Operation Poisson : analyse complÚte d'une opération cybercriminelle francophone sur 33 jours

🔍 Contexte : Le 16 juin 2026, Cato CTRL (Vitaly Simonovich) publie une analyse post-incident dĂ©taillĂ©e de l’opĂ©ration « Poisson », couvrant la pĂ©riode du 30 mars au 1er mai 2026. L’analyse repose sur l’historique complet des commandes et la tĂ©lĂ©mĂ©trie capturĂ©e en temps rĂ©el. 🎯 Cibles : Une petite entreprise française du secteur automobile et quatre individus français. Les victimes sont localisĂ©es en Alsace (dĂ©partement 68) et en Val-d’Oise (dĂ©partement 95). ...

18 juin 2026 Â· 4 min

FortiBleed : 73 932 pare-feux Fortinet compromis par un groupe russophone à l'échelle mondiale

🔍 Contexte PubliĂ© le 17 juin 2026 par Hudson Rock (hudsonrock.com), cet article s’appuie sur les recherches du chercheur en sĂ©curitĂ© Volodymyr « Bob » Diachenko. Il documente une campagne d’espionnage cyber d’envergure mondiale ciblant les Ă©quipements Fortinet FortiGate (pare-feux et passerelles VPN). 🎯 MĂ©thodologie de l’attaque Le groupe, dĂ©crit comme multi-opĂ©rateurs et russophone, a opĂ©rĂ© de maniĂšre hautement automatisĂ©e : 1,16 milliard de tentatives de credential stuffing contre plus de 320 000 cibles FortiGate 2,1 milliards de tentatives de brute-force contre plus de 160 000 serveurs MSSQL Interception de hachages d’authentification SSL VPN et cracking via un cluster dĂ©diĂ© de 45 GPU gĂ©rĂ© par Hashtopolis Pivot systĂ©matique vers les environnements Active Directory internes pour Ă©tablir une persistance profonde Exploitation de bases de donnĂ©es de credentials prĂ©alablement volĂ©s (infostealers) pour contourner les politiques de complexitĂ© des mots de passe 📊 Ampleur et victimes 73 932 URLs de pare-feux uniques compromises dans 194 pays 21 632 domaines affectĂ©s uniques Pays les plus touchĂ©s : Inde (9 629), États-Unis (6 352), TaĂŻwan (3 637), Mexique (3 197), Turquie (3 032) Secteurs les plus impactĂ©s : IT Services, TĂ©lĂ©communications, Construction, Services financiers, Gouvernement Victimes nommĂ©es : Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, ainsi que des entitĂ©s gouvernementales et des infrastructures critiques. ...

17 juin 2026 Â· 3 min

SearchLeak : chaßne de vulnérabilités critiques dans M365 Copilot Enterprise permettant l'exfiltration de données

🔍 Contexte PubliĂ© le 15 juin 2026 par Varonis Threat Labs sur le blog officiel de Varonis, cet article prĂ©sente la dĂ©couverte de SearchLeak, une chaĂźne de vulnĂ©rabilitĂ©s critiques affectant Microsoft 365 Copilot Enterprise. La vulnĂ©rabilitĂ© a Ă©tĂ© corrigĂ©e par Microsoft sous l’identifiant CVE-2026-42824, avec une sĂ©vĂ©ritĂ© maximale critique. ⚙ MĂ©canisme d’attaque : une chaĂźne en trois Ă©tapes SearchLeak combine trois failles distinctes pour former une chaĂźne d’exploitation complĂšte : Parameter-to-Prompt (P2P) Injection : Le paramĂštre q de l’URL de Copilot Enterprise Search est transmis directement au moteur IA comme une instruction exĂ©cutable, permettant Ă  un attaquant d’injecter des commandes arbitraires. HTML Rendering Race Condition : Pendant la phase de streaming de la rĂ©ponse Copilot, une balise <img> est rendue par le navigateur avant que le sanitizer de sortie ne s’active, permettant l’envoi d’une requĂȘte HTTP vers une URL contrĂŽlĂ©e par l’attaquant. CSP Bypass via Bing SSRF : Le domaine *.bing.com Ă©tant autorisĂ© dans la Content Security Policy, l’attaquant exploite l’endpoint Bing searchbyimage qui effectue une requĂȘte cĂŽtĂ© serveur vers une URL arbitraire, contournant ainsi la CSP du navigateur. 🎯 DĂ©roulement de l’attaque L’attaquant envoie Ă  la victime un lien vers m365.cloud.microsoft (domaine lĂ©gitime Microsoft) La victime clique → Copilot interprĂšte le paramĂštre q comme des instructions Copilot recherche dans la boĂźte mail, le calendrier, SharePoint, OneDrive Une balise <img> est gĂ©nĂ©rĂ©e avec les donnĂ©es volĂ©es encodĂ©es dans l’URL Le navigateur envoie la requĂȘte Ă  Bing (autorisĂ© par CSP) Bing effectue un fetch cĂŽtĂ© serveur vers attacker.com/<DONNÉES_VOLÉES>/img.png L’attaquant rĂ©cupĂšre les donnĂ©es dans les logs de son serveur đŸ’„ Impact Les donnĂ©es potentiellement exfiltrables incluent : ...

17 juin 2026 Â· 3 min

Velvet Ant : 10 ans d'espionnage sur réseau isolé via détournement de l'authentification

đŸ•”ïž Contexte Source : BleepingComputer, publiĂ© le 13 juin 2026. L’article rapporte les conclusions de Sygnia sur une campagne d’espionnage baptisĂ©e “Operation Highland”, attribuĂ©e au groupe Velvet Ant, un acteur de cyberespionnage d’origine chinoise. La campagne a dĂ©butĂ© en 2016 et s’est poursuivie pendant 10 ans contre une grande organisation disposant d’un rĂ©seau critique isolĂ© (air-gapped). 🎯 Vecteur d’accĂšs initial et pivotement L’attaque dĂ©bute par la compromission de serveurs exposĂ©s sur internet (le produit ou la vulnĂ©rabilitĂ© spĂ©cifique ne sont pas mentionnĂ©s). Velvet Ant dĂ©ploie ensuite : ...

17 juin 2026 Â· 3 min

Ghost-Sender : usurpation universelle d'emails contre Exchange Online via mauvaise configuration

🔍 Contexte PubliĂ© le 9 juin 2026 par Lucas Dodgson, Tobias Oberdörfer et Robin Hilber (InfoGuard Labs), cet article de recherche offensive dĂ©crit une vulnĂ©rabilitĂ© de configuration baptisĂ©e Ghost-Sender, affectant Microsoft Exchange Online utilisĂ© en combinaison avec un enregistrement MX externe (solution de filtrage tiers ou anti-spam). ⚠ Description de la vulnĂ©rabilitĂ© Ghost-Sender exploite le comportement par dĂ©faut d’Exchange Online qui accepte tout email entrant directement adressĂ© au tenant, indĂ©pendamment des rĂ©sultats des contrĂŽles SPF, DKIM et DMARC. Lorsqu’un enregistrement MX externe est configurĂ© (ex : Mailgun, solution anti-spam tierce), un attaquant peut contourner ce filtrage en envoyant directement au endpoint Exchange Online (*.mail.protection.outlook.com), livrant des emails usurpĂ©s depuis n’importe quel expĂ©diteur interne ou externe. ...

13 juin 2026 Â· 3 min

SearchJack : 23 extensions Chrome détournent les recherches de ~758 000 utilisateurs

🔍 Contexte Rapport publiĂ© le 9 juin 2026 par MalExt (Jean-Marie R. / Toborrm9) via la plateforme Malicious Extension Sentry Project. L’analyse a Ă©tĂ© rĂ©alisĂ©e Ă  l’aide du scanner automatisĂ© MalExt Sentry, qui surveille en continu les stores d’extensions de navigateur. 🎯 Description de la campagne SearchJack est une campagne structurĂ©e de 23 extensions Chrome dĂ©ceptives qui dĂ©tournent silencieusement le moteur de recherche par dĂ©faut des utilisateurs. Chaque extension se prĂ©sente sous une apparence lĂ©gitime (imagerie satellite, outils de productivitĂ©, lecteurs d’actualitĂ©s, cartes) mais son objectif rĂ©el est la gĂ©nĂ©ration de revenus via des programmes d’affiliation de recherche (principalement Yahoo Hosted Search). ...

9 juin 2026 Â· 5 min

Anthropic cartographie l'usage malveillant de l'IA sur MITRE ATT&CK : 832 comptes analysés

đŸ—“ïž Contexte PubliĂ© le 3 juin 2026 par Anthropic (Kyla Guru, Alex Moix, Jacob Klein), ce rapport analyse 832 comptes bannis de la plateforme Claude entre mars 2025 et mars 2026 pour violation de la politique d’utilisation liĂ©e Ă  des activitĂ©s cyber malveillantes. Les rĂ©sultats ont partiellement alimentĂ© le Verizon Data Breach Investigation Report (DBIR) 2026. 📊 MĂ©thodologie 13 873 observations d’activitĂ©s malveillantes mappĂ©es sur le framework MITRE ATT&CK V18 482 sous-techniques uniques couvrant les 14 tactiques ATT&CK Nouveau score de risque : ARiES (AI Risk Enablement Score), composite de 0 Ă  100 basĂ© sur trois dimensions : Threat (0–35), Vulnerability (0–35), Impact (0–30) DonnĂ©es collectĂ©es via Claude.ai, Claude Code et l’API Anthropic 🔑 RĂ©sultats clĂ©s 1. Croissance du risque : ...

7 juin 2026 Â· 4 min

Bugonomics : analyse économique de la découverte de vulnérabilités assistée par LLM

🔬 Contexte et source Article acadĂ©mique publiĂ© sur arXiv (soumis le 23 mai 2026) par des chercheurs de Bynario, Vanta et University College London. Il s’appuie sur les donnĂ©es publiques des campagnes Anthropic Mythos Preview et Mozilla Firefox pour analyser les implications Ă©conomiques des LLM dans la dĂ©couverte de vulnĂ©rabilitĂ©s. 📐 Concept central : le « bugonomics » Les auteurs introduisent le terme bugonomics comme cadre d’analyse des coĂ»ts et incitations liĂ©s Ă  la production d’artefacts de sĂ©curitĂ©. Ils distinguent explicitement plusieurs catĂ©gories Ă©conomiquement distinctes : ...

7 juin 2026 Â· 3 min

Étude empirique : 400 tests de pĂ©nĂ©tration autonomes par LLM — cohĂ©rence et fiabilitĂ©

🔬 Contexte PubliĂ© le 7 juin 2026 sur arXiv (arxiv.org/abs/2605.30096), cet article de recherche indĂ©pendant (auteur : Galip T. Erdem) prĂ©sente la premiĂšre Ă©tude empirique Ă  grande Ă©chelle mesurant la cohĂ©rence comportementale de LLMs utilisĂ©s comme agents d’attaque autonomes. L’étude couvre 400 exĂ©cutions (4 modĂšles × 100 runs) contre un honeypot isolĂ© hĂ©bergĂ© sur Azure. 🎯 Dispositif expĂ©rimental Le honeypot cible expose trois services dĂ©libĂ©rĂ©ment vulnĂ©rables : Port 3000 : OWASP Juice Shop (injection SQL via /rest/products/search?q=) Port 22 : OpenSSH avec credentials faibles (honeypot:password123) Port 21 : vsftpd avec accĂšs FTP anonyme et fichier credentials.txt Les 4 modĂšles testĂ©s : Claude Sonnet 4 (Anthropic), Gemini 2.5 Flash-Lite (Google), GPT-4o-mini (OpenAI), qwen2.5-coder:14b (local via Ollama). L’orchestrateur implĂ©mente une boucle commande-exĂ©cution-observation avec un maximum de 25 itĂ©rations. ...

7 juin 2026 Â· 3 min

10 à 20% des nouveaux domaines gTLD en 2025 enregistrés par des cybercriminels

📋 Contexte : PubliĂ© le 1er juin 2026 par Interisle Consulting Group, ce rapport analyse les enregistrements de domaines gTLD en 2025 Ă  partir de donnĂ©es publiques et commerciales, incluant des Reputation Block Lists (RBL), des donnĂ©es ICANN et des analyses de zone files. 📊 Ampleur du phĂ©nomĂšne : Sur les 84,96 millions de domaines gTLD créés en 2025, au moins 8,5 millions (10%) ont Ă©tĂ© mis sur liste noire pour activitĂ© malveillante. En appliquant des projections conservatives intĂ©grant les domaines non dĂ©tectĂ©s par les blocklists et les enregistrements associĂ©s, le chiffre rĂ©el pourrait atteindre 16,8 millions de domaines (20%) achetĂ©s par des acteurs malveillants. En janvier, fĂ©vrier et mai 2025, le nombre de domaines malveillants enregistrĂ©s a dĂ©passĂ© la croissance nette totale du marchĂ© gTLD. ...

6 juin 2026 Â· 4 min
Derniùre mise à jour le: 4 juillet 2026 📝