← Retour au blog
Briefing sécurité5 min read2026-05-04

Briefing sécurité, 4 mai 2026 : rançongiciel cPanel, fuite Instructure, arnaques Telegram Mini Apps et chaos certificats Microsoft Defender

Le motif laid de ce matin, c’est une confiance mise sous pression : panneaux d’hébergement, plateformes éducatives, apps de messagerie et protection endpoint sont devenus des leviers dès que le chemin familier a été confondu avec le chemin sûr.


À retenir : Patchez cPanel vite, traitez les données liées à Instructure comme potentiellement exposées, méfiez-vous des Mini Apps Telegram qui demandent des dépôts ou des APK, et vérifiez l’état des certificats Defender sur le parc Windows touché le 3 mai.


1. cPanel est passé très vite de bug critique à rançongiciel Linux bien réel

La CVE-2026-41940 dans cPanel et WHM est déjà exploitée à grande échelle. Selon BleepingComputer, au moins 44 000 IP cPanel ont été compromises dans des attaques en cours, puis rapidement converties en déploiements du rançongiciel Linux "Sorry", écrit en Go, qui ajoute .sorry aux fichiers chiffrés.


2. Instructure est désormais un vrai scénario de fuite dans l’éducation, pas juste une notification d’incident

Instructure a confirmé que des données d’utilisateurs ont été volées dans l’attaque révélée vendredi. L’entreprise cite des noms, adresses e-mail, identifiants étudiants et messages entre utilisateurs des institutions concernées. Aucune preuve à ce stade pour les mots de passe, dates de naissance, identifiants gouvernementaux ou données financières, mais le rayon d’impact peut rester énorme si les affirmations de ShinyHunters sont même partiellement exactes.


3. Les Telegram Mini Apps servent de UX d’arnaque et de rail de livraison de malware Android

Les chercheurs de CTM360 disent que l’opération FEMITBOT utilise bots Telegram et Mini Apps pour usurper des marques, afficher de faux soldes, pousser les victimes à déposer de l’argent et parfois distribuer des APK Android déguisés en applications légitimes. L’astuce marche car le phishing reste à l’intérieur de Telegram et paraît donc normal.


4. Les faux positifs Defender ont transformé des racines DigiCert fiables en risque de panne

Une mise à jour de signatures Defender a marqué des certificats racine DigiCert légitimes comme Trojan:Win32/Cerdigent.A!dha et les a, sur certains systèmes, retirés du magasin de confiance Windows. Microsoft dit que le problème est corrigé à partir de la version 1.449.430.0 de Security Intelligence, mais ce type d’erreur défensive casse discrètement la chaîne de confiance pendant que les équipes chassent des fantômes.


Ce que les équipes sécurité doivent faire aujourd’hui

  1. Patchez d’abord cPanel et WHM si un panneau d’hébergement exposé reste non corrigé.
  2. Évaluez si votre institution, vos clients ou vos fournisseurs dépendent d’Instructure ou Canvas et préparez la communication.
  3. Diffusez une alerte utilisateur sur les arnaques d’investissement Telegram et bloquez les chemins d’APK sideloadés quand c’est possible.
  4. Auditez les endpoints Windows pour les faux positifs Defender sur certificats avant que des ruptures de confiance ne deviennent des pannes visibles.

Sources


En bref : Le point commun du jour est une confiance mal placée dans une infrastructure familière. Les attaquants l’exploitent via cPanel et Telegram, et les défenseurs ont trébuché dessus côté certificats. Les équipes qui vérifient leurs hypothèses le plus vite subiront le moins de dégâts.

Repérez les chemins de confiance exposés avant les attaquants ou les outils défaillants

KENSAI aide les équipes à cartographier les panneaux exposés, dépendances SaaS, surfaces de phishing et angles morts de chaîne de confiance avant qu’ils ne deviennent des incidents.

Lancer un scan gratuit →

Restez affûtés.

🗡️ KENSAI Security Team