Bienvenue sur Cyberveille

🔍 Contexte Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026. L’auteur, opérant sous le pseudonyme Nightmare-Eclipse, publie une série de divulgations publiques de vulnérabilités ciblant Microsoft Windows, en réponse à ce qu’il décrit comme un traitement abusif de sa part par le Microsoft Security Response Center (MSRC). 📋 Chronologie des divulgations 2 avril 2026 : Publication de BlueHammer (GitHub : Nightmare-Eclipse/BlueHammer) — première divulgation publique, sans explication technique. 12 avril 2026 : Publication de UnDefend (GitHub : Nightmare-Eclipse/UnDefend) — outil qualifié de « DOS tool » et de 0-day, permettant à tout utilisateur d’exécuter du code avec privilèges administrateur en contournant Windows Defender. L’auteur précise que combiné à BlueHammer, la machine est entièrement compromise. 15 avril 2026 : Publication de RedSun (GitHub : Nightmare-Eclipse/RedSun) en réponse au patch de CVE-2026-33825. L’auteur mentionne que MSRC avait été informé mais avait ignoré le signalement. 12 mai 2026 : Publication simultanée de YellowKey (GitHub : Nightmare-Eclipse/YellowKey) et GreenPlasma (GitHub : Nightmare-Eclipse/GreenPlasma). L’auteur annonce vouloir impliquer d’autres entreprises. 13 mai 2026 : L’auteur signale que Microsoft a silencieusement patché RedSun sans CVE ni advisory, malgré une exploitation active. Il confirme que YellowKey fonctionne même dans un environnement TPM+PIN et refuse de publier le PoC complet. ⚠️ Éléments notables L’auteur affirme disposer d’un dead man switch sophistiqué, hébergé hors de son domicile, contenant des divulgations massives supplémentaires. Il mentionne explicitement Tom Gallagher (MSRC leadership) dans ses remerciements sarcastiques. Les messages sont signés cryptographiquement via PGP (Ed25519), la clé publique est publiée sur le blog. L’auteur annonce des divulgations de RCE à venir et une « surprise » pour le prochain Patch Tuesday. YellowKey est décrit comme une backdoor dont la cause racine reste inconnue du public et potentiellement de MSRC. 🎯 Nature de l’article Il s’agit d’une série de divulgations publiques offensives (full disclosure) motivées par un conflit personnel avec Microsoft/MSRC, accompagnées de menaces crédibles de divulgations futures. Le but principal est d’exercer une pression publique sur Microsoft en exposant des vulnérabilités non corrigées. ...

📅 Source : SentinelOne Blog — publié le 13 mai 2026. Ce rapport s’appuie sur la télémétrie de plus de 11 000 environnements clients anonymisés et analyse l’évolution du paysage de risques lié aux secrets cloud et à l’intégration de l’IA en entreprise. 🔑 Explosion des credentials AI : Les secrets liés à l’IA (clés API OpenAI, Azure OpenAI, etc.) ont augmenté d’environ 140 % en un an. Ce phénomène est directement corrélé à l’intégration massive des technologies IA dans les systèmes de support client, outils internes, plateformes financières et expériences produit. Environ 88 % des organisations utilisent désormais l’IA dans au moins une fonction métier. ...

🔬 Contexte Cet article est un preprint académique soumis en octobre 2025 par des chercheurs affiliés à OpenAI, Anthropic, Google DeepMind, ETH Zürich, Northeastern University et HackAPrompt. Il évalue la robustesse des défenses actuelles contre les jailbreaks et injections de prompts dans les grands modèles de langage (LLM). 🎯 Problème identifié Les défenses LLM existantes sont évaluées contre des ensembles statiques d’attaques ou des méthodes d’optimisation faibles non adaptées à la défense ciblée. Les auteurs arguent que cette approche est fondamentalement défaillante car elle ne reflète pas la capacité d’un attaquant réel à adapter sa stratégie. ...

🌐 Contexte Publié le 11 mai 2026 par DomainTools sur leur portail de recherche, ce rapport constitue une analyse technique et stratégique complète de la campagne d’influence Doppelgänger, attribuée à des acteurs liés à la Russie et opérée par deux entités complémentaires : la Social Design Agency (SDA) et Structura. 🏗️ Structure organisationnelle SDA : organe de planification stratégique et narrative, coordonne le développement des thèmes, le timing et la distribution Structura : fournisseur d’infrastructure technique (enregistrement de domaines, hébergement, systèmes de redirection, analytics) Connexions documentées avec l’Administration présidentielle russe, l’organisation ANO Dialog et Sergei Kiriyenko Couche de personnel synthétique (RRN) : faux organigramme de rédaction avec rôles hiérarchiques (rédacteur en chef, éditeurs, journalistes) basés sur des identités fabriquées 🔧 Architecture d’infrastructure Réseau de sites feeder : ...

🔍 Contexte Publié le 13 mai 2026 sur GitHub, cet article présente Fragnesia, un exploit d’élévation de privilèges locale (LPE) universel sous Linux, découvert par William Bowling de l’équipe V12 Security. Le code source est disponible publiquement sur GitHub. 🐛 Vulnérabilité Fragnesia appartient à la classe de vulnérabilités Dirty Frag, distincte du bug original dirtyfrag mais exploitant la même surface d’attaque : le sous-système Linux XFRM ESP-in-TCP. Le bug est un logic bug : le SKB (socket buffer) « oublie » qu’un fragment est partagé lors de la coalescence. ...

🔍 Contexte Cet article est une mise à jour officielle publiée par Checkmarx le 9 mai 2026 sur leur blog, relatant un incident de sécurité supply chain en cours ayant débuté le 23 mars 2026. L’article compile plusieurs mises à jour successives (23 mars, 22 avril, 26 avril, 27 avril, 9 mai 2026). 🗓️ Chronologie de l’incident 23 mars 2026 : Checkmarx identifie un incident supply chain lié à l’attaque TeamPCP ciblant le scanner Trivy (signalée le 19 mars). Des artefacts malveillants sont publiés sur OpenVSX et dans des GitHub Actions. L’attaquant pousse du code malveillant directement dans les dépôts GitHub de Checkmarx. 30 mars 2026 : Exfiltration de données depuis les dépôts GitHub de Checkmarx. 22 avril 2026 : Deuxième vague de publications d’artefacts malveillants (KICS DockerHub, ast-github-action, extensions VS Code), indiquant un accès persistant ou renouvelé de l’attaquant. 25 avril 2026 : LAPSUS$ publie sur le dark web des données estampillées du 30 mars, issues des dépôts GitHub de Checkmarx. 9 mai 2026 : Publication d’une version malveillante du plugin Jenkins AST (version 2026.5.09) sur le Jenkins Marketplace. 🎯 Artefacts compromis Vague 1 (23 mars 2026) : ...

📰 Source : Cybernews, publié le 11 mai 2026 (mis à jour le 13 mai 2026). L’article rapporte une fuite de données revendiquée par le groupe Lapsus$ à l’encontre de Vodafone, l’un des plus grands opérateurs de télécommunications mondiaux. 🎯 Nature de l’incident Lapsus$ affirme avoir exfiltré du code source interne de Vodafone et avoir accordé un délai de 15 jours à l’entreprise pour entamer des négociations. Face au refus de Vodafone, le groupe a publié l’intégralité du dataset sur son site de fuite avec le message : « Time expired. Vodafone refused to pay. Data is now public. » ...

📅 Contexte Article publié le 12 mai 2026 sur Krebs on Security, couvrant le Patch Tuesday de mai 2026. Il s’agit d’un tour d’horizon mensuel des correctifs de sécurité publiés par les principaux éditeurs logiciels. 🪟 Microsoft – 118 vulnérabilités corrigées Microsoft publie des correctifs pour 118 vulnérabilités dans ses systèmes Windows et autres produits. C’est le premier Patch Tuesday depuis près de deux ans sans zero-day activement exploité ni vulnérabilité préalablement divulguée publiquement. ...

🔍 Contexte Le 11 mai 2026, TanStack a publié un post-mortem détaillé d’une compromission de chaîne d’approvisionnement npm survenue entre 19:20 et 19:26 UTC. L’incident a affecté 42 packages @tanstack/* avec 84 versions malveillantes publiées via un enchaînement de trois vulnérabilités dans le pipeline GitHub Actions. ⚙️ Vecteur d’attaque — Trois vulnérabilités chaînées 1. Pattern « Pwn Request » via pull_request_target Le workflow bundle-size.yml utilisait le déclencheur pull_request_target et effectuait un checkout du code de la PR fork, permettant l’exécution de code non approuvé dans le contexte du dépôt de base. ...

🧭 Contexte Publié le 12 mai 2026 par Ross McKerchar (CSO de Sophos), cet article de recherche traite des risques de sécurité liés au déploiement d’agents IA en entreprise, en particulier face à la menace d’injection de prompt indirecte (indirect prompt injection). L’article s’appuie sur des travaux de recherche récents, notamment une étude Google d’avril 2026 sur le dépôt Common Crawl. ⚠️ La menace : la « trifecta létale » Les agents IA opèrent souvent au centre de ce que Simon Wilson nomme la « lethal trifecta » : ils accèdent à des données privées, traitent du contenu non fiable, et communiquent vers l’extérieur. Cette combinaison les rend vulnérables à l’injection de prompt indirecte, où un attaquant plante des instructions dans du contenu lu par l’agent (email, page web, document), qui les exécute avec les privilèges de l’utilisateur légitime. ...