DigiCert : émission frauduleuse de certificats EV Code Signing via compromission d'endpoints support

🔍 Contexte Rapport d’incident publiĂ© sur Bugzilla Mozilla (bug #2033170) par DigiCert, datĂ© du 2026-04-02 au 2026-04-17. L’incident a Ă©tĂ© initialement signalĂ© par un tiers et a conduit Ă  la rĂ©vocation de 60 certificats EV Code Signing. 🎯 Vecteur d’attaque initial L’acteur malveillant a contactĂ© l’équipe support de DigiCert via un canal de chat client Salesforce et a livrĂ© un fichier ZIP malveillant dĂ©guisĂ© en capture d’écran client. Ce fichier contenait un exĂ©cutable .scr avec une charge utile malveillante. ...

4 mai 2026 Â· 4 min

CVE-2026-34078 : Sandbox escape dans Flatpak via injection de chemins non fiables

đŸ—“ïž Contexte Article publiĂ© le 23 avril 2026 par Sebastian Wick (mainteneur de Flatpak) sur son blog personnel. L’article constitue un post-mortem technique dĂ©taillĂ© d’une vulnĂ©rabilitĂ© critique dĂ©couverte dans Flatpak suite Ă  un audit de sĂ©curitĂ© rĂ©alisĂ© par Codean Labs. 🔍 ProblĂšme fondamental L’article expose une classe de vulnĂ©rabilitĂ©s liĂ©es Ă  la gestion des chemins de fichiers dans les systĂšmes avec frontiĂšres de sĂ©curitĂ©. Le problĂšme central est que les chaĂźnes de chemin (path strings) ne sont pas des rĂ©fĂ©rences stables Ă  des fichiers : entre le moment oĂč un chemin est vĂ©rifiĂ© et celui oĂč il est utilisĂ©, le systĂšme de fichiers peut ĂȘtre modifiĂ©. Cette classe d’attaque est connue sous le nom de TOCTOU (Time-Of-Check to Time-Of-Use). ...

24 avril 2026 Â· 2 min

Ubuntu : audit de sécurité de rust-coreutils, 113 vulnérabilités et 44 CVE divulgués

🔍 Contexte PubliĂ© le 22 avril 2026 sur le forum officiel Ubuntu Community Hub, ce billet de l’équipe Ubuntu Foundations (ravi-sharma) constitue un compte-rendu de transparence sur l’adoption de rust-coreutils (uutils) comme remplacement des GNU coreutils dans Ubuntu. 📋 Processus d’audit Suite Ă  la dĂ©cision d’adopter rust-coreutils, Canonical a constituĂ© une Ă©quipe interne (Ubuntu Foundations et Ubuntu Security) et a commanditĂ© un audit de sĂ©curitĂ© externe indĂ©pendant auprĂšs de la sociĂ©tĂ© Zellic. L’audit s’est dĂ©roulĂ© en deux phases : ...

24 avril 2026 Â· 4 min

DNS hijack d'eth.limo via ingĂ©nierie sociale contre EasyDNS — DNSSEC limite l'impact

đŸ—“ïž Contexte Post-mortem publiĂ© par eth.limo sur X (Twitter) le 18 avril 2026, relatant un dĂ©tournement DNS (DNS hijack) survenu le 17 avril 2026 Ă  19h07 EDT, avec une mise Ă  jour complĂ©mentaire publiĂ©e le 20 avril 2026 aprĂšs collaboration avec Coinspect. 🎯 DĂ©roulement de l’attaque L’attaquant a compromis le compte EasyDNS d’eth.limo en usurpant l’identitĂ© d’un membre de l’équipe auprĂšs du registrar (ingĂ©nierie sociale). La chronologie est la suivante : ...

22 avril 2026 Â· 2 min

Vol de 280 M$ sur Drift : opération sophistiquée de 6 mois attribuée à UNC4736 (Corée du Nord)

đŸ—“ïž Contexte Source : The Record Media, publiĂ© le 10 avril 2026. Drift, une plateforme de cryptomonnaies, a publiĂ© un post-mortem complet dĂ©crivant une opĂ©ration de compromission longue de six mois attribuĂ©e au groupe nord-corĂ©en UNC4736, Ă©galement suivi sous les noms AppleJeus et Citrine Sleet. 🎭 DĂ©roulement de l’opĂ©ration L’opĂ©ration a dĂ©butĂ© environ six mois avant le vol, lorsque des membres d’une sociĂ©tĂ© fictive de trading quantitatif ont approchĂ© des contributeurs de Drift lors d’une confĂ©rence crypto. Ces individus : ...

14 avril 2026 Â· 3 min

Compromission de la bibliothĂšque Axios : OpenAI expose son certificat de signature macOS

🔍 Contexte Le 10 avril 2026, OpenAI a publiĂ© un post-mortem officiel concernant un incident de sĂ©curitĂ© liĂ© Ă  la compromission de la bibliothĂšque tierce Axios, survenu dans le cadre d’une attaque de la chaĂźne d’approvisionnement logicielle plus large touchant l’industrie. 📅 Chronologie 31 mars 2026 (UTC) : La bibliothĂšque Axios (version 1.14.1) est compromise dans le cadre d’une attaque supply chain. Un workflow GitHub Actions utilisĂ© par OpenAI dans le processus de signature des applications macOS tĂ©lĂ©charge et exĂ©cute cette version malveillante d’Axios. Ce workflow avait accĂšs Ă  un certificat de signature de code et au matĂ©riel de notarisation utilisĂ©s pour signer les applications macOS d’OpenAI. 10 avril 2026 : Publication du post-mortem par OpenAI. 8 mai 2026 : RĂ©vocation effective du certificat compromis et fin du support des anciennes versions. 🎯 Applications impactĂ©es Les applications macOS suivantes Ă©taient signĂ©es avec le certificat potentiellement exposĂ© : ...

12 avril 2026 Â· 3 min

Compromission AWS de la Commission européenne via la supply chain Trivy par TeamPCP

đŸ›ïž Contexte Le 2 avril 2026, CERT-EU publie un post-mortem dĂ©taillĂ© sur un incident de cybersĂ©curitĂ© majeur ayant affectĂ© la plateforme web publique de la Commission europĂ©enne (europa.eu), hĂ©bergĂ©e sur Amazon Web Services (AWS). L’incident a Ă©tĂ© notifiĂ© Ă  CERT-EU le 25 mars 2026, conformĂ©ment Ă  l’article 21 du RĂšglement (UE, Euratom) 2023/2841. 🔓 Vecteur d’accĂšs initial L’accĂšs initial a Ă©tĂ© obtenu le 19 mars 2026 via la compromission de la chaĂźne d’approvisionnement de Trivy, un outil de scan de vulnĂ©rabilitĂ©s, attribuĂ©e avec haute confiance au groupe TeamPCP (attribution publique par Aqua Security). La Commission europĂ©enne utilisait une version compromise de Trivy reçue via ses canaux normaux de mise Ă  jour logicielle. ...

7 avril 2026 Â· 3 min

Intesa Sanpaolo : violation de donnĂ©es non dĂ©tectĂ©e pendant 2 ans, amende de 31,8 M€

🏩 Contexte Source : The Cyber Express, publiĂ© le 2 avril 2026. L’article prĂ©sente une rĂ©ponse exclusive du SecrĂ©taire gĂ©nĂ©ral de l’autoritĂ© italienne de protection des donnĂ©es (Garante), Luigi Montuori, sur l’affaire Intesa Sanpaolo, dĂ©jĂ  sanctionnĂ©e par une amende de 31,8 millions d’euros. 🔍 Nature de l’incident L’incident implique un employĂ© interne d’Intesa Sanpaolo qui a accĂ©dĂ© de maniĂšre rĂ©pĂ©tĂ©e et sans justification professionnelle aux donnĂ©es de plus de 3 500 clients, dont des personnes politiquement exposĂ©es et des personnalitĂ©s de haut profil. L’accĂšs non autorisĂ© s’est Ă©talĂ© sur plus de deux ans sans dĂ©clencher aucune alerte. ...

2 avril 2026 Â· 2 min

Shai‑Hulud 2.0: post‑mortem de Trigger.dev sur une compromission GitHub via un package npm

Source: Trigger.dev (blog) — Post‑mortem publiĂ© par le CTO Eric Allam le 28 novembre 2025, dĂ©crivant une compromission le 25 novembre 2025 via le ver supply chain Shai‑Hulud 2.0 diffusĂ© dans l’écosystĂšme npm. RĂ©sumĂ© de l’incident Un ingĂ©nieur installe un package compromis (via pnpm install) exĂ©cutant un script preinstall qui dĂ©ploie TruffleHog pour exfiltrer des identifiants (GitHub, AWS, npm, variables d’environnement) et les pousser vers des dĂ©pĂŽts GitHub Ă©phĂ©mĂšres. L’attaquant mĂšne ~17 h de reconnaissance (clonage massif de 669 dĂ©pĂŽts depuis infrastructures US/Inde), surveille l’activitĂ© de l’ingĂ©nieur, puis lance une phase destructrice: force‑push de commits « init » attribuĂ©s Ă  « Linus Torvalds <[email protected]> » et fermeture de PRs (199 branches touchĂ©es, 42 PRs fermĂ©es). Certaines tentatives sont bloquĂ©es par la protection de branche. DĂ©tection rapide via une avalanche d’alertes Slack; en 4 minutes le compte compromis est retirĂ© de l’organisation, stoppant l’attaque. Pas d’accĂšs en Ă©criture aux ressources AWS ni de compromission des packages npm de Trigger.dev. Impact et pĂ©rimĂštre ...

16 dĂ©cembre 2025 Â· 3 min

Panne Cloudflare du 5 dĂ©cembre 2025 liĂ©e Ă  un bug WAF lors d’une mitigation React

Selon Cloudflare (blog), un incident de disponibilitĂ© le 5 dĂ©cembre 2025 a provoquĂ© des erreurs HTTP 500 durant ~25 minutes, sans cyberattaque, lors d’un changement de configuration du WAF effectuĂ© pour protĂ©ger contre la vulnĂ©rabilitĂ© critique CVE-2025-55182 affectant React Server Components. Impact: ~28 % du trafic HTTP servi par Cloudflare touchĂ© entre 08:47 et 09:12 UTC. Les clients impactĂ©s Ă©taient ceux dont le trafic passait par l’ancien proxy FL1 avec les Cloudflare Managed Rulesets activĂ©s; presque toutes les requĂȘtes renvoyaient HTTP 500, Ă  l’exception de quelques endpoints de test (ex.: /cdn-cgi/trace). Le rĂ©seau Chine n’a pas Ă©tĂ© impactĂ©. ⏱ ...

6 dĂ©cembre 2025 Â· 2 min
Derniùre mise à jour le: 4 juillet 2026 📝