🛡️ Bulletin Quotidien de Renseignement Sécurité
⚡ Résumé — Ce qui compte aujourd'hui
- Microsoft Patch Tuesday : 79-83 vulnérabilités corrigées dont 2 zero-days — appliquez les correctifs immédiatement
- Campagne FortiGate : Des acteurs malveillants exploitent les NGFW FortiGate pour voler des identifiants AD/LDAP dans les secteurs de la santé et du gouvernement
- Botnet KadNap : Plus de 14 000 routeurs ASUS compromis dans un réseau proxy furtif utilisant un DHT Kademlia personnalisé
- APT28 (Fancy Bear) : Nouveaux implants BEARDSHELL et COVENANT pour la surveillance à long terme du personnel militaire ukrainien
- Ivanti EPM activement exploité : CISA l'ajoute au KEV aux côtés des failles SolarWinds et Workspace One
- Salesforce Experience Cloud : Campagne de scan massif ciblant les permissions mal configurées des utilisateurs invités
- Violation de données Ericsson : Des milliers de personnes affectées via la compromission d'un fournisseur tiers
🔴 Vulnérabilités critiques & Patch Tuesday
Microsoft Mars 2026 Patch Tuesday — 2 Zero-Days, 79 failles
Microsoft a publié des correctifs pour 79 vulnérabilités dont 2 vulnérabilités zero-day divulguées publiquement. La mise à jour corrige également un problème empêchant certains appareils de s'éteindre. Les mises à jour cumulatives Windows 10 Extended Security Update KB5078885 et Windows 11 KB5079473/KB5078883 sont disponibles.
Zero-Day Correctif urgent Windows 10/11Adobe corrige 80 vulnérabilités dans 8 produits
Adobe a déployé des correctifs pour 80 vulnérabilités dans Commerce, Illustrator, Acrobat Reader, Premiere Pro et 4 autres produits. Plusieurs failles critiques d'exécution de code sont incluses.
Élevé Acrobat CommerceSAP corrige des vulnérabilités critiques FS-QUO et NetWeaver
Un bug d'injection de code dans FS-QUO et une faille de désérialisation non sécurisée dans NetWeaver pourraient permettre l'exécution de code arbitraire sur les systèmes SAP d'entreprise. Priorité de correctif : critique.
Critique RCE EntrepriseHPE — Faille critique AOS-CX — Réinitialisation du mot de passe admin
Hewlett Packard Enterprise a corrigé plusieurs vulnérabilités dans le système d'exploitation Aruba Networking AOS-CX, incluant des failles de contournement d'authentification permettant la réinitialisation des mots de passe administrateur et des problèmes d'exécution de code.
Critique Contournement d'auth Infrastructure réseauCISA signale Ivanti EPM, SolarWinds & Workspace One comme activement exploités
Trois vulnérabilités ajoutées au catalogue des vulnérabilités exploitées connues de CISA : contournement d'authentification Ivanti Endpoint Manager de haute sévérité, faille SolarWinds et CVE-2021-22054 (SSRF dans VMware/Omnissa Workspace One UEM, CVSS 7.5). Toutes confirmées exploitées dans la nature.
Activement exploité KEV Ivanti« LeakyLooker » — 9 failles inter-locataires dans Google Looker Studio
Tenable a divulgué 9 vulnérabilités inter-locataires dans Google Looker Studio qui auraient pu permettre aux attaquants d'exécuter des requêtes SQL arbitraires sur les bases de données des victimes et d'exfiltrer des données sensibles dans les environnements Google Cloud. Aucune preuve d'exploitation dans la nature.
Élevé Cloud Inter-locataires🟠 Menaces actives & Campagnes
Campagne FortiGate NGFW — Vol d'identifiants dans la santé et le gouvernement
Des acteurs malveillants exploitent les pare-feux nouvelle génération FortiGate comme points d'entrée pour compromettre des réseaux. La campagne extrait des fichiers de configuration contenant des identifiants de comptes de service AD/LDAP et la topologie réseau. Les cibles incluent la santé, le gouvernement et les fournisseurs de services managés.
Critique Santé Gouvernement Vol d'identifiantsLe groupe russe APT28 déploie BEARDSHELL + COVENANT contre l'armée ukrainienne
L'APT28 affilié au GRU a été observé utilisant de nouveaux implants BEARDSHELL et COVENANT pour la surveillance à long terme du personnel militaire ukrainien depuis avril 2024. Déploie également SLIMAGENT (keylogger, capture d'écran, vol de presse-papiers). La campagne démontre l'escalade continue des opérations de cyber-espionnage russes.
État-nation Espionnage RussieBotnet KadNap — Plus de 14 000 routeurs ASUS compromis
Le nouveau malware KadNap cible les routeurs ASUS et les appareils de périphérie, construisant un botnet de plus de 14 000 nœuds pour le proxy de trafic malveillant. Utilise un protocole DHT Kademlia personnalisé pour dissimuler l'infrastructure C2. Plus de 60 % des victimes sont aux États-Unis, avec une propagation mondiale à Taiwan, Hong Kong, Royaume-Uni, Australie, Brésil, France, Italie et Espagne. Actif depuis août 2025.
Élevé Botnet IoT 14K appareilsCampagne de scan massif Salesforce Experience Cloud
Des acteurs malveillants scannent massivement les sites Salesforce Experience Cloud avec un outil AuraInspector modifié. Exploitation des configurations d'utilisateurs invités trop permissives pour accéder aux données sensibles. Des centaines de clients seraient ciblés.
Élevé SaaS Mauvaise configurationDes acteurs nord-coréens compromettent une entreprise crypto via un fichier AirDrop trojanisé
UNC4899 (Jade Sleet / TraderTraitor) a compromis une organisation de cryptomonnaie via ingénierie sociale + transfert de fichier AirDrop trojanisé. Pivot vers le cloud utilisant des techniques Living-off-the-Cloud (LOTC), abus de workflows DevOps pour récolter des identifiants, s'échapper de conteneurs et altérer des bases de données Cloud SQL pour le vol de crypto.
APT Crypto Chaîne d'approvisionnement🟡 Nouveaux malwares & Techniques d'évasion
« BlackSanta » — Tueur d'EDR ciblant les services RH
Un acteur malveillant russophone cible les services des ressources humaines depuis plus d'un an avec un malware délivrant BlackSanta, un nouveau tueur d'EDR (Endpoint Detection & Response). La campagne utilise de l'ingénierie sociale adaptée aux workflows RH.
Élevé Contournement EDR Ciblage RH« BeatBanker » — Malware Android se faisant passer pour l'app Starlink
Le nouveau malware Android BeatBanker se déguise en application Starlink sur de faux sites web Google Play Store. Capable de prise de contrôle complète de l'appareil une fois installé.
Moyen Android Trojan bancaire« Zombie ZIP » — Nouvelle technique contournant les scanners de sécurité
Une nouvelle technique d'évasion baptisée « Zombie ZIP » dissimule des charges utiles malveillantes dans des fichiers compressés spécialement conçus pour contourner la détection antivirus et EDR. Exploite les incohérences dans l'analyse des archives ZIP par les outils de sécurité.
Évasion Technique inéditeÉvasion de sandbox basée sur la géométrie — « Le nouveau test de Turing »
Le Picus Red Report 2026 révèle que 80 % des techniques d'attaque principales se concentrent sur l'évasion et la persistance. Les malwares utilisent de plus en plus des tests de mouvement de curseur basés sur la géométrie et des vérifications de timing CPU pour détecter les environnements sandbox et prouver leur « humanité » avant d'exécuter les charges utiles.
Recherche Évasion de sandboxPackage npm malveillant « GhostClaw » ciblant les développeurs macOS
Un package npm malveillant (@openclaw-ai/openclawai) déployant un RAT qui vole les identifiants, données de navigateur, portefeuilles crypto, clés SSH, Apple Keychain et historique iMessage. Inclut un C2 persistant, proxy SOCKS5 et clonage de sessions navigateur en direct. 178 téléchargements depuis le 3 mars.
🔵 Violations de données
Violation de données Ericsson — Des milliers de personnes affectées
Le géant des télécommunications Ericsson a confirmé une violation de données affectant des milliers de personnes. L'entreprise a attribué l'incident à une compromission d'un fournisseur tiers. L'étendue des données exposées n'est pas encore entièrement divulguée.
Télécommunications Risque tiers🟢 Sorties d'outils de sécurité & Financement de l'industrie
Armadin de Kevin Mandia se lance avec 190 M$ de financement
L'ancien PDG de Mandiant, Kevin Mandia, lance Armadin, une plateforme de red teaming alimentée par l'IA qui trouve et exploite automatiquement les faiblesses. Soutenue par 190 M$ de financement. Nouveau concurrent majeur dans la sécurité offensive automatisée.
Startup 190 M$ Red TeamingKai — 125 M$ pour une plateforme IA pont entre sécurité IT et OT
Fondée par un co-fondateur de Claroty, Kai sort du mode furtif avec 125 M$ de financement d'Evolution Equity Partners et N47. Focus : convergence alimentée par l'IA de la sécurité IT et OT (technologie opérationnelle).
Startup 125 M$ IT/OTJazz — 61 M$ pour la prévention des pertes de données par IA
Jazz sort du mode furtif avec 61 M$ de financement pour du DLP (Data Loss Prevention) alimenté par l'IA. Promet une visibilité sur l'intention, le contexte et le risque au-delà des outils DLP traditionnels.
Startup 61 M$ DLPEscape lève 18 M$ pour automatiser le pentesting
Escape sécurise 18 M$ pour approfondir les capacités d'agents IA pour le test de pénétration automatisé et développer les équipes d'ingénierie et de mise sur le marché.
Startup 18 M$ PentestingOpenAI lance le scanner de vulnérabilités Codex Security
OpenAI lance Codex Security (anciennement Aardvark), un scanner de vulnérabilités alimenté par l'IA qui a trouvé des centaines de vulnérabilités critiques dans les logiciels testés le mois dernier.
Sécurité IA Scanner de vulnérabilitésMicrosoft Entra Passkeys — Connexion Windows résistante au phishing
Microsoft déploie la prise en charge des passkeys pour Entra sous Windows, permettant une authentification sans mot de passe résistante au phishing via Windows Hello. Étape majeure vers l'élimination des attaques basées sur les mots de passe.
Identité Passkeys Défense anti-phishing📊 Tendances émergentes des menaces
Tendances clés observées ce cycle
L'analyse des dernières 24 heures révèle plusieurs tendances convergentes :
1. Exploitation des appareils de périphérie à grande échelle — KadNap (14K routeurs), campagne FortiGate et exploitation Ivanti EPM ciblent tous l'infrastructure de périphérie réseau. Les attaquants préfèrent de plus en plus compromettre les appareils censés protéger les réseaux.
2. Course aux armements EDR/Sandbox — Le tueur d'EDR BlackSanta, l'évasion par archive Zombie ZIP et la détection de sandbox géométrique montrent des investissements massifs des attaquants dans le contournement de la sécurité des endpoints.
3. Empoisonnement continu de la chaîne d'approvisionnement — Packages npm malveillants (GhostClaw), fichiers AirDrop trojanisés (UNC4899) et outils open-source modifiés (AuraInspector) démontrent la persistance des vecteurs d'attaque par la chaîne d'approvisionnement.
4. Cycle de correctifs massif des éditeurs — Microsoft (79), Adobe (80), SAP (critique), HPE (critique) = 162+ vulnérabilités en une seule journée. La gestion des correctifs reste le fardeau opérationnel n°1 des équipes de sécurité.
5. Afflux d'investissements en sécurité IA — 376 M$ de nouveaux financements pour 4 startups (Armadin, Kai, Jazz, Escape) plus l'entrée d'OpenAI dans le scan de vulnérabilités. Le marché de la sécurité IA s'accélère rapidement.