剣 KENSAI
← Back to archive

🛡️ KENSAI Renseignement Sécurité

Briefing quotidien des menaces — Lundi 9 mars 2026 · Généré automatiquement à 04h00 CET

5
Acteurs de menace
3
CVEs critiques
2
Sorties d'outils
4
Violations de données

⚡ TL;DR — Actualités principales

  • Le FBI enquête sur une violation d'un système contenant des données de surveillance sensibles
  • Violation Cognizant TriZetto expose les données de santé de 3,4 M de patients
  • Cisco SD-WAN CVE-2026-20127 désormais largement exploité dans la nature
  • Anthropic a trouvé 22 vulnérabilités Firefox avec Claude Opus 4.6 en deux semaines
  • MuddyWater iranien infiltré dans des banques et aéroports américains avec la nouvelle backdoor Dindoor
  • Les malwares codés par IA se généralisent — Transparent Tribe produit en masse du « vibeware »

🔓 Violations de données & intrusions

Le FBI enquête sur la violation d'un système de surveillance sensible

Critique Gouv. US

Le FBI enquête sur une activité cyber « suspecte » sur un système contenant des informations de surveillance sensibles. Le bureau travaille à déterminer l'ampleur et l'impact, selon une notification envoyée au Congrès. Le système compromis contiendrait des données liées au FISA.

Source : SecurityWeek

La violation Cognizant TriZetto expose 3,4 millions de dossiers patients

Élevé Santé

L'entreprise de technologies de santé TriZetto Provider Solutions (filiale de Cognizant) a subi une violation exposant les informations de santé sensibles de plus de 3,4 millions de personnes. L'entreprise développe des logiciels utilisés par les assureurs et prestataires de santé aux États-Unis.

La violation de données de Transport for London affecte 10 millions de personnes

Élevé UK Transport

Transport for London (TfL) a confirmé une violation de données affectant environ 10 millions d'individus. Les détails émergent à la suite d'un incident cyber antérieur chez l'opérateur de transport britannique.

Source : SecurityWeek

L'APT iranien MuddyWater infiltré dans une banque, un aéroport et une entreprise logicielle américains

Critique État-nation Iran

Symantec de Broadcom a découvert que le groupe iranien MuddyWater (Seedworm) s'est infiltré dans les réseaux de banques américaines, d'aéroports, d'une organisation à but non lucratif et de la filiale israélienne d'une entreprise de logiciels de défense/aérospatiale. La campagne utilise une nouvelle backdoor nommée « Dindoor » et a débuté début février 2026, avec une intensification de l'activité après les frappes américano-israéliennes sur l'Iran.

🐛 CVEs critiques & exploits

CVE-2026-20127 — Cisco Catalyst SD-WAN (Largement exploité)

Critique Réseau

WatchTowr rapporte des tentatives d'exploitation provenant de nombreuses adresses IP uniques ciblant cette vulnérabilité Cisco Catalyst SD-WAN. Les organisations utilisant l'infrastructure SD-WAN affectée doivent corriger immédiatement.

Source : SecurityWeek

CISA ajoute les failles Hikvision & Rockwell CVSS 9.8 au catalogue KEV

CVSS 9.8 ICS/OT

CISA a ajouté deux vulnérabilités critiques à son catalogue des vulnérabilités exploitées connues : CVE-2017-7921 (authentification incorrecte Hikvision) et une faille Rockwell Automation permettant le piratage ICS à distance. Les deux présentent des preuves d'exploitation active.

CISA ordonne aux agences fédérales de corriger les failles iOS — Coruna Exploit Kit

Élevé Mobile Spyware

CISA a ordonné aux agences fédérales américaines de corriger trois vulnérabilités iOS ciblées par le kit d'exploitation « Coruna » de niveau étatique, qui cible 23 vulnérabilités d'iOS 13 à 17.2.1. Utilisé dans des campagnes de cyberespionnage et de vol de cryptomonnaies.

Anthropic découvre 22 vulnérabilités Firefox grâce à l'IA

14 de haute sévérité Navigateur

Claude Opus 4.6 d'Anthropic a trouvé 22 vulnérabilités dans Firefox (14 élevées, 7 modérées, 1 faible) en seulement deux semaines — près d'un cinquième de tous les bugs de haute sévérité corrigés dans Firefox en 2025. Un use-after-free a été détecté en seulement 20 minutes. Corrigé dans Firefox 148. Anthropic a également démontré une capacité limitée de génération d'exploits (4 000 $ de crédits API, 2 exploits réussis sur des centaines de tentatives).

💀 Ransomware & malware

Le ransomware Termite lié aux attaques ClickFix + CastleRAT

Élevé Ransomware

Le groupe de menace Velvet Tempest déploie le ransomware Termite via la technique d'ingénierie sociale ClickFix et des utilitaires Windows légitimes pour diffuser DonutLoader et la backdoor CastleRAT. La technique ClickFix continue d'évoluer à travers plusieurs acteurs de menace.

Les campagnes ClickFix prolifèrent — utilisant désormais Windows Terminal

Élevé Ingénierie sociale

Microsoft a révélé une nouvelle variante de ClickFix utilisant Windows Terminal (au lieu de la boîte de dialogue Exécuter) pour déployer Lumma Stealer. Séparément, une nouvelle variante « InstallFix » cible les utilisateurs avec de faux guides d'installation de Claude Code pour diffuser des infostealers. ClickFix est désormais le vecteur d'ingénierie sociale dominant à travers plusieurs groupes de menace.

VOID#GEIST : campagne multi-étapes diffusant XWorm, AsyncRAT, Xeno RAT

Malware RAT

Securonix a découvert une campagne de malware multi-étapes utilisant des scripts batch obfusqués pour diffuser des charges utiles RAT chiffrées. Utilise un runtime Python légitime et l'injection Early Bird APC dans explorer.exe. Illustre la tendance vers la diffusion par scripts imitant l'activité utilisateur légitime.

Plus de 100 dépôts GitHub distribuant le stealer BoryptGrab

Élevé Chaîne d'approvisionnement

Plus de 100 dépôts GitHub ont été trouvés distribuant le stealer BoryptGrab ciblant les données de navigateur, les portefeuilles de cryptomonnaies, les informations système et les fichiers utilisateur. Partie de la tendance croissante à abuser des plateformes de développement de confiance pour la diffusion de malware.

Source : SecurityWeek

🕵️ Activité étatique & APT

Transparent Tribe — Production de masse de « vibeware » généré par IA

Pakistan IA-Malware Inde

Le groupe Transparent Tribe, aligné sur le Pakistan, utilise des outils de codage IA pour produire en masse des implants malveillants dans des langages moins courants (Nim, Zig, Crystal), hébergés sur Slack, Discord, Supabase et Google Sheets. Bitdefender qualifie cela d'« industrialisation du malware assistée par IA » — inondant les cibles de binaires polyglottes jetables. Un moment charnière dans les opérations offensives assistées par IA.

UAT-9244 lié à la Chine cible les télécommunications sud-américaines

Chine Télécom APT

Cisco Talos suit UAT-9244 (lié à FamousSparrow / chevauchement potentiel avec Salt Typhoon) ciblant l'infrastructure télécom critique en Amérique du Sud depuis 2024. Utilise trois implants : TernDoor, PeerTime et BruteEntry sur Windows, Linux et les appareils périphériques.

Des hackers exploitent le DNS .arpa & IPv6 pour contourner les défenses anti-phishing

Évasion Phishing

Des acteurs de menace exploitent le domaine à usage spécial .arpa et le DNS inversé IPv6 dans des campagnes de phishing pour contourner les vérifications de réputation de domaine et les passerelles de sécurité email. Une technique d'évasion novatrice qui contourne le filtrage URL traditionnel.

🔧 Outils de sécurité & sorties

OpenAI Codex Security — Scanner de vulnérabilités IA

Sortie d'outil Sécurité IA

OpenAI a lancé Codex Security en préversion de recherche — un agent alimenté par IA qui trouve, valide et propose des corrections de vulnérabilités. 1,2 M de commits scannés en bêta, 10 561 problèmes de haute sévérité trouvés. Disponible pour ChatGPT Pro/Enterprise/Business/Edu. Gratuit le premier mois. Note concurrentielle : Concurrent direct des capacités de scan automatisé de KENSAI.

ArmorCode lève 16 M$ pour sa plateforme de gestion de l'exposition

Financement AppSec

ArmorCode a levé 16 M$ pour accélérer le développement de sa plateforme de gestion de l'exposition. L'entreprise se concentre sur la gestion de la posture de sécurité applicative (ASPM) et la consolidation de la gestion des vulnérabilités.

Source : SecurityWeek

Evervault lève 25 M$ en Series B pour sa plateforme de chiffrement pour développeurs

Financement Sécurité des données

L'entreprise de sécurité des données Evervault a levé 25 M$ (Series B, 46 M$ au total) pour sa plateforme de chiffrement et d'orchestration orientée développeurs. Demande croissante du marché pour les solutions privacy-by-design.

Source : SecurityWeek

📊 Tendances émergentes & analyses

Microsoft : les hackers utilisent l'IA à chaque étape des cyberattaques

Tendance Menaces IA

Microsoft alerte que les acteurs de menace utilisent de plus en plus l'IA à toutes les étapes — reconnaissance, ingénierie sociale, développement de malware, mouvement latéral et exfiltration de données. L'IA abaisse les barrières techniques et accélère les délais d'attaque. Combiné avec le vibeware de Transparent Tribe et les découvertes Firefox d'Anthropic, mars 2026 marque un point d'inflexion clair pour l'IA en attaque comme en défense.

Google : la moitié des 90 zero-days de 2025 ciblaient les entreprises

Tendance Zero-Day

L'analyse annuelle des zero-days de Google révèle 90 zero-days exploités en 2025, dont près de la moitié ciblaient des produits entreprise. Les fournisseurs de spyware et les groupes liés à la Chine menaient l'attribution. Le virage vers le ciblage des entreprises souligne la nécessité d'une gestion proactive des vulnérabilités.

Source : SecurityWeek

L'ingénierie sociale ClickFix — Le vecteur dominant de 2026

Tendance Ingénierie sociale

ClickFix et ses variantes (InstallFix, diffusion CastleRAT) sont désormais utilisés par au moins 3 groupes de menace distincts (Velvet Tempest, campagnes Lumma génériques, faux installateurs d'outils CLI). La technique trompe les utilisateurs en les incitant à exécuter des commandes malveillantes en se faisant passer pour des procédures d'installation ou de correction. Elle est devenue la technique d'ingénierie sociale de prédilection pour 2026.

Mise à jour de la cyberstratégie américaine & changements de direction au Pentagone

Politique Gouv. US

La nouvelle cyberstratégie de Trump met l'accent sur une dissuasion renforcée, la modernisation des réseaux fédéraux, la protection des infrastructures critiques et l'investissement dans l'IA + la cryptographie post-quantique. James « Aaron » Bishop est nommé nouveau CISO du Pentagone, remplaçant David McKeown après 40 ans de service gouvernemental.

Source : SecurityWeek

🎯 Pertinence KENSAI

Veille concurrentielle

OpenAI Codex Security lancé comme concurrent direct dans le domaine du scan de vulnérabilités par IA. Différenciateur clé pour KENSAI : Codex se concentre sur le scan de code/commits tandis que KENSAI offre du pentesting full-stack (DAST + infrastructure). Positionner KENSAI comme l'« évaluation de sécurité complète » vs. l'approche « code uniquement » de Codex.

Opportunités de contenu

Article de blog « IA vs. IA » — Comment l'IA trouve des vulnérabilités (Anthropic/Firefox) et comment l'IA crée des malwares (Transparent Tribe). KENSAI comme côté défensif de cette course aux armements.
Guide de sensibilisation ClickFix — Plusieurs variantes maintenant actives ; rédiger un guide de détection/prévention.
Couverture CVE — CVE-2026-20127 (Cisco SD-WAN) est activement exploité ; ajouter à la base de données CVE de KENSAI si absent.

Compilé par KENSAI Security Intelligence · kensai.app
Sources : BleepingComputer · The Hacker News · SecurityWeek · CISA
Prochain rapport : 10 mars 2026 · 04h00 CET