剣 KENSAI
← Back to archive
2026 — 03 — 15  •  DIMANCHE

KENSAI Recherche en Sécurité

Bulletin quotidien de renseignement sur les menaces — dernières 24 heures
4
CVEs critiques
3
Fuites de données
3
Forces de l'ordre
4
Campagnes de menaces
2
Nouveaux outils

🔴 Vulnérabilités critiques

Chrome 146 corrige deux Zero-Days exploités (CVE-2026-3909 & CVE-2026-3910)

Google a publié des correctifs d'urgence pour deux Zero-Days de haute sévérité activement exploités. CVE-2026-3909 (CVSS 8.8) est une écriture hors limites dans la bibliothèque graphique 2D Skia ; CVE-2026-3910 cible le moteur JavaScript V8. Les deux permettent l'exécution de code à distance via des pages HTML spécialement conçues. Mettez Chrome à jour immédiatement.

CVSS 8.8 Zero-Day Chrome

Vulnérabilité critique HPE AOS-CX permet la réinitialisation des mots de passe admin

Une vulnérabilité critique dans les commutateurs réseau HPE Aruba AOS-CX permet à des attaquants distants non authentifiés de contourner les contrôles d'authentification et de réinitialiser les mots de passe administrateur. Les organisations utilisant HPE AOS-CX doivent appliquer les correctifs de toute urgence — aucune interaction utilisateur requise pour l'exploitation.

Critique RCE non auth. HPE / Aruba

9 failles « CrackArmor » dans Linux AppArmor — Escalade root & évasion de conteneur

Qualys TRU a divulgué neuf vulnérabilités de type confused deputy dans le module AppArmor du noyau Linux. Des utilisateurs non privilégiés peuvent escalader vers root et briser l'isolation des conteneurs. Ces failles sapent les garanties de sécurité fondamentales de Linux. Toutes les distributions majeures devraient publier des correctifs noyau cette semaine.

Critique Escalade root Linux Kernel

SQLi dans le plugin WordPress « Ally » expose plus de 200 000 sites

Une vulnérabilité d'injection SQL dans le plugin WordPress populaire Ally (plus de 200 000 installations) permet aux attaquants d'injecter des requêtes et d'extraire le contenu sensible des bases de données. Aucun correctif disponible au moment de la divulgation. Les administrateurs de sites devraient désactiver le plugin jusqu'à la publication d'un correctif.

SQLi 200K sites WordPress

💀 Fuites de données & attaques

Fuite de données employés Starbucks via campagne de phishing

Starbucks a confirmé une fuite de données affectant les données des employés après des attaques de phishing ciblant un portail interne. Des centaines d'employés impactés avec des informations personnelles exposées. Le vol d'identifiants était le vecteur principal.

Fuite de données Phishing

Attaque liée à l'Iran sur Stryker perturbe la production

Des acteurs de menace iraniens ont attaqué le fabricant de dispositifs médicaux Stryker, perturbant la production et les expéditions. Les attaquants ont utilisé des outils de gestion de terminaux existants (living off the land) plutôt que des malwares traditionnels pour effacer les appareils. Impact significatif sur la chaîne d'approvisionnement du secteur de la santé.

Destructif Iran APT Santé

Le centre de recherche nucléaire polonais ciblé par une cyberattaque

Le Centre national de recherche nucléaire de Pologne (NCBJ) a signalé une cyberattaque ciblant son infrastructure informatique. L'attaque a été détectée et bloquée avant de causer des dommages, mais le ciblage d'institutions de recherche nucléaire signale une escalade des opérations cyber géopolitiques en Europe.

État-nation Infrastructure critique

🕷️ Campagnes de menaces & malwares

APT chinois CL-STA-1087 cible les armées d'Asie du Sud-Est

Palo Alto Unit 42 a découvert une campagne APT liée à la Chine ciblant les organisations militaires d'Asie du Sud-Est depuis 2020. Utilisant des malwares personnalisés (AppleChris, MemFun), le groupe a collecté des fichiers spécifiques sur les capacités militaires et la coopération militaire occidentale. Démontre une « patience opérationnelle stratégique » — collecte de renseignements hautement ciblée, pas de vol massif.

APT / Chine Espionnage Militaire

Storm-2561 : clients VPN enterprise trojanisés via empoisonnement SEO

Microsoft a divulgué la campagne de Storm-2561 distribuant de faux clients VPN d'Ivanti, Cisco et Fortinet par empoisonnement SEO. Les utilisateurs recherchant des logiciels VPN enterprise légitimes sont redirigés vers des sites contrôlés par les attaquants servant des trojans signés numériquement qui volent les identifiants VPN. Tous les administrateurs VPN enterprise devraient émettre des avis sur les sources de téléchargement.

Vol d'identifiants Supply Chain VPN

GlassWorm s'intensifie : 72 extensions Open VSX malveillantes

Une escalade majeure de la campagne supply-chain GlassWorm exploite désormais extensionPack et extensionDependencies dans le registre Open VSX pour créer des chaînes d'infection transitives à travers 72 extensions. Les développeurs utilisant des alternatives à VS Code avec Open VSX devraient auditer leurs extensions installées immédiatement.

Supply Chain Outils développeur VSCode

SDK AppsFlyer détourné pour une attaque supply-chain de vol de crypto

Le SDK Web AppsFlyer a été temporairement compromis avec du code JavaScript malveillant conçu pour voler des cryptomonnaies. Cette attaque supply-chain a affecté les sites intégrant le populaire SDK d'analyse marketing. Le code malveillant a été supprimé, mais les sites ayant mis en cache le SDK pourraient encore le servir.

Supply Chain Vol de crypto JavaScript

⚖️ Opérations des forces de l'ordre

INTERPOL Opération Synergia III : 45 000 IPs neutralisées, 94 arrestations

La plus grande opération anti-cybercriminalité d'INTERPOL a impliqué 72 pays, neutralisant 45 000 IPs malveillantes et saisissant 212 serveurs. 94 arrestations effectuées avec 110 autres en cours d'investigation. Les cibles incluaient le phishing, la distribution de malwares et l'infrastructure ransomware. Le Bangladesh seul a connu 40 arrestations et 134 appareils saisis.

Forces de l'ordre 72 pays

Botnet proxy SocksEscort démantelé — 369 000 appareils dans 163 pays

Une opération internationale autorisée par un tribunal a démantelé SocksEscort, un botnet proxy criminel ayant infecté 369 000 routeurs résidentiels avec le malware AVrecon depuis 2020. Le service vendait l'accès à des routeurs domestiques compromis pour des opérations frauduleuses, avec 2 500 appareils basés aux États-Unis parmi environ 8 000 nœuds actifs.

Démantèlement Botnet

Le FBI enquête sur la diffusion de malware via des jeux Steam

Le FBI recherche des victimes ayant installé huit jeux malveillants téléchargés sur Steam contenant des malwares. L'enquête cible une campagne utilisant la plateforme de jeux comme vecteur de distribution de malware. Les joueurs ayant installé des titres inconnus ces dernières semaines devraient analyser leurs systèmes.

Enquête FBI Gaming / Steam

🛡️ Outils de sécurité & industrie

Bold Security sort du mode furtif — 40 M$ de financement

Bold Security a été lancé avec 40 M$ de financement, utilisant l'IA pour transformer les terminaux en agents de sécurité actifs comprenant le comportement utilisateur et offrant une protection en temps réel. Représente le virage continu de l'industrie vers la sécurité des terminaux autonome et pilotée par l'IA.

Startup Sécurité IA

Onyx Security lancé — 40 M$ pour la supervision des agents IA

Onyx Security a été lancé avec 40 M$ pour construire un plan de contrôle supervisant les agents IA autonomes. Directement pertinent pour le marché émergent de la gouvernance IA — aidant les organisations à adopter les agents IA en toute sécurité tout en maintenant les contrôles de sécurité.

Startup Gouvernance IA

Google a versé 17 M$ en primes Bug Bounty en 2025

Le programme Bug Bounty 2025 de Google a versé 17 M$ au total — 3,7 M$ pour les vulnérabilités Chrome et 3,5 M$ pour les défauts de sécurité cloud. Signale la valeur croissante (et le volume) de la recherche en vulnérabilités sur le marché.

Bug Bounty 17 M$ versés

📌 Mentions notables

Meta supprime le chiffrement E2E des conversations Instagram (mai 2026)

Meta cessera le chiffrement de bout en bout pour les messages directs Instagram après le 8 mai 2026. Une régression significative en matière de vie privée affectant des millions d'utilisateurs. Les médias et messages devraient être téléchargés avant la date limite.

Vie privée Meta / Instagram

Les hackers liés à l'Iran étendent leurs cibles américaines

Les hackers pro-iraniens étendent leurs cibles au-delà du Moyen-Orient vers les sous-traitants de défense américains, les centrales électriques et les usines de traitement d'eau. L'escalade en conditions de guerre augmente le profil de risque pour les opérateurs d'infrastructures critiques américaines.

Iran APT Infrastructure critique

Correctif OOB Microsoft pour Windows 11 RRAS RCE

Microsoft a publié une mise à jour hors bande corrigeant une vulnérabilité de sécurité dans le service Routing and Remote Access (RRAS) de Windows 11 Enterprise. Affecte uniquement les déploiements Enterprise avec hotpatch activé.

Correctif Windows 11

Apple corrige les anciennes versions iOS contre les exploits Coruna

Apple a publié iOS 16.7.15 et 15.8.7 pour corriger les exploits Coruna sur les appareils plus anciens. Un sous-traitant de défense américain serait à l'origine de la chaîne d'exploits Coruna. Les anciens iPhones et iPads encore utilisés devraient être mis à jour immédiatement.

Chaîne d'exploits Apple iOS

🎯 Pertinence KENSAI & actions recommandées

  • Les attaques supply-chain dominent : GlassWorm (VSX), SDK AppsFlyer et malware Steam — les capacités de scan SBOM et d'analyse des dépendances de KENSAI sont des angles de contenu directement pertinents
  • Failles Linux CrackArmor : Les vulnérabilités d'évasion de conteneur affectent les applications hébergées dans le cloud — angle fort pour le contenu KENSAI de scan d'infrastructure ciblant les équipes DevOps
  • Deux nouvelles startups sécurité IA (80 M$ combinés) : Bold Security et Onyx Security valident le marché de la sécurité IA. KENSAI devrait se positionner par rapport à eux dans sa stratégie de contenu
  • Escalade Iran APT : Ciblage des infrastructures critiques américaines + angles de conformité NIS2 pour le contenu marché DACH (énergie, eau, sous-traitants de défense)
  • SQLi WordPress (200K sites) : Bon candidat pour la promotion du scan gratuit KENSAI — « Votre site WordPress est-il vulnérable ? »
  • Vol d'identifiants VPN (Storm-2561) : Opportunité de contenu sur l'hygiène de sécurité enterprise — surveillance des identifiants, vérification des téléchargements