Bienvenue sur Cyberveille

Selon BleepingComputer, l’agence de renseignement intérieure allemande met en garde contre des acteurs étatiques présumés menant des attaques d’hameçonnage contre des individus de haut rang, en utilisant des applications de messagerie comme Signal. ⚠️ L’alerte souligne un ciblage de hauts responsables et l’usage de canaux de communication privés pour tenter de tromper les victimes via des messages piégés. Les services allemands BfV (renseignement intérieur) et BSI (cybersécurité) alertent sur une campagne de phishing via messageries (notamment Signal, et potentiellement WhatsApp) visant des personnalités de haut niveau : responsables politiques, militaires, diplomates, journalistes d’investigation, en Allemagne et plus largement en Europe. ...

Selon le blog de Kaseya, sur la base de détections d’INKY, des campagnes exploitent des « DKIM replay attacks » en abusant de workflows légitimes (Apple, PayPal, DocuSign, HelloSign) pour diffuser des arnaques via des e‑mails authentifiés. Les champs contrôlés par l’utilisateur (nom du vendeur, notes) servent à insérer des consignes frauduleuses et un numéro de téléphone, puis les messages signés sont rejoués vers des cibles. • Mécanique de l’attaque ⚙️: un e‑mail légitime signé DKIM est capturé puis rejoué à d’autres destinataires sans modification des en‑têtes/body signés, ce qui maintient dkim=pass et donc dmarc=pass (si alignement). DKIM garantit l’intégrité du contenu, pas l’identité du routeur/délivreur. Même si SPF échoue au transfert, un DKIM aligné suffit à faire passer DMARC. ...

Selon Netskope Threat Labs, une campagne d’arnaque au support technique a émergé le 2 février (vers 16:00 UTC), exploitant des annonces sponsorisées dans Bing et redirigeant vers des pages frauduleuses hébergées dans Azure Blob Storage. Les victimes—toutes situées aux États‑Unis—proviennent de 48 organisations couvrant les secteurs de la santé, de la fabrication et de la technologie. 🔎 Principaux constats Vecteur publicitaire (malvertising) : des annonces Bing pour des recherches anodines (ex. “amazon”) mènent vers un domaine intermédiaire, puis vers les pages de scam. Redirection : clic sur l’annonce → highswit[.]space (WordPress vide) → conteneurs Azure Blob hébergeant les faux sites de support Microsoft. Impact : 48 organisations affectées en peu de temps, réparties sur plusieurs industries aux États‑Unis. Détection : Netskope classe ces pages comme ET PHISHING Microsoft Support Phish Landing Page. Désactivation : l’ensemble des domaines Azure Blob signalés à Microsoft ne servaient plus de contenu malveillant à la publication du billet. ☁️ Infrastructure et schéma d’URL ...

Selon Have I Been Pwned (HIBP), la plateforme d’édition Substack a subi une fuite de données en octobre 2025, dont les informations ont été diffusées plus largement en février 2026. L’incident correspond à une fuite de données touchant 663 000 comptes. Les enregistrements exposés incluent principalement des adresses e-mail et des informations de profil publiques provenant des comptes Substack (par exemple des noms de publication et des biographies). Un sous-ensemble des enregistrements comprend également des numéros de téléphone. Aucune autre catégorie de données n’est mentionnée dans l’extrait. ...

Selon GreyNoise Labs, une campagne coordonnée de reconnaissance a visé les infrastructures Citrix ADC Gateway / Netscaler Gateway entre le 28 janvier et le 2 février 2026, combinant découverte de panneaux de connexion et divulgation de versions, avec un taux de ciblage de 79% sur des honeypots Citrix. Vue d’ensemble et objectifs. L’opération comprend deux volets complémentaires: 1) une découverte massive de panneaux de login (109 942 sessions, >63 000 IP sources) via rotation de proxys résidentiels, et 2) une divulgation de versions (1 892 requêtes) depuis 10 IP AWS sur une fenêtre concentrée de 6 heures. L’objectif apparent est de cartographier les instances Citrix exposées et énumérer les versions pour de potentielles étapes ultérieures. ...

Source : Socket (blog de recherche sécurité), 6 février 2026. Le Threat Research Team de Socket décrit une compromission de mainteneur ayant permis la publication de versions malveillantes des clients dYdX v4 sur npm et PyPI, détectées le 27 janvier 2026 et signalées à dYdX le 28 janvier (reconnaissance publique le même jour). • Écosystèmes touchés et vecteurs: des versions spécifiques des paquets dYdX ont été modifiées pour intégrer du code malveillant au cœur des fichiers (registry.ts/js, account.py). Le code exfiltre des seed phrases et des empreintes d’appareil vers un domaine typosquatté (dydx[.]priceoracle[.]site), imitant le service légitime dydx[.]xyz. Le mode opératoire et la connaissance interne du projet suggèrent une compromission de compte développeur. ...

Selon BleepingComputer, le fournisseur américain de passerelle et solutions de paiement BridgePay a été victime d’une attaque par ransomware ayant mis des systèmes clés hors ligne, provoquant une panne étendue affectant plusieurs services. L’incident a débuté vendredi et a rapidement évolué en perturbation à l’échelle nationale sur la plateforme de BridgePay. ⚠️💳 L’impact rapporté inclut l’indisponibilité de services de paiement et une interruption généralisée sur l’infrastructure de BridgePay, avec des effets ressentis à travers les États-Unis. ...

Selon BleepingComputer, un nouvel outil open-source et multiplateforme, nommé Tirith, a été publié pour contrer les attaques par homoglyphes dans les environnements en ligne de commande. 🛡️ Tirith vise les attaques par homoglyphes consistant à utiliser des caractères visuellement similaires pour tromper l’utilisateur L’outil analyse les URL présentes dans les commandes tapées et empêche leur exécution lorsqu’une tentative malveillante est détectée. L’annonce met l’accent sur le caractère multiplateforme et l’intégration en CLI, ciblant les scénarios où des URL trompeuses pourraient être exécutées par inadvertance. A new open-source and cross-platform tool called Tirith can detect homoglyph attacks over command-line environments by analyzing URLs in typed commands and stopping their execution. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-02-01 → 2026-02-08. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-21509 CVSS: 7.8 EPSS: 2.91% VLAI: High (confidence: 0.9491) CISA: KEV ProduitMicrosoft — Microsoft Office 2019 Publié2026-01-26T17:06:35.512Z Reliance on untrusted inputs in a security decision in Microsoft Office allows an unauthorized attacker to bypass a security feature locally. ...

Source: Hudson Rock — Analyse publiée en février 2026 détaillant le lien entre une infection infostealer (11 janv. 2026) sur un poste personnel d’un employé IT de Conpet et le déploiement ultérieur du ransomware Qilin, revendiqué avec près de 1 To de données volées. Conpet, opérateur national roumain d’oléoducs, a confirmé une cyberattaque majeure. Le groupe de ransomware Qilin revendique le vol d’environ 1 To de données (documents internes, financiers). Hudson Rock identifie un « Patient Zero » via sa plateforme Cavalier : une machine personnelle nommée DESKTOP-TCR5GQM utilisée par un employé IT de Conpet et infectée par un infostealer le 11 janvier 2026 (détectée le 12 janvier par Hudson Rock). 🔍 ...