Bienvenue sur Cyberveille

Source: LayerX — Publication de recherche détaillant une campagne d’extensions Chrome malveillantes se faisant passer pour des assistants IA grand public et des outils Gmail. 🚨 Des chercheurs de LayerX ont mis au jour une campagne coordonnée impliquant 30 extensions Chrome (dont certaines « Featured » sur le Chrome Web Store) usurpant Claude, ChatGPT, Gemini, Grok et divers outils « AI Gmail ». Ces extensions partagent le même code, les mêmes permissions et la même infrastructure backend (tapnetic[.]pro), totalisant 260 000+ installations. Leur architecture délègue les fonctions clés à des iframes distantes contrôlées côté serveur, permettant de modifier le comportement sans mise à jour du Store. ...

Selon TechCrunch, dans le contexte de la communauté du hacking et des événements de cybersécurité, la conférence DEF CON a décidé de bannir plusieurs personnalités liées au milieu technologique. Décision : La conférence de hacking DEF CON a prononcé un bannissement à l’encontre de trois personnes, leur interdisant d’assister à la conférence annuelle. 🚫 Personnes concernées : Pablos Holman et Vincenzo Iozzo (hackers), ainsi que Joichi Ito (ancien directeur du MIT Media Lab). ...

Selon Check Point Research (blog.checkpoint.com), une recherche publiée le 19/02/2026 décrit une technique potentielle où des assistants IA avec capacité de navigation web pourraient être exploités comme relais de commande‑et‑contrôle (C2) furtifs ; cette approche a été démontrée en environnement contrôlé contre Grok et Microsoft Copilot, sans preuve d’exploitation active à ce stade. • Technique démontrée (C2 via assistants IA) 🤖: en incitant un assistant IA à « fetch » et résumer une URL contrôlée par l’attaquant, un malware peut exfiltrer des données et récupérer des commandes sans contacter directement un serveur C2 traditionnel. L’interaction peut se faire sans clés API ni comptes authentifiés, rendant moins efficaces les mécanismes de takedown classiques. Du point de vue réseau, le trafic ressemble à un usage IA légitime, l’AI servant de proxy/relai furtif au sein des communications autorisées en entreprise. ...

Selon un article publié le 19 février 2026, des vulnérabilités graves touchent plusieurs extensions populaires de Visual Studio Code (VSCode). Des vulnérabilités hautes à critiques affectant plusieurs extensions Visual Studio Code (et IDE compatibles comme Cursor et Windsurf) pourraient permettre à un attaquant de voler des fichiers locaux et/ou d’exécuter du code à distance. Les extensions concernées totalisent plus de 128 millions de téléchargements. Source : BleepingComputer — Flaws in popular VSCode extensions expose developers to attacks https://www.bleepingcomputer.com/news/security/flaws-in-popular-vscode-extensions-expose-developers-to-attacks/ ...

Source et contexte : Cato Networks (Cato CTRL Threat Research) publie une analyse technique d’un nouveau loader baptisé « Foxveil », actif depuis août 2025, qui s’appuie sur des plateformes cloud de confiance pour le staging et déploie du shellcode en mémoire avec des techniques d’injection et d’évasion avancées. Foxveil s’appuie sur des infrastructures « de confiance » (Cloudflare Pages, Netlify, Discord) pour héberger ses charges de second étage, ce qui brouille les signaux réseau et rend inefficaces les simples listes de blocage. Deux variantes sont observées : v1 (staging surtout via Cloudflare/Netlify) et v2 (staging souvent via pièces jointes Discord). La campagne est en cours depuis août 2025. ...

Selon TechCrunch, Figure a subi une fuite de données au cours de laquelle des hackers ont pu accéder à des informations de clients. L’incident a conduit à l’exfiltration de plusieurs catégories de données personnelles. ⚠️ La fintech américaine Figure (spécialisée dans le prêt basé sur la blockchain) a confirmé récemment un incident de sécurité ayant permis à des attaquants de voler “un nombre limité de fichiers”. Selon une analyse du chercheur en cybersécurité Troy Hunt (créateur de Have I Been Pwned), le jeu de données publié contiendrait 967 200 adresses e-mail uniques associées à des clients Figure, ce qui laisse penser que l’impact pourrait approcher un million de personnes. ...

Selon Trail of Bits (blog), dans une analyse publiée en février 2026, deux bibliothèques populaires, aes-js (JavaScript) et pyaes (Python), exposent leurs utilisateurs à des failles cryptographiques en fournissant un IV par défaut en mode AES-CTR, ce qui a entraîné des vulnérabilités dans de nombreux projets en aval, dont strongMan (outil de gestion pour strongSwan), qui a été corrigé. Problème central: IV par défaut (0x00000000_00000000_00000000_00000001) en AES-CTR dans aes-js et pyaes, avec des exemples de documentation omettant l’IV. Cela favorise la réutilisation clé/IV, permettant la récupération de l’XOR des textes en clair et rendant le chiffrement très fragile (récupération de masques et secrets en chaîne). ...

Source : Kaspersky (Securelist) — Dans une publication de recherche, les analystes détaillent « Keenadu », un nouveau backdoor Android intégré à la chaîne d’approvisionnement du firmware, capable de s’injecter dans tous les processus via Zygote et d’offrir un contrôle quasi illimité des appareils infectés. L’étude couvre l’architecture, les charges utiles, les vecteurs de distribution (firmware, apps système et stores), et des liens avec d’autres botnets Android majeurs. • Vecteur et mécanisme d’infection. Keenadu est intégré durant la phase de build du firmware via une bibliothèque statique malveillante liée à libandroid_runtime.so, parfois livrée via mises à jour OTA signées. À l’exécution, il s’injecte dans Zygote et opère dans chaque application, rendant le sandboxing caduc. Il implémente une architecture client-serveur binder (AKClient/AKServer) au sein de system_server, avec des interfaces permettant de donner/révoquer des permissions, de collecter la géolocalisation et d’exfiltrer des données de l’appareil. Un kill switch est présent (fichiers spécifiques, détection langue/zone chinoises, absence de Google Play/Services). Les communications et charges sont chiffrées (RC4/AES‑CFB, signature DSA, MD5) et chargées via DexClassLoader. ...

Selon The Register, le secrétaire à la Défense des Pays-Bas, Gijs Tuinman, a déclaré dans un podcast que l’on peut « jailbreak » un F‑35 « comme un iPhone », en réponse à une question sur la capacité des forces européennes à modifier le logiciel de l’appareil sans l’autorisation des États‑Unis si ceux‑ci se retiraient en tant qu’allié. Tuinman affirme que le F‑35 est un « produit véritablement partagé » entre partenaires et soutient que, même sans mises à jour, l’avion resterait supérieur à d’autres chasseurs. Il suggère que les forces européennes opérant déjà des F‑35 pourraient entretenir le logiciel de leurs appareils, avec ou sans l’aide de Lockheed Martin. ...

Selon Euractiv FR, un courriel adressé le lundi 16 février aux députés européens annonce la désactivation des fonctionnalités d’IA sur les tablettes institutionnelles mises à leur disposition, en raison de préoccupations de cybersécurité et de protection des données. 🛡️ La mesure concerne les appareils fournis par le Parlement européen aux élus, avec pour motif explicite la réduction des risques liés à l’exposition des données et à la sécurité des systèmes. ...