剣 KENSAI
← Back to archive
KENSAI Intelligence

Bulletin de Sécurité

2026-03-20 · Jeudi → Vendredi · 04:00 CET
3
Fuites de données
6
CVE critiques
3
Zero-Days
4
Levées de fonds

⚡ TL;DR — L'essentiel du jour

  • Kit d'exploitation iOS DarkSword — deuxième kit iOS full-chain en un mois, 3 zero-days, groupe d'espionnage russe UNC6353 ciblant l'Ukraine. iOS 18.4–18.7 affectés.
  • Les hacktivistes Handala ont effacé 80 000 appareils Stryker via Microsoft Intune — le FBI a saisi leur site de fuite. CISA a publié des recommandations de durcissement Intune.
  • PolyShell RCE sur tous les Magento/Adobe Commerce v2 — exécution de code non authentifiée via upload de fichiers polyglottes. Aucun correctif de production disponible.
  • Zero-day Cisco FMC exploité par le ransomware Interlock depuis janvier — Amazon a trouvé des liens avec la Russie.
  • Fuite Navia impactant 2,7 M de personnes — données sensibles de prestations exposées.
  • APT28 (Russie) exploitant une faille de sanitisation CSS Zimbra contre le gouvernement ukrainien.
  • 9 vulnérabilités critiques IP KVM chez 4 fournisseurs — accès root non authentifié au niveau BIOS.
🔓

Fuites de données

Navia Benefit Solutions — 2,7 millions d'enregistrements exposés

L'administrateur de prestations Navia a divulgué une fuite affectant près de 2,7 millions de personnes. Les attaquants ont accédé à des informations personnelles sensibles, notamment des données de prestations, des numéros de sécurité sociale et des dossiers financiers. L'entreprise fournit des services de surveillance du crédit aux personnes affectées.

CRITIQUE 2,7 M AFFECTÉS source →

Aura Security — 900 000 enregistrements via hameçonnage

Comble de l'ironie : la société de protection d'identité Aura a divulgué une fuite impactant 900 000 enregistrements. Un employé a été victime d'une attaque ciblée par hameçonnage téléphonique (vishing), donnant aux attaquants accès à un outil marketing contenant des données clients.

ÉLEVÉ 900K ENREGISTREMENTS source →

Fuite de données Marquis — 672 000 confirmés

Révisé à la baisse depuis une estimation initiale de 1,6 million, la fuite Marquis confirme désormais 672 000 personnes affectées. Les types de données et le vecteur d'attaque font toujours l'objet d'une enquête.

ÉLEVÉ 672K AFFECTÉS source →
⚠️

Vulnérabilités critiques

Kit d'exploitation iOS DarkSword — 6 failles, 3 Zero-Days

Google Threat Intelligence, iVerify et Lookout ont conjointement divulgué « DarkSword » — un kit d'exploitation iOS full-chain ciblant iOS 18.4–18.7. Il exploite 6 vulnérabilités dont 3 zero-days (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Utilisé par le groupe russe UNC6353, des fournisseurs de surveillance commerciale et des acteurs étatiques ciblant l'Ukraine, l'Arabie saoudite, la Turquie et la Malaisie. Approche « hit-and-run » exfiltrant les données en quelques secondes. Deuxième kit d'exploitation iOS après Coruna en un mois.

3 ZERO-DAYS UNC6353 / RUSSIE iOS 18.4–18.7 source →

PolyShell — RCE non authentifiée sur tous les Magento/Adobe Commerce v2

Sansec a découvert « PolyShell », une vulnérabilité dans le traitement des uploads de fichiers de l'API REST de Magento. Les attaquants téléchargent des fichiers polyglottes (valides à la fois comme image et comme script) pour obtenir une exécution de code à distance non authentifiée ou une prise de contrôle de compte par XSS persistant. Affecte toutes les installations Magento Open Source et Adobe Commerce v2 en production. Le correctif n'est disponible que dans l'alpha 2.4.9 — pas encore de correctif de production. La méthode d'exploitation circule déjà.

CRITIQUE — AUCUN CORRECTIF TOUS MAGENTO V2 source →

Ubiquiti UniFi — Prise de contrôle de compte de sévérité maximale

Ubiquiti a corrigé deux vulnérabilités dans l'application UniFi Network, dont une faille de sévérité maximale permettant la prise de contrôle de compte. Les administrateurs doivent mettre à jour immédiatement.

CVSS 10.0 CORRIGÉ source →

ScreenConnect — Exposition critique de clés machine

ConnectWise a corrigé une vulnérabilité critique de ScreenConnect exposant des clés machine, permettant potentiellement un accès distant non autorisé. La dernière version ajoute le stockage chiffré et la gestion pour la protection des clés.

CRITIQUE CORRIGÉ source →

SharePoint RCE (CVE-2026-20963) — Exploitation active

CISA a ajouté Microsoft SharePoint CVE-2026-20963 à son catalogue des vulnérabilités activement exploitées. La faille RCE, corrigée lors du Patch Tuesday de janvier, est désormais confirmée comme exploitée dans la nature.

ACTIVEMENT EXPLOITÉ CORRECTIF DISPONIBLE source →

9 failles critiques IP KVM — Accès root non authentifié

Eclypsium a découvert 9 vulnérabilités dans 4 produits IP KVM (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Absence de validation de signature firmware, aucune protection anti-brute-force, contrôles d'accès défaillants, interfaces de débogage exposées. Les attaquants peuvent obtenir un accès root au niveau BIOS/UEFI — contournant toute la sécurité au niveau OS.

CRITIQUE 4 FOURNISSEURS source →
💀

Ransomware et attaques majeures

Les hacktivistes Handala effacent 80 000 appareils Stryker via Microsoft Intune

Le groupe hacktiviste Handala a mené une attaque destructrice dévastatrice contre le géant de la technologie médicale Stryker, effaçant environ 80 000 appareils en détournant Microsoft Intune. Le FBI a saisi deux sites de fuite de données opérés par Handala. CISA a ensuite publié des recommandations urgentes pour toutes les organisations américaines afin de durcir leurs déploiements Microsoft Intune.

DESTRUCTEUR 80K APPAREILS EFFACÉS SAISIE FBI source →

Zero-day Cisco FMC exploité par le ransomware Interlock

Amazon a découvert qu'une vulnérabilité du Cisco Firewall Management Center (FMC) est exploitée comme zero-day depuis fin janvier par le groupe ransomware Interlock. Des preuves pointent vers des liens avec la Russie. La récente série de vulnérabilités de Cisco montre un schéma troublant de failles de pare-feu et SD-WAN activement exploitées.

ZERO-DAY INTERLOCK LIEN AVEC LA RUSSIE source →

Bitrefill attribue l'attaque au groupe nord-coréen Lazarus/Bluenoroff

La plateforme de cartes-cadeaux crypto Bitrefill a révélé que leur cyberattaque de début mars a probablement été menée par le groupe nord-coréen Bluenoroff (sous-groupe de Lazarus). Cela poursuit le schéma de la RPDC ciblant les plateformes crypto et fintech pour générer des revenus.

LAZARUS / BLUENOROFF CRYPTO source →

Attaque interne en Caroline du Nord — Rançon de 2,5 M$

Un employé informatique de Caroline du Nord a été reconnu coupable d'avoir mené une attaque interne contre une entreprise technologique de Washington, obtenant un paiement de rançon de 2,5 millions de dollars. Cela souligne le risque persistant des menaces internes.

MENACE INTERNE RANÇON DE 2,5 M$ source →
🎯

Activité étatique et APT

APT28 (Russie/GRU) exploite Zimbra contre l'Ukraine

APT28, lié au renseignement militaire russe, exploite activement une vulnérabilité de Zimbra Collaboration Suite dans des attaques contre des entités gouvernementales ukrainiennes. La faille implique une sanitisation CSS insuffisante dans les e-mails HTML, permettant l'exécution de scripts inline lorsque les messages sont ouverts dans un navigateur.

APT28 / FANCY BEAR UKRAINE source →

Montée en puissance de l'infrastructure cyber iranienne révélée

Des analyses révèlent six mois de construction d'infrastructure cyber liée à l'Iran, incluant des sociétés écrans basées aux États-Unis, conçues pour assurer la résilience des opérations de piratage mondiales et résister à d'éventuelles frappes cinétiques. Les autorités fédérales sont en alerte maximale concernant les cyberattaques iraniennes suite à l'incident Stryker.

IRAN INFRASTRUCTURE source →

The Gentlemen RaaS — Opération ciblant FortiGate

Group-IB a détaillé « The Gentlemen », une opération Ransomware-as-a-Service naissante d'environ 20 membres exploitant spécifiquement les vulnérabilités des pare-feu FortiGate. S'inscrit dans la tendance continue de l'exploitation des dispositifs en périphérie de réseau pour l'accès initial.

RAAS FORTIGATE source →
🛠️

Outils de sécurité et industrie

Oasis Security — 120 M$ pour la gestion d'accès agentique

Oasis Security a levé 120 M$ pour développer sa plateforme de gestion d'accès agentique. Focus sur la R&D, l'expansion des produits de frameworks IA et le passage à l'échelle du go-to-market. Signal d'un intérêt croissant des investisseurs pour les contrôles de sécurité des agents IA.

120 M$ LEVÉS source →

Plateforme de confidentialité Cloaked — 375 M$ de financement

La plateforme de confidentialité Cloaked a levé 375 M$ pour s'étendre au marché entreprise. Prévoit d'introduire des agents IA qui surveillent, gèrent et appliquent les préférences de confidentialité et les postures de sécurité au nom des utilisateurs.

375 M$ LEVÉS source →

1stProtect — Lancement furtif à 20 M$

La startup de sécurité endpoint 1stProtect est sortie du mode furtif avec 20 M$. Sa plateforme surveille le comportement et vérifie l'intention de l'utilisateur pour stopper les attaques en temps réel — une approche novatrice de la protection endpoint.

20 M$ LEVÉS source →

Raven — 20 M$ pour la détection d'anomalies en temps d'exécution

Raven est sorti du mode furtif avec 20 M$. Sa plateforme observe les applications en temps d'exécution pour détecter les comportements anormaux et prévenir les cyberattaques — ciblant le fossé entre l'analyse statique et l'exploitation réelle.

20 M$ LEVÉS source →

Ceros — Couche de confiance IA pour Claude Code

Beyond Identity a lancé Ceros, une « couche de confiance IA » offrant visibilité en temps réel, application de politiques en temps d'exécution et pistes d'audit cryptographiques pour les opérations des agents Claude Code. Répond au risque émergent des agents de codage IA opérant avec les permissions complètes de développeur en dehors des contrôles de sécurité existants.

SÉCURITÉ DES AGENTS IA source →
📊

Tendances émergentes des menaces

Prolifération des exploits iOS

Deux kits d'exploitation iOS full-chain (Coruna et DarkSword) découverts en un mois, utilisés par un mélange d'acteurs étatiques et de fournisseurs de surveillance commerciale. Démontre un marché secondaire florissant où même des groupes financièrement motivés peuvent acquérir des exploits mobiles de niveau étatique. L'approche d'exfiltration « hit-and-run » — en secondes, pas en heures — rend la détection forensique extrêmement difficile.

TENDANCE : EXPLOITS MOBILES

L'exploitation des dispositifs en périphérie continue

FortiGate (The Gentlemen RaaS), Cisco FMC (ransomware Interlock), Ubiquiti UniFi, Zimbra, dispositifs IP KVM — le schéma est clair. Les attaquants ciblent systématiquement l'infrastructure en périphérie de réseau. La nouvelle recherche sur les IP KVM montre que même l'accès au niveau BIOS est menacé par du matériel bon marché et mal sécurisé. Les organisations doivent traiter chaque dispositif en périphérie comme une surface d'attaque critique.

TENDANCE : DISPOSITIFS EN PÉRIPHÉRIE

Microsoft Intune comme vecteur d'attaque

Le détournement de Microsoft Intune par Handala pour effacer 80 000 appareils Stryker est un signal d'alarme. Les outils de gestion des terminaux conçus pour protéger les appareils peuvent être transformés en armes de destruction massive lorsqu'ils sont compromis. La réponse de CISA signale que c'est désormais un schéma d'attaque reconnu contre lequel les entreprises doivent se défendre.

TENDANCE : ARMES MDM

La sécurité des agents IA émerge comme catégorie

Plusieurs startups (plus de 535 M$ de financement cette semaine) développent des produits spécifiquement pour la sécurité des agents IA — gestion d'accès, surveillance en temps d'exécution, application de la confidentialité. Ceros (pour Claude Code), Oasis (accès agentique) et Cloaked (agents de confidentialité IA) signalent tous que la sécurisation des agents IA devient une discipline de sécurité distincte. Pertinent pour la feuille de route de KENSAI.

TENDANCE : SÉCURITÉ DES AGENTS IA