Alertes De Sécurité

Selon un FLASH TLP:CLEAR du FBI daté du 19 février 2026, les autorités constatent une augmentation notable des incidents de jackpotting d’ATM aux États-Unis, avec diffusion d’indicateurs de compromission (IOCs) et de recommandations de mitigation. 🚨 Synthèse de la menace Plus de 1 900 incidents de jackpotting d’ATM recensés depuis 2020, dont plus de 700 en 2025 pour plus de 20 M$ de pertes. Des malwares, notamment la famille Ploutus, ciblent les ATM pour forcer la distribution d’espèces sans transaction légitime. Les attaques visent les machines (et non les comptes clients) et se déroulent très rapidement, souvent détectées après coup. 🧪 Détails techniques clés ...

Selon The Verge (19 fév. 2026), un hacker a exploité une vulnérabilité dans Cline, un agent de codage open source utilisant Claude (Anthropic), afin de pousser l’installation automatique d’OpenClaw 🦞 sur des ordinateurs. La technique s’appuie sur une prompt injection insérée dans le workflow, déjà démontrée en preuve de concept par le chercheur Adnan Khan quelques jours plus tôt. Détails de l’attaque et mécanisme: l’attaquant a profité du fait que le workflow de Cline acceptait des instructions malicieuses destinées à Claude, le conduisant à exécuter des actions non prévues, notamment l’installation automatique de logiciels. L’installateur a ciblé OpenClaw (agent viral open source qui « fait réellement des choses »), mais les agents n’ont pas été activés après installation. ...

Selon une alerte officielle de la CISA (agence américaine de cybersécurité), une vulnérabilité critique affecte plusieurs produits CCTV Honeywell, autorisant un accès non authentifié aux flux vidéo ou le détournement de comptes. Honeywell CCTV – vuln critique d’authentification (CVE-2026-1670) Résumé CISA alerte sur CVE-2026-1670, une vulnérabilité critique (CVSS 9.8) de type “Missing Authentication for Critical Function” (CWE-306) affectant plusieurs produits Honeywell CCTV. Le problème provient d’un endpoint API accessible sans authentification permettant à un attaquant distant de modifier l’adresse e-mail de récupération (“forgot password”) d’un compte associé à l’équipement. Cela peut mener à une prise de contrôle de compte et à un accès non autorisé aux flux vidéo. :contentReference[oaicite:0]{index=0} ...

GBHackers Security rapporte qu’une campagne d’attaque exploite la vulnérabilité critique CVE-2026-1731 affectant des déploiements auto-hébergés de BeyondTrust Remote Support et Privileged Remote Access. La faille autorise des attaquants non authentifiés à réaliser une injection de commandes système, conduisant à une exécution de code à distance (RCE). Les produits concernés sont explicitement les instances auto-hébergées de BeyondTrust Remote Support et de Privileged Remote Access. ⚠️ L’impact mis en avant est majeur, les attaquants pouvant prendre un contrôle complet d’Active Directory, ce qui élargit drastiquement leur surface d’action au sein des environnements ciblés. ...

Selon BleepingComputer, l’agence de renseignement intérieure allemande met en garde contre des acteurs étatiques présumés menant des attaques d’hameçonnage contre des individus de haut rang, en utilisant des applications de messagerie comme Signal. ⚠️ L’alerte souligne un ciblage de hauts responsables et l’usage de canaux de communication privés pour tenter de tromper les victimes via des messages piégés. Les services allemands BfV (renseignement intérieur) et BSI (cybersécurité) alertent sur une campagne de phishing via messageries (notamment Signal, et potentiellement WhatsApp) visant des personnalités de haut niveau : responsables politiques, militaires, diplomates, journalistes d’investigation, en Allemagne et plus largement en Europe. ...

Selon le NCSC (Pays-Bas), une mise à jour de son avertissement confirme un misusage actif d’une vulnérabilité zero-day (CVE-2026-1281) affectant Ivanti Endpoint Manager Mobile (EPMM, ex‑MobileIron). L’organisme appelle toutes les entités utilisatrices à se signaler auprès de lui et à adopter un scénario d’assume-breach, même si un correctif a déjà été appliqué. Le NCSC précise qu’il existe deux vulnérabilités dans EPMM, et que CVE-2026-1281 a été activement exploitée avant la publication des correctifs. Des acteurs non authentifiés peuvent réaliser une exécution de code arbitraire (RCE) sur les systèmes vulnérables, obtenir une persistance, voler des données ou prendre le contrôle de l’équipement. ...

Selon BleepingComputer, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ordonné aux agences gouvernementales de corriger leurs systèmes face à une vulnérabilité GitLab vieille de cinq ans, activement exploitée dans des attaques. ⚠️ La CISA cible spécifiquement des déploiements GitLab au sein des systèmes gouvernementaux et exige l’application de correctifs pour contrer l’exploitation en cours. L’article souligne le caractère ancien de la faille (cinq ans) et le fait qu’elle fait l’objet d’exploits actifs, ce qui motive l’ordre de remédiation auprès des agences. ...

Source : BleepingComputer — 29 janvier 2026 Vulnérabilité concernée : CVE-2025-22225 (VMware ESXi) — Arbitrary Kernel Write / Sandbox Escape Gravité : Élevée (activement exploitée) Selon BleepingComputer, la CISA a confirmé mercredi que des groupes de rançongiciel exploitent une vulnérabilité de gravité élevée permettant une évasion de sandbox dans VMware ESXi, une faille qui avait auparavant servi dans des attaques zero-day. 🚨 Exploitation confirmée par la CISA: des groupes de ransomware « ont commencé » à tirer parti de la faille. 🧩 Nature de la faille: évasion de sandbox sur VMware ESXi. ⏳ Historique: vulnérabilité déjà observée en zero-day avant cette confirmation d’exploitation par des rançongiciels. 📌 Ce qu’il faut retenir La CISA (Cybersecurity and Infrastructure Security Agency) americiane confirme que des groupes de ransomware exploitent désormais CVE-2025-22225, une faille VMware ESXi qui avait déjà été utilisée comme zero-day. ...

Selon Silent Push (alerte du 26 janvier 2026), une campagne massive d’usurpation d’identité menée par le groupe SLSH cible des comptes SSO d’entreprises à forte valeur (dont Okta), via une infrastructure de phishing en direct couplée à des opérations de vishing. ⚠️ SLSH (« Scattered LAPSUS$ Hunters ») est une alliance de Scattered Spider, LAPSUS$ et ShinyHunters. Leur opération n’est pas automatisée mais pilotée par des humains, synchronisant appels téléphoniques aux employés/Help Desk et pages de phishing qui reproduisent les écrans d’authentification pour intercepter identifiants et tokens MFA en temps réel et obtenir un accès immédiat aux tableaux de bord d’entreprise. ...

Source: BleepingComputer — Ivanti a divulgué deux failles critiques dans Endpoint Manager Mobile (EPMM), CVE‑2026‑1281 et CVE‑2026‑1340, exploitées comme zero‑days, et a publié des mesures de mitigation. ⚠️ Nature de la menace: deux vulnérabilités d’injection de code permettant une exécution de code à distance (RCE) sans authentification sur les appliances EPMM. Les deux CVE sont notées CVSS 9.8 (critique). Ivanti signale un nombre très limité de clients touchés au moment de la divulgation. ...