Publication De Recherche

Selon le blog Frontier Red Team d’Anthropic (red.anthropic.com), publié le 5 février 2026, l’éditeur présente Claude Opus 4.6 et explique comment le modèle découvre des vulnérabilités critiques dans des projets open source, tout en décrivant des garde-fous pour limiter les mésusages. Anthropic affirme que Claude Opus 4.6 est nettement plus performant pour trouver des vulnérabilités de haute sévérité « out‑of‑the‑box », sans outillage spécialisé ni prompts dédiés. Le modèle raisonne sur le code comme un chercheur humain, repère des motifs à risque et identifie des correctifs partiels pour cibler des chemins restants. L’équipe indique avoir trouvé et validé plus de 500 vulnérabilités critiques dans l’open source, commencé à les reporter et à proposer des correctifs, et poursuit les patchs en collaboration avec les mainteneurs. 🔎🐞 ...

Source: watchTowr Labs publie une analyse technique des CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile (EPMM), notant une exploitation active par un APT et l’ajout immédiat des failles à la liste KEV de la CISA. ⚠️ Problématique: deux RCE pré-auth activement exploitées dans Ivanti EPMM. Ivanti a diffusé des RPM de mitigation temporaires (à réappliquer après changements) en attendant la version 12.8.0.0 prévue en T1 2026. Aucun binaire EPMM n’est encore « corrigé »; l’approche remplace des scripts Bash par des classes Java et modifie la config Apache. ...

Source: Check Point Research — Dans un billet de synthèse, le laboratoire détaille des campagnes d’espionnage menées en 2025 par un nouvel acteur, Amaranth‑Dragon, contre des institutions gouvernementales et des forces de l’ordre en Asie du Sud‑Est, avec des liens techniques et opérationnels vers l’écosystème APT‑41. 🕵️‍♂️ Contexte et objectifs: Les opérations observées visaient des agences gouvernementales et de sécurité dans plusieurs pays de l’ASEAN, avec un objectif clair de collecte d’intelligence géopolitique sur le long terme. Les campagnes ont été minutieusement calées sur des événements politiques et sécuritaires locaux pour maximiser l’engagement des cibles. ...

🔍 Contexte Publié le 02/04/2026 par Octagon Networks sur pwn.ai, cet article détaille une recherche offensive autonome menée par l’agent IA pwn.ai pendant près de 5 jours, initiée lors d’un engagement client sur une application web minimaliste dont la seule surface d’attaque était une boîte d’upload traitant les fichiers via ImageMagick. 🎯 Découvertes principales La recherche a abouti à la découverte de multiples zero-days dans ImageMagick affectant toutes les distributions Linux majeures (Ubuntu 22.04, Debian, Fedora, RHEL, Arch, Alpine, Amazon Linux, macOS Homebrew, Docker) ainsi que les installations WordPress. ...

Selon Wiz (blog), une analyse non intrusive du réseau social d’agents IA Moltbook a mis au jour une clé Supabase exposée dans le JavaScript client, pointant vers une base de production sans Row Level Security, ce qui a permis un accès anonyme en lecture et en écriture à de nombreuses tables jusqu’à la correction appliquée en plusieurs étapes. Impact et données exposées. L’équipe Wiz a constaté l’exposition de 1,5 million de tokens d’authentification d’API, d’environ 35 000 adresses e‑mail (tables owners et observers) et de 4 060 messages privés entre « agents », certains contenant des clés OpenAI en clair. Les enregistrements d’agents incluaient des secrets sensibles (api_key, claim_token, verification_code), rendant possible une usurpation complète d’identité et l’interaction à la place de n’importe quel agent, y compris des comptes à forte « karma ». ...

Selon LayerX Research, une campagne coordonnée de 16 extensions de navigateur, majoritairement sur le Chrome Web Store (une sur Microsoft Edge Add-ons), se présente comme des « améliorations » ChatGPT mais vise à voler les identités ChatGPT des utilisateurs via l’interception de tokens de session. Environ 900 installations sont associées à la campagne, et au moment de la publication, les extensions restent disponibles. ⚠️ Sur le plan technique, les extensions injectent un content script exécuté dans le MAIN world JavaScript de chatgpt.com, ce qui leur permet d’interagir directement avec le runtime de la page. Elles hookent window.fetch pour observer les requêtes sortantes, détectent les en-têtes d’autorisation, extraient le token de session, puis l’envoient à un serveur distant. 🧩 Cette hijacking de session permet aux opérateurs d’usurper l’identité des utilisateurs et d’accéder à leurs conversations ainsi qu’aux connecteurs (Google Drive, Slack, GitHub, etc.). ...

Selon les chercheurs du Halcyon’s Ransomware Research Center (RRC), une erreur de codage dans le rançongiciel Sicarii en fait une menace particulièrement dangereuse, car elle empêche tout déchiffrement des données compromises. Contexte: apparu en décembre 2025, l’opération de ransomware-as-a-service (RaaS) Sicarii a commencé à recruter des affiliés sur le dark web, marquant son entrée sur la scène cybercriminelle. Des chercheurs du Halcyon Ransomware Research Center (RRC) alertent sur un risque majeur lié à un nouveau ransomware baptisé Sicarii, apparu en décembre 2025 sous forme d’offre Ransomware-as-a-Service (RaaS). Le point critique : une erreur de développement dans la gestion des clés de chiffrement rendrait impossible la restauration des données, même si la victime paie la rançon. ...

Source : Bugcrowd – rapport « Inside the Mind of a Hacker », Volume 9, 2026. Contexte : étude et entretiens avec plus de 2 000 hackers de la plateforme Bugcrowd sur la démographie, les motivations, le travail en équipe et l’usage de l’IA. – Le rapport défend l’ère de « l’intelligence augmentée humaine » où la créativité humaine se combine à l’IA. Les hackers se disent fiers à 98% de leur travail et considèrent à 95% que le hacking est un art. Le public et les entreprises perçoivent différemment les hackers, ces dernières les voyant davantage comme un atout. Les motivations sont multi-factorielles (finance, opportunités, nouvelles expériences), avec 85% privilégiant le signalement d’une vulnérabilité critique plutôt que le gain financier en cas d’absence de canal clair. Environ 1 sur 5 s’identifie comme neurodivergent. ...

Source: blog de Maxim Suhanov — Publication de recherche décrivant un artefact DFIR issu d’un bug du service Windows Event Logging (wevtsvc) qui réécrit de la mémoire non initialisée dans des fichiers EVTX après une purge. Le chercheur explique qu’un bug de sécurité mémoire (utilisation de mémoire non initialisée) dans le service de journalisation Windows peut entraîner, lorsqu’un journal EVTX rarement mis à jour est vidé, le remplissage de la zone ElfChnk par des restes de mémoire du service. Ces restes peuvent contenir des entrées récemment supprimées d’autres journaux, qui réapparaissent alors comme entrées « non allouées ». Dès que la première vraie entrée est écrite dans ce journal, la partie résiduelle est effacée, rendant le phénomène observable surtout sur des journaux peu actifs. ...

Selon Positive Technologies (PT Cyber Analytics), ce rapport synthétise l’évolution technique et l’organisation économique des forums du dark web, en s’appuyant sur l’expertise interne, des rapports de vendees cybersécurité, des sources ouvertes (agences et forces de l’ordre) et des canaux Telegram de groupes criminels. 🔍 Le rapport décrit le passage des CMS prêts à l’emploi (phpBB, vBulletin, XenForo) à des plateformes sur mesure et hybrides, rendant l’analyse et la recherche de vulnérabilités plus difficiles. Il met en avant une architecture en couches (vitrines clearnet, miroirs, proxys) qui améliore la résilience face à la surveillance et aux blocages, et l’usage de mesures anti-bot (JavaScript challenges) et VPN limitant le scraping automatisé. L’OPSEC renforcée (accès multi-niveaux, contrôle communautaire, PGP, minimisation des logs) freine l’infiltration, déplaçant l’enquête vers l’analyse comportementale et des métadonnées. ...