🛡️ KENSAI Veille Sécuritaire
Synthèse
- Ericsson US compromis via le piratage d'un prestataire — données employés et clients dérobées
- 0-day Cisco SD-WAN (CVE-2026-20127) désormais massivement exploité, PoC public disponible
- CISA ajoute des failles du kit d'exploit iOS — le kit Coruna cible 23 vulnérabilités (iOS 13–17.2.1)
- Hackers étatiques russes ciblant les comptes Signal et WhatsApp de responsables gouvernementaux
- ShinyHunters exploitent activement une faille Salesforce Aura pour le vol de données
- Le FBI enquête sur des activités suspectes dans un système de surveillance sensible
- OpenAI lance Codex Security — l'agent IA a analysé 1,2 M de commits et détecté 10 500 failles critiques
🔓 Fuites de données & incidents
Ericsson US révèle une fuite de données après le piratage d'un prestataire
Ericsson Inc. (filiale américaine) a confirmé que des attaquants ont volé des données d'employés et de clients après avoir compromis l'un de ses prestataires tiers. L'étendue de la violation reste non divulguée. Une nouvelle attaque de la chaîne d'approvisionnement qui met en lumière les défaillances de la gestion des risques fournisseurs.
ShinyHunters exploitent Salesforce Aura pour un vol de données actif
Salesforce avertit ses clients au sujet de plateformes Experience Cloud mal configurées accordant un accès excessif aux données aux utilisateurs invités. Le groupe d'extorsion ShinyHunters prétend exploiter une nouvelle vulnérabilité pour voler activement des données à partir d'instances Salesforce, au-delà du problème de mauvaise configuration.
Le FBI enquête sur l'intrusion dans un système de surveillance sensible
Le FBI enquête sur une cyberactivité « suspecte » sur un système contenant des informations de surveillance sensibles. Le bureau a notifié le Congrès et travaille à déterminer l'ampleur et l'impact. Les détails restent classifiés.
UNC4899 (Corée du Nord) a compromis une entreprise crypto via un trojan AirDrop
L'acteur de menace nord-coréen UNC4899 (alias Jade Sleet/TraderTraitor) a compromis une organisation de cryptomonnaie en manipulant un développeur par ingénierie sociale pour qu'il transfère par AirDrop un fichier trojanisé sur son appareil professionnel. Les attaquants ont pivoté vers l'infrastructure cloud via des techniques de « living-off-the-cloud » pour dérober des millions en cryptomonnaie.
🚨 CVEs critiques & vulnérabilités
Cisco Catalyst SD-WAN — Zero-Day activement exploité
Vulnérabilité de sévérité maximale dans le Cisco Catalyst SD-WAN Controller et SD-WAN Manager. Exploit PoC public disponible. WatchTowr signale une exploitation massive depuis de nombreuses adresses IP distinctes. Permet le contournement de l'authentification et l'accès root. Patcher immédiatement.
Nginx UI — Téléchargement et déchiffrement de sauvegardes sans authentification
Une vulnérabilité critique dans Nginx UI permet à des attaquants non authentifiés de télécharger et déchiffrer des sauvegardes système complètes, exposant fichiers de configuration, identifiants et données sensibles.
Plateforme AVideo — Injection de commandes zero-click
Vulnérabilité de sévérité maximale zero-click dans la plateforme d'hébergement vidéo open source AVideo, permettant aux attaquants d'exécuter des commandes arbitraires sur les serveurs de streaming sans aucune interaction utilisateur.
MongoDB — Crash serveur sans authentification
Vulnérabilité CVSS 7.5 permettant à des attaquants non authentifiés de faire crasher des serveurs MongoDB exposés avec une bande passante minimale. Découverte par les chercheurs de Cato CTRL.
Plugin WordPress Membership — Création de comptes administrateurs
Le plugin User Registration & Membership pour WordPress permet à des attaquants non authentifiés de contourner les contrôles de sécurité et de créer des comptes administrateurs.
CISA ajoute les failles du kit d'exploit iOS Coruna au KEV
Kit d'exploit iOS de niveau étatique (« Coruna ») ciblant 23 vulnérabilités affectant iOS 13 à 17.2.1. CISA les a ajoutées au catalogue des vulnérabilités activement exploitées le 5 mars. Exploitation active confirmée.
Cisco Secure Firewall Management Center — RCE & contournement d'authentification
Deux avis de sécurité critiques distincts pour Cisco FMC : l'un permettant l'exécution de code à distance (sévérité maximale), l'autre autorisant le contournement d'authentification sans authentification préalable.
Faille ExifTool — Des images malveillantes déclenchent l'exécution de code sur macOS
Des chercheurs de Kaspersky ont découvert une vulnérabilité où des images malveillantes peuvent déclencher l'exécution de code sur macOS via ExifTool, remettant en question l'hypothèse d'immunité de macOS face aux malwares.
Mise à jour d'urgence Google Chrome — 10 correctifs de sécurité
Google a mis à jour Chrome Stable vers 145.0.7632.159, corrigeant 10 vulnérabilités de sécurité dont des problèmes critiques.
🕵️ Acteurs de menace & campagnes
Des hackers étatiques russes détournent des comptes Signal et WhatsApp
Le gouvernement néerlandais a émis un avertissement : des hackers russes soutenus par l'État mènent une campagne de phishing ciblant les responsables gouvernementaux, le personnel militaire et les journalistes pour détourner leurs comptes Signal et WhatsApp et accéder aux messages chiffrés.
CL-UNK-1068 — Espionnage chinois ciblant les infrastructures critiques en Asie
Palo Alto Unit 42 a mis au jour une campagne d'espionnage chinoise de plusieurs années (CL-UNK-1068) ciblant l'aviation, l'énergie, les gouvernements, la pharmacie et les télécommunications en Asie du Sud, du Sud-Est et de l'Est. Utilise des malwares sur mesure, des outils open source modifiés et des LOLBINs pour la persistance.
Du phishing via Microsoft Teams déploie le malware A0Backdoor
Des attaquants ont contacté des employés d'organisations financières et de santé via Microsoft Teams, les incitant à accorder un accès distant via Quick Assist pour déployer un nouveau malware baptisé « A0Backdoor ».
L'attaque ClickFix utilise Windows Terminal pour échapper à la détection
Une nouvelle variante de pages de phishing avec faux CAPTCHA demande aux victimes de coller des commandes malveillantes dans Windows Terminal au lieu de la boîte de dialogue Exécuter, contournant ainsi les méthodes de détection traditionnelles.
Plus de 100 dépôts GitHub distribuent le stealer BoryptGrab
Plus de 100 dépôts GitHub distribuent le voleur d'informations BoryptGrab, ciblant les données de navigateur, les portefeuilles de cryptomonnaie, les informations système et les fichiers utilisateur.
Des extensions Chrome deviennent malveillantes après transfert de propriété
Deux extensions Chrome (QuickLens, ShotBird) sont devenues malveillantes après un transfert de propriété, permettant l'injection de code et le vol de données pour ~7 800 utilisateurs. Cela souligne le risque persistant de la chaîne d'approvisionnement dans l'écosystème des extensions de navigateur.
Un paquet npm malveillant déploie un RAT (voleur d'identifiants)
JFrog a découvert un paquet npm malveillant volant les identifiants système, les données de navigateur, les portefeuilles crypto, les clés SSH, le trousseau Apple Keychain et l'historique iMessage. Il installe un RAT persistant avec proxy SOCKS5 et clonage de session navigateur en temps réel. 178 téléchargements avant la découverte.
Mail2Shell — RCE zero-click sur le helpdesk FreeScout
Une vulnérabilité critique zero-click dans le helpdesk open source FreeScout permet aux attaquants de détourner des serveurs de messagerie simplement en envoyant un e-mail spécialement conçu — aucune interaction utilisateur requise.
🔧 Outils de sécurité & actualités du secteur
OpenAI lance l'agent Codex Security
OpenAI a déployé Codex Security — un agent de sécurité alimenté par l'IA qui détecte, valide et propose des correctifs pour les vulnérabilités. En préversion, il a analysé 1,2 million de commits et trouvé 10 561 failles de haute sévérité. Disponible pour les utilisateurs ChatGPT Pro/Enterprise/Business/Edu. Gratuit le premier mois.
Google : les attaques cloud passent des identifiants faibles à l'exploitation de vulnérabilités
Le rapport H1 2026 Cloud Threat Horizons de Google révèle que les attaquants exploitent de plus en plus les failles logicielles tierces récemment divulguées (pas seulement les identifiants faibles) pour compromettre les environnements cloud. La fenêtre d'exploitation s'est réduite de semaines à quelques jours.
Cybersécurité M&A : 42 transactions en février 2026
Transactions majeures annoncées par Check Point, Booz Allen, Proofpoint, Sophos, Palo Alto Networks et Zscaler. La consolidation se poursuit à un rythme soutenu sur le marché de la cybersécurité.
ArmorCode lève 16 M$ pour la gestion de l'exposition
ArmorCode a sécurisé 16 millions de dollars pour accélérer le développement de sa plateforme de gestion de la posture de sécurité applicative et de gestion de l'exposition.
Cyberstratégie Trump : adversaires, infrastructures critiques, technologies émergentes
La nouvelle cyberstratégie américaine appelle à une dissuasion renforcée contre les cyberadversaires, à la modernisation des réseaux fédéraux, à la protection des infrastructures critiques et à l'investissement dans l'IA et la cryptographie post-quantique.
Cour de l'UE : les banques doivent rembourser immédiatement les victimes de phishing
L'avocat général de la Cour de justice de l'UE a émis un avis formel suggérant que les banques doivent rembourser immédiatement les victimes de transactions non autorisées liées au phishing. Cela pourrait devenir un précédent contraignant dans tous les États membres de l'UE.
📊 Tendances émergentes des menaces
Tendances clés de la semaine
1. Accélération des attaques de la chaîne d'approvisionnement : Paquets npm malveillants, transferts de propriété d'extensions Chrome et compromissions de prestataires (Ericsson) — trois vecteurs supply chain différents en 24 heures. Les chaînes de confiance sont la nouvelle surface d'attaque.
2. La fenêtre d'exploitation cloud se réduit : Le rapport de Google confirme que les attaquants exploitent les vulnérabilités nouvellement divulguées en quelques jours, et non plus en semaines. Les SLA de patching des services exposés au cloud doivent être mesurés en heures.
3. Les messageries ciblées par les États-nations : Les APT russes ciblent spécifiquement Signal et WhatsApp pour le détournement de comptes. Les messageries chiffrées sont des cibles à haute valeur pour l'espionnage, pas des refuges sûrs.
4. Les outils de sécurité IA deviennent grand public : Le lancement de Codex Security d'OpenAI (1,2 M de commits analysés) indique que la détection de vulnérabilités par IA passe de la niche à l'outillage DevSecOps standard. Concurrence directe pour le marché de KENSAI.
5. L'infrastructure Cisco sous siège : 0-day SD-WAN, RCE Firewall Management et contournement d'authentification — les produits Cisco connaissent un pic de vulnérabilités critiques. Les organisations disposant d'une infrastructure Cisco ont besoin de cycles de patching d'urgence.