🗓️ Contexte Source : The Register — Publié le 15 mai 2026. Cisco a publié un avis de sécurité d’urgence concernant une vulnérabilité de sévérité maximale affectant ses produits Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage). 🔴 Vulnérabilité CVE-2026-20182 — Score CVSS : 10.0 (critique) Affecte tous les types de déploiement des deux composants Cause : mécanisme d’authentification par peering défaillant Permet à un attaquant non authentifié à distance de contourner l’authentification et d’obtenir des privilèges administrateur sur le système affecté Une fois authentifié, l’attaquant peut émettre des commandes NETCONF arbitraires, permettant : vol de données, interception de trafic, manipulation des règles de pare-feu, mise hors service du réseau 🕵️ Découverte et exploitation Vulnérabilité découverte par Stephen Fewer et Jonah Burgess de Rapid7, signalée début mars 2026 Cisco a confirmé en mai 2026 que CVE-2026-20182 avait été exploitée en zero-day Aucune attribution de l’activité d’exploitation n’a été communiquée Aucune exploitation dans le cadre d’attaques ransomware n’a été signalée La découverte fait suite à l’investigation d’un précédent zero-day : CVE-2026-20127 (CVSS 10.0, février 2026), également un contournement d’authentification dans Cisco Catalyst SD-WAN Controller 🏛️ Réponse institutionnelle La CISA a ajouté CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities (KEV) Les agences fédérales civiles (FCEB) ont 3 jours pour appliquer les correctifs — délai exceptionnellement court Cisco indique qu’aucun contournement (workaround) n’est disponible et recommande fortement l’application des correctifs 🔍 Indicateurs de compromission Cisco recommande d’auditer le fichier /var/log/auth.log pour détecter des entrées du type : ...

🗓️ Contexte Source : Keystone-ATS / swissinfo.ch, publié le 15 mai 2026. L’information a été confirmée par la responsable de la communication de l’IFAGE (Fondation pour la formation des adultes à Genève), en écho à une publication de la Tribune de Genève. 🔍 Déroulement de l’incident L’attaque s’est produite les 11 et 12 avril 2026 et a été détectée le 13 avril 2026. L’activité de l’institution a pu continuer à fonctionner durant l’incident. Aucune rançon n’a été demandée. ...

🗞️ Contexte Article de presse publié le 15 mai 2026 par CNN (Sean Lyngaas), basé sur des sources gouvernementales américaines briefées sur l’activité. L’article s’inscrit dans le contexte de la guerre entre les États-Unis/Israël et l’Iran, débutée fin février 2026. 🎯 Nature de l’attaque Des hackers, suspectés d’être iraniens, ont compromis des systèmes de jauges automatiques de réservoirs (ATG — Automatic Tank Gauge) dans des stations-service réparties dans plusieurs États américains. Ces systèmes étaient accessibles en ligne sans protection par mot de passe, constituant une vulnérabilité d’exposition directe sur Internet. ...

🔍 Contexte Publié le 14 mai 2026 par Sublime Threat Intelligence and Research (STIR), cet article documente une campagne de phishing détectée en avril 2026 combinant deux outils distincts : KrakVM (machine virtuelle JavaScript open-source) et FlowerStorm (kit PhaaS actif depuis mi-2024). 🎯 Campagne et ciblage La campagne, dont l’activité remonte à mi-mars 2026, a ciblé plusieurs secteurs : Gouvernement local Logistique Commerce de détail Communications Immobilier Les emails de phishing sont courts, parfois sans corps de message, avec des sujets ou noms de pièces jointes HTML imitant des notifications de messagerie vocale, crédits fournisseurs ou factures impayées. Les noms de domaine malveillants utilisent des combinaisons de mots anglais imitant des entreprises légitimes, une caractéristique déjà documentée pour FlowerStorm. ...

🔍 Contexte Le 19 mai 2026, Microsoft Threat Intelligence publie une analyse détaillée sur Fox Tempest, un acteur cybercriminel à motivation financière opérant un service de signature de malwares à la demande (Malware Signing-as-a-Service, MSaaS). En mai 2026, la Digital Crimes Unit (DCU) de Microsoft, avec le soutien de partenaires industriels, a procédé au démantèlement de l’infrastructure de ce service. 🎯 Rôle et impact de Fox Tempest Fox Tempest ne cible pas directement des victimes mais fournit une infrastructure de support à d’autres groupes cybercriminels. Microsoft suit cet acteur depuis septembre 2025. Les groupes ayant utilisé ses services incluent : ...

🗓️ Contexte Source : DataBreachToday (euroinfosec), publié le 11 mai 2026. L’article rapporte une fuite de données affectant le groupe ransomware-as-a-service ‘The Gentlemen’, apparu mi-2025, dont les communications internes ont été exfiltrées et publiées sur le forum cybercriminel Breached. 🔓 Incident de fuite Le 4 mai 2026, un utilisateur du forum Breached a mis en vente les données volées pour 10 000 dollars en bitcoin. Le vendredi suivant, les données ont été publiées gratuitement via un lien MediaFire. Le contenu comprend : ...

🏆 Contexte Source : BleepingComputer, publié le 18 mai 2026. La compétition Pwn2Own Berlin 2026 s’est tenue du 14 au 16 mai 2026 dans le cadre de la conférence OffensiveCon, organisée par la Zero Day Initiative (ZDI) de TrendMicro. Elle ciblait les technologies d’entreprise et l’intelligence artificielle. 💰 Résultats globaux 47 zero-days exploités au total 1,298,250 $ de récompenses distribuées Jour 1 : 523,000 $ pour 24 zero-days Jour 2 : 385,750 $ pour 15 zero-days Jour 3 : 389,500 $ pour 8 zero-days 🥇 Classement DEVCORE — 50,5 points, 505,000 $ (1er) STARLabs SG — 25 points, 242,500 $ Out Of Bounds — 12,75 points, 95,750 $ 🔓 Exploits notables Orange Tsai (DEVCORE) : 200,000 $ pour une chaîne de 3 bugs permettant une RCE avec privilèges SYSTEM sur Microsoft Exchange ; 175,000 $ supplémentaires pour un sandbox escape sur Microsoft Edge via 4 bugs logiques Valentina Palmiotti (IBM X-Force) : 70,000 $ pour un root sur Red Hat Linux for Workstations et un zero-day NVIDIA Container Toolkit Windows 11 : hacké à plusieurs reprises (LPE) Red Hat Enterprise Linux for Workstations : compromis plusieurs fois VMware ESXi : exploité via un bug de corruption mémoire Agents de codage IA : zero-days démontrés le jour 2 Microsoft SharePoint et Microsoft Exchange : ciblés par DEVCORE 📋 Catégories ciblées Navigateurs web, applications d’entreprise, élévation de privilèges locale, serveurs, inférence locale, environnements cloud-native/conteneurs, virtualisation, LLM ⏳ Divulgation responsable Conformément aux règles ZDI, les vendeurs disposent de 90 jours pour publier des correctifs avant la divulgation publique des vulnérabilités. ...

🎯 Contexte Publié le 15 mai 2026 par Guardsix (anciennement Logpoint), cet article constitue une analyse de menace approfondie sur le groupe ransomware Qilin, initialement connu sous le nom Agenda lors de son émergence en mi-2022. 🕵️ Profil du groupe Qilin est un groupe cybercriminel basé en Russie opérant sous un modèle Ransomware-as-a-Service (RaaS). Les opérateurs développent et maintiennent la plateforme tandis que des affiliés conduisent les intrusions en échange d’un pourcentage des rançons. Le groupe a connu une montée en puissance significative en 2023, s’accélérant en 2024 et 2025. ...

🔍 Contexte Publié le 18 mai 2026 par la Microsoft Defender Security Research Team, cet article constitue un rapport d’incident détaillé analysant une campagne sophistiquée menée par le groupe Storm-2949. L’attaque a ciblé une organisation non nommée dont l’infrastructure repose massivement sur les services cloud Microsoft (Microsoft 365, Azure). 🎯 Vecteur d’accès initial L’accès initial a été obtenu via ingénierie sociale ciblée combinée à un abus du processus SSPR (Self-Service Password Reset) de Microsoft Entra ID. Le groupe a : ...

🗓️ Contexte Source : BleepingComputer, publié le 14 mai 2026. L’article rapporte une tentative d’extorsion par le groupe cybercriminel TeamPCP à l’encontre de Mistral AI, société française spécialisée dans les grands modèles de langage (LLM). 🎯 Incident L’attaque s’inscrit dans le cadre de l’opération Mini Shai-Hulud, une attaque de la chaîne d’approvisionnement logicielle qui a débuté par la compromission de packages officiels de TanStack et Mistral AI via des identifiants CI/CD volés et des workflows légitimes détournés. ...