🛡️ KENSAI Recherche Quotidienne en Sécurité
Sommaire
🔓 Violations de données majeures
Données d'employés HackerOne exposées dans la brèche Navia
HackerOne a confirmé que les informations personnelles de centaines d'employés ont été volées lors d'une attaque ciblant le prestataire de prestations sociales Navia. Des données personnelles sensibles — noms, adresses et informations sur les avantages sociaux — ont été exfiltrées. L'ironie que les employés d'une plateforme de bug bounty soient victimes d'une brèche tierce souligne le risque lié à la chaîne d'approvisionnement.
Même les entreprises orientées sécurité sont exposées via leur chaîne de fournisseurs. L'article 21 de NIS2 impose explicitement des évaluations de sécurité de la chaîne d'approvisionnement. L'analyse de risques tiers de KENSAI détecte ces lacunes.
Administrateur de LeakBase arrêté en Russie — 147 000 utilisateurs, des centaines de millions d'enregistrements
Les forces de l'ordre russes ont arrêté l'administrateur du forum cybercriminel LeakBase à Taganrog. La plateforme hébergeait des centaines de millions de comptes volés, données bancaires, identifiants, mots de passe et documents d'entreprise. Plus de 147 000 utilisateurs enregistrés pouvaient acheter et vendre ces données depuis 2021.
Le ministère des Finances néerlandais enquête sur une cyberattaque
Le ministère des Finances des Pays-Bas enquête sur une cyberattaque affectant ses systèmes internes. Les détails restent limités, mais l'attaque a touché une infrastructure gouvernementale critique. Parallèlement, Crunchyroll (streaming d'anime) a révélé un piratage ayant compromis des données de tickets de service client, et Kaplan (éducation) a signalé une violation touchant plus de 230 000 personnes.
Les violations touchant des gouvernements de l'UE accélèrent le calendrier d'application de NIS2. Les organisations DACH devraient considérer cela comme un aperçu du renforcement de la surveillance réglementaire en 2026.
🚨 Vulnérabilités critiques
Citrix NetScaler — CitrixBleed3 en approche
Citrix a corrigé en urgence deux vulnérabilités dans NetScaler ADC et NetScaler Gateway. L'une des failles est « très similaire » aux célèbres vulnérabilités CitrixBleed et CitrixBleed2, qui avaient été exploitées comme zero-day. Citrix recommande un correctif immédiat — des PoC d'exploitation sont attendus sous quelques jours.
CitrixBleed a provoqué certaines des plus grandes violations de 2023-2024. Les organisations utilisant NetScaler doivent appliquer le correctif IMMÉDIATEMENT. Le scan externe de KENSAI détecte les instances NetScaler exposées et leurs empreintes de version.
TP-Link Archer NX — Contournement critique de l'authentification
TP-Link a corrigé une faille critique de contournement d'authentification dans sa série de routeurs Archer NX, permettant aux attaquants de contourner entièrement l'authentification et de télécharger un firmware malveillant. Avec la nouvelle interdiction de la FCC sur les routeurs fabriqués à l'étranger, cela amplifie les préoccupations sur la sécurité de la chaîne d'approvisionnement des routeurs.
PolyShell — Exploitation massive de Magento/Adobe Commerce
L'exploitation active de la vulnérabilité « PolyShell » touche 56 % de tous les magasins Magento Open Source et Adobe Commerce vulnérables. Les attaquants déploient des web shells à grande échelle. Les entreprises e-commerce utilisant Magento 2 doivent appliquer le correctif immédiatement sous peine de compromission totale du site et de vol de données de paiement.
Apple iOS/macOS 26.4 — Correctifs de sécurité pour tout l'écosystème
Apple a publié des correctifs de sécurité pour iOS, macOS et iPadOS, y compris des patches pour les appareils plus anciens (iOS 18.7.7, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5). Plusieurs vulnérabilités WebKit et kernel ont été corrigées.
💀 Attaques par ransomware
Port de Vigo (Espagne) — Opérations maritimes perturbées
Une attaque par ransomware a contraint le port de Vigo en Espagne à déconnecter ses systèmes et à basculer vers une gestion manuelle du fret. L'attaque a été détectée tôt mardi, verrouillant les serveurs et exigeant une rançon. Le président du port a déclaré : « Nous ne rétablirons pas les connexions tant qu'il n'y aura pas de garanties absolues. » Aucun groupe n'a revendiqué l'attaque. Les mouvements de navires se poursuivent, mais la coordination logistique est paralysée.
Les attaques contre les ports s'accélèrent — Nagoya (2023), maintenant Vigo (2026). Sous NIS2, les ports sont des « entités essentielles » soumises à un signalement obligatoire des incidents dans les 24 heures. Les autorités portuaires de l'UE ont besoin d'une surveillance sécuritaire continue.
Stryker (Dispositifs médicaux) — Lignes de production de nouveau opérationnelles après une attaque malware
Le fabricant de dispositifs médicaux Stryker a confirmé l'implication d'un malware dans une récente cyberattaque ayant paralysé ses lignes de production. Les opérations reprennent désormais. L'attaque illustre le ciblage persistant des chaînes d'approvisionnement du secteur médical et de la santé.
Opérateurs de ransomware russes condamnés aux États-Unis
Ilya Angelov (TA551/Shathak) — 2 ans + 100 000 $ d'amende pour avoir géré un botnet utilisé dans des campagnes de ransomware (2017-2021). Aleksei Volkov — 81 mois (6,75 ans) pour son rôle de courtier d'accès dans les attaques du ransomware Yanluowang. Le ministère américain de la Justice poursuit les cybercriminels russes avec une portée extraterritoriale.
🔧 Publications d'outils de sécurité
Kali Linux 2026.1 — 8 nouveaux outils + mode BackTrack
La première version de l'année apporte 8 nouveaux outils de sécurité, un rafraîchissement du thème visuel et un nouveau « mode BackTrack » pour Kali-Undercover. Un clin d'œil nostalgique doublé de mises à jour pratiques pour le pentest.
GitHub — Analyse de sécurité du code assistée par IA
GitHub étend son outil Code Security au-delà de CodeQL avec une détection de vulnérabilités basée sur l'IA. La nouvelle analyse couvre davantage de langages et de frameworks, abaissant la barrière d'entrée pour un développement soucieux de la sécurité. Le SAST se rapproche ainsi des workflows de développement courants.
Le SAST assisté par IA devient un standard. L'avantage concurrentiel de KENSAI : combiner SAST avec DAST, scan externe et conformité NIS2 dans une plateforme unique — pas seulement de la détection au niveau du code.
Onit Security — Levée de 11 M$ pour la gestion de l'exposition
Onit Security a levé 11 M$ pour construire sa plateforme de gestion de l'exposition. L'investissement cible le développement produit et l'expansion GTM vers de nouveaux secteurs. Cela témoigne d'un appétit continu du capital-risque pour la gestion de la surface d'attaque malgré la consolidation du marché.
⚡ Menaces émergentes
Compromission de la chaîne d'approvisionnement en escalade — TeamPCP frappe LiteLLM, Docker Hub, VS Code, PyPI
L'acteur de menace TeamPCP (à l'origine des compromissions Trivy/KICS) a désormais injecté une backdoor dans les versions 1.82.7–1.82.8 de LiteLLM via une compromission de pipeline CI/CD. La charge utile est une attaque en trois étapes : collecte d'identifiants (clés SSH, identifiants cloud, secrets K8s), boîte à outils de mouvement latéral et backdoor persistante. Ils ont également touché Docker Hub, le marketplace VS Code et NPM — une collaboration avec Lapsus$ est rapportée.
C'est l'attaque la plus significative contre la chaîne d'approvisionnement OSS de 2026 à ce jour. Compromission de pipeline CI/CD → empoisonnement de paquets à grande échelle. Les organisations doivent vérifier l'intégrité des paquets et verrouiller les versions. L'analyse SBOM n'est plus facultative.
Hameçonnage par code d'appareil — Plus de 340 organisations Microsoft 365 compromises
Une campagne massive de phishing par code d'appareil cible les identités M365 dans plus de 340 organisations aux États-Unis, au Canada, en Australie, en Nouvelle-Zélande et en Allemagne. Elle utilise Cloudflare Workers + Railway PaaS pour la collecte d'identifiants. Exploite le flux d'autorisation OAuth par code d'appareil pour voler des tokens qui survivent aux réinitialisations de mot de passe. Secteurs touchés : construction, santé, juridique, gouvernement, services financiers.
L'Allemagne est explicitement citée comme pays cible. Les organisations DACH utilisant M365 devraient auditer immédiatement les politiques de code d'appareil OAuth. Les politiques d'accès conditionnel devraient bloquer le flux de code d'appareil là où il n'est pas nécessaire.
GlassWorm — La blockchain Solana comme dead drop C2
La campagne GlassWorm utilise désormais les mémos de la blockchain Solana comme résolveurs dead drop pour la communication C2. Elle déploie une extension Chrome se faisant passer pour Google Docs Offline, enregistrant les frappes clavier, capturant les cookies/sessions, prenant des captures d'écran et ciblant plus de 728 portefeuilles crypto. Propagation via des paquets empoisonnés sur npm, PyPI, GitHub et le marketplace VS Code.
Les agents IA comme surface d'attaque — « La kill chain est obsolète »
Les chercheurs en sécurité avertissent que les agents IA disposant d'un accès système représentent un modèle de menace fondamentalement nouveau. Contrairement aux kill chains traditionnelles où les attaquants doivent obtenir l'accès étape par étape, les agents IA compromis disposent déjà des permissions, de l'accès et de raisons légitimes de parcourir les systèmes. PwC et SANS confirment que l'IA accélère la vitesse et l'ampleur des attaques, le vol d'identité évoluant en « chaîne d'approvisionnement cybercriminelle ». Les comptes IA premium volés sont désormais des marchandises recherchées sur les marchés clandestins.
SecurityWeek a publié un article sur la gouvernance de l'IA agentique citant OpenClaw. Le narratif « IA comme surface d'attaque » est l'opportunité de contenu de KENSAI — nous devons dominer cette conversation sur le marché DACH.
📋 Politique et réglementation notables
La FCC interdit les routeurs grand public fabriqués à l'étranger
La FCC a interdit tous les nouveaux routeurs grand public fabriqués en dehors des États-Unis, invoquant des risques pour la sécurité nationale. Cette mesure s'aligne avec la détermination de la Maison-Blanche selon laquelle tous les routeurs produits à l'étranger présentent des menaces inacceptables. Implications majeures pour TP-Link, Huawei et d'autres fabricants étrangers.
Directrice par intérim de CISA : le shutdown augmente les cyberrisques et provoque des démissions
La directrice par intérim de CISA a averti que la dynamique du government shutdown en cours accroît les risques en cybersécurité et entraîne des problèmes de rétention du personnel. La posture de cybersécurité du gouvernement américain continue de se dégrader à mesure que les professionnels expérimentés partent.
UK NCSC : le « Vibe Coding » pourrait ajouter des risques de sécurité à l'industrie SaaS
Le National Cyber Security Centre du Royaume-Uni a averti que la tendance du « Vibe Coding » — utiliser l'IA pour générer des applications entières — pourrait transformer le SaaS tout en introduisant des risques de sécurité significatifs. Le code généré par IA manque souvent de validation des entrées, de contrôles d'authentification et de paramètres sécurisés par défaut.