🛡️ KENSAI Intelligence Sécuritaire
Vulnérabilités critiques & Zero-Days
Google corrige deux zero-days Chrome activement exploités
Google a publié des mises à jour d'urgence pour corriger deux zero-days Chrome de haute sévérité activement exploités. CVE-2026-3909 est une écriture hors limites dans la bibliothèque graphique Skia pouvant mener à l'exécution de code. CVE-2026-3910 est une implémentation inappropriée dans le moteur JavaScript V8. Les correctifs sont disponibles dans Chrome 146.0.7680.75 (Windows/Linux) et 146.0.7680.76 (macOS). Ce sont les 2ᵉ et 3ᵉ zero-days Chrome corrigés en 2026.
Microsoft Patch Tuesday : 77 vulnérabilités dont une élévation de privilèges SQL Server
Le Patch Tuesday de mars 2026 de Microsoft corrige 77 vulnérabilités. Notable : CVE-2026-21262 permet à un attaquant autorisé d'escalader vers les privilèges sysadmin sur SQL Server 2016+ via le réseau (CVSS 8.8). Aucun zero-day ce mois-ci, mais deux failles avaient été divulguées publiquement avant le correctif.
Apple corrige les exploits Coruna dans les anciennes versions iOS
Apple a publié iOS/iPadOS 16.7.15 et 15.8.7 pour corriger des vulnérabilités connues sous le nom d'« exploits Coruna ». Selon SecurityWeek, un sous-traitant de la défense américaine est à l'origine de la chaîne d'exploitation. Les utilisateurs d'appareils anciens doivent mettre à jour immédiatement.
Une faille de plugin WordPress expose plus de 200 000 sites à l'injection SQL
Une vulnérabilité dans le plugin WordPress Ally permet aux attaquants d'injecter des requêtes SQL et d'extraire des informations sensibles de la base de données. Plus de 200 000 sites web sont affectés. Les administrateurs doivent mettre à jour ou supprimer le plugin immédiatement.
Une faille de n8n Workflow Automation exploitée dans la nature
Une vulnérabilité dans la populaire plateforme d'automatisation n8n est activement exploitée. Les détails sont limités, mais les organisations utilisant n8n doivent auditer leurs déploiements et appliquer les correctifs.
Fuites de données
Le groupe Handala soutenu par l'Iran revendique une attaque wiper massive contre Stryker
Le groupe hacktiviste Handala, lié à l'Iran, affirme avoir effacé les données de plus de 200 000 systèmes chez le géant des technologies médicales Stryker (NYSE : SYK, 25 Mds $ de chiffre d'affaires annuel). Plus de 5 000 employés en Irlande ont été renvoyés chez eux. Des bureaux dans 79 pays auraient fermé. Les appareils ont été effacés, les pages de connexion défigurées avec le logo de Handala, et le personnel a eu recours à WhatsApp pour communiquer. Le groupe est lié au MOIS iranien via l'acteur de menace Void Manticore. L'attaque a été revendiquée comme représaille à une frappe de missile en février.
Fuite de données chez Starbucks affectant des centaines d'employés
Starbucks a révélé une fuite de données après que des acteurs malveillants ont accédé aux comptes employés de Starbucks Partner Central via des attaques de phishing. Des centaines d'employés ont été touchés. L'entreprise enquête sur l'étendue des données exposées.
Le géant canadien de la distribution Loblaw informe ses clients d'une fuite de données
Loblaw, le plus grand détaillant du Canada, a automatiquement déconnecté tous les clients et forcé la réinitialisation des mots de passe après avoir découvert une fuite. L'étendue complète des données clients compromises est toujours en cours d'investigation.
Fuite de données signalée chez Telus Digital
L'entreprise technologique canadienne Telus Digital a subi une fuite de données. Les détails restent limités car l'enquête se poursuit.
Ransomware
England Hockey frappé par le ransomware AiLock — 129 Go volés
Le gang de ransomware AiLock affirme avoir volé 129 Go de données à England Hockey, qui gère le hockey sur gazon à travers plus de 800 clubs et 150 000 joueurs inscrits. AiLock est un groupe relativement nouveau qui utilise les violations de la vie privée comme levier dans les négociations. L'organisation travaille avec les forces de l'ordre et des spécialistes externes.
Campagnes de menaces actives
Un APT chinois cible les armées d'Asie du Sud-Est avec des malwares sur mesure
Palo Alto Unit 42 a découvert une campagne d'espionnage liée à la Chine (CL-STA-1087) ciblant les organisations militaires d'Asie du Sud-Est depuis 2020. Les attaquants ont utilisé des familles de malwares sur mesure AppleChris et MemFun pour collecter des documents sur les capacités militaires, les structures organisationnelles et les renseignements sur les collaborations militaires occidentales. La campagne démontre une « patience opérationnelle stratégique » et une collecte hautement ciblée.
Storm-2561 : De faux sites VPN d'entreprise volent les identifiants professionnels
Microsoft suit l'acteur de menace Storm-2561 qui distribue de faux clients VPN imitant Ivanti, Cisco, Fortinet, Sophos, SonicWall, Check Point et WatchGuard. Utilise le SEO poisoning pour classer de faux sites de téléchargement, installe le voleur d'informations Hyrax avec un faux écran de connexion VPN convaincant. Après le vol des identifiants, redirige les victimes vers le vrai site du fournisseur — rendant la compromission quasi invisible. Signé avec un certificat légitime révoqué.
Le malware bancaire VENON en Rust cible 33 banques brésiliennes
Un nouveau cheval de Troie bancaire basé sur Rust appelé VENON cible les utilisateurs brésiliens avec des overlays de vol d'identifiants pour 33 banques. Il représente un changement par rapport aux malwares bancaires latino-américains traditionnels basés sur Delphi. Utilise le détournement LNK, la surveillance de fenêtres actives et une logique d'overlay bancaire similaire aux familles Grandoreiro et Mekotio.
Le FBI enquête sur des malwares distribués via des jeux Steam
Le FBI recherche les victimes de huit jeux Steam malveillants utilisés pour propager des malwares. L'agence collecte des informations dans le cadre d'une enquête en cours. Les joueurs ayant installé les titres concernés doivent analyser leurs systèmes.
Des hackers liés à l'Iran élargissent leurs cibles aux infrastructures américaines
Des groupes de hackers pro-iraniens ciblent des sites au Moyen-Orient et commencent à sonder des cibles américaines, notamment des sous-traitants de la défense, des centrales électriques et des stations de traitement d'eau. L'escalade suit les tensions géopolitiques actuelles et augmente le risque d'attaques contre les infrastructures critiques.
Le Centre national de recherche nucléaire de Pologne visé
Le NCBJ (Centre national de recherche nucléaire) de Pologne a détecté et bloqué une cyberattaque contre son infrastructure informatique avant tout impact. L'attaque souligne le ciblage continu des organisations du secteur nucléaire et énergétique en Europe.
Actions des forces de l'ordre
Opération Synergia III : INTERPOL neutralise 45 000 IPs, 94 arrestations
L'« Opération Synergia III » d'INTERPOL — couvrant 72 pays de juillet 2025 à janvier 2026 — a redirigé 45 000 IPs malveillantes vers des sinkholes, saisi 212 appareils/serveurs, arrêté 94 suspects, avec 110 autres sous enquête. À Macao, les enquêteurs ont identifié 33 000+ sites de phishing imitant des banques et casinos. Principales arrestations au Bangladesh (40) et au Togo (10).
Botnet proxy SocksEscort démantelé — 369 000 IPs dans 163 pays
Les forces de l'ordre américaines et européennes ont démantelé SocksEscort, un service proxy criminel qui avait asservi des routeurs résidentiels dans un botnet depuis 2020. Le service offrait l'accès à ~369 000 adresses IP dans 163 pays, avec près de 8 000 routeurs infectés encore actifs en février 2026. Le service proposait des « IPs résidentielles statiques avec bande passante illimitée » pour contourner les listes de blocage anti-spam.
Meta désactive plus de 150 000 comptes alimentant des centres d'arnaque asiatiques
Meta a lancé de nouveaux outils de protection et désactivé plus de 150 000 comptes qui alimentaient des centres d'arnaque en Asie. L'effort vise à perturber les opérations de fraude organisée à grande échelle.
Industrie & Outils
Bold Security et Onyx Security émergent chacun avec 40 M$ de financement
Bold Security utilise l'IA pour transformer les appareils en agents de protection actifs qui comprennent les actions des utilisateurs en temps réel. Onyx Security construit un panneau de contrôle pour aider les organisations à superviser les agents IA autonomes et à les adopter rapidement. Les deux sont sortis du mode furtif avec 40 M$ chacun — signalant un fort appétit des investisseurs pour les plateformes de sécurité nativement IA.
Google a versé 17 M$ en primes de bug bounty en 2025
Le programme de récompense des vulnérabilités de Google a versé 17 millions de dollars à 747 chercheurs en sécurité en 2025. Les vulnérabilités Chrome ont rapporté 3,7 M$ aux chercheurs, tandis que les failles de sécurité cloud ont généré 3,5 M$.
🔮 Analyse KENSAI — Ce que cela signifie pour vous
- Patchez Chrome MAINTENANT : Deux zero-days activement exploités (CVE-2026-3909, CVE-2026-3910) — mettez à jour vers 146.0.7680.75+ immédiatement sur tous les terminaux.
- L'escalade de la menace iranienne est réelle : L'attaque wiper contre Stryker (200 000+ appareils) est la plus grande opération destructrice liée à l'Iran à ce jour. Combinée aux sondes contre l'infrastructure américaine, les organisations exposées géopolitiquement doivent mettre à jour leurs plans de réponse aux incidents.
- Vol d'identifiants VPN par SEO poisoning : Storm-2561 imite tous les principaux fournisseurs VPN. Imposez le MFA sur tous les accès VPN et formez les employés à ne télécharger les clients que depuis des sources internes vérifiées — jamais depuis les résultats de recherche.
- Administrateurs WordPress : La faille SQLi du plugin Ally affecte plus de 200 000 sites. Auditez vos plugins WordPress et corrigez ou supprimez Ally immédiatement.
- Pertinence NIS2 : Le ciblage du centre nucléaire polonais et les attaques iraniennes contre les infrastructures critiques renforcent le mandat NIS2 de signalement des incidents et de sécurité de la chaîne d'approvisionnement pour les services essentiels de l'UE.
- Vague de financement en sécurité native IA : 80 M$ sur deux lancements furtifs signalent que le marché évolue vers la supervision des agents IA — directement pertinent pour le positionnement de KENSAI dans l'évaluation de sécurité autonome.