DarkSword : un kit d'exploitation iOS utilisé dans des attaques mondiales par plusieurs acteurs

🔍 Contexte PubliĂ© le 19 mars 2026 par Security Affairs, cet article relaie un rapport de Lookout Threat Labs, en collaboration avec iVerify et Google GTIG, portant sur la dĂ©couverte d’un nouveau kit d’exploitation iOS baptisĂ© DarkSword, actif depuis fin 2025. đŸ› ïž Description du toolkit DarkSword est un kit d’exploitation iOS permettant une compromission complĂšte de l’appareil via une chaĂźne de six vulnĂ©rabilitĂ©s, dont trois zero-days : CVE-2025-31277 – Corruption mĂ©moire JavaScriptCore (CVSS 8.8) CVE-2026-20700 – Contournement PAC via dyld (CVSS 8.6) (zero-day) CVE-2025-43529 – Corruption mĂ©moire JavaScriptCore (CVSS 8.8) (zero-day) CVE-2025-14174 – Corruption mĂ©moire ANGLE (CVSS 8.8) (zero-day) CVE-2025-43510 – ProblĂšme mĂ©moire noyau iOS (CVSS 8.6) CVE-2025-43520 – Corruption mĂ©moire noyau iOS (CVSS 8.6) Le kit cible les iPhones sous iOS 18.4 Ă  18.7 et nĂ©cessite une interaction utilisateur minimale (near zero-click). ...

22 mars 2026 Â· 3 min

France : enquĂȘte nationale sur la perception du risque cyber dans 719 Ă©tablissements de santĂ©

đŸ„ Contexte PubliĂ© le 12 mars 2026 sur le site de l’Agence du NumĂ©rique en SantĂ© (ANS), ce communiquĂ© de presse prĂ©sente les rĂ©sultats de la premiĂšre enquĂȘte nationale sur la cybersĂ©curitĂ© des Ă©tablissements de santĂ©, rĂ©alisĂ©e en 2025 par le cabinet Occurrence (groupe IFOP) auprĂšs de 719 directeurs d’établissements de santĂ©. L’étude a Ă©tĂ© prĂ©sentĂ©e lors des premiĂšres Rencontres de l’ANS Ă  PariSantĂ© Campus. 📊 Principaux enseignements de l’enquĂȘte 86% des directions gĂ©nĂ©rales s’impliquent dans les exercices de crise cyber (2023/2024) 72% des directeurs dĂ©clarent intervenir personnellement dans l’élaboration du plan de prĂ©vention des risques cyber En cas de cyberattaque, les impacts prioritaires identifiĂ©s sont : continuitĂ© des soins (4,1/5), coĂ»t financier (3,9/5), qualitĂ© de vie au travail (3,8/5) 9 directeurs sur 10 plĂ©biscitent la mutualisation des expertises entre Ă©tablissements d’un mĂȘme territoire 42% des directeurs estiment que leur budget ne permet pas d’élaborer un plan de prĂ©vention cyber au bon niveau ⚠ DonnĂ©es sur la menace 764 incidents cyber dĂ©clarĂ©s en 2025 dans les Ă©tablissements de santĂ© français, confirmant un niveau de menace Ă©levĂ© et persistant sur ce secteur. ...

22 mars 2026 Â· 2 min

KslDump : extraction de credentials LSASS via un driver Microsoft Defender vulnérable préinstallé

🔍 Contexte PubliĂ© le 22 mars 2026 sur GitHub par l’utilisateur andreisss, cet article prĂ©sente KslDump, un outil de recherche en sĂ©curitĂ© offensif exploitant un driver kernel Microsoft Defender (KslD.sys) pour extraire des credentials depuis LSASS protĂ©gĂ© par PPL (Protected Process Light), sans recourir Ă  aucun code ou driver tiers. ⚙ MĂ©canisme de la vulnĂ©rabilitĂ© Le driver KslD.sys est livrĂ© avec Microsoft Defender, signĂ© Microsoft, et expose un objet device \\.\KslD accessible depuis l’espace utilisateur. Il accepte l’IOCTL 0x222044 avec plusieurs sous-commandes critiques : ...

22 mars 2026 Â· 3 min

CTI pour l’IA : sources, IoC, TTP et mesures de similaritĂ© pour protĂ©ger les modĂšles

Selon une publication de recherche d’Orange Innovation Poland, ce travail examine comment la cyber threat intelligence (CTI) doit Ă©voluer pour couvrir les menaces propres aux systĂšmes d’IA, en structurant les sources (vulnĂ©rabilitĂ©s, incidents, TTP), en dĂ©finissant des IoC spĂ©cifiques Ă  l’IA et en proposant des mĂ©thodes de similaritĂ© pour dĂ©tecter modĂšles/datasets malveillants. Le papier compare la CTI « classique » et la CTI pour l’IA, en listant des actifs et vulnĂ©rabilitĂ©s propres Ă  l’IA (ex. empoisonnement de donnĂ©es, backdoors dans les modĂšles, adversarial examples, inversion de modĂšle, prompt injection). Il cartographie les phases d’attaque adaptĂ©es au cycle ML (reconnaissance des artefacts ML, accĂšs initial via API/produit, exĂ©cution, persistance via backdoor, Ă©lĂ©vation de privilĂšges notamment sur LLMs, Ă©vasion, exfiltration et impact). ...

15 mars 2026 Â· 3 min

IA en cyberconflit: un écart d'automatisation qui avantage la défense

Source et contexte — International Security (MIT Press/Harvard), mars 2026: Lennart Maschmeyer analyse pourquoi l’IA, malgrĂ© les prĂ©dictions d’une rĂ©volution offensive, renforce surtout la dĂ©fense en cybersĂ©curitĂ©. En s’appuyant sur des donnĂ©es expĂ©rimentales et des observations in-the-wild, l’auteur avance la thĂšse d’un « Ă©cart d’automatisation »: l’IA excelle en dĂ©tection (đŸ›ĄïžđŸ”) mais peine en tromperie crĂ©ative requise par l’offensive (âš”ïžđŸ€–), ce qui abaisse l’efficacitĂ© des attaques automatisĂ©es. ThĂšse centrale: en cyberconflit, l’offense repose sur la crĂ©ativitĂ© et la dĂ©ception (se cacher, manipuler sans ĂȘtre dĂ©tectĂ©), alors que la dĂ©fense vise la dĂ©tection rapide et prĂ©cise. Les modĂšles d’IA (ML, deep learning, LLMs) sont taillĂ©s pour la reconnaissance de motifs et la classification (dĂ©fense), mais Ă©chouent sur la crĂ©ation originale et la duperie contextuelle (offense). L’indicateur de Mandiant (Google Cloud) montre une baisse du dwell time mĂ©dian de 205 jours (2014) Ă  11 jours (2024), sans renversement malgrĂ© les progrĂšs rĂ©cents de l’IA, ce qui n’accrĂ©dite pas une supĂ©rioritĂ© offensive automatisĂ©e. ...

15 mars 2026 Â· 3 min

IBM X-Force révÚle Slopoly, un C2 généré par IA utilisé par Hive0163 dans une attaque ransomware

Contexte: IBM X-Force publie une analyse dĂ©taillĂ©e d’un nouveau backdoor/C2 baptisĂ© “Slopoly”, vraisemblablement gĂ©nĂ©rĂ© par un LLM et observĂ© lors d’une attaque ransomware opĂ©rĂ©e par le cluster financier Hive0163. – DĂ©couverte et portĂ©e IBM X-Force a identifiĂ© un script PowerShell client d’un framework C2 inĂ©dit, nommĂ© Slopoly, dĂ©ployĂ© en phase tardive d’une intrusion ransomware attribuĂ©e Ă  Hive0163 (acteur financier dĂ©jĂ  liĂ© Ă  InterlockRAT, NodeSnake, JunkFiction, Interlock ransomware). Slopoly a permis une persistance > 1 semaine sur un serveur compromis. L’analyse souligne l’adoption croissante de l’IA par les cybercriminels, ouvrant une phase d’« armes Ă©phĂ©mĂšres » oĂč du malware gĂ©nĂ©rĂ© rapidement abaisse fortement les barriĂšres Ă  l’entrĂ©e. ...

15 mars 2026 Â· 4 min

SANDBOXESCAPEBENCH mesure l’aptitude des LLM Ă  s’échapper de conteneurs

Source et contexte: PrĂ©publication (UK AI Security Institute / University of Oxford), datĂ©e du 4 mars 2026. L’article introduit SANDBOXESCAPEBENCH, un benchmark et une mĂ©thodologie d’évaluation « sandbox-in-sandbox » pour mesurer si des agents LLM peuvent sortir d’un conteneur et lire un fichier /flag.txt sur l’hĂŽte. ‱ Le benchmark couvre 18 scĂ©narios d’orchestration (K8s), de runtime (Docker/OCI) et de noyau Linux, avec une architecture d’évaluation par CTF et un double isolement (VM + conteneur) afin d’éviter tout risque pour l’infrastructure. Les auteurs publient les 18 niveaux et un provider de sandbox VM pour Inspect (Vagrant/EC2), avec un jeu de test privĂ©. ...

15 mars 2026 Â· 3 min

Un chercheur boote un iPhone virtuel via le firmware PCC d’Apple (vphone600ap) et documente les contournements de sĂ©curitĂ©

Source: GitHub (wh1te4ever). Contexte: l’auteur analyse l’apparition de composants « vphone600ap » dans les firmwares PCC (cloudOS 26) d’Apple fin 2025 et publie un write-up dĂ©taillant la construction d’un iPhone virtuel, en s’appuyant sur des outils de virtualisation Apple et des patchs du firmware pour la recherche sĂ©curitĂ©. L’auteur adapte super-tart en s’appuyant sur Virtualization.framework et des binaires AVPBooter/AVPSEPBooter de recherche, force un modĂšle matĂ©riel spĂ©cifique (VRESEARCH101), configure le SEP, le NVRAM/auxiliary storage et un Ă©cran iPhone (rĂ©solution d’un 14 Pro Max/15 Plus/15 Pro Max/16 Plus). Le VM expose clavier, multi-touch et graphiques via VZMacGraphicsDevice. ...

15 mars 2026 Â· 3 min

ZeroDayBench : un benchmark pour Ă©valuer des agents LLM sur des failles zero‑day inĂ©dites

Source : ICLR 2026 Workshop on Agents in the Wild — Des chercheurs introduisent ZeroDayBench, un nouveau benchmark visant Ă  Ă©valuer la capacitĂ© d’agents LLM Ă  dĂ©tecter et corriger des vulnĂ©rabilitĂ©s critiques dans des bases de code open source, en se concentrant sur la remĂ©diation et non l’exploitation. Principales contributions đŸ§Ș Portage de CVE rĂ©elles vers des dĂ©pĂŽts cibles « fonctionnellement similaires » pour crĂ©er des failles inĂ©dites et limiter la mĂ©morisation par les modĂšles. Couverture exclusive de vulnĂ©rabilitĂ©s critiques (CVSS ≄ 7.0) et scĂ©narios Ă  fort impact (RCE, Ă©lĂ©vation de privilĂšges, dĂ©passements mĂ©moire, etc.). Évaluation par pentest: une correction n’est validĂ©e que si un exploit actif est effectivement bloquĂ© aprĂšs patch. 5 niveaux d’information fournis Ă  l’agent (zero‑day, CWE, post‑exploit, one‑day, full‑info) pour mesurer la dĂ©pendance au contexte. Variantes inter‑dĂ©pĂŽts et intra‑dĂ©pĂŽt pour tester la gĂ©nĂ©ralisation (ex. portage de CVE‑2021‑23017 entre HAProxy, Squid, Tinyproxy). RĂ©sultats et comportements observĂ©s đŸ›Ąïž ...

15 mars 2026 Â· 3 min

Coruna : rĂ©tro‑ingĂ©nierie d’un kit d’exploits iOS rĂ©vĂ©lant un PAC bypass et une falsification de hash PACDB

Source et contexte — nadsec.online (par NadSec) publie en mars 2026 une rĂ©tro‑ingĂ©nierie de 28 modules JavaScript du kit d’exploits iOS « Coruna », complĂ©mentaire aux rapports de Google Threat Intelligence Group et iVerify (03/03/2026). L’étude (6 630 lignes) reconstitue, depuis le JavaScript obfusquĂ©, une chaĂźne complĂšte visant iOS 16.0–17.2, dĂ©taillant 8 vulnĂ©rabilitĂ©s (WebKit RCE, PAC bypass, JIT cage escape, sandbox escape), jusqu’au binaire kernel rĂ©cupĂ©rĂ© dans la nature. Principaux rĂ©sultats techniques ...

11 mars 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝