Des assistants IA avec navigation web détournés en relais C2 furtifs

Selon Check Point Research (blog.checkpoint.com), une recherche publiĂ©e le 19/02/2026 dĂ©crit une technique potentielle oĂč des assistants IA avec capacitĂ© de navigation web pourraient ĂȘtre exploitĂ©s comme relais de commande‑et‑contrĂŽle (C2) furtifs ; cette approche a Ă©tĂ© dĂ©montrĂ©e en environnement contrĂŽlĂ© contre Grok et Microsoft Copilot, sans preuve d’exploitation active Ă  ce stade. ‱ Technique dĂ©montrĂ©e (C2 via assistants IA) đŸ€–: en incitant un assistant IA Ă  « fetch » et rĂ©sumer une URL contrĂŽlĂ©e par l’attaquant, un malware peut exfiltrer des donnĂ©es et rĂ©cupĂ©rer des commandes sans contacter directement un serveur C2 traditionnel. L’interaction peut se faire sans clĂ©s API ni comptes authentifiĂ©s, rendant moins efficaces les mĂ©canismes de takedown classiques. Du point de vue rĂ©seau, le trafic ressemble Ă  un usage IA lĂ©gitime, l’AI servant de proxy/relai furtif au sein des communications autorisĂ©es en entreprise. ...

19 fĂ©vrier 2026 Â· 3 min

IV par défaut dans aes-js/pyaes : réutilisation clé/IV à grande échelle et correctif dans strongMan (strongSwan)

Selon Trail of Bits (blog), dans une analyse publiĂ©e en fĂ©vrier 2026, deux bibliothĂšques populaires, aes-js (JavaScript) et pyaes (Python), exposent leurs utilisateurs Ă  des failles cryptographiques en fournissant un IV par dĂ©faut en mode AES-CTR, ce qui a entraĂźnĂ© des vulnĂ©rabilitĂ©s dans de nombreux projets en aval, dont strongMan (outil de gestion pour strongSwan), qui a Ă©tĂ© corrigĂ©. ProblĂšme central: IV par dĂ©faut (0x00000000_00000000_00000000_00000001) en AES-CTR dans aes-js et pyaes, avec des exemples de documentation omettant l’IV. Cela favorise la rĂ©utilisation clĂ©/IV, permettant la rĂ©cupĂ©ration de l’XOR des textes en clair et rendant le chiffrement trĂšs fragile (rĂ©cupĂ©ration de masques et secrets en chaĂźne). ...

19 fĂ©vrier 2026 Â· 3 min

Keenaduxa0: un backdoor Android intégré au firmware relie plusieurs botnets majeurs

Source : Kaspersky (Securelist) — Dans une publication de recherche, les analystes dĂ©taillent « Keenadu », un nouveau backdoor Android intĂ©grĂ© Ă  la chaĂźne d’approvisionnement du firmware, capable de s’injecter dans tous les processus via Zygote et d’offrir un contrĂŽle quasi illimitĂ© des appareils infectĂ©s. L’étude couvre l’architecture, les charges utiles, les vecteurs de distribution (firmware, apps systĂšme et stores), et des liens avec d’autres botnets Android majeurs. ‱ Vecteur et mĂ©canisme d’infection. Keenadu est intĂ©grĂ© durant la phase de build du firmware via une bibliothĂšque statique malveillante liĂ©e Ă  libandroid_runtime.so, parfois livrĂ©e via mises Ă  jour OTA signĂ©es. À l’exĂ©cution, il s’injecte dans Zygote et opĂšre dans chaque application, rendant le sandboxing caduc. Il implĂ©mente une architecture client-serveur binder (AKClient/AKServer) au sein de system_server, avec des interfaces permettant de donner/rĂ©voquer des permissions, de collecter la gĂ©olocalisation et d’exfiltrer des donnĂ©es de l’appareil. Un kill switch est prĂ©sent (fichiers spĂ©cifiques, dĂ©tection langue/zone chinoises, absence de Google Play/Services). Les communications et charges sont chiffrĂ©es (RC4/AES‑CFB, signature DSA, MD5) et chargĂ©es via DexClassLoader. ...

19 fĂ©vrier 2026 Â· 4 min

Des chercheurs cassent le « Zero Knowledge » de Bitwarden, LastPass et Dashlane avec 25 attaques

Source et contexte — Étude acadĂ©mique d’ETH Zurich et de l’UniversitĂ  della Svizzera italiana (USI), avec preuves de concept (PoC), analysant trois gestionnaires de mots de passe cloud (Bitwarden, LastPass, Dashlane) dans un modĂšle de menace Ă  serveur malveillant. Principaux constats Les auteurs identifient 12 attaques contre Bitwarden, 7 contre LastPass et 6 contre Dashlane (25 au total). La plupart permettent la rĂ©cupĂ©ration de mots de passe. Les promesses de « Zero Knowledge »/E2EE ne tiennent pas face Ă  un serveur pleinement malveillant, un modĂšle jugĂ© rĂ©aliste au vu de la valeur des coffres et d’incidents passĂ©s. Les vulnĂ©rabilitĂ©s dĂ©coulent d’anti‑patterns communs : absence d’authentification des clĂ©s publiques, mauvaise sĂ©paration des clĂ©s, hypothĂšse erronĂ©e d’authenticitĂ© des chiffrĂ©s PKE, compatibilitĂ© rĂ©tro qui rouvre CBC sans intĂ©gritĂ©, intĂ©gritĂ© au niveau champ/Ă©lĂ©ment mais pas du coffre entier. Attaques par catĂ©gories (exemples marquants) ...

16 fĂ©vrier 2026 Â· 3 min

Unit 42 (Palo Alto Networks) détaille l'attaque supply chain contre Notepad++ avec des nouvelles informations techniques

Selon Unit 42 (Palo Alto Networks), entre juin et dĂ©cembre 2025, l’infrastructure d’hĂ©bergement officielle de Notepad++ a Ă©tĂ© compromise par le groupe Ă©tatique Lotus Blossom, permettant un dĂ©tournement du trafic vers le serveur d’update et une distribution sĂ©lective de mises Ă  jour malveillantes. Les cibles principales se trouvaient en Asie du Sud-Est (gouvernement, tĂ©lĂ©coms, infrastructures critiques), avec une extension observĂ©e vers l’AmĂ©rique du Sud, les États-Unis et l’Europe sur des secteurs variĂ©s (cloud, Ă©nergie, finance, gouvernement, manufacturing, dĂ©veloppement logiciel). Cette attaque de la chaĂźne d’approvisionnement s’appuie sur une capacitĂ© AitM pour profiler et filtrer dynamiquement les victimes prioritaires, notamment des administrateurs et dĂ©veloppeurs. ...

13 fĂ©vrier 2026 Â· 3 min

287 extensions Chrome exfiltrent l’historique de 37 M d’utilisateurs

Selon Q Continuum (sur Substack), une Ă©tude automatisĂ©e a identifiĂ© 287 extensions Chrome qui exfiltrent l’historique de navigation, totalisant ~37,4 millions d’installations (~1 % des utilisateurs Chrome), avec des liens vers des courtiers de donnĂ©es tels que Similarweb et des acteurs associĂ©s. ‱ MĂ©thodologie de dĂ©tection: Les auteurs ont fait tourner Chromium en Docker derriĂšre un proxy MITM (mitmdump), gĂ©nĂ©rĂ© des charges de navigation synthĂ©tiques (URLs de taille croissante) et corrĂ©lĂ© le volume sortant aux longueurs d’URL via un modĂšle linĂ©aire (bytes_out = R × payload_size + b). Les endpoints avec R ≄ 1,0 sont jugĂ©s « fuites certaines »; 0,1 ≀ R < 1,0 « fuites probables » suivies d’un second passage plus fin. L’effort a consommĂ© ~930 jours CPU. ...

11 fĂ©vrier 2026 Â· 3 min

Découverte de SSHStalkerxa0: un botnet Linux «xa0old-schoolxa0» piloté par IRC et diffusé via SSH

Selon une publication de recherche de Flare (fĂ©vrier 2026), l’opĂ©ration « SSHStalker » est un nouveau botnet Linux non documentĂ© jusque‑lĂ , qui privilĂ©gie une architecture C2 IRC rĂ©siliente et peu coĂ»teuse, une automatisation de compromission SSH Ă  grande Ă©chelle, et une persistance bruyante via cron. MalgrĂ© des capacitĂ©s de DDoS et de cryptomining, les instances observĂ©es maintiennent un accĂšs « dormant » sans monĂ©tisation immĂ©diate. L’attaque s’appuie sur un binaire Golang se faisant passer pour « nmap » pour scanner l’SSH (port 22), puis enchaĂźne la staging/compilation locale (GCC) et l’enrĂŽlement automatique sur des canaux IRC. Des bots C en variantes multiples (1.c, 2.c, a.c) rejoignent des serveurs comme gsm.ftp.sh et plm.ftp.sh (canaux #auto, #xx, clĂ© IRC partagĂ©e), tandis qu’un bot Perl (UnrealIRCd) sert de relais C2 et d’outil DDoS. La persistance repose sur un cron chaque minute et un script update « watchdog » qui relance le bot si tuĂ©, assurant un retour en <60 s. ...

11 fĂ©vrier 2026 Â· 4 min

Paquets dYdX compromis sur npm et PyPI : vol de seed phrases et RAT

Source : Socket (blog de recherche sĂ©curitĂ©), 6 fĂ©vrier 2026. Le Threat Research Team de Socket dĂ©crit une compromission de mainteneur ayant permis la publication de versions malveillantes des clients dYdX v4 sur npm et PyPI, dĂ©tectĂ©es le 27 janvier 2026 et signalĂ©es Ă  dYdX le 28 janvier (reconnaissance publique le mĂȘme jour). ‱ ÉcosystĂšmes touchĂ©s et vecteurs: des versions spĂ©cifiques des paquets dYdX ont Ă©tĂ© modifiĂ©es pour intĂ©grer du code malveillant au cƓur des fichiers (registry.ts/js, account.py). Le code exfiltre des seed phrases et des empreintes d’appareil vers un domaine typosquattĂ© (dydx[.]priceoracle[.]site), imitant le service lĂ©gitime dydx[.]xyz. Le mode opĂ©ratoire et la connaissance interne du projet suggĂšrent une compromission de compte dĂ©veloppeur. ...

9 fĂ©vrier 2026 Â· 2 min

Anthropic: Claude Opus 4.6 identifie des 0-day dans des projets open source et déploie des garde-fous

Selon le blog Frontier Red Team d’Anthropic (red.anthropic.com), publiĂ© le 5 fĂ©vrier 2026, l’éditeur prĂ©sente Claude Opus 4.6 et explique comment le modĂšle dĂ©couvre des vulnĂ©rabilitĂ©s critiques dans des projets open source, tout en dĂ©crivant des garde-fous pour limiter les mĂ©susages. Anthropic affirme que Claude Opus 4.6 est nettement plus performant pour trouver des vulnĂ©rabilitĂ©s de haute sĂ©vĂ©ritĂ© « out‑of‑the‑box », sans outillage spĂ©cialisĂ© ni prompts dĂ©diĂ©s. Le modĂšle raisonne sur le code comme un chercheur humain, repĂšre des motifs Ă  risque et identifie des correctifs partiels pour cibler des chemins restants. L’équipe indique avoir trouvĂ© et validĂ© plus de 500 vulnĂ©rabilitĂ©s critiques dans l’open source, commencĂ© Ă  les reporter et Ă  proposer des correctifs, et poursuit les patchs en collaboration avec les mainteneurs. 🔎🐞 ...

7 fĂ©vrier 2026 Â· 3 min

Ivanti EPMM : deux RCE prĂ©-auth (CVE-2026-1281/1340) activement exploitĂ©es — analyse watchTowr

Source: watchTowr Labs publie une analyse technique des CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile (EPMM), notant une exploitation active par un APT et l’ajout immĂ©diat des failles Ă  la liste KEV de la CISA. ⚠ ProblĂ©matique: deux RCE prĂ©-auth activement exploitĂ©es dans Ivanti EPMM. Ivanti a diffusĂ© des RPM de mitigation temporaires (Ă  rĂ©appliquer aprĂšs changements) en attendant la version 12.8.0.0 prĂ©vue en T1 2026. Aucun binaire EPMM n’est encore « corrigĂ© »; l’approche remplace des scripts Bash par des classes Java et modifie la config Apache. ...

5 fĂ©vrier 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝