🛡️ Bulletin Quotidien de Sécurité
En bref : Le FBI enquête sur une intrusion dans ses systèmes de surveillance et d'écoutes. CISA a ajouté des zero-days iOS du kit d'exploitation Coruna au catalogue KEV. L'APT chinois UAT-9244 a ciblé les télécoms sud-américains avec trois nouveaux implants. L'APT iranien MuddyWater s'est infiltré dans des infrastructures critiques américaines. Une fuite massive dans le secteur de la santé a exposé 3,4 millions de dossiers patients. Les malwares générés par IA industrialisent les opérations des acteurs malveillants.
🔓 Fuites de données & intrusions
Le FBI enquête sur l'intrusion dans ses systèmes de surveillance et d'écoutes
Le FBI a confirmé enquêter sur une « cyberactivité suspecte » sur les systèmes utilisés pour gérer les mandats de surveillance et d'écoutes téléphoniques. L'intrusion — révélée en premier par CNN — a affecté les réseaux gérant les écoutes autorisées par la justice et la surveillance des services de renseignement étrangers. Le FBI indique que l'incident a été « traité », mais l'étendue reste incertaine. Des liens possibles avec la campagne Salt Typhoon qui a compromis les télécoms américains en 2024 sont examinés.
La fuite Cognizant TriZetto expose 3,4 millions de dossiers patients
TriZetto Provider Solutions, filiale de Cognizant spécialisée en informatique de santé au service des assureurs et prestataires médicaux, a divulgué une fuite exposant les données de santé sensibles de plus de 3,4 millions de patients. Les données compromises comprennent des informations personnelles identifiables (PII) et des informations de santé protégées (PHI). C'est l'une des plus importantes fuites dans le secteur de la santé signalées en 2026.
L'APT iranien MuddyWater infiltré dans un aéroport, une banque et un éditeur logiciel américains
Des chercheurs de Symantec et Carbon Black ont découvert que MuddyWater (Seedworm), un APT affilié au MOIS iranien, a établi un accès persistant au sein de plusieurs organisations américaines — dont des banques, des aéroports et une association — en utilisant une nouvelle porte dérobée « Dindoor ». L'activité a commencé en février 2026 et s'est intensifiée après les frappes américano-israéliennes sur l'Iran. Un éditeur logiciel servant la défense et l'aérospatiale a également été ciblé via ses opérations israéliennes.
Le forum cybercriminel LeakBase démantelé, des suspects arrêtés
La plateforme de vente d'identifiants volés LeakBase, active depuis 2021 avec 142 000 utilisateurs, a été saisie par les forces de l'ordre et des suspects ont été arrêtés. Le forum était spécialisé dans le commerce d'identifiants fuités et de données personnelles.
🐛 CVE critiques & vulnérabilités exploitées
CISA ajoute 23 failles iOS du kit d'exploitation Coruna au KEV
CISA a ordonné aux agences fédérales de corriger les vulnérabilités iOS exploitées par le kit Coruna — un toolkit de niveau étatique ciblant 23 vulnérabilités d'iOS 13 à 17.2.1. Les failles ont été utilisées dans des opérations de cyberespionnage et de vol de cryptomonnaies. Il s'agit d'une escalade significative des attaques ciblant les appareils mobiles.
Failles Cisco Catalyst SD-WAN exploitées en conditions réelles (CVE-2026-20128 & CVE-2026-20122)
Cisco a ajouté deux vulnérabilités récemment corrigées de Catalyst SD-WAN à sa liste de failles exploitées en conditions réelles. CVE-2026-20128 et CVE-2026-20122 sont activement ciblées. Les organisations utilisant Catalyst SD-WAN doivent appliquer les correctifs immédiatement.
Une vulnérabilité Rockwell ICS désormais exploitée dans des attaques
Une vulnérabilité Rockwell Automation initialement divulguée et corrigée en 2021 est désormais activement exploitée dans des attaques ciblant les systèmes de contrôle industriel (ICS). La faille permet le piratage à distance d'environnements ICS, mettant en danger les infrastructures critiques.
Google : la moitié des 90 zero-days de 2025 ciblaient les entreprises
L'analyse annuelle de Google sur les zero-days révèle que 90 vulnérabilités zero-day ont été exploitées en conditions réelles en 2025 — dont près de la moitié ciblant des produits d'entreprise. Les fournisseurs de logiciels espions et les acteurs étatiques chinois étaient les groupes de menaces les plus identifiés. Le virage vers les zero-days ciblant les entreprises témoigne d'un investissement croissant des attaquants dans les cibles à haute valeur.
🌐 Campagnes étatiques & espionnage
L'APT chinois UAT-9244 cible les télécoms sud-américains avec 3 nouveaux implants
Cisco Talos a identifié un APT lié à la Chine (UAT-9244, associé à FamousSparrow) ciblant les infrastructures télécoms sud-américaines depuis 2024. Trois implants jusqu'alors non documentés ont été déployés : TernDoor (Windows), PeerTime/angrypeer (Linux) et BruteEntry (équipements périphériques). Le cluster présente des recoupements tactiques avec Salt Typhoon, mais aucun lien définitif n'a été établi.
Transparent Tribe utilise l'IA pour produire massivement des malwares polyglottes
Le groupe Transparent Tribe, aligné sur le Pakistan, a adopté des outils de codage assistés par IA pour générer en masse des « binaires polyglottes jetables » écrits en Nim, Zig et Crystal. Les implants exploitent des services de confiance (Slack, Discord, Supabase, Google Sheets) comme canaux C2. Les chercheurs de Bitdefender décrivent cela comme une « industrialisation des malwares assistée par IA » — un passage de la sophistication au volume. Cibles : l'Inde.
💀 Malwares & Ransomware
Un opérateur russe de ransomware plaide coupable aux États-Unis
Evgenii Ptitsyn, un ressortissant russe extradé de Corée du Sud en novembre 2024, a plaidé coupable de charges liées aux ransomwares devant un tribunal américain. Les détails sur la variante spécifique de ransomware et le nombre de victimes n'ont pas été entièrement divulgués, mais l'affaire souligne la coopération internationale continue contre les opérateurs de ransomware.
VOID#GEIST : campagne multi-étapes déployant XWorm, AsyncRAT et Xeno RAT
Les chercheurs de Securonix ont documenté une campagne furtive multi-étapes utilisant des scripts batch obfusqués pour déployer des charges RAT chiffrées (XWorm, AsyncRAT, Xeno RAT) via des runtimes Python légitimes et l'injection Early Bird APC dans explorer.exe. La technique imite étroitement l'activité utilisateur légitime pour échapper à la détection.
De faux guides d'installation de Claude Code propagent des infostealers (« InstallFix »)
Une nouvelle variante d'ingénierie sociale baptisée « InstallFix » piège les utilisateurs pour qu'ils exécutent des commandes malveillantes en prétendant installer des outils CLI légitimes comme Claude Code. Cette technique dérivée de ClickFix capitalise sur la popularité des outils de développement IA pour distribuer des malwares voleurs d'informations.
Wikipedia frappé par un ver JavaScript auto-propageable
La Wikimedia Foundation a subi un incident de sécurité impliquant un ver JavaScript auto-propageable qui vandalisait des pages et se propageait sur la plateforme. Bien qu'il ne s'agisse pas d'une attaque malware traditionnelle, l'incident démontre que les plateformes de confiance restent vulnérables aux vecteurs d'attaque créatifs.
🏢 Industrie de la sécurité & financements
ArmorCode lève 16 M$ pour sa plateforme de gestion de l'exposition
ArmorCode a sécurisé 16 millions de dollars pour accélérer sa plateforme ASPM (Application Security Posture Management) et de gestion de l'exposition. L'investissement sera consacré à l'innovation produit et à l'expansion commerciale.
Evervault lève 25 M$ en Série B pour sa plateforme de chiffrement
L'entreprise de sécurité des données Evervault a levé 25 millions de dollars en financement de Série B, portant son total à 46 millions de dollars. La plateforme orientée développeurs fournit des capacités de chiffrement et d'orchestration des données.
Reclaim Security lève 20 M$ pour accélérer la remédiation
Reclaim Security a levé 20 millions de dollars pour étoffer son équipe d'ingénierie, approfondir ses intégrations et accélérer la mise sur le marché de sa plateforme de sécurité axée sur la remédiation.
📊 Tendances émergentes des menaces
Industrialisation des malwares assistée par IA
Plusieurs rapports cette semaine confirment que les acteurs malveillants transforment les outils de codage IA en armes — non pour la sophistication, mais pour le volume. L'approche « vibeware » de Transparent Tribe inonde les cibles de binaires polyglottes jetables. La campagne InstallFix exploite la popularité des outils IA pour l'ingénierie sociale. Bing AI a été surpris à promouvoir de faux dépôts OpenClaw contenant des infostealers. La tendance est claire : l'IA abaisse la barrière pour produire massivement malwares et leurres.
Infrastructure télécom sous pression APT soutenue
Les APT chinois continuent de cibler agressivement l'infrastructure télécom mondiale. Le nouvel arsenal d'UAT-9244 (TernDoor, PeerTime, BruteEntry) s'ajoute aux campagnes antérieures de Salt Typhoon. Avec le FBI qui enquête désormais sur l'intrusion dans ses propres systèmes d'écoutes, la convergence des infrastructures télécom et de surveillance crée un risque cumulatif pour la sécurité nationale.
Les zero-days entreprise dépassent les cibles grand public
Le rapport zero-day 2025 de Google confirme un changement structurel : la moitié des 90 zero-days exploités ciblaient des produits d'entreprise (pas les navigateurs/mobiles). Les fournisseurs de logiciels espions et les acteurs étatiques investissent davantage dans les surfaces d'attaque entreprise — VPN, appliances SD-WAN, systèmes ICS — où la détection est plus faible et l'impact plus élevé.