剣 KENSAI
← Back to archive

Bulletin quotidien des menaces

2026-03-17 · Mardi · 04:00 CET
Analyse automatisée du paysage sécuritaire des dernières 24h
4
Brèches
3
CVE critiques
2
Campagnes APT
3
Nouveaux outils

⚡ L'essentiel — Ce qui compte aujourd'hui

  • Attaque wiper contre Stryker : Le groupe iranien Handala a utilisé l'effacement à distance d'Intune sur ~80 000 appareils — aucun malware nécessaire, juste un compte Global Admin volé
  • Escalade supply-chain GlassWorm : Des tokens GitHub volés utilisés pour injecter du code malveillant via force-push dans des centaines de dépôts Python (Django, ML, packages PyPI)
  • 0-days Chrome corrigés : CVE-2026-3909 (Skia) et CVE-2026-3910 (V8) activement exploités — mettez à jour immédiatement
  • Brèche Oracle EBS : Seulement 4 grandes entreprises (Broadcom, Bechtel, Estée Lauder, Abbott) n'ont toujours pas communiqué sur l'impact
  • Backdoor DRILLAPP : Des acteurs liés à la Russie ciblent l'Ukraine via le débogage du navigateur Edge — accès au microphone et à la webcam
  • Lancement de Betterleaks : Nouveau scanner de secrets open-source par le créateur de Gitleaks — plus rapide, plus intelligent, licence MIT

🔓 Brèches & Incidents

Stryker : attaque wiper liée à l'Iran touche ~80 000 appareils

📅 16 mars 🏢 Stryker (MedTech) 🌍 Mondial

Le groupe hacktiviste Handala (lié à l'Iran) a compromis un compte administrateur Stryker, créé un nouveau Global Administrator dans Microsoft Entra ID, et utilisé la commande d'effacement à distance d'Intune pour supprimer les données de ~80 000 appareils entre 5h00 et 8h00 UTC le 11 mars. Aucun malware n'a été déployé — les attaquants ont détourné les fonctionnalités légitimes du MDM. Certains employés ont perdu des données personnelles provenant d'appareils BYOD inscrits au réseau d'entreprise. Les systèmes de commande électronique restent hors ligne ; les dispositifs médicaux sont confirmés non affectés. Microsoft DART et Palo Alto Unit 42 mènent l'enquête.

KENSAI Angle : Cette attaque met en lumière un angle mort critique — les plateformes MDM comme Intune peuvent être détournées à des fins de destruction sans aucun malware. L'article 21 de NIS2 exige des contrôles sur la chaîne d'approvisionnement et les accès administrateurs. Les organisations devraient imposer une MFA résistante au phishing sur tous les comptes Global Admin et mettre en place une surveillance des comptes d'accès d'urgence.
Critique Wiper Détournement MDM Iran

Brèche Oracle EBS : 4 grands groupes toujours silencieux

📅 16 mars 🏢 Broadcom, Bechtel, Estée Lauder, Abbott

La brèche Oracle E-Business Suite continue de se développer, Broadcom, Bechtel, Estée Lauder et Abbott Technologies étant les seules grandes entreprises à ne pas encore avoir publié de déclaration sur l'impact potentiel. Les détails sur le vecteur de compromission initial et l'étendue restent confidentiels pendant que l'enquête se poursuit.

Élevé ERP Fuite de données

Fuite de données employés chez Starbucks via phishing

📅 16 mars 🏢 Starbucks

Starbucks a confirmé une fuite de données touchant des centaines d'employés suite à des attaques par phishing ciblant un portail interne. Des informations personnelles d'employés ont été compromises. L'incident souligne les risques persistants des attaques par vol d'identifiants sur les systèmes RH internes.

Élevé Phishing Données employés

Fuite de données clients chez Loblaw

📅 16 mars 🏢 Loblaw Companies 🌍 Canada

Le géant canadien de la distribution Loblaw a révélé que des pirates ont accédé à des données personnelles de clients, incluant noms, adresses e-mail et numéros de téléphone. L'étendue de la brèche et le vecteur d'attaque n'ont pas été entièrement divulgués.

Moyen Distribution Données personnelles

Une faille du UK Companies House exposait des données d'entreprises depuis octobre 2025

📅 16 mars 🏢 UK Companies House 🌍 Royaume-Uni

Le service WebFiling de l'agence gouvernementale britannique a été mis hors ligne vendredi après la découverte d'une faille de sécurité qui exposait des informations d'entreprises depuis octobre 2025 — près de 5 mois d'exposition non détectée. Le service est désormais de nouveau en ligne avec le correctif appliqué.

Élevé Gouvernement Exposition de données

🛡️ Vulnérabilités critiques

0-Days Chrome : CVE-2026-3909 & CVE-2026-3910 (activement exploités)

📅 16 mars ⚠️ CVSS : Élevé 🔴 Exploité in the wild

CVE-2026-3909 : Écriture hors limites dans la bibliothèque graphique 2D Skia. CVE-2026-3910 : Implémentation inappropriée dans le moteur JavaScript/WebAssembly V8 entraînant un accès hors limites. Les deux sont activement exploités. Google a publié des correctifs — mettez à jour Chrome immédiatement.

KENSAI Angle : Les vulnérabilités navigateur restent le vecteur d'attaque côté client n°1. L'analyse DAST de KENSAI peut vérifier que les organisations appliquent les politiques de mise à jour des navigateurs via l'analyse des en-têtes et la détection de version.
Critique 0-Day Chrome In-the-Wild

Wing FTP Server — CISA signale une exploitation active

📅 16 mars ⚠️ Listé au KEV 🔴 Exploité in the wild

La CISA a ajouté une vulnérabilité de Wing FTP Server à son catalogue Known Exploited Vulnerabilities, avertissant qu'elle est activement chaînée avec d'autres failles pour une exécution de code à distance. Les agences fédérales doivent appliquer les correctifs selon les délais du BOD 22-01.

Critique RCE CISA KEV

HPE AOS-CX : réinitialisation du mot de passe admin sans authentification

📅 16 mars ⚠️ CVSS : Critique

Une vulnérabilité critique dans les commutateurs réseau HPE Aruba AOS-CX permet à des attaquants distants non authentifiés de réinitialiser les mots de passe administrateur, contournant totalement les contrôles d'authentification existants. Appliquez le correctif immédiatement — cela affecte l'infrastructure réseau centrale.

Critique Infrastructure réseau Contournement d'authentification

Faille n8n Workflow Automation exploitée

📅 16 mars 🔴 Exploité in the wild

Une vulnérabilité dans la plateforme d'automatisation de workflows n8n est activement exploitée. Les détails sont apparus dans le récapitulatif hebdomadaire de SecurityWeek. Les organisations utilisant des instances n8n auto-hébergées doivent vérifier les mises à jour et revoir les contrôles d'accès immédiatement.

Élevé Automatisation Exploité

🐛 Chaîne d'approvisionnement & Malware

GlassWorm ForceMemo : tokens GitHub volés → malware dans les dépôts Python

📅 17 mars ⚠️ Campagne active 🌍 Mondial

La campagne GlassWorm a connu une escalade spectaculaire. Les attaquants utilisent des tokens GitHub volés lors de l'attaque précédente sur les extensions VS Code pour injecter du malware obfusqué dans des centaines de dépôts Python — applications Django, code de recherche ML, tableaux de bord Streamlit et packages PyPI. La technique (baptisée « ForceMemo ») rebase des commits malveillants sur des commits légitimes, préservant les informations de l'auteur original et les messages de commit pour échapper à la détection. Quiconque exécute pip install depuis un dépôt compromis déclenche le malware. Les injections remontent au 8 mars.

KENSAI Angle : C'est une attaque supply-chain typique — exactement le type de menace pour lequel l'article 21(2)(d) de NIS2 a été rédigé. Les organisations doivent auditer leurs dépendances Python, vérifier les signatures de commits et rechercher les indicateurs de compromission. Les capacités d'analyse SBOM et de dépendances de KENSAI peuvent signaler les packages compromis.
Critique Supply Chain Python GitHub

Les campagnes ClickFix déploient l'infostealer MacSync sur macOS

📅 16 mars 🍎 macOS

Trois campagnes ClickFix distinctes distribuent l'infostealer MacSync via de faux installateurs d'outils IA (dont un faux navigateur « OpenAI Atlas »). L'attaque repose entièrement sur l'interaction utilisateur — les victimes copient et exécutent des commandes terminal obfusquées. Distribution via des résultats sponsorisés de recherche Google menant à de fausses pages Google Sites. Les chercheurs de Sophos ont documenté la chaîne complète depuis novembre 2025.

Élevé macOS Infostealer Ingénierie sociale

Storm-2561 : de faux clients VPN volent des identifiants

📅 16 mars ⚠️ Campagne active

L'acteur malveillant Storm-2561 distribue des clients VPN trojanisés via l'empoisonnement SEO, déployant des trojans et récoltant les identifiants de connexion d'utilisateurs recherchant des logiciels VPN légitimes.

Élevé VPN Empoisonnement SEO Vol d'identifiants

Émergence du malware Slopoly

📅 16 mars

Une nouvelle famille de malware baptisée « Slopoly » a été signalée dans le récapitulatif hebdomadaire de SecurityWeek. Les détails sont encore en cours de collecte, mais elle a été mentionnée parmi les menaces notables de la semaine.

Moyen Nouveau Malware

🎯 APT & Activité étatique

DRILLAPP : backdoor liée à la Russie cible l'Ukraine via le débogage Edge

📅 16 mars 🏴 Laundry Bear / UAC-0190 🎯 Ukraine

Un nouveau backdoor JavaScript appelé DRILLAPP exploite la fonctionnalité de débogage à distance de Microsoft Edge pour mener des opérations d'espionnage furtives contre des entités ukrainiennes. Le malware peut télécharger/uploader des fichiers, accéder au microphone et capturer des images de la webcam — le tout via les capacités natives du navigateur. Distribué via des leurres à thèmes judiciaires et caritatifs avec des fichiers LNK. Attribué à Laundry Bear (Void Blizzard), un groupe lié à la Russie. Campagne observée depuis février 2026.

Critique APT Russie Espionnage

CL-STA-1087 : la Chine cible les armées d'Asie du Sud-Est

📅 13 mars 🏴 CL-STA-1087 🎯 Armées d'Asie du Sud-Est

Palo Alto Unit 42 a révélé une opération d'espionnage patiente liée à la Chine (active depuis 2020) ciblant les organisations militaires d'Asie du Sud-Est avec les malwares personnalisés AppleChris et MemFun. Les attaquants ont fait preuve d'une « patience opérationnelle stratégique » et se sont concentrés sur des documents très spécifiques relatifs aux capacités militaires plutôt que sur le vol massif de données.

Élevé APT Chine Militaire

Des hackers liés à l'Iran élargissent leurs cibles aux infrastructures américaines

📅 16 mars 🏴 Groupes pro-Iran 🎯 États-Unis, Moyen-Orient

Des hackers pro-iraniens étendent leurs opérations au-delà du Moyen-Orient vers les États-Unis, augmentant les risques pour les sous-traitants de la défense, les centrales électriques et les stations de traitement des eaux dans le contexte des conflits régionaux en cours.

Élevé Iran Infrastructures critiques ICS/OT

Centre de recherche nucléaire polonais : tentative de piratage (possible Iran)

📅 16 mars 🎯 Pologne

Une tentative de piratage a été signalée au centre de recherche nucléaire polonais. Les premiers indices pointent vers l'Iran, bien que les responsables aient reconnu qu'il pourrait s'agir d'une opération sous fausse bannière. L'enquête est en cours.

Élevé Nucléaire Infrastructures critiques

🔧 Outils de sécurité & Sorties

Betterleaks : scanner de secrets open-source (successeur de Gitleaks)

📅 15 mars 📦 Licence MIT 🔗 GitHub

Créé par Zach Rice (auteur original de Gitleaks, désormais Head of Secrets Scanning chez Aikido Security), Betterleaks est une réécriture complète avec des améliorations majeures : validation de règles basée sur CEL, tokenisation BPE pour un rappel de 98,6 % (contre 70,4 % avec l'entropie), implémentation en Go pur, gestion automatique des secrets multi-encodés, analyse Git parallélisée et un ensemble élargi de règles par fournisseur. Fonctionnalités à venir : classification assistée par LLM et révocation automatique des secrets.

Nouvelle version Détection de secrets Open Source

Bold Security : lancement discret à 40 M$ — agents IA sur les terminaux

📅 16 mars 💰 40 M$ de financement

Bold Security est sorti du mode furtif avec 40 M$ de financement. Leur approche : transformer les terminaux en agents IA actifs qui comprennent les actions des utilisateurs et fournissent une protection en temps réel. À surveiller en tant que concurrent/partenaire potentiel dans l'espace de la sécurité IA.

Nouveau Sécurité IA Startup

Android 17 : verrouillage de l'API Accessibilité contre les malwares

📅 16 mars 📱 Android

Google teste une fonctionnalité de sécurité dans Android 17 Beta 2 qui bloque les applications non liées à l'accessibilité d'utiliser l'API Accessibility Services en mode Protection avancée. Cela cible directement un vecteur d'attaque principal des trojans bancaires et logiciels espions Android.

Nouveau Android Sécurité mobile

📊 Tendances émergentes

Tendances clés de la semaine

Plusieurs tendances convergentes méritent attention :

1. Le MDM comme arme : L'attaque Stryker prouve que les outils de gestion légitimes (Intune, SCCM, Jamf) sont désormais des surfaces d'attaque de premier ordre. Aucun malware nécessaire — juste des identifiants admin et une commande d'effacement. Des attaques similaires sont à prévoir.

2. Cascade supply-chain (GlassWorm → ForceMemo) : Une seule compromission de la chaîne d'approvisionnement (extensions VS Code) se propage désormais en une attaque de second ordre sur les dépôts Python. Ce schéma de réaction en chaîne — où les identifiants volés d'une attaque alimentent la suivante — s'accélère.

3. ClickFix devient multiplateforme : La technique d'ingénierie sociale ClickFix (inciter les utilisateurs à exécuter des commandes terminal) est passée de Windows à macOS, distribuée via de faux installateurs d'outils IA. Le battage médiatique autour de l'IA est le nouveau leurre de phishing.

4. Le navigateur comme serveur C2 : DRILLAPP (débogage Edge) et les 0-days Chrome démontrent tous deux que les navigateurs restent la surface d'attaque la plus précieuse. La frontière entre « navigation » et « compromission » ne cesse de s'amincir.

5. Escalade iranienne : Trois événements liés à l'Iran en 24 heures — wiper Stryker, ciblage d'infrastructures américaines, installation nucléaire polonaise. Les tensions géopolitiques se traduisent directement en opérations cyber.

KENSAI Angle : Plusieurs actualités de cette semaine correspondent directement aux exigences de conformité NIS2 : sécurité de la chaîne d'approvisionnement (Art. 21.2d), gestion des incidents (Art. 21.2b), contrôle des accès (Art. 21.2i). C'est précisément le paysage de menaces pour lequel KENSAI a été conçu.

📌 Également à noter

En bref

Panne de Microsoft Exchange Online — Problème en cours bloquant l'accès aux boîtes mail et calendriers (16 mars)
Google a versé 17 M$ en primes de bugs en 2025 — 3,7 M$ pour Chrome seul, 3,5 M$ pour la sécurité cloud
Gouvernance de l'IA fantôme — Nudge Security signale une adoption croissante et non surveillée des outils IA dans les entreprises
Dirigeant d'une société de sécurité ciblé — Phishing sophistiqué utilisant des e-mails signés DKIM, des redirections de confiance et des pages de phishing protégées par Cloudflare
Opération Interpol contre la cybercriminalité — Opération multinationale signalée dans les récapitulatifs hebdomadaires
Fuite de données chez Telus Digital — Filiale de télécommunications canadienne affectée
Vulnérabilités Linux AppArmor — Failles permettant une élévation de privilèges root