Roumanie 2024 : 100 hôpitaux déconnectés après une attaque ransomware via le logiciel Hippocrates

📰 Source : BBC News, article publié le 22 juin 2026, rédigé par Joe Tidy (correspondant cybersécurité, World Service, Roumanie). L’article revient en détail sur la cyberattaque ayant frappé le système hospitalier roumain en février 2024. 🎯 Nature de l’attaque Des cybercriminels ont compromis RSC, une société de logiciels basée à Bucarest, pour infiltrer Hippocrates, un système de gestion médicale largement utilisé dans les hôpitaux roumains (admissions, pharmacie, résultats de laboratoire, paie). Le ransomware BackMyData a été déployé via ce vecteur de supply chain, chiffrant les fichiers des établissements infectés et renommant l’ensemble des données. ...

26 juin 2026 · 3 min

FIFA World Cup 2026 : faille d'autorisation côté client expose l'infrastructure de streaming en production

🔍 Contexte Publié le 16 juin 2026 sur le blog personnel BobDaHacker, cet article est un post-mortem détaillé rédigé par un chercheur en sécurité basé à Tokyo. Il décrit la découverte et la divulgation responsable d’une vulnérabilité d’autorisation critique affectant l’infrastructure numérique de la FIFA pendant la Coupe du Monde 2026. 🎯 Vecteur d’accès initial Le chercheur s’est inscrit sur agents.fifa.org (FIFA Agent Platform, ou FAP), un portail public permettant de s’enregistrer comme agent de football. Cette inscription a automatiquement créé un compte dans le tenant Microsoft Entra (Azure AD) partagé de la FIFA, utilisé par l’ensemble des plateformes internes de l’organisation. ...

21 juin 2026 · 4 min

Attaque supply chain Klue : le groupe Icarus exfiltre des données Salesforce de nombreuses entreprises

🔍 Contexte Cet article est un post-mortem publié le 18 juin 2026 par l’équipe Huntress sur leur blog officiel. Il détaille une attaque de type supply chain ayant compromis Klue, une plateforme d’intelligence marché, et impacté plusieurs de ses clients dont Huntress. 🗓️ Chronologie de l’incident 11 juin 2026 : Début de la compromission de Klue via un comportement anomal sur un système d’intégration 12 juin : Klue détecte des connexions réseau inhabituelles vers des IPs malveillantes 13 juin : Klue désactive les accès distants, supprime le code de vol de tokens et émet une alerte générale aux clients 16 juin : Des emails d’extorsion avec l’objet “top secret email” arrivent dans les boîtes de certains employés Huntress 17 juin : Huntress confirme la compromission de ses données Salesforce et Gong ⚙️ Vecteur et mécanisme d’attaque Le threat actor a exploité un credential longtemps inutilisé mais toujours actif, créé à l’origine par Klue pour prototyper une intégration tierce abandonnée. À partir de ce point d’entrée, l’acteur a : ...

18 juin 2026 · 3 min

Dashlane : attaque par force brute sur les comptes utilisateurs, vaults chiffrés exfiltrés

🔍 Contexte Cet avis de sécurité a été publié par Dashlane Inc. le 1er juin 2026, avec une mise à jour le 4 juin 2026 confirmant la clôture de l’investigation. Il concerne une attaque par force brute ciblant les comptes utilisateurs de la plateforme de gestion de mots de passe Dashlane. 🎯 Nature de l’attaque À partir du 31 mai 2026, un acteur externe a ciblé les endpoints API d’enregistrement de nouveaux dispositifs de Dashlane. L’objectif était de contourner la protection 2FA en soumettant automatiquement un grand volume de combinaisons numériques pour deviner les tokens à 6 chiffres à usage unique envoyés par email ou générés par une application d’authentification. ...

5 juin 2026 · 2 min

Reconstruction d'une kill chain Akira Ransomware à partir de logs périmètre et endpoint

🔍 Contexte Publié le 28 mai 2026 sur le SANS Internet Storm Center par Manuel Humberto Santander Peláez (Handler SANS ISC), cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (canaux Security, System, PowerShell/Operational). Aucun EDR, aucun PCAP, aucun proxy log n’était disponible. 🚪 Accès initial (Stage 1) L’attaquant a conduit une attaque par brute-force ciblant un compte SSLVPN local unique, depuis une seule adresse IP dans une plage d’hébergeur. Le compte était désactivé dans Active Directory mais toujours provisionné localement sur le firewall, sans MFA. L’authentification réussie est intervenue après environ 6 heures d’attaque, sans pause — comportement typique du credential stuffing. ...

1 juin 2026 · 4 min

Cl0p infiltre South Staffordshire Water 2 ans : amende ICO de £963 900

🏛️ Contexte Publié le 23 mai 2026 sur le blog BushidoToken, cet article constitue un post-mortem détaillé d’un incident majeur affectant une infrastructure critique britannique. Le 11 mai 2026, l’Information Commissioner’s Office (ICO) a prononcé une amende de £963 900 à l’encontre de South Staffordshire Water à la suite d’une intrusion du groupe Cl0p. 🎯 Déroulement de l’attaque Septembre 2020 : accès initial via un email de phishing malveillant téléchargeant le malware Get2Loader et le backdoor SDBBOT pour établir la persistance Juillet 2022 : découverte de la compromission par le personnel suite à des ralentissements des performances IT Août 2022 : publication de 4,1 téraoctets de données sur le site Tor de Cl0p, exposant les données personnelles de 633 887 clients et employés Durée de présence non détectée : près de deux ans 🔓 Défaillances systémiques identifiées par l’ICO Le SOC externalisé était aveugle à 95 % du réseau Zéro scan de vulnérabilité interne ou externe sur une fenêtre de 18 mois Utilisation de machines Windows Server 2003 hors support étendu Deux contrôleurs de domaine non patchés contre ZeroLogon (CVE-2020-1472) 🧰 Techniques et outils utilisés Cl0p a exploité des techniques classiques sans recours à des zero-days ou à des capacités étatiques : phishing, déploiement de loader et backdoor, puis exploitation de CVE-2020-1472 pour le mouvement latéral et l’escalade de privilèges vers Domain Admin. ...

25 mai 2026 · 2 min

Attaque supply chain TanStack npm (Mini Shai-Hulud) : deux appareils OpenAI compromis

🔍 Contexte Publié le 13 mai 2026 sur le blog officiel d’OpenAI, cet article constitue un post-mortem détaillé d’un incident de sécurité survenu le 11 mai 2026 UTC, impliquant une attaque de type supply chain via la bibliothèque open-source TanStack npm. 💥 Nature de l’attaque L’attaque, baptisée Mini Shai-Hulud, a compromis TanStack, une bibliothèque open-source largement utilisée. Deux appareils d’employés dans l’environnement corporate d’OpenAI ont été infectés. L’incident s’est produit durant le déploiement progressif de nouveaux contrôles de sécurité, les deux appareils impactés ne disposant pas encore des configurations mises à jour. ...

15 mai 2026 · 3 min

Post-mortem : compromission de la chaîne d'approvisionnement npm de TanStack (mai 2026)

🔍 Contexte Le 11 mai 2026, TanStack a publié un post-mortem détaillé d’une compromission de chaîne d’approvisionnement npm survenue entre 19:20 et 19:26 UTC. L’incident a affecté 42 packages @tanstack/* avec 84 versions malveillantes publiées via un enchaînement de trois vulnérabilités dans le pipeline GitHub Actions. ⚙️ Vecteur d’attaque — Trois vulnérabilités chaînées 1. Pattern « Pwn Request » via pull_request_target Le workflow bundle-size.yml utilisait le déclencheur pull_request_target et effectuait un checkout du code de la PR fork, permettant l’exécution de code non approuvé dans le contexte du dépôt de base. ...

13 mai 2026 · 4 min

Panne du TLD .de : DENIC publie des signatures DNSSEC invalides, Cloudflare applique un NTA

🗓️ Contexte Article publié le 6 mai 2026 par Cloudflare (blog.cloudflare.com), rédigé par Sebastiaan Neuteboom, Christian Elmerot et Max Worsley. Il s’agit d’un post-mortem technique détaillant la réponse de Cloudflare à une panne majeure du TLD .de causée par une misconfiguration DNSSEC chez l’opérateur de registre DENIC. ⚠️ Incident Le 5 mai 2026 à 19h30 UTC, DENIC a commencé à publier des signatures DNSSEC incorrectes pour la zone .de. Tout résolveur DNS validant recevant ces signatures était contraint, conformément à la spécification DNSSEC, de rejeter les réponses et de retourner SERVFAIL aux clients. Le résolveur public 1.1.1.1 de Cloudflare a été immédiatement affecté. ...

8 mai 2026 · 3 min

Vulnérabilité zero-auth sur l'API d'un contractant DoD : données militaires exposées pendant 150 jours

🗓️ Contexte Article publié le 3 mai 2026 par Alex Schapiro sur le blog de Strix (strix.ai). Strix est une entreprise développant un agent IA offensif open-source d’audit de sécurité. L’article constitue un post-mortem de divulgation responsable concernant Schemata, une plateforme d’entraînement militaire virtuel en 3D, contractant actif du Département de la Défense américain (DoD) et financée par Andreessen Horowitz. 🔍 Vulnérabilité découverte Strix a pointé son agent autonome contre l’application Schemata dans le cadre d’un benchmark. L’agent a identifié une absence totale de contrôle d’autorisation sur l’API multi-tenant de la plateforme. Avec un simple compte non privilégié, il était possible d’accéder à l’ensemble des données de tous les tenants sans restriction. ...

6 mai 2026 · 3 min
Dernière mise à jour le: 4 juillet 2026 📝