Alertes De Sécurité

📰 Source : BleepingComputer, article de Sergiu Gatlan, publié le 22 avril 2026. Contexte Microsoft a corrigé la vulnérabilité CVE-2026-32201 dans le cadre du Patch Tuesday d’avril 2026 (14 avril 2026), qui adressait au total 167 vulnérabilités dont deux zero-days. Cette faille affecte les versions on-premises de SharePoint : SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. Nature de la vulnérabilité Type : Spoofing réseau par validation d’entrée incorrecte (improper input validation) Complexité : Faible, sans interaction utilisateur requise, sans privilèges nécessaires Impact : Confidentialité : lecture de certaines informations sensibles Intégrité : modification des informations divulguées Disponibilité : non affectée Statut : Exploitée en zero-day avant la publication du patch ; exploitation active toujours en cours Exposition et état du patching Selon Shadowserver, au moment de la publication de l’article : ...

🏛️ Contexte Ce document est un avis conjoint de cybersécurité (AA26-097A) publié le 7 avril 2026 par le FBI, la CISA, la NSA, l’EPA, le DOE et le CNMF. Il alerte sur une campagne active d’exploitation d’automates programmables industriels (PLC) par des acteurs APT affiliés à l’Iran, ciblant des infrastructures critiques américaines. 🎯 Acteurs et attribution Les agences attribuent cette activité à un groupe APT affilié à l’Iran, distinct mais similaire aux CyberAv3ngers (alias Shahid Kaveh Group, Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691), eux-mêmes affiliés à l’IRGC Cyber Electronic Command (CEC). L’escalade des attaques est probablement liée aux hostilités entre l’Iran, les États-Unis et Israël. ...

🏛️ Contexte Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS). 🎯 Nature de l’attaque Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter : ...

🎯 Contexte Le 7 avril 2026, l’OpenSSF Siren (mailing list de threat intelligence de l’Open Source Security Foundation) a publié une alerte de haute sévérité concernant une campagne active ciblant les développeurs open source via Slack. L’analyse détaillée a été publiée par Socket le 8 avril 2026. 🕵️ Mécanisme d’attaque L’attaque se déroule en quatre étapes : Usurpation d’identité : l’attaquant se fait passer pour un leader reconnu de la Linux Foundation dans le workspace Slack du TODO Group (groupe de travail Linux Foundation dédié aux OSPO). Phishing : la victime reçoit un message direct avec un lien vers https://sites.google.com/view/workspace-business/join, hébergé sur l’infrastructure légitime Google Sites pour contourner les filtres de sécurité. Collecte de credentials : un faux flux d’authentification récolte l’adresse email et un code de vérification. Livraison de malware : la victime est invitée à installer un faux « certificat Google » (certificat racine malveillant). 💻 Divergence par plateforme macOS : un script télécharge et exécute un binaire nommé gapi depuis l’IP distante 2.26.97.61, pouvant mener à une compromission totale du système. Windows : installation du certificat malveillant via une boîte de dialogue de confiance du navigateur, permettant l’interception du trafic chiffré. 🎣 Leurre utilisé L’attaquant a utilisé le prétexte d’un outil d’IA privé censé analyser les dynamiques de projets open source et prédire les contributions acceptées. Le message insistait sur l’exclusivité de l’accès. Le message contenait l’URL de phishing, une fausse adresse email (cra@nmail.biz) et une clé d’accès (CDRX-NM71E8T). ...

🏛️ Contexte Alerte de sécurité AL26-010 publiée le 1er mai 2026 par le Centre canadien pour la cybersécurité (CCCS). Elle s’adresse aux professionnels TI et gestionnaires. Elle documente des cyberactivités malveillantes continues à motivation financière observées depuis mi-2025, avec une évolution marquée vers l’ingénierie sociale ciblant les plateformes SaaS et de gestion des identités d’entreprise. 🎯 Vecteurs d’accès initial Les campagnes n’exploitent pas de vulnérabilités logicielles mais reposent sur : Hameçonnage vocal (vishing) : usurpation d’identité de personnel IT ou de fournisseurs de confiance pour inciter les employés à s’authentifier sur des portails contrôlés par l’attaquant ou à modifier leur AMF Collecte de justificatifs et interception d’AMF : pages de phishing usurpant des marques, utilisation de cadriciels AiTM (Adversary-in-the-Middle) pour capturer des sessions SSO valides en temps réel Usurpation de sous-domaines : recours à des sous-domaines imitant les portails SSO (ex. <organization>sso[.]com) pour contourner les contrôles de réputation de domaines Abus des processus de service d’assistance : manipulation du personnel de support pour réinitialiser l’AMF ou inscrire des dispositifs contrôlés par l’attaquant Compromission de la chaîne d’approvisionnement SaaS : vol de jetons OAuth de rafraîchissement depuis des fournisseurs tiers compromis pour accéder aux systèmes clients sans déclencher l’AMF 🔍 Indicateurs clés observés Création de jetons OAuth lors d’appels suspects Connexions d’applications génériques (ex. « Outil de soutien », « Chargeur de données ») Sessions concurrentes depuis des IP ou régions différentes en quelques minutes Utilisation de jetons depuis des adresses IP étrangères, VPN ou nœuds Tor dans les secondes suivant leur création Absence de défi AMF dans les journaux d’authentification Hausse soudaine de requêtes API REST ciblant des objets à forte valeur (comptes, contacts, dossiers) Requêtes SELECT * sur des tables entières rarement consultées 💥 Activité post-compromission Déplacement latéral entre applications SaaS (messagerie, GRC, RH, référentiels documentaires) via SSO Exfiltration massive de données via API et fonctions d’export légitimes Exploitation d’intégrations SaaS tierces et de jetons stockés pour accéder aux systèmes en aval Campagnes d’extorsion avec menace de publication ou vente des données sur des sites de fuites ou forums clandestins Absence de déploiement de maliciels, rendant la détection par les outils endpoint conventionnels inefficace 📌 Type et portée Il s’agit d’une alerte de sécurité officielle émise par une autorité nationale de cybersécurité canadienne. Elle vise à sensibiliser les organisations aux tactiques d’acteurs cybercriminels à motivation financière et à fournir des indicateurs de détection exploitables pour les équipes SOC et CTI. ...

📅 Contexte Source : Office fédéral de la cybersécurité (OFCS) – Publication du 04/05/2026, relatant des faits observés à partir du 28/04/2026. Il s’agit d’un bilan hebdomadaire (semaine 17) de signalements reçus par l’autorité suisse. 🎯 Nature de la menace L’OFCS constate une recrudescence des signalements liés aux escroqueries dites « Coucou maman/papa » (arnaque au faux proche en détresse). Ces campagnes ciblent des particuliers, typiquement des parents, en se faisant passer pour un enfant ayant changé de numéro. ...

🏛️ Contexte Publié le 31 mars 2026 par l’Internet Crime Complaint Center (IC3) du FBI, ce communiqué d’intérêt public met en garde les utilisateurs américains contre les risques de sécurité liés aux applications mobiles développées par des entreprises étrangères, en particulier celles basées en Chine. 📱 Risques de collecte de données Les applications développées par des entreprises dont l’infrastructure numérique est hébergée en Chine sont soumises aux lois chinoises sur la sécurité nationale, permettant potentiellement au gouvernement chinois d’accéder aux données des utilisateurs. ...

🔍 Contexte Publié le 30 mars 2026 par The Cyber Express, cet article couvre la divulgation de CVE-2026-3055, une vulnérabilité critique affectant les appliances Citrix NetScaler ADC et NetScaler Gateway. Le bulletin de sécurité officiel CTX696300 a été créé le 23 mars 2026 et modifié le 27 mars 2026. ⚠️ Détails de la vulnérabilité CVE-2026-3055 : Score CVSS 9.3 (critique), classée sous CWE-125 (Out-of-bounds Read / Memory Overread) Causée par une validation insuffisante des entrées, permettant à un attaquant non authentifié d’accéder à des zones mémoire non prévues et potentiellement d’exposer des données sensibles L’exploitation nécessite que l’appliance soit configurée en tant que SAML IDP (Identity Provider) Identifiée en interne par Citrix lors de revues de sécurité 🎯 Versions affectées NetScaler ADC / Gateway 14.1 avant 14.1-60.58 NetScaler ADC / Gateway 13.1 avant 13.1-62.23 NetScaler ADC 13.1-FIPS et 13.1-NDcPP avant 13.1-37.262 🔗 Vulnérabilité secondaire CVE-2026-4368 : Score CVSS 7.7, race condition entraînant des mélanges de sessions utilisateurs, affecte uniquement la version 14.1-66.54 avec des configurations Gateway ou AAA virtual servers 🕵️ Activité des acteurs malveillants Des efforts de reconnaissance active ont été observés peu après la divulgation publique. Les acteurs malveillants scannent les systèmes pour identifier ceux configurés en SAML IDP, condition préalable à l’exploitation, avant de lancer une attaque complète. ...

🔍 Contexte Source : BleepingComputer, publié le 30 mars 2026. F5 Networks a mis à jour son advisory pour reclassifier CVE-2025-53521, initialement catégorisée comme une vulnérabilité de déni de service (DoS), en exécution de code à distance (RCE) de sévérité critique, suite à de nouvelles informations obtenues en mars 2026. 🎯 Vulnérabilité et impact Produit affecté : F5 BIG-IP APM (Access Policy Manager) CVE : CVE-2025-53521 Type : Remote Code Execution (RCE) sans authentification préalable Condition d’exploitation : BIG-IP APM avec des politiques d’accès configurées sur un serveur virtuel Impact observé : déploiement de webshells sur les équipements vulnérables non patchés Exposition : Shadowserver recense plus de 240 000 instances BIG-IP exposées sur Internet ⚠️ Exploitation active F5 confirme que la vulnérabilité est activement exploitée dans la nature. Des indicateurs de compromission (IOCs) ont été publiés par F5. La CISA a ajouté CVE-2025-53521 à sa liste des vulnérabilités activement exploitées et a ordonné aux agences fédérales américaines de sécuriser leurs systèmes BIG-IP APM avant le 30 mars 2026 à minuit. ...

📅 Source : NCSC Suisse (ncsc.admin.ch), publié le 29 mars 2026 — Rétrospective hebdomadaire semaine 12. 🎯 Contexte général Le NCSC suisse décrit l’évolution des arnaques aux fausses offres d’emploi ciblant les chercheurs d’emploi en Suisse. Ces escroqueries ont progressivement gagné en sophistication au fil des années. 📈 Évolution des techniques frauduleuses Première vague : ciblage de personnes cherchant un emploi dans la restauration, avec demande de paiement anticipé de fausses cotisations d’assurance maladie. Deuxième vague : fausses plateformes de missions où les candidats devaient payer plus qu’ils ne gagnaient. Variante la plus récente : les escrocs imitent des entreprises suisses existantes et publient de fausses offres d’emploi jusque dans les journaux, combinant usurpation d’identité d’entreprise et présence dans des médias traditionnels. 🔍 Techniques identifiées Les attaquants recourent à l’ingénierie sociale, à l’usurpation d’identité d’entreprises légitimes et à des leurres financiers pour tromper les victimes. ...