KENSAI Recherche en Sécurité
🔴 Vulnérabilités critiques
Chrome 146 corrige deux Zero-Days exploités (CVE-2026-3909 & CVE-2026-3910)
Google a publié des correctifs d'urgence pour deux Zero-Days de haute sévérité activement exploités. CVE-2026-3909 (CVSS 8.8) est une écriture hors limites dans la bibliothèque graphique 2D Skia ; CVE-2026-3910 cible le moteur JavaScript V8. Les deux permettent l'exécution de code à distance via des pages HTML spécialement conçues. Mettez Chrome à jour immédiatement.
Vulnérabilité critique HPE AOS-CX permet la réinitialisation des mots de passe admin
Une vulnérabilité critique dans les commutateurs réseau HPE Aruba AOS-CX permet à des attaquants distants non authentifiés de contourner les contrôles d'authentification et de réinitialiser les mots de passe administrateur. Les organisations utilisant HPE AOS-CX doivent appliquer les correctifs de toute urgence — aucune interaction utilisateur requise pour l'exploitation.
9 failles « CrackArmor » dans Linux AppArmor — Escalade root & évasion de conteneur
Qualys TRU a divulgué neuf vulnérabilités de type confused deputy dans le module AppArmor du noyau Linux. Des utilisateurs non privilégiés peuvent escalader vers root et briser l'isolation des conteneurs. Ces failles sapent les garanties de sécurité fondamentales de Linux. Toutes les distributions majeures devraient publier des correctifs noyau cette semaine.
SQLi dans le plugin WordPress « Ally » expose plus de 200 000 sites
Une vulnérabilité d'injection SQL dans le plugin WordPress populaire Ally (plus de 200 000 installations) permet aux attaquants d'injecter des requêtes et d'extraire le contenu sensible des bases de données. Aucun correctif disponible au moment de la divulgation. Les administrateurs de sites devraient désactiver le plugin jusqu'à la publication d'un correctif.
💀 Fuites de données & attaques
Fuite de données employés Starbucks via campagne de phishing
Starbucks a confirmé une fuite de données affectant les données des employés après des attaques de phishing ciblant un portail interne. Des centaines d'employés impactés avec des informations personnelles exposées. Le vol d'identifiants était le vecteur principal.
Attaque liée à l'Iran sur Stryker perturbe la production
Des acteurs de menace iraniens ont attaqué le fabricant de dispositifs médicaux Stryker, perturbant la production et les expéditions. Les attaquants ont utilisé des outils de gestion de terminaux existants (living off the land) plutôt que des malwares traditionnels pour effacer les appareils. Impact significatif sur la chaîne d'approvisionnement du secteur de la santé.
Le centre de recherche nucléaire polonais ciblé par une cyberattaque
Le Centre national de recherche nucléaire de Pologne (NCBJ) a signalé une cyberattaque ciblant son infrastructure informatique. L'attaque a été détectée et bloquée avant de causer des dommages, mais le ciblage d'institutions de recherche nucléaire signale une escalade des opérations cyber géopolitiques en Europe.
🕷️ Campagnes de menaces & malwares
APT chinois CL-STA-1087 cible les armées d'Asie du Sud-Est
Palo Alto Unit 42 a découvert une campagne APT liée à la Chine ciblant les organisations militaires d'Asie du Sud-Est depuis 2020. Utilisant des malwares personnalisés (AppleChris, MemFun), le groupe a collecté des fichiers spécifiques sur les capacités militaires et la coopération militaire occidentale. Démontre une « patience opérationnelle stratégique » — collecte de renseignements hautement ciblée, pas de vol massif.
Storm-2561 : clients VPN enterprise trojanisés via empoisonnement SEO
Microsoft a divulgué la campagne de Storm-2561 distribuant de faux clients VPN d'Ivanti, Cisco et Fortinet par empoisonnement SEO. Les utilisateurs recherchant des logiciels VPN enterprise légitimes sont redirigés vers des sites contrôlés par les attaquants servant des trojans signés numériquement qui volent les identifiants VPN. Tous les administrateurs VPN enterprise devraient émettre des avis sur les sources de téléchargement.
GlassWorm s'intensifie : 72 extensions Open VSX malveillantes
Une escalade majeure de la campagne supply-chain GlassWorm exploite désormais extensionPack et extensionDependencies dans le registre Open VSX pour créer des chaînes d'infection transitives à travers 72 extensions. Les développeurs utilisant des alternatives à VS Code avec Open VSX devraient auditer leurs extensions installées immédiatement.
SDK AppsFlyer détourné pour une attaque supply-chain de vol de crypto
Le SDK Web AppsFlyer a été temporairement compromis avec du code JavaScript malveillant conçu pour voler des cryptomonnaies. Cette attaque supply-chain a affecté les sites intégrant le populaire SDK d'analyse marketing. Le code malveillant a été supprimé, mais les sites ayant mis en cache le SDK pourraient encore le servir.
⚖️ Opérations des forces de l'ordre
INTERPOL Opération Synergia III : 45 000 IPs neutralisées, 94 arrestations
La plus grande opération anti-cybercriminalité d'INTERPOL a impliqué 72 pays, neutralisant 45 000 IPs malveillantes et saisissant 212 serveurs. 94 arrestations effectuées avec 110 autres en cours d'investigation. Les cibles incluaient le phishing, la distribution de malwares et l'infrastructure ransomware. Le Bangladesh seul a connu 40 arrestations et 134 appareils saisis.
Botnet proxy SocksEscort démantelé — 369 000 appareils dans 163 pays
Une opération internationale autorisée par un tribunal a démantelé SocksEscort, un botnet proxy criminel ayant infecté 369 000 routeurs résidentiels avec le malware AVrecon depuis 2020. Le service vendait l'accès à des routeurs domestiques compromis pour des opérations frauduleuses, avec 2 500 appareils basés aux États-Unis parmi environ 8 000 nœuds actifs.
Le FBI enquête sur la diffusion de malware via des jeux Steam
Le FBI recherche des victimes ayant installé huit jeux malveillants téléchargés sur Steam contenant des malwares. L'enquête cible une campagne utilisant la plateforme de jeux comme vecteur de distribution de malware. Les joueurs ayant installé des titres inconnus ces dernières semaines devraient analyser leurs systèmes.
🛡️ Outils de sécurité & industrie
Bold Security sort du mode furtif — 40 M$ de financement
Bold Security a été lancé avec 40 M$ de financement, utilisant l'IA pour transformer les terminaux en agents de sécurité actifs comprenant le comportement utilisateur et offrant une protection en temps réel. Représente le virage continu de l'industrie vers la sécurité des terminaux autonome et pilotée par l'IA.
Onyx Security lancé — 40 M$ pour la supervision des agents IA
Onyx Security a été lancé avec 40 M$ pour construire un plan de contrôle supervisant les agents IA autonomes. Directement pertinent pour le marché émergent de la gouvernance IA — aidant les organisations à adopter les agents IA en toute sécurité tout en maintenant les contrôles de sécurité.
Google a versé 17 M$ en primes Bug Bounty en 2025
Le programme Bug Bounty 2025 de Google a versé 17 M$ au total — 3,7 M$ pour les vulnérabilités Chrome et 3,5 M$ pour les défauts de sécurité cloud. Signale la valeur croissante (et le volume) de la recherche en vulnérabilités sur le marché.
📌 Mentions notables
Meta supprime le chiffrement E2E des conversations Instagram (mai 2026)
Meta cessera le chiffrement de bout en bout pour les messages directs Instagram après le 8 mai 2026. Une régression significative en matière de vie privée affectant des millions d'utilisateurs. Les médias et messages devraient être téléchargés avant la date limite.
Les hackers liés à l'Iran étendent leurs cibles américaines
Les hackers pro-iraniens étendent leurs cibles au-delà du Moyen-Orient vers les sous-traitants de défense américains, les centrales électriques et les usines de traitement d'eau. L'escalade en conditions de guerre augmente le profil de risque pour les opérateurs d'infrastructures critiques américaines.
Correctif OOB Microsoft pour Windows 11 RRAS RCE
Microsoft a publié une mise à jour hors bande corrigeant une vulnérabilité de sécurité dans le service Routing and Remote Access (RRAS) de Windows 11 Enterprise. Affecte uniquement les déploiements Enterprise avec hotpatch activé.
Apple corrige les anciennes versions iOS contre les exploits Coruna
Apple a publié iOS 16.7.15 et 15.8.7 pour corriger les exploits Coruna sur les appareils plus anciens. Un sous-traitant de défense américain serait à l'origine de la chaîne d'exploits Coruna. Les anciens iPhones et iPads encore utilisés devraient être mis à jour immédiatement.
🎯 Pertinence KENSAI & actions recommandées
- Les attaques supply-chain dominent : GlassWorm (VSX), SDK AppsFlyer et malware Steam — les capacités de scan SBOM et d'analyse des dépendances de KENSAI sont des angles de contenu directement pertinents
- Failles Linux CrackArmor : Les vulnérabilités d'évasion de conteneur affectent les applications hébergées dans le cloud — angle fort pour le contenu KENSAI de scan d'infrastructure ciblant les équipes DevOps
- Deux nouvelles startups sécurité IA (80 M$ combinés) : Bold Security et Onyx Security valident le marché de la sécurité IA. KENSAI devrait se positionner par rapport à eux dans sa stratégie de contenu
- Escalade Iran APT : Ciblage des infrastructures critiques américaines + angles de conformité NIS2 pour le contenu marché DACH (énergie, eau, sous-traitants de défense)
- SQLi WordPress (200K sites) : Bon candidat pour la promotion du scan gratuit KENSAI — « Votre site WordPress est-il vulnérable ? »
- Vol d'identifiants VPN (Storm-2561) : Opportunité de contenu sur l'hygiène de sécurité enterprise — surveillance des identifiants, vérification des téléchargements