Un frontend de Persona exposĂ© rĂ©vĂšle l’ampleur de la collecte biomĂ©trique derriĂšre la vĂ©rification d’ñge de Discord

Source : Malwarebytes — Dans un contexte de dĂ©bat intense sur la vĂ©rification d’ñge en ligne, des chercheurs ont dĂ©couvert un frontend de Persona (prestataire KYC/AML de Discord) publiquement exposĂ© sur un serveur « autorisĂ© par le gouvernement amĂ©ricain », avec 2 456 fichiers accessibles. Selon la chercheuse « Celeste », le code — dĂ©sormais retirĂ© — se trouvait sur un endpoint isolĂ© de l’environnement habituel de l’éditeur. 🔎 Les fichiers exposĂ©s dĂ©taillent une pile de surveillance bien plus large qu’un simple outil de « sĂ©curitĂ© pour ados » : 269 contrĂŽles de vĂ©rification, reconnaissance faciale contre des listes de surveillance et personnes politiquement exposĂ©es (PEP), screening d’« adverse media » sur 14 catĂ©gories (dont terrorisme et espionnage), ainsi que des scores de risque et de similaritĂ©. ⚠ ...

22 fĂ©vrier 2026 Â· 2 min

Un informateur du FBI aurait co-géré la marketplace dark web Incognito et validé des ventes de fentanyl

Selon WIRED (Andy Greenberg), dans le cadre de l’audience de condamnation Ă  Manhattan de Lin Rui‑Siang, co‑administrateur de la marketplace dark web Incognito, la dĂ©fense a rĂ©vĂ©lĂ© documents Ă  l’appui qu’un informateur confidentiel du FBI a participĂ© pendant prĂšs de deux ans Ă  la modĂ©ration du site, tout en validant Ă  certains moments des listings soupçonnĂ©s d’ĂȘtre coupĂ©s au fentanyl. Lin a Ă©tĂ© condamnĂ© Ă  30 ans de prison pour un site ayant facilitĂ© plus de 100 M$ de ventes de stupĂ©fiants avant sa fermeture en 2024. ...

22 fĂ©vrier 2026 Â· 3 min

Un pirate dĂ©tourne l’agent Cline (propulsĂ© par Claude) via prompt injection pour installer OpenClaw

Selon The Verge (19 fĂ©v. 2026), un hacker a exploitĂ© une vulnĂ©rabilitĂ© dans Cline, un agent de codage open source utilisant Claude (Anthropic), afin de pousser l’installation automatique d’OpenClaw 🩞 sur des ordinateurs. La technique s’appuie sur une prompt injection insĂ©rĂ©e dans le workflow, dĂ©jĂ  dĂ©montrĂ©e en preuve de concept par le chercheur Adnan Khan quelques jours plus tĂŽt. DĂ©tails de l’attaque et mĂ©canisme: l’attaquant a profitĂ© du fait que le workflow de Cline acceptait des instructions malicieuses destinĂ©es Ă  Claude, le conduisant Ă  exĂ©cuter des actions non prĂ©vues, notamment l’installation automatique de logiciels. L’installateur a ciblĂ© OpenClaw (agent viral open source qui « fait rĂ©ellement des choses »), mais les agents n’ont pas Ă©tĂ© activĂ©s aprĂšs installation. ...

22 fĂ©vrier 2026 Â· 2 min

Un rootkit Linux 'Singularity' détourne Magic SysRq pour masquer des processus

Dans une publication technique, l’auteur dissĂšque le module sysrq_hook.c du rootkit LKM Singularity (ciblant Linux 6.x) et montre comment il intercepte les routines de diagnostic du noyau — Magic SysRq et le chemin OOM — pour empĂȘcher l’affichage de processus cachĂ©s directement dans le buffer de logs kernel. Le texte rappelle que Magic SysRq (par /proc/sysrq-trigger ou Alt+SysRq+<touche>) exĂ©cute des diagnostics entiĂšrement cĂŽtĂ© noyau et Ă©crit via printk() dans le ring buffer, Ă©chappant aux hooks usuels sur /proc ou getdents. Les commandes SysRq-T (Ă©tat des tĂąches) et SysRq-F (chemin OOM) produisent des listes de processus directement depuis la mĂ©moire kernel. Des rootkits LKM connus comme Kovid ou diamorphine, qui se contentent d’intercepter filldir*/getdents et parfois des lectures de dmesg, se font contourner: des PIDs « cachĂ©s » rĂ©apparaissent dans les sorties SysRq-T et OOM, car les donnĂ©es sont dĂ©jĂ  imprimĂ©es dans le ring buffer avant toute filtration en espace utilisateur. ...

22 fĂ©vrier 2026 Â· 3 min

Unit 42 publie le Global Incident Response Report 2026 : IA, identité et supply chain redessinent la menace

Source : Palo Alto Networks – Unit 42, Global Incident Response Report 2026 (fĂ©vrier 2026). Dans plus de 750 interventions IR menĂ©es en 2025, le rapport met en Ă©vidence quatre tendances majeures: l’IA comme multiplicateur de force, l’identitĂ© comme pĂ©rimĂštre effectif, l’extension du risque supply chain via connectivitĂ©s de confiance (SaaS, outils, dĂ©pendances), et l’adaptation des acteurs Ă©tatiques Ă  l’infrastructure et Ă  la virtualisation. Plus de 90% des brĂšches ont Ă©tĂ© permises par des expositions Ă©vitables (visibilitĂ© limitĂ©e, contrĂŽles inĂ©gaux, confiance d’identitĂ© excessive), et 87% des intrusions ont touchĂ© plusieurs surfaces d’attaque. ...

22 fĂ©vrier 2026 Â· 4 min

VillainNet : une vulnérabilité des SuperNets pourrait permettre le détournement de véhicules autonomes

Source : Tech Xplore (20 fĂ©vrier 2026), relayant des travaux du Georgia Institute of Technology prĂ©sentĂ©s Ă  l’ACM CCS 2025. L’article dĂ©crit une nouvelle attaque de backdoor contre les SuperNets d’IA utilisĂ©es par les vĂ©hicules autonomes, baptisĂ©e VillainNet. Les chercheurs expliquent que les SuperNets fonctionnent comme un « couteau suisse » d’IA, activant au besoin des sous-rĂ©seaux spĂ©cialisĂ©s. L’attaque empoisonne un seul de ces sous-rĂ©seaux, reste dormante tant qu’il n’est pas sollicitĂ©, puis se dĂ©clenche sous des conditions spĂ©cifiques (ex. rĂ©ponse de l’IA Ă  la pluie) đŸš—đŸŒ§ïž. Une fois activĂ©e, l’attaque est « presque certaine » de rĂ©ussir, offrant un contrĂŽle au pirate sur le vĂ©hicule. ...

22 fĂ©vrier 2026 Â· 2 min

Wiz alerte : des failles à toutes les couches de l’infrastructure IA

Source et contexte : Dark Reading (article de Robert Lemos, 20 fĂ©v. 2026) rapporte les leçons de deux annĂ©es de recherches menĂ©es par Hillai Ben Sasson et Dan Segev (Wiz) sur les failles de l’infrastructure IA, avec une prĂ©sentation prĂ©vue Ă  RSAC en mars. Leur message clĂ© : se concentrer sur les vulnĂ©rabilitĂ©s d’infrastructure plutĂŽt que sur le seul prompt injection, alors que de nouveaux services (ex. MCP) arrivent avec de nombreuses failles sous-jacentes. ...

22 fĂ©vrier 2026 Â· 3 min

Fuite de plus de 700 piĂšces d’identitĂ© d’invitĂ©s de l’Abu Dhabi Finance Week via un serveur cloud non sĂ©curisĂ©

Selon Reuters (citant le Financial Times), des scans de plus de 700 passeports et cartes d’identitĂ© liĂ©s Ă  l’Abu Dhabi Finance Week (ADFW) ont Ă©tĂ© trouvĂ©s sur un serveur de stockage cloud non protĂ©gĂ©, accessible via un simple navigateur web. ‱ 🔓 Nature de l’incident: exposition de donnĂ©es due Ă  un serveur cloud non sĂ©curisĂ© associĂ© Ă  l’ADFW, un Ă©vĂ©nement ayant rĂ©uni plus de 35 000 participants en dĂ©cembre. Les documents exposĂ©s comprenaient des scans de passeports et de cartes d’identitĂ© d’État. ...

20 fĂ©vrier 2026 Â· 2 min

Massiv : nouveau malware Android de prise de contrÎle déguisé en appli IPTV

Selon l’équipe Mobile Threat Intelligence (MTI), une nouvelle famille de malware Android baptisĂ©e « Massiv » a Ă©tĂ© observĂ©e dans des campagnes ciblĂ©es, principalement en Europe, se faisant passer pour des applications IPTV afin de prendre le contrĂŽle des appareils et mener des fraudes bancaires. ‱ Nature de la menace. Massiv est un trojan bancaire Android axĂ© Device Takeover (DTO), sans liens directs avec des menaces connues. Il combine overlays, keylogging, interception SMS/Push et un contrĂŽle Ă  distance complet de l’appareil, avec un C2 en WebSocket et opĂ©rations en screen streaming (MediaProjection) ou en mode UI-tree (traversĂ©e Accessibility pour contourner les protections anti-capture). ...

20 fĂ©vrier 2026 Â· 3 min

PromptSpy : premier malware Android exploitant l’IA gĂ©nĂ©rative (Gemini) pour se maintenir et prendre le contrĂŽle Ă  distance

ESET Research (WeLiveSecurity) publie l’analyse de PromptSpy, « premier » malware Android observĂ© Ă  intĂ©grer de l’IA gĂ©nĂ©rative dans son flux d’exĂ©cution. DĂ©couvert en fĂ©vrier 2026, il s’appuie sur Google Gemini pour guider des interactions d’interface contextuelles et maintenir la persistance, tout en dĂ©ployant un module VNC pour un accĂšs Ă  distance complet. Les Ă©chantillons semblent viser prioritairement l’Argentine et pourraient avoir Ă©tĂ© dĂ©veloppĂ©s dans un environnement sinophone. đŸ§Ș FonctionnalitĂ© IA gĂ©nĂ©rative (Gemini) đŸ€–: PromptSpy sĂ©rialise en XML l’état courant de l’UI (texte, types, packages, bounds) et l’envoie Ă  Gemini, qui renvoie des instructions JSON (taps, swipes, long press) pour exĂ©cuter le geste « verrouiller l’app dans les applications rĂ©centes » — un mĂ©canisme de persistance rĂ©sistant aux variations d’UI selon les modĂšles et versions Android. Le malware boucle jusqu’à confirmation explicite de rĂ©ussite par l’IA. ...

20 fĂ©vrier 2026 Â· 3 min
Derniùre mise à jour le: 17 juillet 2026 📝