Bulletin de Sécurité
⚡ TL;DR — L'essentiel du jour
- Kit d'exploitation iOS DarkSword — deuxième kit iOS full-chain en un mois, 3 zero-days, groupe d'espionnage russe UNC6353 ciblant l'Ukraine. iOS 18.4–18.7 affectés.
- Les hacktivistes Handala ont effacé 80 000 appareils Stryker via Microsoft Intune — le FBI a saisi leur site de fuite. CISA a publié des recommandations de durcissement Intune.
- PolyShell RCE sur tous les Magento/Adobe Commerce v2 — exécution de code non authentifiée via upload de fichiers polyglottes. Aucun correctif de production disponible.
- Zero-day Cisco FMC exploité par le ransomware Interlock depuis janvier — Amazon a trouvé des liens avec la Russie.
- Fuite Navia impactant 2,7 M de personnes — données sensibles de prestations exposées.
- APT28 (Russie) exploitant une faille de sanitisation CSS Zimbra contre le gouvernement ukrainien.
- 9 vulnérabilités critiques IP KVM chez 4 fournisseurs — accès root non authentifié au niveau BIOS.
Fuites de données
Navia Benefit Solutions — 2,7 millions d'enregistrements exposés
L'administrateur de prestations Navia a divulgué une fuite affectant près de 2,7 millions de personnes. Les attaquants ont accédé à des informations personnelles sensibles, notamment des données de prestations, des numéros de sécurité sociale et des dossiers financiers. L'entreprise fournit des services de surveillance du crédit aux personnes affectées.
Aura Security — 900 000 enregistrements via hameçonnage
Comble de l'ironie : la société de protection d'identité Aura a divulgué une fuite impactant 900 000 enregistrements. Un employé a été victime d'une attaque ciblée par hameçonnage téléphonique (vishing), donnant aux attaquants accès à un outil marketing contenant des données clients.
Fuite de données Marquis — 672 000 confirmés
Révisé à la baisse depuis une estimation initiale de 1,6 million, la fuite Marquis confirme désormais 672 000 personnes affectées. Les types de données et le vecteur d'attaque font toujours l'objet d'une enquête.
Vulnérabilités critiques
Kit d'exploitation iOS DarkSword — 6 failles, 3 Zero-Days
Google Threat Intelligence, iVerify et Lookout ont conjointement divulgué « DarkSword » — un kit d'exploitation iOS full-chain ciblant iOS 18.4–18.7. Il exploite 6 vulnérabilités dont 3 zero-days (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Utilisé par le groupe russe UNC6353, des fournisseurs de surveillance commerciale et des acteurs étatiques ciblant l'Ukraine, l'Arabie saoudite, la Turquie et la Malaisie. Approche « hit-and-run » exfiltrant les données en quelques secondes. Deuxième kit d'exploitation iOS après Coruna en un mois.
PolyShell — RCE non authentifiée sur tous les Magento/Adobe Commerce v2
Sansec a découvert « PolyShell », une vulnérabilité dans le traitement des uploads de fichiers de l'API REST de Magento. Les attaquants téléchargent des fichiers polyglottes (valides à la fois comme image et comme script) pour obtenir une exécution de code à distance non authentifiée ou une prise de contrôle de compte par XSS persistant. Affecte toutes les installations Magento Open Source et Adobe Commerce v2 en production. Le correctif n'est disponible que dans l'alpha 2.4.9 — pas encore de correctif de production. La méthode d'exploitation circule déjà.
Ubiquiti UniFi — Prise de contrôle de compte de sévérité maximale
Ubiquiti a corrigé deux vulnérabilités dans l'application UniFi Network, dont une faille de sévérité maximale permettant la prise de contrôle de compte. Les administrateurs doivent mettre à jour immédiatement.
ScreenConnect — Exposition critique de clés machine
ConnectWise a corrigé une vulnérabilité critique de ScreenConnect exposant des clés machine, permettant potentiellement un accès distant non autorisé. La dernière version ajoute le stockage chiffré et la gestion pour la protection des clés.
SharePoint RCE (CVE-2026-20963) — Exploitation active
CISA a ajouté Microsoft SharePoint CVE-2026-20963 à son catalogue des vulnérabilités activement exploitées. La faille RCE, corrigée lors du Patch Tuesday de janvier, est désormais confirmée comme exploitée dans la nature.
9 failles critiques IP KVM — Accès root non authentifié
Eclypsium a découvert 9 vulnérabilités dans 4 produits IP KVM (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Absence de validation de signature firmware, aucune protection anti-brute-force, contrôles d'accès défaillants, interfaces de débogage exposées. Les attaquants peuvent obtenir un accès root au niveau BIOS/UEFI — contournant toute la sécurité au niveau OS.
Ransomware et attaques majeures
Les hacktivistes Handala effacent 80 000 appareils Stryker via Microsoft Intune
Le groupe hacktiviste Handala a mené une attaque destructrice dévastatrice contre le géant de la technologie médicale Stryker, effaçant environ 80 000 appareils en détournant Microsoft Intune. Le FBI a saisi deux sites de fuite de données opérés par Handala. CISA a ensuite publié des recommandations urgentes pour toutes les organisations américaines afin de durcir leurs déploiements Microsoft Intune.
Zero-day Cisco FMC exploité par le ransomware Interlock
Amazon a découvert qu'une vulnérabilité du Cisco Firewall Management Center (FMC) est exploitée comme zero-day depuis fin janvier par le groupe ransomware Interlock. Des preuves pointent vers des liens avec la Russie. La récente série de vulnérabilités de Cisco montre un schéma troublant de failles de pare-feu et SD-WAN activement exploitées.
Bitrefill attribue l'attaque au groupe nord-coréen Lazarus/Bluenoroff
La plateforme de cartes-cadeaux crypto Bitrefill a révélé que leur cyberattaque de début mars a probablement été menée par le groupe nord-coréen Bluenoroff (sous-groupe de Lazarus). Cela poursuit le schéma de la RPDC ciblant les plateformes crypto et fintech pour générer des revenus.
Attaque interne en Caroline du Nord — Rançon de 2,5 M$
Un employé informatique de Caroline du Nord a été reconnu coupable d'avoir mené une attaque interne contre une entreprise technologique de Washington, obtenant un paiement de rançon de 2,5 millions de dollars. Cela souligne le risque persistant des menaces internes.
Activité étatique et APT
APT28 (Russie/GRU) exploite Zimbra contre l'Ukraine
APT28, lié au renseignement militaire russe, exploite activement une vulnérabilité de Zimbra Collaboration Suite dans des attaques contre des entités gouvernementales ukrainiennes. La faille implique une sanitisation CSS insuffisante dans les e-mails HTML, permettant l'exécution de scripts inline lorsque les messages sont ouverts dans un navigateur.
Montée en puissance de l'infrastructure cyber iranienne révélée
Des analyses révèlent six mois de construction d'infrastructure cyber liée à l'Iran, incluant des sociétés écrans basées aux États-Unis, conçues pour assurer la résilience des opérations de piratage mondiales et résister à d'éventuelles frappes cinétiques. Les autorités fédérales sont en alerte maximale concernant les cyberattaques iraniennes suite à l'incident Stryker.
The Gentlemen RaaS — Opération ciblant FortiGate
Group-IB a détaillé « The Gentlemen », une opération Ransomware-as-a-Service naissante d'environ 20 membres exploitant spécifiquement les vulnérabilités des pare-feu FortiGate. S'inscrit dans la tendance continue de l'exploitation des dispositifs en périphérie de réseau pour l'accès initial.
Outils de sécurité et industrie
Oasis Security — 120 M$ pour la gestion d'accès agentique
Oasis Security a levé 120 M$ pour développer sa plateforme de gestion d'accès agentique. Focus sur la R&D, l'expansion des produits de frameworks IA et le passage à l'échelle du go-to-market. Signal d'un intérêt croissant des investisseurs pour les contrôles de sécurité des agents IA.
Plateforme de confidentialité Cloaked — 375 M$ de financement
La plateforme de confidentialité Cloaked a levé 375 M$ pour s'étendre au marché entreprise. Prévoit d'introduire des agents IA qui surveillent, gèrent et appliquent les préférences de confidentialité et les postures de sécurité au nom des utilisateurs.
1stProtect — Lancement furtif à 20 M$
La startup de sécurité endpoint 1stProtect est sortie du mode furtif avec 20 M$. Sa plateforme surveille le comportement et vérifie l'intention de l'utilisateur pour stopper les attaques en temps réel — une approche novatrice de la protection endpoint.
Raven — 20 M$ pour la détection d'anomalies en temps d'exécution
Raven est sorti du mode furtif avec 20 M$. Sa plateforme observe les applications en temps d'exécution pour détecter les comportements anormaux et prévenir les cyberattaques — ciblant le fossé entre l'analyse statique et l'exploitation réelle.
Ceros — Couche de confiance IA pour Claude Code
Beyond Identity a lancé Ceros, une « couche de confiance IA » offrant visibilité en temps réel, application de politiques en temps d'exécution et pistes d'audit cryptographiques pour les opérations des agents Claude Code. Répond au risque émergent des agents de codage IA opérant avec les permissions complètes de développeur en dehors des contrôles de sécurité existants.
Tendances émergentes des menaces
Prolifération des exploits iOS
Deux kits d'exploitation iOS full-chain (Coruna et DarkSword) découverts en un mois, utilisés par un mélange d'acteurs étatiques et de fournisseurs de surveillance commerciale. Démontre un marché secondaire florissant où même des groupes financièrement motivés peuvent acquérir des exploits mobiles de niveau étatique. L'approche d'exfiltration « hit-and-run » — en secondes, pas en heures — rend la détection forensique extrêmement difficile.
L'exploitation des dispositifs en périphérie continue
FortiGate (The Gentlemen RaaS), Cisco FMC (ransomware Interlock), Ubiquiti UniFi, Zimbra, dispositifs IP KVM — le schéma est clair. Les attaquants ciblent systématiquement l'infrastructure en périphérie de réseau. La nouvelle recherche sur les IP KVM montre que même l'accès au niveau BIOS est menacé par du matériel bon marché et mal sécurisé. Les organisations doivent traiter chaque dispositif en périphérie comme une surface d'attaque critique.
Microsoft Intune comme vecteur d'attaque
Le détournement de Microsoft Intune par Handala pour effacer 80 000 appareils Stryker est un signal d'alarme. Les outils de gestion des terminaux conçus pour protéger les appareils peuvent être transformés en armes de destruction massive lorsqu'ils sont compromis. La réponse de CISA signale que c'est désormais un schéma d'attaque reconnu contre lequel les entreprises doivent se défendre.
La sécurité des agents IA émerge comme catégorie
Plusieurs startups (plus de 535 M$ de financement cette semaine) développent des produits spécifiquement pour la sécurité des agents IA — gestion d'accès, surveillance en temps d'exécution, application de la confidentialité. Ceros (pour Claude Code), Oasis (accès agentique) et Cloaked (agents de confidentialité IA) signalent tous que la sécurisation des agents IA devient une discipline de sécurité distincte. Pertinent pour la feuille de route de KENSAI.