Fuite massive de clĂ©s privĂ©es : 2 622 certificats TLS encore valides selon une Ă©tude Google–GitGuardian

Source : GitGuardian (blog), en collaboration avec Google — rĂ©sultats prĂ©sentĂ©s Ă  Real World Crypto (RWC) 2026 Ă  Taipei. L’étude analyse Ă  l’échelle d’Internet l’impact rĂ©el des fuites de clĂ©s privĂ©es en reliant des clĂ©s exposĂ©es publiquement aux certificats TLS via Certificate Transparency (CT). ‱ PortĂ©e et risque 🔐: Depuis 2021, environ 1 M de clĂ©s privĂ©es uniques ont Ă©tĂ© dĂ©tectĂ©es sur GitHub et DockerHub. En s’appuyant sur l’infrastructure CT de Google, les chercheurs ont associĂ© >40 000 clĂ©s Ă  140 000 certificats TLS. Au septembre 2025, 2 622 certificats restaient valides, dont >900 protĂ©geant des Fortune 500, des Ă©tablissements de santĂ© et des agences gouvernementales. Les fuites de clĂ©s TLS permettent l’usurpation de sites, l’interception/manipulation de donnĂ©es et potentiellement la dĂ©cryption de communications passĂ©es si la PFS n’était pas gĂ©nĂ©ralisĂ©e. ...

11 mars 2026 Â· 3 min

Extension Chrome ShotBird compromise : vecteur initial d’une chaĂźne malveillante via fausses mises Ă  jour et vol de donnĂ©es

Source : monxresearch-sec (GitHub Pages). Contexte : publication technique du 8 mars 2026 documentant la compromission supply-chain d’une extension Chrome « Featured » (ShotBird) transformĂ©e en canal de commande/contrĂŽle et en tremplin vers une compromission hĂŽte Windows. Nature de l’attaque : compromission de chaĂźne d’approvisionnement d’une extension Chrome suivie d’abus en navigateur (injection de fausses mises Ă  jour, capture de formulaires) et pivot vers l’hĂŽte via un faux installeur. L’extension (ID: gengfhhkjekmlejbhmmopegofnoifnjp) aurait changĂ© d’opĂ©rateur fin 2025-dĂ©but 2026, puis a commencĂ© Ă  baliser vers une infra attaquante, exĂ©cuter des scripts de tĂąches distants, supprimer des en-tĂȘtes de sĂ©curitĂ©, et pousser des scĂ©narios de mise Ă  jour factices. ...

9 mars 2026 Â· 3 min

Anthropic et Mozilla: Claude Opus 4.6 identifie 22 vulnérabilités dans Firefox, dont 14 de haute gravité

Source: Anthropic — Contexte: Anthropic dĂ©taille une collaboration avec Mozilla oĂč son modĂšle Claude Opus 4.6 a servi Ă  dĂ©couvrir et aider Ă  corriger des vulnĂ©rabilitĂ©s dans Firefox, avec publication de correctifs dans Firefox 148.0. 🔍 DĂ©couvertes clĂ©s: Claude Opus 4.6 a identifiĂ© 22 vulnĂ©rabilitĂ©s en deux semaines, dont 14 de haute gravitĂ© (prĂšs d’un cinquiĂšme des vulnĂ©rabilitĂ©s haute gravitĂ© remĂ©diĂ©es en 2025). Mozilla a expĂ©diĂ© des correctifs Ă  des centaines de millions d’utilisateurs dans Firefox 148.0, le reste arrivant dans des versions ultĂ©rieures. En fĂ©vrier 2026, ces signalements dĂ©passent tout mois individuel de 2025. ...

8 mars 2026 Â· 3 min

MuddyWater exposé: infrastructures C2 multiples, exploits Fortinet/Ivanti et exfiltration multi-canaux

Source: Ctrl-Alt-Intel — Des chercheurs ont compromis et analysĂ© un serveur d’infrastructure d’un APT iranien attribuĂ© Ă  MuddyWater (MOIS), exposant outils C2, scripts, journaux et donnĂ©es victimes. Le billet recoupe des Ă©lĂ©ments publiĂ©s par Group-IB et ESET, et s’appuie sur des pivots Hunt.io, avec des chevauchements d’indicateurs observĂ©s Ă©galement par Huntress. ‱ Contexte et attribution. L’équipe attribue avec haute confiance l’infrastructure Ă  MuddyWater (a.k.a. Static Kitten, Mango Sandstorm, Earth Vetala, Seedworm, TA450). Des artefacts linguistiques en persan, des recoupements d’infrastructures C2 et une victimologie cohĂ©rente (IsraĂ«l, Jordanie, Égypte, EAU, Portugal, États‑Unis) Ă©tayent l’évaluation. Un VPS aux Pays-Bas contenait des binaires C2, scripts et journaux d’opĂ©rations, avec rĂ©utilisation d’IP dĂ©jĂ  signalĂ©es par Group‑IB et ESET. ...

8 mars 2026 Â· 3 min

Packages Packagist déguisés en utilitaires Laravel déploient un RAT PHP via dépendances Composer

Selon Socket (Ă©quipe de recherche sur les menaces), un acteur nommĂ© “nhattuanbl” a publiĂ© sur Packagist des packages Laravel malveillants qui installent un RAT PHP chiffrĂ© via les dĂ©pendances Composer, permettant un accĂšs Ă  distance et un canal C2. Packages concernĂ©s: nhattuanbl/lara-helper et nhattuanbl/simple-queue embarquent la charge utile dans src/helper.php (identiques byte‑à‑byte). nhattuanbl/lara-swagger est propre mais dĂ©pend de lara-helper, entraĂźnant l’installation silencieuse du RAT. Activation: dans lara-helper, inclusion via un service provider Laravel (auto-discovery) Ă  chaque boot; dans simple-queue, inclusion au chargement de la classe (autoload), dĂ©clenchĂ©e mĂȘme par class_exists(). Obfuscation: contrĂŽle par goto en spaghetti, chaĂźnes en hex/octal, identifiants alĂ©atoires. Auto‑persistance: au premier include, le script se relance en arriĂšre-plan (CLI arg helper) et utilise un lock file temp (wvIjjnDMRaomchPprDBzzVSpzh61RCar.lock, expiration 15 min). đŸ•žïž C2 et capacitĂ©s ...

8 mars 2026 Â· 3 min

TP-Link Tapo C260 : divulgation de fichiers, RCE invité et élévation de privilÚges (CVE-2026-0651 à -0653)

Sur un billet de blog technique datĂ© du 6 mars 2026, l’auteur dĂ©crit le processus ayant menĂ© Ă  l’obtention d’un shell sur la camĂ©ra TP-Link Tapo C260, en documentant trois vulnĂ©rabilitĂ©s liĂ©es (CVE-2026-0651, CVE-2026-0652, CVE-2026-0653). Un avis de TP-Link couvre les bases, tandis que l’article expose le cheminement de dĂ©couverte et l’enchaĂźnement d’exploits. DĂ©couverte LFD (CVE-2026-0651) 🔓 L’analyse statique de /bin/main (serveur HTTP intĂ©grĂ© avec gestion SOAP/ONVIF) rĂ©vĂšle un gestionnaire GET qui concatĂšne le chemin demandĂ© Ă  « /www » aprĂšs un simple dĂ©codage d’URL, sans aucune sanitisation. Le dĂ©codage de « ../ » permet une traversĂ©e de rĂ©pertoires conduisant Ă  une divulgation de fichiers locaux (LFD). L’accĂšs nĂ©cessite une session authentifiĂ©e, mais un compte invitĂ© suffit. ...

8 mars 2026 Â· 3 min

Coruna : un kit d’exploits iOS trĂšs abouti, passĂ© de la surveillance ciblĂ©e aux campagnes de masse

Source : Google Cloud Blog (Google Threat Intelligence Group), 3 mars 2026. GTIG documente “Coruna”, un kit d’exploits iOS d’un haut niveau technique, comprenant 5 chaĂźnes complĂštes et 23 exploits couvrant iOS 13.0 Ă  17.2.1. ObservĂ© en 2025, il a d’abord Ă©tĂ© employĂ© par un client d’un vendeur de surveillance, puis par UNC6353 (groupe d’espionnage prĂ©sumĂ© russe) dans des attaques par watering hole visant des utilisateurs ukrainiens, avant d’ĂȘtre rĂ©cupĂ©rĂ© et dĂ©ployĂ© massivement par UNC6691 (acteur financier basĂ© en Chine) via de faux sites crypto. Le kit n’est pas efficace contre la derniĂšre version d’iOS, et GTIG a ajoutĂ© les domaines malveillants Ă  Safe Browsing. ...

5 mars 2026 Â· 3 min

CVE-2026-21902: exécution de code pré-auth sur Juniper Junos OS Evolved (PTX) via API d'anomalies

Selon watchTowr Labs (labs.watchtowr.com), une vulnérabilité critique CVE-2026-21902 affecte Juniper Junos OS Evolved sur les routeurs PTX et permet une exécution de code à distance non authentifiée avec les privilÚges root via le framework On-Box Anomaly Detection. Vulnérabilité: « Incorrect Permission Assignment for Critical Resource » dans le framework On-Box Anomaly Detection (service REST interne) qui se retrouve exposé sur le réseau et actif par défaut, offrant une RCE pré-auth en root. Score annoncé: 9.8. ...

5 mars 2026 Â· 2 min

Claude Code: RCE et exfiltration de clés API via fichiers de projet (CVE-2025-59536, CVE-2026-21852), failles corrigées

Selon Check Point Research (CPR), publiĂ© le 25 fĂ©vrier 2026, des vulnĂ©rabilitĂ©s critiques dans l’outil dĂ©veloppeur Claude Code d’Anthropic permettent une exĂ©cution de code Ă  distance (RCE) et l’exfiltration de clĂ©s API via des fichiers de configuration de projet; Anthropic a collaborĂ© avec CPR et a corrigĂ© toutes les failles avant publication. đŸ›Ąïž ‱ Contexte: Claude Code, un outil CLI agentique, prend en charge la modification de fichiers, Git, tests, intĂ©gration MCP et exĂ©cution de commandes. Sa configuration est pilotĂ©e par dĂ©pĂŽt via .claude/settings.json et .mcp.json, exposant une nouvelle surface d’attaque lorsque des dĂ©pĂŽts non fiables sont clonĂ©s. ...

2 mars 2026 Â· 3 min

ESET dĂ©voile PromptSpy, premier malware Android utilisant l’IA gĂ©nĂ©rative pour sa persistance

Selon ESET Research, PromptSpy est le premier malware Android observĂ© qui intĂšgre de l’IA gĂ©nĂ©rative (Google Gemini) dans sa chaĂźne d’exĂ©cution pour assurer sa persistance. ‱ DĂ©couverte et portĂ©e. PromptSpy est prĂ©sentĂ© comme un cas inĂ©dit d’exploitation opĂ©rationnelle de l’IA gĂ©nĂ©rative sur Android, avec un objectif principal de dĂ©ploiement d’un module VNC offrant un accĂšs distant complet Ă  l’appareil compromis. Le malware dispose de multiples capacitĂ©s malveillantes (exfiltration de donnĂ©es de l’écran de verrouillage, blocage de la dĂ©sinstallation, collecte d’informations systĂšme, captures d’écran et enregistrements vidĂ©o). À ce stade, aucune dĂ©tection n’a Ă©tĂ© observĂ©e dans la tĂ©lĂ©mĂ©trie d’ESET, laissant envisager un statut de preuve de concept (PoC). ...

2 mars 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝