Ciblage des systùmes d'eau par des États-nations : Iran, Russie et Chine (2024-2026)

📅 Source et contexte : Rapport de threat intelligence publiĂ© le 25 juin 2026 par DomainTools Intelligence (DTI), couvrant les opĂ©rations cyber Ă©tatiques et para-Ă©tatiques ciblant les systĂšmes d’eau et d’assainissement entre 2024 et 2026. 🎯 Contexte stratĂ©gique : Les systĂšmes d’eau et d’assainissement sont devenus des cibles privilĂ©giĂ©es de la guerre hybride en raison de leur sous-investissement chronique en cybersĂ©curitĂ© OT, de l’exposition internet de leurs PLCs et HMIs, et de leur valeur psychologique et politique disproportionnĂ©e. Les trois acteurs Ă©tatiques majeurs (Iran, Russie, Chine) convergent vers la mĂȘme doctrine : utiliser ces infrastructures civiles comme leviers de pression sans franchir le seuil du conflit ouvert. ...

26 juin 2026 Â· 5 min

AutoJack : une chaĂźne RCE via agent IA exploitant AutoGen Studio et MCP WebSocket

🔍 Contexte : Le 18 juin 2026, l’équipe Microsoft Defender Security Research publie une analyse technique dĂ©taillant une chaĂźne d’exploitation baptisĂ©e AutoJack, dĂ©couverte dans AutoGen Studio, l’interface de prototypage open-source du framework multi-agents AutoGen de Microsoft Research. ⚙ MĂ©canisme d’attaque : La chaĂźne combine trois faiblesses indĂ©pendantes dans la surface MCP WebSocket d’AutoGen Studio : Issue 1 (CWE-1385) : La liste blanche d’origines (http://127.0.0.1, http://localhost) bloque les navigateurs externes mais pas un agent de navigation headless tournant sur la mĂȘme machine, dont le JavaScript hĂ©rite de l’identitĂ© localhost. Issue 2 (CWE-306) : Le middleware d’authentification exclut explicitement les chemins /api/mcp/* et /api/ws/*, sans que le handler WebSocket MCP n’implĂ©mente sa propre vĂ©rification. RĂ©sultat : le WebSocket MCP est accessible sans authentification quelle que soit la configuration auth. Issue 3 (CWE-78) : Le paramĂštre server_params passĂ© en query string est dĂ©codĂ© en base64, parsĂ© en StdioServerParams, et transmis directement Ă  stdio_client() sans liste blanche des exĂ©cutables autorisĂ©s, permettant de spawner calc.exe, powershell.exe -enc ... ou bash -c '...'. 🎯 ScĂ©nario d’exploitation : Un attaquant hĂ©berge une page web contenant un script JavaScript qui ouvre une connexion WebSocket vers ws://localhost:8081/api/mcp/ws/<session_id>?server_params=<base64(json)>. Lorsqu’un agent AutoGen Ă©quipĂ© de capacitĂ©s de navigation (ex: MultimodalWebSurfer) visite cette page, le script s’exĂ©cute avec l’identitĂ© localhost, contourne l’auth, et AutoGen Studio spawne la commande arbitraire sous le compte du dĂ©veloppeur. Aucune interaction utilisateur supplĂ©mentaire n’est requise au-delĂ  de faire visiter la page Ă  l’agent. ...

23 juin 2026 Â· 3 min

SOCRadar documente FortiBleed, une campagne d'un IAB russophone ayant compromis plus de 430 000 FortiGate

🔍 Contexte Le 23 juin 2026, SOCRadar Threat Research Unit (STRU) publie un rapport technique dĂ©taillĂ© sur la campagne FortiBleed, une opĂ©ration de collecte massive de credentials ciblant les pare-feux FortiGate Ă  l’échelle mondiale. L’investigation a dĂ©butĂ© suite Ă  un post LinkedIn du chercheur Volodymyr « Bob » Diachenko signalant un rĂ©pertoire exposĂ© Ă  l’adresse http://85.11.187.8:9999. 🎯 Acteur et motivation L’acteur est Ă©valuĂ© comme un Initial Access Broker (IAB) Ă  motivation financiĂšre, avec une origine russe probable (commentaires en cyrillique dans les outils). La compromission d’un contractant de dĂ©fense alignĂ© OTAN soulĂšve Ă©galement l’hypothĂšse d’une collaboration avec des groupes Ă©tatiques russes. La campagne est active depuis au moins fĂ©vrier 2026. ...

23 juin 2026 Â· 10 min

Benchmark CTI : Fable 5 d'Anthropic jugé contre-productif pour les défenseurs cyber

🔍 Contexte PubliĂ© le 17 juin 2026 par Graphistry sur leur blog officiel, cet article constitue un retour d’expĂ©rience pratique sur le modĂšle Fable 5 d’Anthropic (une configuration du modĂšle Mythos 5 avec politiques de sĂ©curitĂ© IA intĂ©grĂ©es), dĂ©sormais interdit par le gouvernement amĂ©ricain. L’évaluation porte sur deux axes : le codage et les investigations cybersĂ©curitĂ©. ✅ Points positifs : codage Fable 5 est dĂ©crit comme remarquablement autonome pour les tĂąches de dĂ©veloppement complexes Il a accompli en 2 jours un projet de modernisation de bibliothĂšques CPU/GPU (liĂ© Ă  Apache Arrow) qui nĂ©cessitait auparavant une intervention manuelle frĂ©quente ComparĂ© Ă  Opus 4.8 et Codex 5.5, Fable se pilote davantage seul Il a dĂ©tectĂ© et corrigĂ© des bugs dans des plugins HTTP binaires personnalisĂ©s pour Arrow et Fastify ❌ Points nĂ©gatifs : cybersĂ©curitĂ© dĂ©fensive Graphistry a utilisĂ© deux benchmarks publics pour Ă©valuer Fable sur des tĂąches SOC : ...

21 juin 2026 Â· 2 min

Cisco : 36 mois pour moderniser les réseaux avant que l'IA ne sature les capacités

🌐 Contexte Source : Computer Weekly, publiĂ© le 16 juin 2026. Cisco a menĂ© une enquĂȘte entre mars et avril 2026 auprĂšs de 3 472 responsables IT (CIO, responsables rĂ©seau, informatique de terrain) dans des organisations de plus de 500 employĂ©s, couvrant l’Asie-Pacifique, l’Europe, le Moyen-Orient, l’AmĂ©rique latine et l’AmĂ©rique du Nord. 📊 Principaux constats quantitatifs 235% d’augmentation du trafic rĂ©seau prĂ©vue dans les 3 prochaines annĂ©es due aux charges de travail IA 73% des rĂ©pondants ont atteint ou atteindront les limites de capacitĂ© rĂ©seau dans 24 mois 67% signalent une augmentation du trafic est-ouest liĂ© aux agents IA 61% constatent une croissance du trafic automatisĂ© continu gĂ©nĂ©rĂ© par les systĂšmes IA 97% anticipent une expansion des dĂ©ploiements d’IA agentique dans les 24 prochains mois Un tiers des entreprises dĂ©clarent dĂ©jĂ  des dĂ©ploiements d’IA agentique Ă  l’échelle de l’entreprise 🔒 Dimension sĂ©curitĂ© 92% des entreprises admettent avoir du mal Ă  suivre l’évolution de l’environnement de sĂ©curitĂ© 90% reconnaissent que l’IA a dĂ©jĂ  causĂ© des dommages en matiĂšre de sĂ©curitĂ© Plus des deux tiers estiment que les menaces liĂ©es Ă  l’IA Ă©voluent plus vite que leur capacitĂ© d’adaptation La surface d’attaque s’étend au-delĂ  de ce que les dĂ©fenses actuelles peuvent gĂ©rer Un Ă©cart d’observabilitĂ© se creuse : les outils de surveillance traditionnels peinent face aux flux agentiques est-ouest ⚠ Facteurs de vulnĂ©rabilitĂ© identifiĂ©s Les agents IA opĂšrent Ă  vitesse machine, gĂ©nĂ©rant des dizaines d’appels API, requĂȘtes base de donnĂ©es et infĂ©rences de modĂšles en quelques secondes Le Wi-Fi est identifiĂ© comme le principal goulot d’étranglement par plus de la moitiĂ© des rĂ©pondants Les charges IA sont particuliĂšrement sensibles Ă  : fiabilitĂ©/disponibilitĂ© (80%), bande passante (75%), latence (71%), perte de paquets (62%) 76% des rĂ©pondants admettent avoir besoin de mises Ă  niveau rĂ©seau 91% citent les contraintes budgĂ©taires comme obstacle 📌 Type d’article Il s’agit d’un rapport de recherche sectorielle publiĂ© par Cisco, prĂ©sentĂ© sous forme d’article de presse spĂ©cialisĂ©e. Son but principal est de documenter l’impact des charges de travail IA sur les infrastructures rĂ©seau d’entreprise et les implications sĂ©curitaires associĂ©es. ...

21 juin 2026 Â· 2 min

Clipboard hijacker Rust ciblant les cryptomonnaies via faux réseaux de réputation

🔍 Contexte Check Point Research publie le 17 juin 2026 une analyse technique d’une campagne de distribution de clipboard hijacker ciblant les propriĂ©taires de cryptomonnaies et les joueurs de crash-games en ligne. L’acteur exploite un Ă©cosystĂšme multi-plateformes de fausse lĂ©gitimitĂ© pour maximiser la portĂ©e de ses outils malveillants. 🎯 Vecteurs de distribution et ingĂ©nierie sociale L’acteur opĂšre via plusieurs canaux coordonnĂ©s : Site WordPress de phishing servant de hub central, promouvant des outils comme des Solana/Pump.fun sniper bots, Aviator Predictor et des crash-game predictors GitHub : au moins 6 comptes (Decryptor-j, crash-predictor1, roblox-script1, hack-scripts, stake-mines) avec plus de 5 000 tĂ©lĂ©chargements dont 1 250+ pour la version macOS SourceForge : 44 485 tĂ©lĂ©chargements dont 37 460 depuis des appareils Android (probablement une ferme Android pour gonfler les statistiques) YouTube : chaĂźne avec narrateurs gĂ©nĂ©rĂ©s par IA, pics de vues suspects, commentaires coordonnĂ©s positifs Sites d’actualitĂ©s lĂ©gitimes : posts publiĂ©s le 27 avril 2026 (depuis retirĂ©s), potentiellement via des posts sponsorisĂ©s ou des mĂ©dias compromis BitcoinTalk.org et forums de hacking : prĂ©sence documentĂ©e depuis 2019, post de 2022 intitulĂ© BLACKHAT | Bitcoin Stealer | Advanced Builder | Tutorial | Clipper [Address Changer]+Re-Fud method 🩠 Payload technique Les binaires livrĂ©s sont des clipboard hijackers Ă©crits en Rust, disponibles pour Windows et macOS. Leurs fonctionnalitĂ©s : ...

21 juin 2026 Â· 3 min

CVE-2026-25262 : faille non corrigeable dans la BootROM Qualcomm, accĂšs physique suffisant

🔍 Contexte PubliĂ© le 16 juin 2026 sur le blog Kaspersky, cet article rapporte la dĂ©couverte par Alexander Kozlov et Sergey Anufrienko (Kaspersky ICS CERT) d’une vulnĂ©rabilitĂ© critique dans les puces Qualcomm, prĂ©sentĂ©e lors de la confĂ©rence Black Hat Asia 2026. đŸ§© Nature de la vulnĂ©rabilitĂ© La faille, rĂ©fĂ©rencĂ©e CVE-2026-25262, est classĂ©e CWE-123 (Write-What-Where Condition) et rĂ©side dans la BootROM des puces Qualcomm, plus prĂ©cisĂ©ment dans le protocole Sahara, composant du mode de tĂ©lĂ©chargement d’urgence (EDL). Ce protocole s’exĂ©cute avant tout systĂšme d’exploitation, avant toute vĂ©rification de droits ou contrĂŽle de sĂ©curitĂ©. ...

21 juin 2026 Â· 3 min

Des hackers utilisent Claude et Codex comme agents autonomes pour compromettre des entreprises

🔍 Contexte PubliĂ© le 16 juin 2026 par OALABS (OpenAnalysis), cet article prĂ©sente une analyse forensique inĂ©dite de plus de 1 000 sessions d’agents IA rĂ©cupĂ©rĂ©es sur un serveur compromis ayant servi de pivot Ă  un attaquant. La source primaire est le rĂ©pertoire de travail de l’attaquant, copiĂ© avant nettoyage du serveur. đŸ§© Vecteur initial et chaĂźne de compromission L’attaquant a volĂ© une instance Claude Code appartenant Ă  un dĂ©veloppeur tchĂšque hĂ©bergĂ©e sur un serveur Hetzner. Ce dĂ©veloppeur avait des pratiques de sĂ©curitĂ© dĂ©faillantes (credentials collĂ©s dans les prompts, services exposĂ©s sur internet, mots de passe simples). Le 2 fĂ©vrier 2026, le serveur du dĂ©veloppeur est compromis ; le 16 fĂ©vrier 2026, l’intĂ©gralitĂ© de l’instance Claude (avec tout l’historique de sessions) est copiĂ©e sur un hĂŽte Vultr contrĂŽlĂ© par l’attaquant. ...

21 juin 2026 Â· 4 min

Dizaines de fonds d'écran malveillants sur Steam Workshop : comptes de joueurs compromis

đŸ—“ïž Source : Securelist (Kaspersky) — Publication le 16 juin 2026, auteurs : Maxim Starodubov et Denis Brylev. Contexte Depuis fin 2025 (et confirmĂ© dĂšs aoĂ»t 2025 selon la mise Ă  jour du 17 juin), des acteurs malveillants exploitent Steam Workshop et l’application Wallpaper Engine pour distribuer des malwares Ă  grande Ă©chelle. Des dizaines de fonds d’écran malveillants ont Ă©tĂ© identifiĂ©s, chacun ayant Ă©tĂ© tĂ©lĂ©chargĂ© des milliers Ă  des dizaines de milliers de fois. ...

21 juin 2026 Â· 4 min

Exploit BootROM ' usbliter8 ' découvert sur les iPhone A12 et A13, non corrigeable

🔍 Contexte PubliĂ© le 19 juin 2026 par The Register, cet article rapporte la divulgation publique d’un exploit BootROM baptisĂ© « usbliter8 », dĂ©veloppĂ© par les chercheurs en sĂ©curitĂ© de Paradigm Shift. La divulgation a Ă©tĂ© coordonnĂ©e avec Apple avant publication. đŸ§© DĂ©tails techniques L’exploit cible une vulnĂ©rabilitĂ© dans le code SecureROM des puces Apple A12 et A13, prĂ©sentes dans les modĂšles iPhone XS, XR, 11 et 11 Pro. La faille rĂ©side dans le contrĂŽleur USB Synopsys DesignWare utilisĂ© par Apple : une mauvaise gestion de certains paquets USB setup permet une corruption mĂ©moire en mode DFU (Device Firmware Update), conduisant Ă  la prise de contrĂŽle du SecureROM. ...

21 juin 2026 Â· 2 min
Derniùre mise à jour le: 4 juillet 2026 📝