📅 Source et contexte : Analyse publiée le 4 mai 2026 par la Microsoft Defender Security Research Team et Microsoft Threat Intelligence, documentant une campagne de phishing à grande échelle observée entre le 14 et le 16 avril 2026. 🎯 Portée de la campagne : La campagne a ciblé plus de 35 000 utilisateurs répartis dans plus de 13 000 organisations dans 26 pays, avec une concentration majoritaire aux États-Unis (92%). Les secteurs les plus touchés sont : ...

🔍 Contexte Publié le 6 mai 2026 par Omid Mirzaei sur le blog Cisco Talos, cet article présente une analyse de threat intelligence portant sur l’utilisation, la réutilisation et le clustering de numéros de téléphone comme indicateurs de compromission (IOC) dans les campagnes de scam par email. La période d’observation couvre du 26 février au 31 mars 2026. 📞 Infrastructure VoIP exploitée Les attaquants privilégient les numéros VoIP en raison de leur facilité d’acquisition via API, leur coût réduit et la difficulté de traçabilité. Six des dix plus grandes campagnes détectées reposaient sur une infrastructure VoIP. ...

🔍 Contexte Cisco Talos a publié le 5 mai 2026 une analyse technique détaillée d’une intrusion découverte via télémétrie, active depuis au moins janvier 2026. Un attaquant inconnu a déployé un RAT modulaire nommé CloudZ ainsi qu’un plugin inédit baptisé Pheno, dans le but de voler des identifiants et potentiellement des mots de passe à usage unique (OTP). 🎯 Vecteur d’accès initial et chaîne d’infection Le vecteur d’accès initial est inconnu. La chaîne d’infection observée est la suivante : ...

🗂️ Contexte Dragos a publié le 6 mai 2026 un rapport d’intelligence sur une compromission observée entre décembre 2025 et février 2026, ciblant plusieurs organisations gouvernementales mexicaines, dont Servicios de Agua y Drenaje de Monterrey (SADM), la régie municipale des eaux de Monterrey. L’investigation a été initiée par Gambit Security, qui a contacté Dragos pour l’analyse des composantes OT de l’intrusion. 🎯 Nature de l’attaque Un adversaire inconnu a exploité des outils d’IA commerciaux — principalement Anthropic Claude et OpenAI GPT — pour accélérer et automatiser l’ensemble du cycle d’intrusion : ...

🔍 Contexte Le 6 mai 2026, Palo Alto Networks a publié un avis de sécurité concernant CVE-2026-0300, une vulnérabilité critique de type buffer overflow (CWE-787) affectant les appliances firewall PA-Series et VM-Series sous PAN-OS. L’information a été relayée et analysée par Rapid7 le même jour. 🎯 Vulnérabilité Type : Buffer overflow non authentifié (CWE-787) Score CVSSv4 : 9.3 (critique) Composant affecté : User-ID™ Authentication Portal (aussi appelé Captive Portal), fonctionnalité non activée par défaut Vecteur d’attaque : Un attaquant distant non authentifié peut envoyer des paquets spécialement forgés vers un dispositif exposant le portail d’authentification, aboutissant à une exécution de code arbitraire avec les privilèges root Prérequis : Aucune authentification ni interaction utilisateur requise Périmètre non affecté : Prisma Access, Cloud NGFW, Panorama 📦 Versions affectées PAN-OS 12.1 : < 12.1.4-h5 / < 12.1.7 PAN-OS 11.2 : < 11.2.4-h17 / < 11.2.7-h13 / < 11.2.10-h6 / < 11.2.12 PAN-OS 11.1 : < 11.1.4-h33 / < 11.1.6-h32 / < 11.1.7-h6 / < 11.1.10-h25 / < 11.1.13-h5 / < 11.1.15 PAN-OS 10.2 : < 10.2.7-h34 / < 10.2.10-h36 / < 10.2.13-h21 / < 10.2.16-h7 / < 10.2.18-h6 ⚠️ Exploitation active Palo Alto Networks a confirmé une exploitation limitée dans la nature, ciblant des portails d’authentification exposés à des adresses IP non fiables ou à l’internet public. Shodan identifie environ 225 000 instances PAN-OS exposées sur internet, représentant une surface d’attaque significative. ...

🔍 Contexte Bishop Fox a publié le 6 mai 2026 une analyse technique détaillée de CVE-2026-42208, une vulnérabilité d’injection SQL pré-authentification affectant BerriAI LiteLLM Proxy dans les versions 1.81.16 à 1.83.6. La découverte originale est créditée au Tencent YunDing Security Lab (advisory GHSA-r75f-5x8p-qvmc, publié le 25 avril 2026). Le correctif v1.83.7 a été publié le 18 avril 2026. 🎯 Produit et surface d’attaque LiteLLM est un proxy Python open-source exposant une API compatible OpenAI devant plus de 100 fournisseurs de modèles LLM. Il gère les clés virtuelles, le budget, le routage et le rate limiting, avec un backend PostgreSQL via le client Prisma. ...

🔍 Contexte Publié le 5 mai 2026 sur Securelist (Kaspersky), cet article de threat intelligence documente une attaque de type supply chain visant le logiciel DAEMON Tools, utilisé pour monter des images disque. La compromission a été identifiée début mai 2026 et remonte au 8 avril 2026. 🎯 Nature de l’attaque Les installeurs officiels de DAEMON Tools (versions 12.5.0.2421 à 12.5.0.2434), distribués depuis le site légitime d’AVB Disc Soft et signés numériquement par le développeur, ont été trojanisés. Trois binaires ont été compromis : ...

🗓️ Contexte Article publié le 27 mars 2026 par Emir Beganović (Staff SRE chez Booking.com), en marge du KubeCon EU 2026. L’auteur dresse un panorama complet de l’écosystème microVM, des CVEs d’évasion de containers récentes, et de l’émergence des sandboxes pour agents IA. 🔐 Problème fondamental : les containers ne sont pas une frontière de sécurité Les containers Linux (namespaces + cgroups) partagent le même noyau hôte. Toute exploitation du noyau (~40 millions de lignes de C, 450+ syscalls) permet une évasion vers l’hôte. La citation clé de Marina Moore (Edera) au KubeCon EU 2026 : “Containers are not a security boundary. They are a mechanism to control resource usage.” ...

📰 Contexte Article de presse généraliste publié le 30 avril 2026 sur watson.ch, basé sur un reportage de la RTS (émission A Bon Entendeur). Il dresse un état des lieux de l’explosion des usurpations d’identité en ligne en Suisse. 📈 Ampleur du phénomène En deux ans, les cas recensés d’usurpation d’identité en ligne en Suisse sont passés de 478 à 8102, soit une multiplication par près de 17. Les victimes se retrouvent avec des factures pour des achats non effectués, parfois sur de longues périodes. ...

🗓️ Contexte Publié le 3 mai 2026 sur BleepingComputer par Lawrence Abrams, cet article couvre deux événements liés : un faux positif massif de Microsoft Defender sur des certificats DigiCert légitimes, et la compromission réelle de l’autorité de certification DigiCert ayant conduit à l’émission frauduleuse de certificats EV de signature de code. 🚨 Faux positifs Microsoft Defender Depuis le 30 avril 2026, une mise à jour de signatures Defender (antérieure à la version 1.449.430.0) a commencé à détecter des certificats racine DigiCert légitimes présents dans le Windows trust store comme Trojan:Win32/Cerdigent.A!dha. ...