剣 KENSAI
← Back to archive

🛡️ KENSAI Veille Sécuritaire

Mardi 10 mars 2026 · Bulletin quotidien des menaces

Synthèse

  • Ericsson US compromis via le piratage d'un prestataire — données employés et clients dérobées
  • 0-day Cisco SD-WAN (CVE-2026-20127) désormais massivement exploité, PoC public disponible
  • CISA ajoute des failles du kit d'exploit iOS — le kit Coruna cible 23 vulnérabilités (iOS 13–17.2.1)
  • Hackers étatiques russes ciblant les comptes Signal et WhatsApp de responsables gouvernementaux
  • ShinyHunters exploitent activement une faille Salesforce Aura pour le vol de données
  • Le FBI enquête sur des activités suspectes dans un système de surveillance sensible
  • OpenAI lance Codex Security — l'agent IA a analysé 1,2 M de commits et détecté 10 500 failles critiques

🔓 Fuites de données & incidents

HIGH IMPACT

Ericsson US révèle une fuite de données après le piratage d'un prestataire

Ericsson Inc. (filiale américaine) a confirmé que des attaquants ont volé des données d'employés et de clients après avoir compromis l'un de ses prestataires tiers. L'étendue de la violation reste non divulguée. Une nouvelle attaque de la chaîne d'approvisionnement qui met en lumière les défaillances de la gestion des risques fournisseurs.

CRITICAL

ShinyHunters exploitent Salesforce Aura pour un vol de données actif

Salesforce avertit ses clients au sujet de plateformes Experience Cloud mal configurées accordant un accès excessif aux données aux utilisateurs invités. Le groupe d'extorsion ShinyHunters prétend exploiter une nouvelle vulnérabilité pour voler activement des données à partir d'instances Salesforce, au-delà du problème de mauvaise configuration.

HIGH IMPACT

Le FBI enquête sur l'intrusion dans un système de surveillance sensible

Le FBI enquête sur une cyberactivité « suspecte » sur un système contenant des informations de surveillance sensibles. Le bureau a notifié le Congrès et travaille à déterminer l'ampleur et l'impact. Les détails restent classifiés.

Source : SecurityWeek
HIGH IMPACT

UNC4899 (Corée du Nord) a compromis une entreprise crypto via un trojan AirDrop

L'acteur de menace nord-coréen UNC4899 (alias Jade Sleet/TraderTraitor) a compromis une organisation de cryptomonnaie en manipulant un développeur par ingénierie sociale pour qu'il transfère par AirDrop un fichier trojanisé sur son appareil professionnel. Les attaquants ont pivoté vers l'infrastructure cloud via des techniques de « living-off-the-cloud » pour dérober des millions en cryptomonnaie.

🚨 CVEs critiques & vulnérabilités

CVSS 10.0 CVE-2026-20127

Cisco Catalyst SD-WAN — Zero-Day activement exploité

Vulnérabilité de sévérité maximale dans le Cisco Catalyst SD-WAN Controller et SD-WAN Manager. Exploit PoC public disponible. WatchTowr signale une exploitation massive depuis de nombreuses adresses IP distinctes. Permet le contournement de l'authentification et l'accès root. Patcher immédiatement.

CRITICAL CVE-2026-27944

Nginx UI — Téléchargement et déchiffrement de sauvegardes sans authentification

Une vulnérabilité critique dans Nginx UI permet à des attaquants non authentifiés de télécharger et déchiffrer des sauvegardes système complètes, exposant fichiers de configuration, identifiants et données sensibles.

CRITICAL CVE-2026-29058

Plateforme AVideo — Injection de commandes zero-click

Vulnérabilité de sévérité maximale zero-click dans la plateforme d'hébergement vidéo open source AVideo, permettant aux attaquants d'exécuter des commandes arbitraires sur les serveurs de streaming sans aucune interaction utilisateur.

HIGH CVE-2026-25611

MongoDB — Crash serveur sans authentification

Vulnérabilité CVSS 7.5 permettant à des attaquants non authentifiés de faire crasher des serveurs MongoDB exposés avec une bande passante minimale. Découverte par les chercheurs de Cato CTRL.

CRITICAL CVE-2026-1492

Plugin WordPress Membership — Création de comptes administrateurs

Le plugin User Registration & Membership pour WordPress permet à des attaquants non authentifiés de contourner les contrôles de sécurité et de créer des comptes administrateurs.

CRITICAL iOS EXPLOIT KIT

CISA ajoute les failles du kit d'exploit iOS Coruna au KEV

Kit d'exploit iOS de niveau étatique (« Coruna ») ciblant 23 vulnérabilités affectant iOS 13 à 17.2.1. CISA les a ajoutées au catalogue des vulnérabilités activement exploitées le 5 mars. Exploitation active confirmée.

Source : SecurityWeek
HIGH

Cisco Secure Firewall Management Center — RCE & contournement d'authentification

Deux avis de sécurité critiques distincts pour Cisco FMC : l'un permettant l'exécution de code à distance (sévérité maximale), l'autre autorisant le contournement d'authentification sans authentification préalable.

HIGH

Faille ExifTool — Des images malveillantes déclenchent l'exécution de code sur macOS

Des chercheurs de Kaspersky ont découvert une vulnérabilité où des images malveillantes peuvent déclencher l'exécution de code sur macOS via ExifTool, remettant en question l'hypothèse d'immunité de macOS face aux malwares.

MEDIUM

Mise à jour d'urgence Google Chrome — 10 correctifs de sécurité

Google a mis à jour Chrome Stable vers 145.0.7632.159, corrigeant 10 vulnérabilités de sécurité dont des problèmes critiques.

🕵️ Acteurs de menace & campagnes

RUSSIA APT

Des hackers étatiques russes détournent des comptes Signal et WhatsApp

Le gouvernement néerlandais a émis un avertissement : des hackers russes soutenus par l'État mènent une campagne de phishing ciblant les responsables gouvernementaux, le personnel militaire et les journalistes pour détourner leurs comptes Signal et WhatsApp et accéder aux messages chiffrés.

CHINA APT

CL-UNK-1068 — Espionnage chinois ciblant les infrastructures critiques en Asie

Palo Alto Unit 42 a mis au jour une campagne d'espionnage chinoise de plusieurs années (CL-UNK-1068) ciblant l'aviation, l'énergie, les gouvernements, la pharmacie et les télécommunications en Asie du Sud, du Sud-Est et de l'Est. Utilise des malwares sur mesure, des outils open source modifiés et des LOLBINs pour la persistance.

SOCIAL ENGINEERING

Du phishing via Microsoft Teams déploie le malware A0Backdoor

Des attaquants ont contacté des employés d'organisations financières et de santé via Microsoft Teams, les incitant à accorder un accès distant via Quick Assist pour déployer un nouveau malware baptisé « A0Backdoor ».

PHISHING

L'attaque ClickFix utilise Windows Terminal pour échapper à la détection

Une nouvelle variante de pages de phishing avec faux CAPTCHA demande aux victimes de coller des commandes malveillantes dans Windows Terminal au lieu de la boîte de dialogue Exécuter, contournant ainsi les méthodes de détection traditionnelles.

Source : SecurityWeek
MALWARE

Plus de 100 dépôts GitHub distribuent le stealer BoryptGrab

Plus de 100 dépôts GitHub distribuent le voleur d'informations BoryptGrab, ciblant les données de navigateur, les portefeuilles de cryptomonnaie, les informations système et les fichiers utilisateur.

Source : SecurityWeek
SUPPLY CHAIN

Des extensions Chrome deviennent malveillantes après transfert de propriété

Deux extensions Chrome (QuickLens, ShotBird) sont devenues malveillantes après un transfert de propriété, permettant l'injection de code et le vol de données pour ~7 800 utilisateurs. Cela souligne le risque persistant de la chaîne d'approvisionnement dans l'écosystème des extensions de navigateur.

SUPPLY CHAIN

Un paquet npm malveillant déploie un RAT (voleur d'identifiants)

JFrog a découvert un paquet npm malveillant volant les identifiants système, les données de navigateur, les portefeuilles crypto, les clés SSH, le trousseau Apple Keychain et l'historique iMessage. Il installe un RAT persistant avec proxy SOCKS5 et clonage de session navigateur en temps réel. 178 téléchargements avant la découverte.

ZERO-CLICK

Mail2Shell — RCE zero-click sur le helpdesk FreeScout

Une vulnérabilité critique zero-click dans le helpdesk open source FreeScout permet aux attaquants de détourner des serveurs de messagerie simplement en envoyant un e-mail spécialement conçu — aucune interaction utilisateur requise.

🔧 Outils de sécurité & actualités du secteur

AI SECURITY

OpenAI lance l'agent Codex Security

OpenAI a déployé Codex Security — un agent de sécurité alimenté par l'IA qui détecte, valide et propose des correctifs pour les vulnérabilités. En préversion, il a analysé 1,2 million de commits et trouvé 10 561 failles de haute sévérité. Disponible pour les utilisateurs ChatGPT Pro/Enterprise/Business/Edu. Gratuit le premier mois.

CLOUD SECURITY

Google : les attaques cloud passent des identifiants faibles à l'exploitation de vulnérabilités

Le rapport H1 2026 Cloud Threat Horizons de Google révèle que les attaquants exploitent de plus en plus les failles logicielles tierces récemment divulguées (pas seulement les identifiants faibles) pour compromettre les environnements cloud. La fenêtre d'exploitation s'est réduite de semaines à quelques jours.

M&A

Cybersécurité M&A : 42 transactions en février 2026

Transactions majeures annoncées par Check Point, Booz Allen, Proofpoint, Sophos, Palo Alto Networks et Zscaler. La consolidation se poursuit à un rythme soutenu sur le marché de la cybersécurité.

Source : SecurityWeek
FUNDING

ArmorCode lève 16 M$ pour la gestion de l'exposition

ArmorCode a sécurisé 16 millions de dollars pour accélérer le développement de sa plateforme de gestion de la posture de sécurité applicative et de gestion de l'exposition.

Source : SecurityWeek
POLICY

Cyberstratégie Trump : adversaires, infrastructures critiques, technologies émergentes

La nouvelle cyberstratégie américaine appelle à une dissuasion renforcée contre les cyberadversaires, à la modernisation des réseaux fédéraux, à la protection des infrastructures critiques et à l'investissement dans l'IA et la cryptographie post-quantique.

Source : SecurityWeek
LEGAL

Cour de l'UE : les banques doivent rembourser immédiatement les victimes de phishing

L'avocat général de la Cour de justice de l'UE a émis un avis formel suggérant que les banques doivent rembourser immédiatement les victimes de transactions non autorisées liées au phishing. Cela pourrait devenir un précédent contraignant dans tous les États membres de l'UE.

📊 Tendances émergentes des menaces

Tendances clés de la semaine

1. Accélération des attaques de la chaîne d'approvisionnement : Paquets npm malveillants, transferts de propriété d'extensions Chrome et compromissions de prestataires (Ericsson) — trois vecteurs supply chain différents en 24 heures. Les chaînes de confiance sont la nouvelle surface d'attaque.

2. La fenêtre d'exploitation cloud se réduit : Le rapport de Google confirme que les attaquants exploitent les vulnérabilités nouvellement divulguées en quelques jours, et non plus en semaines. Les SLA de patching des services exposés au cloud doivent être mesurés en heures.

3. Les messageries ciblées par les États-nations : Les APT russes ciblent spécifiquement Signal et WhatsApp pour le détournement de comptes. Les messageries chiffrées sont des cibles à haute valeur pour l'espionnage, pas des refuges sûrs.

4. Les outils de sécurité IA deviennent grand public : Le lancement de Codex Security d'OpenAI (1,2 M de commits analysés) indique que la détection de vulnérabilités par IA passe de la niche à l'outillage DevSecOps standard. Concurrence directe pour le marché de KENSAI.

5. L'infrastructure Cisco sous siège : 0-day SD-WAN, RCE Firewall Management et contournement d'authentification — les produits Cisco connaissent un pic de vulnérabilités critiques. Les organisations disposant d'une infrastructure Cisco ont besoin de cycles de patching d'urgence.