Fail et RCE Gemini CLI

La leçon de ce matin est sale et familière : dès que des chemins d’admin ou de développement réputés sûrs sont empoisonnés, les attaquants n’ont plus besoin d’élégance pour faire des dégâts.


Top line: Cinq sujets dominent ce matin : la CISA veut des patchs Windows en urgence, la compromission supply chain s’est propagée des paquets npm SAP à PyTorch Lightning et intercom-client, les tentatives sur le bypass cPanel sont actives, Linux Copy Fail rend root bon marché, et Google a dû corriger une faille Gemini CLI à sévérité maximale.


1. L’ordre de patch Windows de la CISA signifie que ce dossier ne relève plus du backlog

BleepingComputer indique que la CISA a ajouté une faille Windows activement exploitée à son catalogue KEV et a imposé une échéance aux agences fédérales. Le signal est limpide : si la CISA force un mouvement d’urgence, les équipes entreprise doivent supposer que les attaquants disposent déjà d’une exploitation concrète.


2. L’affaire SAP npm était déjà grave ; le rebond sur PyTorch Lightning prouve que la campagne s’étend

The Hacker News rapporte que les versions malveillantes 2.6.2 et 2.6.3 de PyTorch Lightning publiées le 30 avril sont liées à la même activité Mini Shai-Hulud qui a touché des paquets npm liés à SAP. Les charges volent des secrets GitHub, npm, SSH, cloud, Kubernetes et CI. Chaque poste développeur ou runner touché doit donc être traité comme un incident.


3. cPanel et WHM restent en mode incendie réel

BleepingComputer et The Register décrivent le bypass d’authentification cPanel/WHM comme critique, exploité et assez grave pour déclencher des correctifs d’urgence. Ce type de faille mène directement à des sites, boîtes mail, bases de données et parfois à toute une flotte d’hébergement.


4. Copy Fail rappelle pourquoi “local seulement” est une triage paresseuse

The Register et The Hacker News décrivent Copy Fail (CVE-2026-31431) comme une élévation locale de privilèges Linux qui transforme un petit foothold en root sur les grandes distributions. C’est crucial dès qu’un code peu fiable peut déjà tourner localement : CI, serveurs partagés, bastions, conteneurs au noyau partagé.


5. Le correctif Gemini CLI de Google ferme un CVSS 10, mais peut casser l’automatisation

The Register et The Hacker News rapportent que Google a corrigé une faille d’exécution de commandes à sévérité maximale dans Gemini CLI et son workflow GitHub Actions associé, avec aussi des problèmes Cursor menant à de l’exécution de code. C’est pénible pour l’exploitation, mais laisser un chemin d’exécution hôte ouvert serait pire.

Ce qu’il faut faire aujourd’hui

Patchez les Windows urgents, faites tourner les secrets touchés par des installations compromises, fermez la faille cPanel, corrigez les noyaux Linux là où l’exécution locale compte, puis retestez la CI assistée par IA après les mises à jour Gemini. Le motif est brutal : les tuyaux opérationnels de confiance sont visés.

Sources

  • BleepingComputer sur l’ordre de patch Windows de la CISA.
  • BleepingComputer et The Hacker News sur la compromission SAP npm et le rebond PyTorch Lightning.
  • BleepingComputer et The Register sur le bypass cPanel/WHM.
  • The Register et The Hacker News sur Copy Fail (CVE-2026-31431).
  • The Register et The Hacker News sur le correctif Gemini CLI de Google.