📰 Source : ICTjournal.ch — Article publié le 15 mai 2026, par Yannick Chavanne, relayant un article de la Tribune de Genève. 🎯 Contexte de l’incident La Fondation genevoise pour la formation des adultes (Ifage) a été victime d’une cyberattaque survenue les 11 et 12 avril 2026, détectée le 13 avril 2026. L’incident a conduit à une exfiltration non autorisée de données RH concernant le personnel actuel et ancien de l’organisation. ...

🔍 Contexte Publié le 14 mai 2026 par l’équipe Research Special Operations (RSO) de Tenable, cet article de type FAQ documente l’exploitation active et continue de cinq vulnérabilités critiques dans Cisco Catalyst SD-WAN Controller et Manager, ainsi qu’une sixième vulnérabilité plus ancienne utilisée pour l’élévation de privilèges. 📅 Chronologie des divulgations 25 février 2026 : Cisco divulgue CVE-2026-20127 (CVSS 10.0, authentication bypass, déjà exploitée) et trois autres CVEs (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122). CISA ajoute CVE-2026-20127 et CVE-2022-20775 au catalogue KEV. Mars 2026 : Exploitation de CVE-2026-20128 et CVE-2026-20122 confirmée. ZeroZenX Labs publie un PoC pour la chaîne CVE-2026-20133/20128/20122. Avril 2026 : Exploitation de CVE-2026-20133 confirmée. CISA ajoute CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 au KEV. 14 mai 2026 : Cisco divulgue CVE-2026-20182 (CVSS 10.0, zero-day, authentication bypass). CISA émet la Directive d’urgence 26-03 et ajoute CVE-2026-20182 au KEV avec échéance de remédiation au 17 mai 2026. 🛡️ Vulnérabilités impliquées CVE Description CVSS CVE-2026-20182 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20127 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20133 Information Disclosure (Manager) 7.5 CVE-2026-20128 Credential Access (Manager) 7.5 CVE-2026-20122 Arbitrary File Overwrite (Manager) 5.4 CVE-2022-20775 CLI Path Traversal / Privilege Escalation 7.8 🎯 Acteur principal : UAT-8616 UAT-8616, désigné par Cisco Talos comme un acteur de menace « hautement sophistiqué », exploite les infrastructures Cisco SD-WAN depuis au moins 2023. Son infrastructure présente des chevauchements avec des réseaux Operational Relay Box (ORB). Il cible des secteurs d’infrastructure critique. ...

📅 Source : GBHackers Security | Date de publication : 11 mai 2026 Contexte Une campagne malveillante a été identifiée exploitant un faux site de téléchargement de l’IA Claude (Anthropic) pour distribuer un malware. Les attaquants ont enregistré le domaine claude-pro[.]com, imitant visuellement le site légitime d’Anthropic, afin de tromper les victimes. Mécanisme d’attaque La chaîne d’infection repose sur plusieurs composants : 🎯 Malvertising : vecteur initial pour diriger les victimes vers le faux site 📦 Installateur trojanisé : faux installateur Claude distribué via le site frauduleux 🔗 DLL sideloading style PlugX : technique d’exécution furtive utilisant des composants de logiciels de sécurité signés légitimement 🚪 Backdoor “Beagle” : nouveau backdoor Windows déployé en charge finale, permettant persistance et contrôle à distance Caractéristiques notables La campagne combine malvertising, ingénierie sociale (usurpation d’identité d’un outil IA populaire), et l’abus de binaires signés pour contourner les défenses. Le recours à des composants légitimes de logiciels de sécurité pour le sideloading vise à échapper à la détection. ...

📰 Source : Wired | Date de publication : 12 mai 2026 Un groupe de ransomware non nommé revendique une attaque contre Foxconn, géant mondial de la fabrication électronique, affirmant avoir exfiltré 8 téraoctets de données, dont des schémas techniques et des détails de projets appartenant à des clients majeurs tels que Dell, Google, Apple et Nvidia. 🏭 Foxconn a reconnu publiquement que certaines de ses usines nord-américaines ont subi une cyberattaque dans les jours précédant la publication de l’article. La société indique que les usines affectées reprennent progressivement leur production normale après des interruptions. ...

📅 Source : Unit 42 (Palo Alto Networks), publié le 15 mai 2026. Analyse technique d’une nouvelle variante du malware Gremlin Stealer, un infostealer vendu sur des forums clandestins. 🧩 Contexte Gremlin Stealer est un infostealer ciblant les navigateurs web, le presse-papiers, les portefeuilles de cryptomonnaies, les identifiants FTP/VPN, les cookies de session et les tokens Discord. La nouvelle variante identifiée exfiltre les données vers un nouveau panneau web à l’adresse http://194.87.92.109. ...

🔍 Contexte Source : BleepingComputer, publié le 11 mai 2026. Checkmarx, société spécialisée en sécurité applicative, a alerté le week-end du 10-11 mai 2026 de la publication d’une version malveillante de son plugin Jenkins AST sur le Jenkins Marketplace. Il s’agit du troisième incident d’une série d’attaques supply-chain subies par Checkmarx depuis fin mars 2026. 🎯 Déroulement de l’attaque Le groupe TeamPCP a obtenu des credentials d’accès aux dépôts GitHub de Checkmarx lors d’une attaque antérieure sur le scanner de vulnérabilités Trivy en mars 2026. Ces credentials n’ayant pas été révoqués, les attaquants ont maintenu un accès pendant au moins un mois. ...

🔍 Contexte Publié le 13 mai 2026 par Zhenpeng (Leo) Lin, chercheur chez DepthFirst AI, cet article présente les résultats d’une analyse autonome du code source de NGINX ayant conduit à la découverte de 4 vulnérabilités de corruption mémoire, dont une critique permettant une RCE non authentifiée. 🐛 Vulnérabilité principale : CVE-2026-42945 Type : Heap buffer overflow dans ngx_http_rewrite_module CVSS : 9.2 (Critique) Introduite en : 2008 (NGINX 0.6.27) Versions affectées : NGINX Open Source 0.6.27 à 1.30.0, NGINX Plus R32-R36, NGINX Instance Manager, F5 WAF, NGINX App Protect WAF, NGINX Gateway Fabric, NGINX Ingress Controller Condition de déclenchement : Utilisation conjointe des directives rewrite (avec ?) et set dans la configuration NGINX ⚙️ Cause racine Le moteur de script NGINX utilise un processus en deux passes (calcul de longueur puis copie). Le flag e->is_args est positionné à 1 lors du traitement d’une directive rewrite contenant un ?, mais n’est jamais réinitialisé. Lors de la passe de calcul de longueur pour une directive set suivante, un sous-moteur le initialisé à zéro ignore l’échappement URI. Lors de la passe de copie, le moteur principal avec is_args=1 applique ngx_escape_uri, expandant chaque caractère spécial de 1 à 3 octets, dépassant le buffer alloué. ...

🔍 Contexte Publié le 15 mai 2026 par Truesec sur leur blog Threat Insight, cet article décrit une tentative de phishing observée sur un client, exploitant le mécanisme d’authentification Device Code Flow de Microsoft pour détourner des sessions utilisateur. 🎣 Déroulement de l’attaque L’attaque se déroule en plusieurs étapes : La victime reçoit un email de phishing prétendant qu’un expéditeur souhaite partager un document. Un bouton « Open » redirige vers un site malveillant imitant une page légitime. Le site demande à l’utilisateur de copier un code de vérification et de le coller sur la page Microsoft Device Auth (microsoft.com/devicelogin). En cliquant sur « Continue to Microsoft », la victime est redirigée vers une vraie page Microsoft où elle saisit le code et s’authentifie. Ce faisant, la victime autorise involontairement une session contrôlée par l’attaquant, qui obtient un accès complet au compte Entra ID de la victime. ⚙️ Mécanisme technique Le Device Code Authentication Flow est un mécanisme OAuth légitime conçu pour les appareils sans navigateur (ex : Microsoft Teams Room). L’attaquant initie lui-même le flux, génère un code, puis manipule la victime pour qu’elle l’entre sur la page officielle Microsoft — transférant ainsi le token d’accès à l’attaquant sans que la page finale soit frauduleuse. ...

🔍 Contexte Publié le 15 mai 2026 sur GitHub par le compte 0xdeadbeefnetwork, le dépôt ssh-keysign-pwn met à disposition un proof-of-concept (PoC) fonctionnel exploitant une vulnérabilité du noyau Linux. Le bug a été rapporté par Qualys et corrigé par Linus Torvalds le 2026-05-14 (commit 31e62c2ebbfd). Jann Horn avait identifié la forme de vol de descripteur de fichier dès octobre 2020, soit six ans avant le correctif. 🐛 Vulnérabilité exploitée La faille réside dans __ptrace_may_access() : lorsque task->mm == NULL, la vérification dumpable est ignorée. Durant do_exit(), exit_mm() s’exécute avant exit_files(), créant une fenêtre temporelle où le processus n’a plus de mm mais conserve ses descripteurs de fichiers ouverts. pidfd_getfd(2) réussit dans cette fenêtre si l’UID de l’appelant correspond à celui de la cible. ...

🗓️ Contexte Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur anonyme se faisant appeler “Chaotic Eclipse” ou “Nightmare Eclipse”, qui affirme avoir été lésé personnellement par Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass BitLocker L’exploit nommé “Yellow Key” permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque requiert : Brancher une clé USB contenant l’exploit sur la machine cible Redémarrer dans l’environnement de récupération Windows (WinRE) Entrer une combinaison de touches spécifique Un shell avec accès non restreint au volume chiffré est alors obtenu Le chercheur suspecte que le composant vulnérable a été intentionnellement planté dans l’environnement de récupération, car il est présent dans une installation Windows normale mais sans les fonctionnalités déclenchant le bypass. Les systèmes affectés sont Windows 11, Windows Server 2022 et Windows Server 2025 (Windows 10 non concerné). L’exploit est disponible publiquement sur GitHub et a été confirmé fonctionnel par le chercheur KevTheHermit. ...