Source: TechCrunch (Lorenzo Franceschi-Bicchierai), 16 janvier 2026. Un nouveau document judiciaire détaille les intrusions de Nicholas Moore, 24 ans, qui a plaidé coupable après avoir piraté plusieurs systèmes gouvernementaux américains et publié des données de victimes sur Instagram. Selon le dépôt, Moore a accédé à l’U.S. Supreme Court (système électronique de dépôt de documents), au réseau d’AmeriCorps et aux systèmes du Department of Veterans Affairs en utilisant des identifiants volés d’utilisateurs autorisés. Il a ensuite exfiltré et divulgué des données personnelles. Pour la Cour suprême (victime « GS »), il a publié le nom et les « enregistrements de dépôts électroniques actuels et passés ». Pour AmeriCorps (victime « SM »), il a fanfaronné avoir accès aux serveurs et a publié des informations très sensibles: nom, date de naissance, email, adresse, téléphone, statut de citoyenneté, statut de vétéran, historique de service et les quatre derniers chiffres du SSN. Pour les Veterans Affairs (victime « HW »), il a partagé une capture d’écran d’un compte MyHealtheVet montrant des informations de santé identifiables et des médications prescrites. Il encourt une peine maximale d’un an de prison et 100 000 $ d’amende. ...

Selon Check Point Research, VoidLink est un framework malware « cloud-first » pour Linux, repéré en décembre 2025, en cours d’évolution rapide et attribué à des développeurs affiliés à la Chine (affiliation exacte incertaine). Les échantillons observés contiennent des artefacts de développement, une architecture modulaire ambitieuse et une documentation suggérant un usage commercial potentiel, sans preuve d’infections en conditions réelles à la date de publication. • Vue d’ensemble 🐧☁️: VoidLink est un implant écrit en Zig, pensé pour les environnements modernes (AWS, GCP, Azure, Alibaba, Tencent) et capable de détecter Docker/Kubernetes pour adapter son comportement. Il collecte des métadonnées cloud, profile le système/hyperviseur et cible aussi des éléments tels que les identifiants de dépôt Git, indiquant un intérêt possible pour les postes d’ingénieurs et la chaîne d’approvisionnement. Objectif principal: accès furtif et durable, surveillance et exfiltration de données. ...

Contexte: annonce institutionnelle de l’ANSSI en collaboration avec Glimps (16 janvier 2026). ANSSI, avec la start-up bretonne Glimps, propose “JeCliqueOuPas” (JCOP), un service d’analyse automatisé de fichiers conçu pour détecter des fichiers malveillants. La plateforme permet aux agents publics de soumettre un fichier et d’obtenir un diagnostic sur son caractère malveillant, avec la garantie que les données ne sont pas réutilisées par des tiers. D’après la Dinum, le service traite environ 80 000 fichiers par jour. ...

Selon Malwarebytes, Apple a corrigé le 12 décembre 2025 deux vulnérabilités zero‑day dans WebKit, déjà exploitées dans la nature et associées à un spyware mercenaire, et oriente désormais les utilisateurs d’iPhone 11 et plus récents vers iOS 26+, seule branche bénéficiant des correctifs et de nouvelles protections mémoire. • Portée et impact: WebKit alimente Safari et de nombreuses applications iOS, ce qui en fait une large surface d’attaque. Les failles permettaient l’exécution de code arbitraire via du contenu web malveillant, avec un risque qui s’étend au simple affichage d’e‑mails HTML dans Apple Mail. Apple confirme une exploitation active de ces vulnérabilités. ...

Selon The Register, des chercheurs de Wiz ont dévoilé “CodeBreach”, une vulnérabilité de chaîne d’approvisionnement dans AWS CodeBuild due à des regex non ancrées dans les filtres de webhooks (ACTOR_ID), permettant de contourner les protections sur les pull requests non fiables. AWS a corrigé en septembre après divulgation en août et déclare qu’aucun environnement client ou service AWS n’a été impacté. Nature du problème: regex ACTOR_ID non ancrées (manque des caractères ^ et $) dans des projets CodeBuild publics connectés à GitHub. Cela autorisait des bypass de l’allowlist des mainteneurs si l’ID GitHub de l’attaquant contenait (superstring) l’ID autorisé. Wiz qualifie l’ensemble de “CodeBreach” et estime que l’impact potentiel aurait pu être “plus grave que SolarWinds”, touchant jusqu’au SDK JavaScript AWS utilisé par 66 % des environnements cloud, y compris la Console AWS. ...

Source : Eaton, 14 janvier 2026 — Dans un billet de recherche, Eaton détaille la découverte et la divulgation de vulnérabilités critiques dans BLUVOYIX, la plateforme SaaS de logistique maritime de Bluspark Global, utilisée par environ 500 entreprises. Ces failles permettaient une prise de contrôle complète de la plateforme, l’accès à toutes les données et expéditions (certaines depuis 2007) et même l’annulation de shipments. Les problèmes étaient corrigés à la date de publication. 🚢 ...

Source: Check Point Research (CPR) – Analyse publiée sur le blog de recherche de Check Point. CPR documente « Sicarii », une opération de ransomware-as-a-service (RaaS) observée depuis fin 2025, qui revendique une identité israélienne/juive tout en opérant surtout en russe et en anglais, et n’ayant à ce jour publié qu’une victime revendiquée. 🔎 Contexte et identité: Sicarii affiche une imagerie et des références idéologiques israéliennes (hébreu, symboles historiques, références à des groupes extrémistes) et affirme une motivation à la fois financière et idéologique (incitations contre des cibles arabes/musulmanes). CPR relève toutefois des incohérences linguistiques (hébreu non natif, erreurs de traduction), une activité souterraine principalement en russe, et un comportement qui suggère une manipulation d’identité ou un signalement performatif plutôt qu’une affiliation authentique. ...

Selon une publication PromptArmor, une démonstration détaille comment des attaquants peuvent exfiltrer des fichiers depuis Claude Cowork (recherche preview) en exploitant une vulnérabilité d’isolation reconnue mais non corrigée dans l’environnement d’exécution de code, initialement signalée par Johann Rehberger. Anthropic a averti que Cowork comporte des risques spécifiques liés à son caractère agentique et à son accès Internet. Principale découverte: l’attaque contourne les restrictions réseau du VM de Claude grâce à l’allowlisting de l’API Anthropic, permettant une exfiltration de données vers le compte de l’attaquant sans intervention humaine. Le scénario s’appuie sur une injection de prompt indirecte dissimulée dans un fichier que l’utilisateur charge dans Cowork. ...

Source: CNIL — Le 14 janvier 2026, la Commission Nationale de l’Informatique et des Libertés annonce deux décisions de sanction à l’encontre de Free Mobile et Free, à la suite d’une violation de données d’octobre 2024 ayant exposé des informations relatives à 24 millions de contrats d’abonnés. 🔐 Constat principal: un attaquant s’est infiltré dans les SI des deux sociétés et a accédé à des données personnelles. Des IBAN ont été compromis lorsque les personnes étaient clientes à la fois de Free Mobile et de Free. La CNIL relève des manquements à l’Article 32 du RGPD: authentification VPN insuffisamment robuste (notamment pour le télétravail) et détection inefficace des comportements anormaux. Les mesures de sécurité n’étaient pas adaptées au volume et à la nature des données. Les sociétés ont engagé des renforcements en cours de procédure; la CNIL leur enjoint de finaliser ces mesures sous 3 mois. ...

Source: CyberArk Labs — Dans un billet de recherche publié le 15 janvier 2026, les chercheurs décrivent l’exploitation d’une vulnérabilité XSS dans le panneau web de l’infostealer StealC (MaaS) qui leur a permis d’observer les opérateurs, de détourner leurs sessions via cookies non protégés et de documenter une campagne active liée à YouTube. — Contexte et vulnérabilité — • StealC, vendu en modèle MaaS depuis 2023, a connu une fuite de son panneau web au printemps 2025, peu après le passage à StealC v2, suivie d’un teardown critique de TRAC Labs. • Les chercheurs de CyberArk ont trouvé une XSS « simple » dans le panneau et, en l’exploitant, ont pu récupérer des cookies de session (absence de HttpOnly) et prendre le contrôle de sessions opérateurs — ironique pour une opération dédiée au vol de cookies 🍪. ...