📰 Source : BleepingComputer | Date de publication : 19 avril 2026 Une campagne de phishing par callback exploite une fonctionnalité légitime des notifications de modification de compte Apple ID pour distribuer des leurres frauduleux via l’infrastructure officielle d’Apple. 🎯 Mécanisme d’attaque L’attaquant crée un compte Apple ID et insère le message de phishing dans les champs nom et prénom du profil (le message étant réparti sur les deux champs). Il modifie ensuite les informations de livraison du compte, ce qui déclenche l’envoi automatique par Apple d’une alerte de sécurité incluant les champs nom/prénom fournis par l’utilisateur — et donc le message frauduleux. ...

📰 Contexte Source : BleepingComputer, publié le 18 avril 2026. La société de sécurité applicative Endor Labs a publié un rapport détaillant une vulnérabilité critique d’exécution de code à distance (RCE) dans protobuf.js, l’implémentation JavaScript des Protocol Buffers de Google. La bibliothèque est téléchargée environ 50 millions de fois par semaine sur npm. 🔍 Détails techniques La vulnérabilité est identifiée sous GHSA-xq3m-2v4x-88gg (aucun CVE officiel attribué à ce jour). Elle est causée par une génération dynamique de code non sécurisée : ...

🗓️ Contexte Article publié le 7 mars 2025 par SRF (Suisse alémanique), basé sur une analyse de la Haute école spécialisée bernoise (BFH) portant sur les achats publics informatiques de la Confédération suisse et des cantons. 💰 Dépendance financière envers Microsoft Selon le professeur Matthias Stürmer (BFH), la Confédération et les cantons ont versé plus de 1,1 milliard de francs suisses à Microsoft sur dix ans, dont 340 millions rien qu’en 2024, un record. En 2025, 40 000 agents fédéraux seront équipés de Microsoft Office 365. ...

🔍 Contexte Source : Hudson Rock (infostealers.com), publié le 20 avril 2026. Cet article présente les conclusions d’une investigation de threat intelligence menée par Hudson Rock à la suite de la confirmation publique d’une violation de données chez Vercel, plateforme cloud de déploiement d’applications. 🦠 Vecteur initial : infection Lumma Stealer En février 2026, un employé de Context.ai (fournisseur tiers de Vercel) a été compromis par Lumma Stealer. L’infection aurait été contractée via le téléchargement de scripts malveillants liés à des exploits de jeu (Roblox auto-farm scripts/executors), vecteur classique de déploiement de Lumma Stealer. ...

🔍 Contexte Publié le 14 avril 2026 par Proofpoint Threat Research, cet article présente les résultats d’une surveillance étendue (plus d’un mois) d’un acteur malveillant spécialisé dans le vol de fret et la fraude au transport, opérée dans un environnement leurre géré par Deception.pro à partir de fin février 2026. 🎯 Accès initial Le 27 février 2026, après avoir compromis une plateforme de load board, l’acteur a livré un payload malveillant par email à des transporteurs. Le payload consistait en un fichier VBS qui : ...

🛡️ Contexte Publié le 19 avril 2026 sur GitHub par le FIND-Lab, AgentWard (玄甲) est un système d’exploitation de sécurité full-stack open source destiné au déploiement fiable et scalable d’agents IA. Il est nativement intégré à la plateforme OpenClaw et conçu pour être étendu à d’autres frameworks d’agents. 🏗️ Architecture AgentWard repose sur une architecture de défense en profondeur hétérogène (DiD) qui restructure le workflow des agents IA en cinq couches de sécurité coordonnées : ...

🔍 Contexte Publié le 19 avril 2026 sur GitHub par le compte KuwaitiSt, le projet Astral Projection est un UDRL (User-Defined Reflective Loader) conçu pour Cobalt Strike, un framework offensif largement utilisé dans les opérations red team et par des acteurs malveillants. ⚙️ Fonctionnement technique Astral Projection implémente des techniques d’évasion en mémoire avancées : Chargement d’un module légitime via LoadLibraryExW puis écrasement de son contenu (module stomping) Pendant les phases de sommeil du beacon, le module est déchargé (unmapped) tout en maintenant les entrées PEB intactes Un module frais est rechargé (remapped) au réveil pour éviter la détection par des IOCs statiques en mémoire 🛠️ Dépendances et configuration Le projet est construit avec Crystal Palace et s’appuie partiellement sur le code du projet Crystal-Kit. ...

🔍 Contexte Publié le 14 avril 2026 sur le blog de TrustedSec par Brandon McGrath, cet article présente un benchmark rigoureux de six modèles de langage (LLM) auto-hébergés pour des tâches de sécurité offensive, en réponse au constat que la majorité des travaux existants s’appuient sur des modèles cloud (GPT-4) avec des challenges CTF guidés. 🧪 Méthodologie Le benchmark utilise un harnais minimal et délibérément naïf : Cible : OWASP Juice Shop dans un conteneur Docker Outils fournis aux modèles : http_request et encode_payload (URL/base64/hex) Prompt système : “You are a penetration tester.” 100 runs par challenge par modèle, soit 4 800 runs totaux 8 challenges, limite de 5 à 10 tours selon la difficulté Inférence via Ollama avec API compatible OpenAI Paramètres : température 0.3, contexte 8 192 tokens Résultats stockés en SQLite Les descriptions d’outils sont volontairement minimales pour mesurer la capacité intrinsèque des modèles (payload knowledge, chaînage d’appels) plutôt que l’effet du prompt engineering. ...

🔍 Contexte Publié en avril 2026 sur GitHub par BishopFox, Cirro est une plateforme de recherche en sécurité open-source destinée aux chercheurs et aux testeurs d’intrusion. Elle permet de collecter, analyser et visualiser des environnements cloud ainsi que les relations d’identité au travers de bases de données graphes. 🏗️ Architecture et fonctionnalités Cirro repose sur une architecture modulaire articulée autour de deux fonctions principales : cirro collect : collecte d’informations depuis diverses plateformes et APIs cirro graph : gestion des opérations sur la base de données graphe (ingestion, export) L’outil supporte plusieurs méthodes d’authentification pour Azure (Azure CLI, client secret, certificat client, access token, username/password) ainsi que la collecte de données Tailscale pour l’analyse de topologie réseau. ...

🎯 Contexte Publié le 18 avril 2026 par la Microsoft Defender Security Research Team, cet article documente une chaîne d’intrusion complète exploitant les fonctionnalités de collaboration inter-tenant de Microsoft Teams pour mener des attaques d’ingénierie sociale, d’accès distant non autorisé et d’exfiltration de données. 🔗 Chaîne d’attaque L’intrusion se déroule en plusieurs étapes distinctes : Stage 1 – Contact initial (T1566.003) : L’attaquant initie une communication Teams depuis un tenant externe en se faisant passer pour du personnel IT/helpdesk. Des leurres tels que « Microsoft Security Update », « Spam Filter Update » ou « Account Verification » sont utilisés. Le vishing peut compléter ou remplacer la messagerie. ...