🛡️ KENSAI Renseignement en Sécurité
💥 Brèches majeures et attaques
CRITIQUE Stryker (25 Md$ MedTech) paralysé par une attaque wiper liée à l'Iran
Le groupe hacktiviste soutenu par l'Iran Handala (lié au MOIS/Void Manticore) revendique l'effacement de plus de 200 000 appareils dans les bureaux de Stryker répartis dans 79 pays. Plus de 5 000 employés en Irlande renvoyés chez eux. Les téléphones personnels des employés équipés d'Outlook ont été effacés, les écrans de connexion affichant le logo Handala. L'attaque a été revendiquée comme représailles suite à une frappe de missile du 28 février sur une école iranienne.
ÉLEVÉ Michelin confirme une fuite de données de plus de 300 Go via une attaque Oracle EBS
Le géant du pneumatique Michelin a confirmé une violation de données liée à une attaque sur leur infrastructure Oracle E-Business Suite. Les cybercriminels ont divulgué plus de 300 Go de fichiers volés.
ÉLEVÉ La brèche de Bell Ambulance impacte 238 000 personnes
Des pirates ont dérobé des informations personnelles incluant noms, numéros de sécurité sociale et numéros de permis de conduire de 238 000 individus chez Bell Ambulance.
MOYEN Meta désactive 150 000 comptes frauduleux, 21 arrestations en Thaïlande
Meta a supprimé plus de 150 000 comptes liés à des centres d'arnaques en Asie du Sud-Est lors d'une opération coordonnée avec les autorités de 12 pays. La Police royale thaïlandaise a procédé à 21 arrestations. Cela fait suite à un pilote de décembre 2025 qui avait supprimé 59 000 comptes.
🐛 Vulnérabilités critiques et correctifs
CRITIQUE Patch Tuesday Microsoft de mars — 84 failles, 2 Zero-Days publics
8 critiques, 76 importants. Zero-days principaux :
• CVE-2026-21262 (CVSS 8.8) — Élévation de privilèges SQL Server vers sysadmin via le réseau
• CVE-2026-26127 (CVSS 7.5) — Déni de service .NET
• 46 élévations de privilèges, 18 RCE, 10 divulgations d'informations corrigées
CRITIQUE Faille RCE n8n activement exploitée — Directive d'urgence du CISA
Le CISA a ordonné à toutes les agences fédérales de corriger une vulnérabilité RCE activement exploitée dans n8n (plateforme populaire d'automatisation de workflows). Les attaquants exploitent cette faille dans la nature.
ÉLEVÉ SQLi dans le plugin Elementor Ally — Plus de 400 000 sites WordPress à risque
Vulnérabilité d'injection SQL non authentifiée dans Ally, un plugin d'accessibilité Elementor avec plus de 400 000 installations. Les attaquants peuvent voler des données sensibles sans authentification.
ÉLEVÉ Fortinet, Ivanti, Intel corrigent des vulnérabilités de haute sévérité
Correctifs pour l'exécution de code arbitraire, l'élévation de privilèges et le contournement d'authentification sur les produits FortiGate, Ivanti et Intel. Les appliances FortiGate NGFW sont activement exploitées pour pénétrer les réseaux et voler les identifiants des comptes de service (AD/LDAP).
MOYEN Patch Tuesday ICS — Siemens, Schneider, Moxa, Mitsubishi Electric
Les fournisseurs de systèmes de contrôle industriel ont publié de nouveaux avis de sécurité. Les opérateurs d'infrastructures critiques doivent examiner et appliquer les correctifs immédiatement.
🦠 Nouveaux malwares et campagnes de menaces
CRITIQUE BlackSanta — Nouveau tueur EDR/AV ciblant les départements RH
Un acteur malveillant russophone cible les départements RH depuis plus d'un an avec un nouveau tueur EDR appelé BlackSanta. Il désactive les protections antivirus et EDR au niveau du noyau, permettant la collecte d'identifiants et l'exfiltration de données.
ÉLEVÉ Botnet KadNap — Plus de 14 000 équipements périphériques infectés
Le nouveau malware KadNap cible les routeurs ASUS, construisant un botnet proxy furtif utilisant un protocole Kademlia DHT personnalisé. Plus de 14 000 appareils infectés, 60 % aux États-Unis. Détecté par le Black Lotus Labs de Lumen.
ÉLEVÉ PhantomRaven — 88 paquets NPM malveillants volant des données de développeurs
La campagne d'attaque sur la chaîne d'approvisionnement PhantomRaven continue de frapper npm avec 88 paquets malveillants exfiltrant des données sensibles des développeurs JavaScript.
ÉLEVÉ Malware Android BeatBanker — Fausse application Starlink
Le nouveau cheval de Troie bancaire Android BeatBanker se fait passer pour une application Starlink sur de faux sites Google Play Store pour détourner les appareils.
MOYEN « Zombie ZIP » — Nouvelle technique d'évasion contournant EDR/AV
Une nouvelle technique appelée Zombie ZIP dissimule des charges utiles dans des fichiers compressés spécialement conçus pour échapper à la détection antivirus et EDR.
🔧 Mouvements de l'industrie et outils de sécurité
INFO Google finalise l'acquisition de Wiz pour 32 Md$
Wiz rejoint officiellement Google Cloud dans la plus grande acquisition de l'histoire de la cybersécurité. Wiz conservera sa marque au sein de Google Cloud.
INFO OpenAI va acquérir Promptfoo (startup de sécurité IA)
OpenAI est en train d'acquérir Promptfoo (23 M$+ levés), une plateforme de sécurisation des LLM et des agents IA. Un signal que la sécurité de l'IA devient une compétence clé.
INFO Scanner lève 22 M$ pour la chasse aux menaces propulsée par l'IA
Scanner connecte des agents IA aux lacs de données de sécurité pour des investigations interactives, l'ingénierie de détection et la réponse autonome.
INFO Quantro Security sort du mode furtif (2,5 M$)
La nouvelle startup s'intègre aux stacks de cybersécurité existants, ingère et normalise les données, et fournit du renseignement pour réduire les risques.
INFO Le Sénat confirme Joshua Rudd à la tête de la NSA et de l'US Cyber Command
Le dispositif de double commandement se poursuit avec Rudd supervisant à la fois la NSA et l'USCYBERCOM.
📡 Tendances émergentes des menaces
ÉLEVÉ Les agents IA de navigation vulnérables au phishing via l'« Agentic Blabbering »
Des chercheurs ont piégé le navigateur IA Comet de Perplexity dans une arnaque de phishing en moins de 4 minutes. La tendance des navigateurs IA à verbaliser leur raisonnement (« Agentic Blabbering ») peut être exploitée pour contourner les garde-fous de sécurité. Découvert par Guardio.
Tendances clés observées
1. Escalade du hacktivisme étatique : Handala, lié à l'Iran, efface plus de 200 000 appareils d'une entreprise de 25 Md$ — la capacité destructrice s'intensifie.
2. Accélération des attaques sur la chaîne d'approvisionnement : PhantomRaven (npm), vol d'identifiants FortiGate et exploitation d'Oracle EBS ciblent tous la chaîne d'approvisionnement.
3. Maturation de l'évasion EDR/AV : BlackSanta, tueur EDR au niveau noyau + technique d'évasion Zombie ZIP — les attaquants sont spécifiquement conçus pour contourner les outils défensifs.
4. La sécurité IA, nouvel eldorado des fusions-acquisitions : Google/Wiz (32 Md$), OpenAI/Promptfoo, Scanner (22 M$) — des capitaux massifs affluent vers la sécurité IA.
5. Les agents IA comme surface d'attaque : Des navigateurs agentiques piégés par phishing en quelques minutes — une nouvelle surface d'attaque que la plupart des organisations n'ont pas encore adressée.
🎯 Pertinence KENSAI et opportunités de contenu
- RCE n8n (directive CISA) — KENSAI peut détecter cela dans les environnements clients. Opportunité d'article de blog sur la sécurité de l'automatisation des workflows.
- Campagne d'exploitation FortiGate — Angle NIS2 parfait : « Votre pare-feu est utilisé contre vous. » Les scans KENSAI détectent les configurations FortiGate faibles ou exposées.
- SQLi WordPress (plugin Ally) — 400 000 sites à risque. Les capacités DAST de KENSAI peuvent les identifier. Opportunité de contenu avec scan massif.
- Sécurité des agents IA — L'acquisition de Promptfoo par OpenAI valide le marché de la sécurité IA dans lequel KENSAI opère. Opportunité de leadership éditorial.
- Attaque wiper Stryker — Angle conformité NIS2 pour les entreprises de santé/medtech dans la région DACH.
- Patch Tuesday ICS — Contenu conformité DORA/NIS2 pour les opérateurs industriels utilisant Siemens/Schneider.