IV par défaut dans aes-js/pyaes : réutilisation clé/IV à grande échelle et correctif dans strongMan (strongSwan)

Selon Trail of Bits (blog), dans une analyse publiĂ©e en fĂ©vrier 2026, deux bibliothĂšques populaires, aes-js (JavaScript) et pyaes (Python), exposent leurs utilisateurs Ă  des failles cryptographiques en fournissant un IV par dĂ©faut en mode AES-CTR, ce qui a entraĂźnĂ© des vulnĂ©rabilitĂ©s dans de nombreux projets en aval, dont strongMan (outil de gestion pour strongSwan), qui a Ă©tĂ© corrigĂ©. ProblĂšme central: IV par dĂ©faut (0x00000000_00000000_00000000_00000001) en AES-CTR dans aes-js et pyaes, avec des exemples de documentation omettant l’IV. Cela favorise la rĂ©utilisation clĂ©/IV, permettant la rĂ©cupĂ©ration de l’XOR des textes en clair et rendant le chiffrement trĂšs fragile (rĂ©cupĂ©ration de masques et secrets en chaĂźne). ...

19 fĂ©vrier 2026 Â· 3 min

Keenaduxa0: un backdoor Android intégré au firmware relie plusieurs botnets majeurs

Source : Kaspersky (Securelist) — Dans une publication de recherche, les analystes dĂ©taillent « Keenadu », un nouveau backdoor Android intĂ©grĂ© Ă  la chaĂźne d’approvisionnement du firmware, capable de s’injecter dans tous les processus via Zygote et d’offrir un contrĂŽle quasi illimitĂ© des appareils infectĂ©s. L’étude couvre l’architecture, les charges utiles, les vecteurs de distribution (firmware, apps systĂšme et stores), et des liens avec d’autres botnets Android majeurs. ‱ Vecteur et mĂ©canisme d’infection. Keenadu est intĂ©grĂ© durant la phase de build du firmware via une bibliothĂšque statique malveillante liĂ©e Ă  libandroid_runtime.so, parfois livrĂ©e via mises Ă  jour OTA signĂ©es. À l’exĂ©cution, il s’injecte dans Zygote et opĂšre dans chaque application, rendant le sandboxing caduc. Il implĂ©mente une architecture client-serveur binder (AKClient/AKServer) au sein de system_server, avec des interfaces permettant de donner/rĂ©voquer des permissions, de collecter la gĂ©olocalisation et d’exfiltrer des donnĂ©es de l’appareil. Un kill switch est prĂ©sent (fichiers spĂ©cifiques, dĂ©tection langue/zone chinoises, absence de Google Play/Services). Les communications et charges sont chiffrĂ©es (RC4/AES‑CFB, signature DSA, MD5) et chargĂ©es via DexClassLoader. ...

19 fĂ©vrier 2026 Â· 4 min

L’UE veut durcir sa cybersĂ©curitĂ©: rĂ©vision du Cybersecurity Act et retrait des fournisseurs Ă  haut risque

Selon The Record from Recorded Future News, lors de la Munich Cyber Security Conference, la vice‑prĂ©sidente exĂ©cutive de la Commission europĂ©enne Henna Virkkunen a averti que l’UE ne peut plus ĂȘtre « naĂŻve » face Ă  la capacitĂ© d’adversaires de couper des infrastructures critiques et a appelĂ© Ă  des rĂšgles plus strictes et davantage d’investissements. Virkkunen a soulignĂ© que les cyberattaques sont devenues un outil central des conflits modernes, souvent coordonnĂ©es avec sabotage physique, dĂ©sinformation et pressions Ă©conomiques. Des secteurs comme les rĂ©seaux Ă©lectriques, hĂŽpitaux, systĂšmes financiers, satellites et rĂ©seaux de commandement militaires sont profondĂ©ment dĂ©pendants du numĂ©rique et donc plus exposĂ©s. « Il n’y a pas de sĂ©curitĂ© sans cybersĂ©curitĂ© », a-t-elle martelĂ©. đŸ›ĄïžâšĄđŸ„đŸ›°ïž ...

19 fĂ©vrier 2026 Â· 2 min

Le chef de la DĂ©fense nĂ©erlandaise affirme qu’un F‑35 peut ĂȘtre « jailbreakĂ© » comme un iPhone

Selon The Register, le secrĂ©taire Ă  la DĂ©fense des Pays-Bas, Gijs Tuinman, a dĂ©clarĂ© dans un podcast que l’on peut « jailbreak » un F‑35 « comme un iPhone », en rĂ©ponse Ă  une question sur la capacitĂ© des forces europĂ©ennes Ă  modifier le logiciel de l’appareil sans l’autorisation des États‑Unis si ceux‑ci se retiraient en tant qu’alliĂ©. Tuinman affirme que le F‑35 est un « produit vĂ©ritablement partagĂ© » entre partenaires et soutient que, mĂȘme sans mises Ă  jour, l’avion resterait supĂ©rieur Ă  d’autres chasseurs. Il suggĂšre que les forces europĂ©ennes opĂ©rant dĂ©jĂ  des F‑35 pourraient entretenir le logiciel de leurs appareils, avec ou sans l’aide de Lockheed Martin. ...

19 fĂ©vrier 2026 Â· 2 min

Le Parlement europĂ©en coupe les fonctions d’IA des tablettes des eurodĂ©putĂ©s pour raisons de sĂ©curitĂ©

Selon Euractiv FR, un courriel adressĂ© le lundi 16 fĂ©vrier aux dĂ©putĂ©s europĂ©ens annonce la dĂ©sactivation des fonctionnalitĂ©s d’IA sur les tablettes institutionnelles mises Ă  leur disposition, en raison de prĂ©occupations de cybersĂ©curitĂ© et de protection des donnĂ©es. đŸ›Ąïž La mesure concerne les appareils fournis par le Parlement europĂ©en aux Ă©lus, avec pour motif explicite la rĂ©duction des risques liĂ©s Ă  l’exposition des donnĂ©es et Ă  la sĂ©curitĂ© des systĂšmes. ...

19 fĂ©vrier 2026 Â· 1 min

Livingston HealthCare met hors ligne certains systÚmes aprÚs un incident potentiel de cybersécurité

Selon un communiquĂ© de Livingston HealthCare, l’organisation fait face Ă  une perturbation des systĂšmes tĂ©lĂ©phoniques et du rĂ©seau en raison d’un incident potentiel de cybersĂ©curitĂ©. L’établissement indique avoir mis temporairement hors ligne certains systĂšmes par mesure de prĂ©caution afin d’évaluer la situation. Une enquĂȘte est en cours, conduite avec des experts appropriĂ©s pour assurer la sĂ©curitĂ© et l’intĂ©gritĂ© des systĂšmes. Les prioritĂ©s mises en avant sont la protection des informations des patients et le maintien d’une prise en charge sĂ»re. ...

19 fĂ©vrier 2026 Â· 1 min

Une cyberattaque perturbe les systÚmes d'information et de réservation de la Deutsche Bahn

đŸ‡©đŸ‡Ș Cyberattaque DDoS contre la Deutsche Bahn : perturbations de DB Navigator et bahn.de Source : watson.ch (18.02.2026, maj 19.02.2026) + confirmations Reuters / nau.ch Contexte : Les systĂšmes d’information voyageurs et de rĂ©servation de la Deutsche Bahn (DB) ont subi des perturbations temporaires liĂ©es Ă  une attaque DDoS. La DB indique que les systĂšmes sont revenus en ligne aprĂšs des mesures d’attĂ©nuation, sans attribuer publiquement l’attaque. :contentReference[oaicite:0]{index=0} RĂ©sumĂ© Impact : indisponibilitĂ©s / lenteurs sur DB Navigator et bahn.de, empĂȘchant temporairement des recherches d’itinĂ©raires et achats de billets. :contentReference[oaicite:1]{index=1} Chronologie : premiĂšres perturbations signalĂ©es mardi (avant rĂ©tablissement), avec retour de problĂšmes le mercredi matin selon les rĂ©cits presse ; la DB indique que les services ont finalement Ă©tĂ© rĂ©tablis pour tous les clients. :contentReference[oaicite:2]{index=2} Cause : attaque par dĂ©ni de service distribuĂ© (DDoS) (surcharge de requĂȘtes, typiquement via un parc d’hĂŽtes compromis). :contentReference[oaicite:3]{index=3} Attribution : aucune information sur les auteurs communiquĂ©e par la DB Ă  ce stade. :contentReference[oaicite:4]{index=4} 🧠 TTPs (tactiques, techniques et procĂ©dures) observĂ©es / probables TA0040 – Impact DDoS (saturation de services web/app) visant la dĂ©gradation ou indisponibilitĂ© des services. T1498 – Network Denial of Service (DDoS) Envoi massif de trafic/requĂȘtes depuis un ensemble de machines (souvent botnet) pour faire tomber ou ralentir des services publics en ligne. Remarque : aucun dĂ©tail public n’a Ă©tĂ© fourni sur le type exact (volumĂ©trique, applicatif L7, multi-vectoriel), la durĂ©e, ou les vecteurs rĂ©seau. ...

19 fĂ©vrier 2026 Â· 2 min

0APT : une campagne de bluff mais un ransomware Rust réellement opérationnel (analyse Cyderes)

Selon Cyderes – Howler Cell Threat Research Team (publiĂ© le 16 fĂ©vrier 2026), 0APT est un ransomware Ă©crit en Rust apparu avec une campagne de bluff revendiquant plus de 200 victimes, mais sans preuves vĂ©rifiables; l’équipe a nĂ©anmoins confirmĂ© l’existence d’une plateforme RaaS fonctionnelle et de charges malveillantes opĂ©rationnelles. Cyderes souligne des doutes sur la crĂ©dibilitĂ© des fuites: un site onion listait de nombreuses victimes avant de disparaĂźtre, la section « leaks » du panneau RaaS propose des archives prĂ©tendument volumineuses qui ne se tĂ©lĂ©chargent pas, et aucune capture de donnĂ©es compromises n’est fournie. Les annonces massives et rapides (≈200 victimes) sans artefacts contredisent les pratiques des groupes de rançongiciels matures, renforçant l’hypothĂšse d’une campagne de bluff destinĂ©e Ă  impressionner. ...

18 fĂ©vrier 2026 Â· 3 min

Zero‑day critique sur Dell RecoverPoint for VMs (CVE-2026-22769) exploitĂ©e par UNC6201 avec le backdoor GRIMBOLT

Selon Google Cloud Blog (Google Threat Intelligence et Mandiant), un cluster UNC6201, soupçonnĂ© d’ĂȘtre liĂ© Ă  la RPC, exploite depuis au moins mi‑2024 une vulnĂ©rabilitĂ© critique zero‑day (CVE-2026-22769, CVSS 10.0) affectant Dell RecoverPoint for Virtual Machines, dĂ©ployant les malwares BRICKSTORM, SLAYSTYLE et un nouveau backdoor nommĂ© GRIMBOLT. Contexte et acteurs: L’activitĂ©, attribuĂ©e Ă  UNC6201 (avec chevauchements observĂ©s avec UNC5221/Silk Typhoon sans Ă©quivalence confirmĂ©e), vise des appliances en pĂ©riphĂ©rie. Mandiant/GTIG documentent un basculement de BRICKSTORM vers GRIMBOLT Ă  partir de septembre 2025, suggĂ©rant une Ă©volution de l’outillage. ...

18 fĂ©vrier 2026 Â· 3 min

Analyse de « RustyRocket » : l’outil d’exfiltration multi‑couches de WorldLeaks

Selon Accenture Cybersecurity, WorldLeaks — issu du rebranding de Hunters International en 2025 — a adoptĂ© une stratĂ©gie d’extorsion centrĂ©e sur la fuite de donnĂ©es plutĂŽt que le chiffrement ransomware, s’appuyant sur un outil personnalisĂ© d’exfiltration/proxy nommĂ© RustyRocket. Contexte et menace. WorldLeaks se concentre sur le vol de donnĂ©es sensibles et la menace de publication pour extorquer, ciblant divers secteurs avec un accent sur l’AmĂ©rique du Nord. Cette approche contourne l’efficacitĂ© croissante des sauvegardes et outils de dĂ©chiffrement : une fois les donnĂ©es exfiltrĂ©es, il n’existe aucune remĂ©diation technique Ă©quivalente. ...

16 fĂ©vrier 2026 Â· 3 min
Derniùre mise à jour le: 17 juillet 2026 📝