Faille d’authentification chez un assureur de plongĂ©e Ă  Malte et riposte juridique contre le chercheur

Source : billet de blog personnel (fĂ©vrier 2026). Contexte : un instructeur de plongĂ©e et ingĂ©nieur plateforme relate la dĂ©couverte (avril 2025) d’une faille critique d’authentification sur le portail membres d’un grand assureur de plongĂ©e immatriculĂ© Ă  Malte, puis son parcours de divulgation coordonnĂ©e et la rĂ©ponse juridique reçue. ‱ La vulnĂ©rabilitĂ© reposait sur des identifiants utilisateur numĂ©riques sĂ©quentiels utilisĂ©s pour la connexion et un mot de passe par dĂ©faut statique non imposĂ© au changement lors de la premiĂšre connexion, sans limitation de dĂ©bit, verrouillage de compte ni MFA. Cela permettait d’accĂ©der aux donnĂ©es personnelles (nom, adresse, email, tĂ©lĂ©phone, date de naissance) d’utilisateurs, y compris de mineurs. Le chercheur a confirmĂ© le minimum nĂ©cessaire et a cessĂ© ses vĂ©rifications. Divulgation initiale le 28 avril 2025 avec embargo de 30 jours (jusqu’au 28 mai 2025). ...

22 fĂ©vrier 2026 Â· 3 min

Failles critiques dans des extensions VS Code exposent 128 millions d’environnements dĂ©veloppeurs

Selon CyberSecurityNews.com (20 fĂ©vrier 2026), l’équipe OX Security Research a identifiĂ© trois vulnĂ©rabilitĂ©s critiques dans quatre extensions Visual Studio Code trĂšs rĂ©pandues, confirmĂ©es aussi sur les IDE Cursor et Windsurf. Au total, ces extensions cumulent plus de 128 millions de tĂ©lĂ©chargements, rĂ©vĂ©lant un angle mort de la chaĂźne d’approvisionnement logicielle: la machine du dĂ©veloppeur. ‱ Extensions et vulnĂ©rabilitĂ©s clĂ©s CVE-2025-65717 – Live Server (CVSS 9.1, 72M+ tĂ©lĂ©chargements) : exfiltration de fichiers Ă  distance via la fonctionnalitĂ© localhost. Versions affectĂ©es: toutes. CVE-2025-65715 – Code Runner (CVSS 7.8, 37M+ tĂ©lĂ©chargements) : exĂ©cution de code Ă  distance (RCE). Versions affectĂ©es: toutes. CVE-2025-65716 – Markdown Preview Enhanced (CVSS 8.8, 8.5M+ tĂ©lĂ©chargements) : exĂ©cution JavaScript menant Ă  scan de ports locaux et exfiltration de donnĂ©es. Versions affectĂ©es: toutes. (Sans CVE) Microsoft Live Preview (11M+ tĂ©lĂ©chargements) : XSS en un clic permettant exfiltration complĂšte des fichiers de l’IDE, corrigĂ©e discrĂštement en v0.4.16+ sans attribution publique Ă  OX Security. ‱ Contexte et impact Les extensions d’IDE opĂšrent avec des permissions proches de l’administrateur, pouvant exĂ©cuter du code, lire/modifier des fichiers et communiquer sur le rĂ©seau local sans alerter les contrĂŽles classiques. Selon OX Security, une seule extension malveillante ou vulnĂ©rable peut suffire Ă  permettre des mouvements latĂ©raux et compromettre une organisation entiĂšre. ...

22 fĂ©vrier 2026 Â· 3 min

Faux DMG de plugins audio sur macOS : loader multi‑étapes (ClickFix, PPI) livrant MacSyncStealer

Selon Iru Threat Intelligence (Calvin So), publiĂ© le 19 fĂ©vrier 2026, des chercheurs ont analysĂ© une campagne de « loader » macOS diffusĂ©e massivement via des DMG se faisant passer pour des plugins audio crackĂ©s. La campagne met en Ɠuvre un loader multi‑étapes livrĂ© par des DMG non signĂ©s contenant un binaire Mach‑O (« Meta Installer ») et un script Bash. Le binaire (x86_64, ciblant Intel et potentiellement Apple Silicon via Rosetta) lit un Installer.plist pointant vers un C2 pour rĂ©cupĂ©rer des charges utiles. Pour contourner Gatekeeper/XProtect, les opĂ©rateurs recourent Ă  des chaĂźnes en plusieurs Ă©tapes avec des scripts obfusquĂ©s et des leurres ClickFix (fenĂȘtre navigateur incitant l’utilisateur Ă  copier/coller des commandes), transformant l’utilisateur en exĂ©cuteur du code malveillant. ...

22 fĂ©vrier 2026 Â· 3 min

FBI: Forte hausse des attaques de jackpotting d’ATM via malware Ploutus et XFS (TLP:CLEAR)

Selon un FLASH TLP:CLEAR du FBI datĂ© du 19 fĂ©vrier 2026, les autoritĂ©s constatent une augmentation notable des incidents de jackpotting d’ATM aux États-Unis, avec diffusion d’indicateurs de compromission (IOCs) et de recommandations de mitigation. 🚹 SynthĂšse de la menace Plus de 1 900 incidents de jackpotting d’ATM recensĂ©s depuis 2020, dont plus de 700 en 2025 pour plus de 20 M$ de pertes. Des malwares, notamment la famille Ploutus, ciblent les ATM pour forcer la distribution d’espĂšces sans transaction lĂ©gitime. Les attaques visent les machines (et non les comptes clients) et se dĂ©roulent trĂšs rapidement, souvent dĂ©tectĂ©es aprĂšs coup. đŸ§Ș DĂ©tails techniques clĂ©s ...

22 fĂ©vrier 2026 Â· 3 min

Filippo Valsorda appelle à désactiver Dependabot au profit de govulncheck pour des alertes vulnérabilités pertinentes

Source: billet de blog de Filippo Valsorda (filippo.io), publiĂ© le 20 fĂ©vrier 2026. Contexte: retour d’expĂ©rience sur la gestion des vulnĂ©rabilitĂ©s et des mises Ă  jour de dĂ©pendances dans l’écosystĂšme Go, avec un cas concret liĂ© Ă  un correctif cryptographique. — ‱ L’auteur affirme que Dependabot gĂ©nĂšre une forte charge d’alertes inutiles (faux positifs, scores CVSS fantaisistes, « compatibilitĂ© » alarmiste), en particulier pour Go. Exemple Ă  l’appui: aprĂšs un correctif de sĂ©curitĂ© publiĂ© pour filippo.io/edwards25519 (mĂ©thode Point.MultiScalarMult), Dependabot a ouvert des milliers de PRs vers des dĂ©pĂŽts non affectĂ©s, y compris un faux avertissement pour le dĂ©pĂŽt Wycheproof qui n’importait que le sous-paquet non concernĂ© (filippo.io/edwards25519/field). ...

22 fĂ©vrier 2026 Â· 2 min

France: l’Arcep impose l’authentification des appels pour contrer le spoofing et le dĂ©marchage

Selon GNT, face Ă  l’explosion des signalements d’appels frauduleux en 2025, l’Arcep impose depuis le 1er janvier 2026 une authentification obligatoire des numĂ©ros par les opĂ©rateurs, afin de lutter contre l’usurpation (spoofing) et le dĂ©marchage abusif. La mesure force les opĂ©rateurs (Orange, Free, etc.) Ă  certifier l’origine de chaque appel. Les appels non authentifiables sont marquĂ©s comme suspects, instaurant un filtrage Ă  la source qui Ă©limine une grande partie des appels robots avant la sonnerie. Cette contrainte rend le dĂ©marchage illĂ©gal plus complexe et moins rentable. ...

22 fĂ©vrier 2026 Â· 2 min

IDMerit : une base MongoDB ouverte expose 1 milliard de profils KYC, dont ~52 millions en France

Selon Frandroid, sur la base d’une enquĂȘte de Cybernews, un prestataire d’identitĂ© trĂšs utilisĂ© par les banques et fintechs, IDMerit, a laissĂ© accessible une base MongoDB non protĂ©gĂ©e contenant des donnĂ©es KYC. L’exposition concerne environ 1 milliard d’individus dans le monde, dont prĂšs de 52 millions en France. 🔓 Le 11 novembre 2025, des chercheurs de Cybernews dĂ©couvrent une instance MongoDB d’environ 1 To accessible Ă  quiconque, sans mot de passe ni pare-feu. IDMerit est alertĂ© et sĂ©curise l’accĂšs le lendemain. Il ne s’agit pas d’un piratage, mais d’une exposition due Ă  une configuration ouverte; la durĂ©e d’exposition et les accĂšs Ă©ventuels restent inconnus. Les chercheurs rappellent que des crawlers peuvent aspirer une base non protĂ©gĂ©e en 24 h. ...

22 fĂ©vrier 2026 Â· 2 min

La Pologne interdit les voitures chinoises sur les sites militaires sensibles

Selon Help Net Security (19 fĂ©vrier 2026), l’état-major polonais a dĂ©cidĂ© d’interdire l’entrĂ©e des voitures fabriquĂ©es en Chine sur les sites militaires sensibles, Ă  la suite d’une analyse de risque portant sur l’intĂ©gration croissante des systĂšmes numĂ©riques dans les vĂ©hicules et le risque d’acquisition et d’utilisation non contrĂŽlĂ©es de donnĂ©es. 🚗🔒 Les nouvelles rĂšgles interdisent aussi de connecter des tĂ©lĂ©phones officiels aux systĂšmes d’infodivertissement des voitures d’origine chinoise. Elles s’appliquent Ă©galement aux autres vĂ©hicules motorisĂ©s Ă©quipĂ©s d’appareils intĂ©grĂ©s ou additionnels capables d’enregistrer la position, l’image ou le son. ...

22 fĂ©vrier 2026 Â· 2 min

Let’s Encrypt introduit DNS-PERSIST-01 : une autorisation ACME persistante via DNS

Selon le blog de Let’s Encrypt (Samantha Frank, 18 fĂ©vrier 2026), l’autoritĂ© met en Ɠuvre un nouveau type de dĂ©fi ACME, DNS-PERSIST-01, basĂ© sur un brouillon IETF et alignĂ© avec le bulletin CA/B Forum SC-088v3 adoptĂ© en octobre 2025. DNS-01 exige une preuve de contrĂŽle rĂ©pĂ©tĂ©e Ă  chaque Ă©mission/renouvellement via un enregistrement TXT temporaire sous _acme-challenge.<domaine>. Cela implique des dĂ©lais de propagation DNS, des mises Ă  jour frĂ©quentes et la distribution de crĂ©dentiels d’écriture DNS dans les chaĂźnes d’automatisation. ...

22 fĂ©vrier 2026 Â· 2 min

LSA Whisperer BOF : un port Cobalt Strike pour interagir avec LSA sans toucher Ă  LSASS

Selon l’annonce du projet « LSA Whisperer BOF » (port de l’outil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacitĂ©s d’accĂšs aux paquets d’authentification Windows via l’API lĂ©gitime LsaCallAuthenticationPackage, sans lecture mĂ©moire ni handle sur LSASS, y compris lorsque PPL et Credential Guard sont activĂ©s. 🔧 CapacitĂ©s principales par module: MSV1_0: rĂ©cupĂ©ration de clĂ©s DPAPI (classiques et « strong »), gĂ©nĂ©ration de rĂ©ponses NTLMv1 avec dĂ©fi choisi. Kerberos: liste des tickets, dump de tickets (blobs .kirbi en base64 avec clĂ©s de session), purge sĂ©lective par nom de serveur. CloudAP: extraction de cookies SSO (Entra ID/Azure AD, device, AD FS) et informations cloud (statut TGT/DPAPI). đŸ› ïž Architecture et intĂ©gration: ...

22 fĂ©vrier 2026 Â· 2 min
Derniùre mise à jour le: 17 juillet 2026 📝