Betterment confirme une fuite de donnĂ©es touchant 1,4 million de clients aprĂšs une attaque d’ingĂ©nierie sociale

Selon Have I Been Pwned (HIBP), en janvier 2026, la plateforme d’investissement automatisĂ©e Betterment a confirmĂ© une violation de donnĂ©es liĂ©e Ă  une attaque d’ingĂ©nierie sociale. Les clients ont reçu des messages frauduleux liĂ©s aux crypto-monnaies promettant de forts rendements en Ă©change de fonds envoyĂ©s vers un portefeuille crypto contrĂŽlĂ© par l’attaquant. 💾 DonnĂ©es exposĂ©es : 1,4 million d’adresses e-mail uniques, ainsi que des noms et des donnĂ©es de localisation gĂ©ographique. Pour un sous-ensemble d’enregistrements, des dates de naissance, numĂ©ros de tĂ©lĂ©phone et adresses postales ont Ă©galement Ă©tĂ© exposĂ©s. đŸȘȘ📧📍 ...

5 fĂ©vrier 2026 Â· 1 min

Failles critiques dans n8n permettent l’évasion de l’environnement et la prise de contrĂŽle du serveur hĂŽte

Source : BleepingComputer Date : FĂ©vrier 2026 Produit concernĂ© : n8n (plateforme open source d’automatisation de workflows) Identifiant : CVE-2026-25049 Selon BleepingComputer, plusieurs vulnĂ©rabilitĂ©s critiques affectent n8n, une plateforme open-source d’automatisation de workflows, permettant Ă  un attaquant d’échapper au confinement de l’environnement et de prendre le contrĂŽle total du serveur hĂŽte. Plusieurs vulnĂ©rabilitĂ©s critiques ont Ă©tĂ© dĂ©couvertes dans n8n, une plateforme d’automatisation de workflows trĂšs utilisĂ©e. Collectivement suivies sous CVE-2026-25049, ces failles permettent Ă  tout utilisateur authentifiĂ© capable de crĂ©er ou modifier un workflow d’échapper au sandbox et d’exĂ©cuter du code arbitraire sur le serveur hĂ©bergeant n8n. ...

5 fĂ©vrier 2026 Â· 3 min

Ivanti EPMM : deux RCE prĂ©-auth (CVE-2026-1281/1340) activement exploitĂ©es — analyse watchTowr

Source: watchTowr Labs publie une analyse technique des CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile (EPMM), notant une exploitation active par un APT et l’ajout immĂ©diat des failles Ă  la liste KEV de la CISA. ⚠ ProblĂ©matique: deux RCE prĂ©-auth activement exploitĂ©es dans Ivanti EPMM. Ivanti a diffusĂ© des RPM de mitigation temporaires (Ă  rĂ©appliquer aprĂšs changements) en attendant la version 12.8.0.0 prĂ©vue en T1 2026. Aucun binaire EPMM n’est encore « corrigĂ© »; l’approche remplace des scripts Bash par des classes Java et modifie la config Apache. ...

5 fĂ©vrier 2026 Â· 3 min

NCSC NL alerte: exploitation active de la zero‑day Ivanti EPMM (CVE‑2026‑1281), assume‑breach requis

Selon le NCSC (Pays-Bas), une mise Ă  jour de son avertissement confirme un misusage actif d’une vulnĂ©rabilitĂ© zero-day (CVE-2026-1281) affectant Ivanti Endpoint Manager Mobile (EPMM, ex‑MobileIron). L’organisme appelle toutes les entitĂ©s utilisatrices Ă  se signaler auprĂšs de lui et Ă  adopter un scĂ©nario d’assume-breach, mĂȘme si un correctif a dĂ©jĂ  Ă©tĂ© appliquĂ©. Le NCSC prĂ©cise qu’il existe deux vulnĂ©rabilitĂ©s dans EPMM, et que CVE-2026-1281 a Ă©tĂ© activement exploitĂ©e avant la publication des correctifs. Des acteurs non authentifiĂ©s peuvent rĂ©aliser une exĂ©cution de code arbitraire (RCE) sur les systĂšmes vulnĂ©rables, obtenir une persistance, voler des donnĂ©es ou prendre le contrĂŽle de l’équipement. ...

5 fĂ©vrier 2026 Â· 2 min

ShinyHunters revendique le piratage de Harvard et de l’UniversitĂ© de Pennsylvanie

Selon TechCrunch, le groupe cybercriminel prolifique ShinyHunters a revendiquĂ© le piratage de Harvard et de l’UniversitĂ© de Pennsylvanie, et a mis en ligne les donnĂ©es volĂ©es. Le groupe d’extorsion ShinyHunters affirme ĂȘtre Ă  l’origine des violations de donnĂ©es ayant touchĂ© Harvard et l’UniversitĂ© de Pennsylvanie (UPenn) en 2025, et a publiĂ© sur son site de fuite ce qu’il prĂ©sente comme plus d’un million d’enregistrements par universitĂ©. UPenn avait confirmĂ© en novembre une compromission de systĂšmes liĂ©s aux activitĂ©s “development & alumni” (collecte de fonds / relations alumni). Les attaquants auraient aussi envoyĂ© des emails aux alumni depuis des adresses officielles de l’universitĂ©. UPenn avait attribuĂ© l’incident Ă  de la social engineering. Harvard avait Ă©galement confirmĂ© une compromission en novembre, attribuĂ©e Ă  du vishing (voice phishing). Harvard indiquait que les donnĂ©es volĂ©es incluaient : emails, numĂ©ros de tĂ©lĂ©phone, adresses (domicile et pro), participation Ă  des Ă©vĂ©nements, dĂ©tails de dons, et informations biographiques liĂ©es aux activitĂ©s de fundraising/alumni. Des vĂ©rifications (Ă©chantillon) ont corroborĂ© la cohĂ©rence d’une partie des donnĂ©es (ex. recoupements avec personnes concernĂ©es / registres publics). Les attaquants expliquent publier les donnĂ©es car les universitĂ©s auraient refusĂ© de payer la rançon. Lors du cas UPenn, le message aux alumni contenait un vernis “politique” (affirmative action), mais ShinyHunters n’est pas rĂ©putĂ© pour des motivations politiques, ce qui suggĂšre une mise en scĂšne opportuniste. ...

5 fĂ©vrier 2026 Â· 3 min

Un Taïwanais condamné à 30 ans pour avoir dirigé le marché du darknet Incognito Market

Selon The Record, un ressortissant taĂŻwanais a Ă©tĂ© condamnĂ© Ă  30 ans de prison pour son rĂŽle de gestionnaire du marchĂ© du darknet Incognito Market. Points clĂ©s Arrestation : mai 2024, Ă  JFK (New York) lors d’un transit vers Singapour. Plea : plaidoyer de culpabilitĂ© en dĂ©cembre 2024 (Southern District of New York). Sanctions : 30 ans de prison 5 ans de probation/supervised release > 105 M$ de confiscation Incognito Market (selon FBI / justice) : ~1 800 vendeurs > 400 000 comptes clients ~640 000 transactions de stupĂ©fiants > 105 M$ de narcotiques Ă©coulĂ©s (ordre de grandeur) Commission du site : frais d’entrĂ©e pour les vendeurs 5% sur chaque vente Lin aurait gĂ©nĂ©rĂ© environ 6 M$ de profits ÉlĂ©ments aggravants : prĂ©sence de produits prĂ©sentĂ©s comme oxycodone (certains coupĂ©s au fentanyl) le DoJ relie la mort d’un homme de 27 ans (Arkansas) Ă  des pilules vendues via la plateforme Extorsion Ă  la fin de l’opĂ©ration : fermeture en mars 2024 vol d’au moins 1 M$ aux acheteurs menaces de divulgation d’historiques et d’adresses crypto (“YES, THIS IS AN EXTORTION!!!”) Erreur d’OPSEC : attribution facilitĂ©e car Lin a achetĂ© un nom de domaine via un wallet crypto associĂ© Ă  son identitĂ© comptes Namecheap liĂ©s Ă  un numĂ©ro taĂŻwanais, une adresse Ă  Taipei et un email nominatif rĂ©utilisation des mĂȘmes identifiants (tĂ©lĂ©phone/email) pour une demande de visa US (octobre 2023) Chronologie rapide 2022 : dĂ©but de l’enquĂȘte FBI (achats undercover) juillet 2022 : premiers mandats / opĂ©rations judiciaires aoĂ»t 2023 : nouvelles actions / mandats octobre 2023 : demande de visa US (indices recoupĂ©s par les enquĂȘteurs) mars 2024 : fermeture d’Incognito + extorsion/exit scam prĂ©sumĂ© mai 2024 : arrestation Ă  JFK dĂ©cembre 2024 : plaidoyer de culpabilitĂ© fĂ©vrier 2026 : condamnation Ă  30 ans Analyse / enseignements (cyber + criminalitĂ©) OPSEC faible : rĂ©utilisation d’identifiants personnels et traçabilitĂ© de paiements (domaines, wallets) = accĂ©lĂ©rateur d’attribution. ModĂšle “marketplace” industrialisĂ© : gestion de vendeurs, commissions, “banque” interne et automatisation (bots) = professionnalisation du narcotrafic en ligne. Évolution vers l’extorsion : fermeture accompagnĂ©e d’une pression sur les usagers (dox/crypto addresses) rappelle les logiques d’“exit scam” et de coercition. TTPs & IOCs TTPs (observĂ©s — non MITRE, niveau “crimeware/OPSEC”) Administration de marketplace clandestine (gestion vendeurs/clients/employĂ©s) Frais d’entrĂ©e + commission (5%) sur transactions Automatisation via bots pour augmenter la portĂ©e commerciale Extorsion finale : menaces de publication d’historique + adresses crypto IOCs Aucun IOC technique exploitable (hash/domaines/C2) n’est fourni dans l’extrait. L’information met en avant la fermeture/neutralisation judiciaire d’une plateforme criminelle en ligne et la rĂ©ponse des autoritĂ©s face aux activitĂ©s illicites opĂ©rĂ©es via le darknet. âš–ïžđŸš” ...

5 fĂ©vrier 2026 Â· 3 min

ANSSI publie une synthĂšse 2025 sur l’usage offensif de l’IA gĂ©nĂ©rative et le ciblage des systĂšmes d’IA

Source: ANSSI (TLP:CLEAR), synthĂšse publiĂ©e le 4 fĂ©vrier 2026. Contexte: Ă©tat des lieux de la menace en 2025 sur l’usage dual des IA gĂ©nĂ©ratives et les risques pesant sur les systĂšmes d’IA. 🔎 Constat gĂ©nĂ©ral L’ANSSI n’a pas connaissance Ă  ce jour de cyberattaques menĂ©es contre des acteurs français Ă  l’aide de l’IA, ni de systĂšmes capables d’automatiser entiĂšrement une attaque. Toutefois, l’IA gĂ©nĂ©rative sert dĂ©jĂ  de facilitateur (accĂ©lĂ©ration, volume, diversitĂ©, efficacitĂ©), surtout sur des environnements peu sĂ©curisĂ©s. 🧰 Usages observĂ©s de l’IA par les attaquants le long de la chaĂźne d’attaque ...

4 fĂ©vrier 2026 Â· 3 min

Check Point dĂ©voile Amaranth‑Dragon, espionnage ciblĂ© en ASEAN liĂ© Ă  APT‑41

Source: Check Point Research — Dans un billet de synthĂšse, le laboratoire dĂ©taille des campagnes d’espionnage menĂ©es en 2025 par un nouvel acteur, Amaranth‑Dragon, contre des institutions gouvernementales et des forces de l’ordre en Asie du Sud‑Est, avec des liens techniques et opĂ©rationnels vers l’écosystĂšme APT‑41. đŸ•”ïžâ€â™‚ïž Contexte et objectifs: Les opĂ©rations observĂ©es visaient des agences gouvernementales et de sĂ©curitĂ© dans plusieurs pays de l’ASEAN, avec un objectif clair de collecte d’intelligence gĂ©opolitique sur le long terme. Les campagnes ont Ă©tĂ© minutieusement calĂ©es sur des Ă©vĂ©nements politiques et sĂ©curitaires locaux pour maximiser l’engagement des cibles. ...

4 fĂ©vrier 2026 Â· 2 min

Chrysalis : le backdoor de Lotus Blossom distribuĂ© via l’abus de Notepad++ et un loader Warbird

Source: Rapid7 — Rapid7 Labs et l’équipe MDR publient une analyse technique d’une campagne attribuĂ©e Ă  l’APT chinois Lotus Blossom, active depuis 2009 et ciblant surtout l’Asie du Sud-Est (et rĂ©cemment l’AmĂ©rique centrale). L’enquĂȘte met au jour le backdoor sur mesure “Chrysalis”, livrĂ© via un abus de l’infrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird. ‱ ChaĂźne d’infection et loaders. L’accĂšs initial est en ligne avec l’abus public de Notepad++ (exĂ©cution de notepad++.exe puis GUP.exe avant un “update.exe” tĂ©lĂ©chargĂ© depuis 95.179.213.0). “update.exe” est un installateur NSIS plaçant dans %AppData%\Bluetooth un exĂ©cutable lĂ©gitime renommĂ© (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, dĂ©chiffrent et exĂ©cutent du shellcode via une dĂ©rivation de clĂ© (LCG + finaliseur MurmurHash-like) et rĂ©solution d’API par hash (FNV-1a + avalanche). Le shellcode dĂ©chiffre le module principal (clĂ© XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaĂźnes obfusquĂ©es et rĂ©sout les APIs en marchant le PEB. ...

4 fĂ©vrier 2026 Â· 4 min

CISA met à jour discrÚtement le flag ransomware dans la base KEV; recensement des « silent flips » en 2025

Contexte: source non prĂ©cisĂ©e; publication datĂ©e du 4 fĂ©vrier 2026. En octobre 2023, CISA a ajoutĂ© Ă  la base KEV (Known Exploited Vulnerabilities) le champ knownRansomwareCampaignUse pour aider Ă  la priorisation des vulnĂ©rabilitĂ©s. L’auteur rappelle que s’appuyer sur KEV est dĂ©jĂ  un indicateur retardĂ©, et attendre en plus le flag ransomware l’est encore davantage, mĂȘme si les Ă©quipes ont parfois besoin de preuves solides pour agir. CISA ne se contente pas d’annoter les nouvelles entrĂ©es : l’agence met Ă  jour silencieusement des fiches existantes. Lorsque le champ passe de « Unknown » Ă  « Known », CISA indique disposer de preuves d’usage par des opĂ©rateurs de ransomware — un changement matĂ©riel de posture de risque qui devrait modifier la priorisation. ...

4 fĂ©vrier 2026 Â· 1 min
Derniùre mise à jour le: 18 juillet 2026 📝