剣 KENSAI
← Back to archive

Briefing quotidien des menaces

2026-03-27 · Vendredi · S13
Compilé à partir de BleepingComputer, The Hacker News, SecurityWeek & autres sources
4
CVEs critiques
3
Fuites de données
2
Exploits actifs
6
Campagnes de menaces

🔓 Fuites de données & violations

Violation de données Hightower Holding — 130 000 personnes affectées

26 marsSecurityWeek
IMPACT ÉLEVÉ

La société financière Hightower a révélé que des pirates ont exfiltré des noms, des numéros de sécurité sociale et des numéros de permis de conduire depuis son environnement. Environ 130 000 personnes sont touchées. Cette violation souligne le ciblage continu des sociétés de services financiers détenant d'importants ensembles de données personnelles.

KENSAI Take : Les services financiers restent des cibles prioritaires. Les entreprises traitant des données personnelles à grande échelle ont besoin d'une surveillance continue des vulnérabilités — exactement ce que le scan automatisé de KENSAI propose.

securityweek.com

Ajax Amsterdam FC — Données des supporters exposées, détournement de billets

26 marsBleepingComputer
MOYEN

Le club de football néerlandais AFC Ajax a révélé une violation où un pirate a exploité des vulnérabilités dans ses systèmes informatiques, accédant aux données personnelles de plusieurs centaines de supporters. L'accès a permis des capacités de détournement de billets. Cela démontre comment même les organisations « non-tech » font face à des attaques sophistiquées lorsqu'elles détiennent des données consommateurs.

bleepingcomputer.com

Administrateur de LeakBase arrêté en Russie

25–26 marsSources multiples
FORCES DE L'ORDRE

La police russe a arrêté un résident de Taganrog soupçonné d'être le propriétaire de LeakBase, un important forum cybercriminel pour l'échange de bases de données volées et d'outils de piratage, actif depuis 2021. Du matériel technique a été saisi. Parallèlement, le présumé administrateur du infostealer RedLine, Hambardzum Minasyan, a été extradé d'Arménie vers les États-Unis pour faire face à des poursuites pénales.

thehackernews.com

🚨 CVEs critiques & vulnérabilités

CVE-2026-33017 — Langflow AI Framework RCE (CVSS 9.3)

ACTIVEMENT EXPLOITÉCISA KEV
CRITIQUE 9.3

La CISA a ajouté CVE-2026-33017 à son catalogue de vulnérabilités exploitées connues. La faille affecte Langflow ≤1.8.1, un framework AI open-source populaire (145K étoiles GitHub). Elle permet l'exécution de code à distance non authentifiée via une seule requête HTTP forgée en raison d'une exécution de flux non sandboxée. L'exploitation a commencé seulement 20 heures après la divulgation — sans PoC public existant ; les attaquants ont rétro-ingéniéré les exploits à partir de l'avis seul. Scan automatisé → exploitation → collecte de données (.env, .db) s'est produit en 24 heures.

KENSAI Take : L'infrastructure AI devient une surface d'attaque majeure. Des délais d'exploitation de 20 heures signifient que les organisations ont besoin d'un scan automatisé continu, pas de pentests trimestriels. C'est la proposition de valeur fondamentale de KENSAI.

bleepingcomputer.com

PolyShell — RCE non authentifiée Magento/Adobe Commerce

EXPLOITATION MASSIVE56,7% des boutiques vulnérables
CRITIQUE

Une nouvelle vulnérabilité appelée PolyShell affecte Magento Open Source et Adobe Commerce, permettant un upload de fichier non authentifié menant à une RCE via l'API REST. En exploitation massive depuis le 19 mars, avec plus de 50 IP scannant. Sansec rapporte que 56,7% des boutiques vulnérables ont été attaquées. Un nouveau skimmer de paiement basé sur WebRTC a été déployé via ce vecteur, contournant la Content Security Policy en utilisant des canaux UDP chiffrés DTLS au lieu de HTTP. Correctif disponible uniquement en bêta (2.4.9-beta1).

KENSAI Take : Les plateformes e-commerce sont des infrastructures critiques pour les entreprises. La technique d'exfiltration WebRTC contourne les CSP traditionnelles — les outils DAST qui ne surveillent que le HTTP manqueront cela complètement. L'approche multi-vecteurs de KENSAI détecte ce que les scanners traditionnels ratent.

thehackernews.com

BIND DNS — Vulnérabilités OOM de haute sévérité

26 marsSecurityWeek
ÉLEVÉ

ISC a publié des mises à jour corrigeant des vulnérabilités de haute sévérité dans les résolveurs BIND DNS. Des domaines spécialement conçus pouvaient déclencher des conditions de mémoire insuffisante menant à des fuites de mémoire et un déni de service potentiel. Les opérateurs d'infrastructure DNS doivent corriger immédiatement.

securityweek.com

Cisco IOS — Multiples vulnérabilités corrigées

26 marsSecurityWeek
ÉLEVÉ

Cisco a publié des correctifs pour plusieurs vulnérabilités dans le logiciel IOS, corrigeant des failles pouvant mener au déni de service, au contournement du démarrage sécurisé, à la divulgation d'informations et à l'élévation de privilèges. L'infrastructure réseau exécutant Cisco IOS doit être mise à jour.

securityweek.com

Apple iOS/macOS 26.4 — Correctifs de sécurité

26 marsSecurityWeek
MOYEN

Apple a publié des correctifs de sécurité pour iOS/macOS 26.4, ainsi que des rétroportages pour les versions antérieures : iOS 18.7.7, iPadOS 18.7.7, macOS Sequoia 15.7.5 et macOS Sonoma 14.8.5. Mettez à jour tous les appareils Apple rapidement.

securityweek.com

☠️ Campagnes de menaces & malwares

Red Menshen (Chine) — Profondément dans le backbone télécom via BPFDoor

26 marsThe Hacker News / Rapid7
APTÉTATIQUE

L'acteur de menace lié à la Chine Red Menshen (Earth Bluecrow / DecisiveArchitect) a intégré des implants au niveau du noyau et des portes dérobées passives au cœur des réseaux de télécommunications au Moyen-Orient et en Asie depuis 2021. Rapid7 a décrit ceux-ci comme « certaines des cellules dormantes numériques les plus furtives » jamais rencontrées. Les implants BPFDoor permettent un espionnage persistant à long terme contre les réseaux gouvernementaux via la compromission d'infrastructures télécom.

KENSAI Take : Des acteurs étatiques opèrent au niveau du noyau dans les backbones télécom — la conformité NIS2 exige que les organisations prennent en compte exactement ce type de risques liés à la chaîne d'approvisionnement. Les fournisseurs télécom dans la région DACH doivent évaluer leur exposition.

thehackernews.com

Sandworm (Russie) — Portes dérobées via des logiciels piratés

26 marsThe Hacker News
APTÉTATIQUE

Le groupe APT russe Sandworm distribue des portes dérobées (Tambur, Sumbur, Kalambur, DemiMur) via des logiciels piratés comme « Microsoft.Office.2025x64 ». Il utilise Telegram comme vecteur de distribution ciblant les utilisateurs ukrainiens recherchant des cracks logiciels. DemiMur force l'import de certificats racine falsifiés dans le magasin de confiance de l'OS, permettant une manipulation persistante de la chaîne de confiance.

thehackernews.com

Coruna iOS Exploit Framework — Évolution d'Operation Triangulation

26 marsBleepingComputer
ZERO-CLICK

Le kit d'exploitation Coruna a été identifié comme une évolution du framework utilisé dans l'Operation Triangulation, la campagne de 2023 qui ciblait les iPhones via des exploits iMessage zero-click. Cela représente un développement continu de capacités d'exploitation mobile sophistiquées.

bleepingcomputer.com

Keenadu — Porte dérobée firmware Android en expansion

26 marsSophos / The Hacker News
FIRMWARE

Sophos a détecté Keenadu, une porte dérobée firmware intégrée dans libandroid_runtime.so d'Android qui s'injecte dans le processus Zygote (parent de toutes les applications Android), donnant aux attaquants un contrôle total de l'appareil. Plus de 500 appareils compromis sur environ 50 modèles détectés, principalement des appareils bas de gamme d'Allview, BLU, Dcode, DOOGEE et autres. Livré préinstallé en usine.

thehackernews.com

TeamPCP — Compromission de la chaîne d'approvisionnement OSS multi-écosystèmes

26 marsSecurityWeek
CHAÎNE D'APPROVISIONNEMENT

Le groupe de menaces TeamPCP s'est étendu de la compromission des tags GitHub Action (initialement Trivy) aux attaques sur NPM, Docker Hub, VS Code Extensions et PyPI. Le groupe se serait associé à Lapsus$ pour des attaques plus larges sur la chaîne d'approvisionnement à travers plusieurs écosystèmes de paquets.

securityweek.com

TikTok for Business — Campagne de phishing avec évasion anti-bot

26 marsBleepingComputer
PHISHING

Nouvelle campagne de phishing ciblant les comptes TikTok for Business utilisant des techniques anti-bot pour empêcher les outils de sécurité d'analyser les pages malveillantes. Les comptes professionnels sur les réseaux sociaux restent des cibles de grande valeur pour le vol d'identifiants.

bleepingcomputer.com

Le Royaume-Uni sanctionne le marketplace Xinbi

26 marsBleepingComputer
SANCTIONS

Le Royaume-Uni a sanctionné Xinbi, un marketplace crypto sinophone vendant des données volées et des équipements Internet satellitaire à des réseaux d'escroquerie en Asie du Sud-Est. Lié au « pig butchering » et à d'autres opérations de fraude organisée.

bleepingcomputer.com

🛡️ Outils de sécurité & industrie

Conférence RSAC 2026 — Annonces Jour 2

26 marsSecurityWeek
RSAC 2026

La RSAC 2026 est en cours avec des annonces majeures des fournisseurs. Les thèmes clés incluent les opérations de sécurité alimentées par l'IA, la préparation à la cryptographie post-quantique et les stratégies de défense centrées sur l'identité.

securityweek.com

Dell & HP — Sécurité des appareils résistante au quantique

26 marsSecurityWeek
PQC

Dell et HP ont annoncé de nouvelles capacités de sécurité résistantes au quantique pour les PC et imprimantes, en accord avec le calendrier de migration PQC 2029 récemment publié par Google. Google intègre ML-DSA (Module-Lattice-Based Digital Signature Algorithm) dans le processus de démarrage vérifié d'Android 17.

securityweek.com

GitHub — Détection de vulnérabilités par IA

26 marsThe Hacker News
AI SECURITY

GitHub a annoncé des détections de sécurité alimentées par l'IA dans GitHub Code Security, complétant CodeQL pour trouver des vulnérabilités que l'analyse statique traditionnelle manque. Le modèle de détection hybride fait remonter les problèmes et les correctifs suggérés dans les workflows de pull request. Aperçu public attendu début Q2 2026.

thehackernews.com

Onit Security — 11 M$ pour la gestion de l'exposition

26 marsSecurityWeek
FINANCEMENT

Onit Security a levé 11 M$ pour investir dans sa plateforme de gestion de l'exposition et s'étendre dans de nouveaux secteurs. L'espace de gestion de l'exposition continue d'attirer les investissements alors que les organisations recherchent une visibilité continue sur leur surface d'attaque.

securityweek.com

La FCC interdit les routeurs grand public fabriqués à l'étranger

26 marsSecurityWeek
RÉGLEMENTATION

La FCC a interdit les nouveaux routeurs grand public fabriqués en dehors des États-Unis, invoquant des risques de sécurité nationale. L'interdiction s'aligne sur une détermination de la Maison Blanche selon laquelle tous les routeurs de fabrication étrangère constituent une menace sécuritaire. Implications significatives pour la chaîne d'approvisionnement de l'industrie réseau.

securityweek.com

📊 Tendances émergentes

1. L'infrastructure IA est la nouvelle surface d'attaque

CVE-2026-33017 (Langflow) exploité en 20 heures. Les outils de workflow IA sont exposés sur Internet, souvent non patchés, et contiennent des clés API et des identifiants cloud. Attendez-vous à plus de CVEs spécifiques à l'IA à mesure que l'adoption s'accélère. Les organisations déployant des outils IA doivent les traiter comme des infrastructures critiques.

2. Contournement CSP via des canaux non-HTTP

Le skimmer de paiement WebRTC représente un changement de paradigme : les attaquants utilisent des canaux de données UDP chiffrés DTLS pour exfiltrer des données de manière totalement invisible pour les outils de sécurité axés HTTP. La CSP seule ne suffit plus. La surveillance de sécurité doit s'étendre au-delà du HTTP pour couvrir WebRTC, WebSocket et d'autres APIs navigateur.

3. Les attaques de la chaîne d'approvisionnement deviennent multi-écosystèmes

L'expansion de TeamPCP de GitHub Actions → NPM → Docker Hub → VS Code → PyPI montre que les attaquants traitent l'ensemble de l'écosystème OSS comme une seule surface d'attaque. Compromettre un gestionnaire de paquets donne des points d'appui dans les autres. Le SBOM et la surveillance des dépendances sont désormais essentiels, pas optionnels.

4. Le calendrier de la cryptographie post-quantique se cristallise

L'échéance de migration PQC 2029 de Google + les annonces hardware Dell/HP + l'intégration ML-DSA d'Android 17 signalent que la PQC passe du théorique au pratique. Les attaques « stocker maintenant, déchiffrer plus tard » en font une menace actuelle, pas future. Les organisations couvertes par NIS2 devraient commencer les évaluations de préparation PQC.

5. L'identité reste le maillon faible

Les recherches de PwC confirment que l'IA amplifie la vitesse et l'échelle des attaques, tandis que le vol d'identité évolue vers une chaîne d'approvisionnement cybercriminelle complète. L'extradition de l'admin RedLine et le démantèlement de LeakBase montrent à quel point le vol d'identifiants s'est industrialisé. Les techniques de contournement MFA continuent de progresser parallèlement aux kits de phishing AITM.

6. Compromission au niveau firmware à grande échelle

Keenadu livré préinstallé sur plus de 500 appareils dans 50 modèles montre que les attaques de la chaîne d'approvisionnement firmware sont réelles et répandues. Les appareils bon marché restent des vecteurs de surveillance de masse. Les organisations avec des politiques BYOD font face à un risque accru lié au matériel grand public compromis.