Veille quotidienne des menaces
⛓️ Attaque Supply Chain — Scanner Trivy compromis
Le scanner de vulnérabilités Trivy compromis par une backdoor — Propagation via Docker & GitHub
Le groupe de hackers TeamPCP a compromis le scanner de vulnérabilités open source Trivy, largement utilisé et développé par Aqua Security. Des versions malveillantes (0.69.4–0.69.6) ont été publiées sur Docker Hub, contenant un malware de type infostealer. L'attaque s'est étendue au-delà de Docker — TeamPCP a pris le contrôle de l'organisation GitHub d'Aqua Security pour altérer des dizaines de dépôts. La dernière version saine connue est la 0.69.3. Les images malveillantes ont été retirées, mais le rayon d'impact sur les environnements de développement reste considérable.
C'est exactement le type de compromission supply chain que l'analyse SBOM et le scan de dépendances de KENSAI peuvent détecter. Si votre pipeline CI/CD a récupéré des images Trivy pendant la fenêtre de compromission, un audit immédiat est nécessaire. Les organisations utilisant la surveillance continue de KENSAI auraient été alertées des changements binaires inattendus.
Sources : BleepingComputer, The Hacker News, SecurityWeek — 23 mars
TeamPCP déploie un wiper Kubernetes ciblant l'Iran
Le même groupe TeamPCP derrière la compromission de Trivy cible également des clusters Kubernetes avec un wiper destructeur. Le script malveillant détecte si les systèmes sont configurés pour une infrastructure basée en Iran et efface toutes les machines si la condition est remplie. Cela représente une escalade significative, passant du vol de données à une capacité destructrice complète dans les environnements conteneurisés.
Source : BleepingComputer — 23 mars
🔴 Vulnérabilités critiques
CVE-2026-21992 — Oracle Identity Manager RCE (Correctif d'urgence)
Oracle a publié un correctif d'urgence hors cycle pour CVE-2026-21992, une vulnérabilité critique dans Oracle Identity Manager. La faille permet une exécution de code à distance sans authentification et pourrait déjà avoir été exploitée en conditions réelles. Les organisations utilisant Oracle Identity Manager doivent appliquer le correctif immédiatement — il s'agit d'une RCE pre-auth sur un système de gestion des identités, ce qui en fait une cible de très haute valeur pour les attaquants.
Source : SecurityWeek — 23 mars
CVE-2025-32975 (CVSS 10.0) — Quest KACE SMA activement exploitée
Une vulnérabilité de sévérité maximale dans Quest KACE Systems Management Appliance est activement exploitée, ciblant particulièrement le secteur de l'éducation. Arctic Wolf a observé des activités d'exploitation à partir de la semaine du 9 mars sur des systèmes SMA non patchés exposés à Internet. Compte tenu du score CVSS de 10.0 et de l'exploitation confirmée, le déploiement immédiat du correctif s'impose.
Source : The Hacker News, SecurityWeek — 23 mars
Chaîne d'exploits iOS DarkSword — Ajout au catalogue CISA KEV
CISA a ajouté trois vulnérabilités DarkSword (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) à son catalogue des vulnérabilités exploitées connues. DarkSword est un kit d'exploitation iOS sophistiqué chaînant 6 vulnérabilités pour l'évasion de sandbox, l'élévation de privilèges et la RCE sur iPhone (iOS 18.4–18.7). Lié au fournisseur de surveillance commerciale turc PARS Defense (UNC6748) et au groupe d'espionnage russe UNC6353. Trois familles de malware déployées : GhostBlade, GhostKnife, GhostSaber. Les agences fédérales ont jusqu'au 3 avril pour appliquer les correctifs.
Source : BleepingComputer, CISA — 23 mars
QNAP corrige quatre vulnérabilités Pwn2Own
QNAP a corrigé quatre vulnérabilités démontrées lors de Pwn2Own, permettant la divulgation d'informations, l'exécution de code et des comportements inattendus sur les appareils NAS. Étant donné l'historique de QNAP comme cible de ransomware, l'application rapide des correctifs est essentielle.
Source : SecurityWeek — 23 mars
💾 Fuites de données
Crunchyroll enquête sur une fuite — 6,8 millions d'utilisateurs potentiellement touchés
La populaire plateforme de streaming d'anime Crunchyroll (propriété de Sony) mène une enquête après que des hackers ont affirmé avoir dérobé les données personnelles d'environ 6,8 millions d'utilisateurs. L'incident fait l'objet d'une investigation active — l'ampleur et l'authenticité sont encore en cours de vérification.
Source : BleepingComputer — 23 mars
Mazda divulgue une fuite de données d'employés et de partenaires
Mazda Motor Corporation a confirmé un incident de sécurité détecté pour la première fois en décembre 2025, ayant exposé des données d'employés et de partenaires commerciaux. La divulgation n'est intervenue qu'en mars 2026, soulignant l'écart persistant entre détection et communication publique dans le secteur automobile.
Source : BleepingComputer — 23 mars
Une filiale de Trio-Tech Semiconductor frappée par un ransomware
Le prestataire de services pour semi-conducteurs Trio-Tech International a révélé qu'une filiale à Singapour a été touchée par un ransomware de chiffrement de fichiers. La chaîne d'approvisionnement des semi-conducteurs reste une cible privilégiée — les fabricants et prestataires de services pour puces font face à une pression croissante des ransomwares.
Source : SecurityWeek — 23 mars
🕵️ Activités étatiques & APT
FBI/CISA : Des hackers russes mènent un phishing massif contre les utilisateurs Signal & WhatsApp
Le FBI et CISA ont publié un avertissement conjoint indiquant que les services de renseignement russes mènent des campagnes de phishing à grande échelle ciblant les comptes Signal et WhatsApp de personnes à haute valeur — responsables gouvernementaux, militaires, personnalités politiques et journalistes. Des milliers de comptes ont été compromis dans le monde. Une fois infiltrés, les attaquants consultent les messages, exfiltrent les contacts et lancent d'autres attaques de phishing depuis des identités de confiance.
Source : The Hacker News, FBI — 21–23 mars
Le FBI met en garde contre les hackers iraniens Handala utilisant Telegram pour diffuser des malwares
Le FBI a averti que des hackers iraniens liés au Ministère du Renseignement et de la Sécurité (MOIS) — connus sous le nom de Handala — utilisent Telegram pour distribuer des malwares. Les États-Unis ont confirmé le lien entre Handala et le gouvernement iranien et ont saisi plusieurs domaines utilisés dans leurs opérations psychologiques cyber.
Source : BleepingComputer, SecurityWeek — 23 mars
Des hackers nord-coréens exploitent VS Code pour le malware StoatWaffle
L'acteur de menace Contagious Interview (WaterPlum) distribue le malware StoatWaffle via des projets VS Code malveillants. L'attaque exploite la fonctionnalité d'exécution automatique tasks.json de VS Code — une tactique relativement nouvelle adoptée depuis décembre 2025. Elle cible les développeurs qui ouvrent des projets VS Code apparemment légitimes, exécutant automatiquement le malware.
Source : The Hacker News — 23 mars
🎣 Phishing & ingénierie sociale
La plateforme PhaaS Tycoon2FA de retour à pleine capacité après l'intervention policière
La plateforme de phishing Tycoon2FA, perturbée par Europol le 4 mars, a déjà retrouvé ses niveaux d'activité d'avant l'intervention. Les volumes d'attaques et les tactiques restent inchangés, démontrant la résilience de l'infrastructure cybercriminelle face aux actions des forces de l'ordre. La plateforme est spécialisée dans le contournement de l'authentification à deux facteurs.
Source : BleepingComputer, SecurityWeek — 23 mars
Microsoft : Le phishing fiscal IRS touche 29 000 utilisateurs
Microsoft a signalé des campagnes de phishing à grande échelle exploitant l'urgence de la période fiscale américaine. Plus de 29 000 utilisateurs ciblés avec de faux avis de remboursement IRS, formulaires de paie et rappels de déclaration. Les campagnes déploient des malwares de type Remote Monitoring & Management (RMM) et exploitent des plateformes PhaaS. Les cibles incluent aussi bien des particuliers que des professionnels de la fiscalité ayant accès à des données financières sensibles.
Source : The Hacker News, Microsoft — 23 mars
📊 Tendances émergentes & recherche
M-Trends 2026 : Le délai de transfert d'accès initial tombe à 22 secondes
Le rapport M-Trends 2026 de Mandiant, basé sur plus de 500 000 heures de réponse à incidents, révèle que le délai entre la compromission par un courtier d'accès initial et le transfert aux opérateurs de ransomware est passé de plusieurs heures à seulement 22 secondes. Cela réduit considérablement la fenêtre dont disposent les défenseurs pour détecter et répondre aux intrusions avant le déploiement du ransomware.
Un délai de transfert de 22 secondes signifie que le triage manuel en SOC n'est plus viable pour la détection des accès initiaux. Le scan automatisé et continu — comme l'approche de KENSAI — devient la seule défense réaliste. Les organisations sans capacités de réponse automatisée sont essentiellement sans défense face à cette vitesse d'attaque.
Source : SecurityWeek / Mandiant — 23 mars
Huit vecteurs d'attaque découverts dans AWS Bedrock
L'équipe de recherche sur les menaces de XM Cyber a identifié huit vecteurs d'attaque validés dans la plateforme IA AWS Bedrock : manipulation des logs, compromission de la base de connaissances, détournement d'agents, injection de flux, dégradation des guardrails et empoisonnement de prompts. À mesure que les agents IA accèdent aux données d'entreprise (Salesforce, Lambda, SharePoint), ils deviennent des surfaces d'attaque à haute valeur avec des permissions et une portée vers les actifs critiques.
La sécurité de l'infrastructure IA est une frontière émergente. Lorsque les entreprises connectent des agents IA aux systèmes de production, la surface d'attaque s'étend considérablement. Cela s'aligne avec le positionnement de KENSAI en matière de sécurité IA — scanner et sécuriser l'infrastructure qui alimente les systèmes d'IA.
Source : The Hacker News / XM Cyber — 23 mars
Les attaques basées sur le navigateur contournent les contrôles de sécurité traditionnels
Un nouveau rapport de Push Security documente comment les attaques basées sur le navigateur — phishing AITM, ClickFix, applications OAuth malveillantes et détournement de session — sont à l'origine des violations les plus importantes d'aujourd'hui et échappent aux contrôles de sécurité traditionnels. Le navigateur est de plus en plus la surface d'attaque principale.
Source : BleepingComputer / Push Security — 23 mars
💰 Industrie & financements
Cape lève 100 M$ pour la sécurité cellulaire
Cape, un opérateur de réseau mobile virtuel (MVNO) axé sur la confidentialité, a levé 100 millions de dollars pour la protection contre les menaces de sécurité cellulaire — au service des consommateurs, des entreprises et des administrations.
Source : SecurityWeek — 23 mars
Eclypsium lève 25 M$ pour la sécurité de la supply chain des appareils
Eclypsium a sécurisé 25 millions de dollars pour développer sa plateforme de sécurité de la supply chain des appareils et étendre ses partenariats de distribution. Particulièrement opportun au vu de l'attaque supply chain sur Trivy qui domine l'actualité du jour.
Source : SecurityWeek — 23 mars
3 hommes inculpés pour contrebande de matériel IA vers la Chine
Trois hommes ont été inculpés pour avoir conspiré à violer les contrôles à l'exportation américains en détournant d'importantes quantités de serveurs IA hautes performances assemblés aux États-Unis vers la Chine. Cela reflète les tensions géopolitiques persistantes autour de l'accès au matériel IA.
Source : SecurityWeek — 23 mars
📋 Conformité & réglementation
Le Royaume-Uni renforce les exigences de signalement des cyberincidents
Le Royaume-Uni renforce les obligations de signalement des cyberincidents. Combiné à l'application croissante de NIS2 dans toute l'UE, les organisations font face à un réseau de plus en plus complexe d'obligations de déclaration. Le reporting de conformité automatisé — un différenciateur clé de KENSAI — devient indispensable.
Source : SecurityWeek — 23 mars