Apple corrige deux zero‑days WebKit exploitĂ©s : mise Ă  jour iOS 26.2 vivement recommandĂ©e

Selon Malwarebytes, Apple a corrigĂ© le 12 dĂ©cembre 2025 deux vulnĂ©rabilitĂ©s zero‑day dans WebKit, dĂ©jĂ  exploitĂ©es dans la nature et associĂ©es Ă  un spyware mercenaire, et oriente dĂ©sormais les utilisateurs d’iPhone 11 et plus rĂ©cents vers iOS 26+, seule branche bĂ©nĂ©ficiant des correctifs et de nouvelles protections mĂ©moire. ‱ PortĂ©e et impact: WebKit alimente Safari et de nombreuses applications iOS, ce qui en fait une large surface d’attaque. Les failles permettaient l’exĂ©cution de code arbitraire via du contenu web malveillant, avec un risque qui s’étend au simple affichage d’e‑mails HTML dans Apple Mail. Apple confirme une exploitation active de ces vulnĂ©rabilitĂ©s. ...

16 janvier 2026 Â· 2 min

AWS CodeBuild: une mauvaise config (CodeBreach) permettait de contourner les protections et de prendre la main sur des dépÎts GitHub

Selon The Register, des chercheurs de Wiz ont dĂ©voilĂ© “CodeBreach”, une vulnĂ©rabilitĂ© de chaĂźne d’approvisionnement dans AWS CodeBuild due Ă  des regex non ancrĂ©es dans les filtres de webhooks (ACTOR_ID), permettant de contourner les protections sur les pull requests non fiables. AWS a corrigĂ© en septembre aprĂšs divulgation en aoĂ»t et dĂ©clare qu’aucun environnement client ou service AWS n’a Ă©tĂ© impactĂ©. Nature du problĂšme: regex ACTOR_ID non ancrĂ©es (manque des caractĂšres ^ et $) dans des projets CodeBuild publics connectĂ©s Ă  GitHub. Cela autorisait des bypass de l’allowlist des mainteneurs si l’ID GitHub de l’attaquant contenait (superstring) l’ID autorisĂ©. Wiz qualifie l’ensemble de “CodeBreach” et estime que l’impact potentiel aurait pu ĂȘtre “plus grave que SolarWinds”, touchant jusqu’au SDK JavaScript AWS utilisĂ© par 66 % des environnements cloud, y compris la Console AWS. ...

16 janvier 2026 Â· 3 min

BLUVOYIX (Bluspark Global) : cinq failles critiques permettaient la prise de contrĂŽle totale de la plateforme

Source : Eaton, 14 janvier 2026 — Dans un billet de recherche, Eaton dĂ©taille la dĂ©couverte et la divulgation de vulnĂ©rabilitĂ©s critiques dans BLUVOYIX, la plateforme SaaS de logistique maritime de Bluspark Global, utilisĂ©e par environ 500 entreprises. Ces failles permettaient une prise de contrĂŽle complĂšte de la plateforme, l’accĂšs Ă  toutes les donnĂ©es et expĂ©ditions (certaines depuis 2007) et mĂȘme l’annulation de shipments. Les problĂšmes Ă©taient corrigĂ©s Ă  la date de publication. 🚱 ...

16 janvier 2026 Â· 3 min

Check Point dĂ©voile Sicarii, un nouveau RaaS Ă  l’imagerie israĂ©lienne et aux TTPs atypiques

Source: Check Point Research (CPR) – Analyse publiĂ©e sur le blog de recherche de Check Point. CPR documente « Sicarii », une opĂ©ration de ransomware-as-a-service (RaaS) observĂ©e depuis fin 2025, qui revendique une identitĂ© israĂ©lienne/juive tout en opĂ©rant surtout en russe et en anglais, et n’ayant Ă  ce jour publiĂ© qu’une victime revendiquĂ©e. 🔎 Contexte et identitĂ©: Sicarii affiche une imagerie et des rĂ©fĂ©rences idĂ©ologiques israĂ©liennes (hĂ©breu, symboles historiques, rĂ©fĂ©rences Ă  des groupes extrĂ©mistes) et affirme une motivation Ă  la fois financiĂšre et idĂ©ologique (incitations contre des cibles arabes/musulmanes). CPR relĂšve toutefois des incohĂ©rences linguistiques (hĂ©breu non natif, erreurs de traduction), une activitĂ© souterraine principalement en russe, et un comportement qui suggĂšre une manipulation d’identitĂ© ou un signalement performatif plutĂŽt qu’une affiliation authentique. ...

16 janvier 2026 Â· 3 min

Claude Cowork vulnĂ©rable Ă  l’exfiltration de fichiers via injection indirecte

Selon une publication PromptArmor, une dĂ©monstration dĂ©taille comment des attaquants peuvent exfiltrer des fichiers depuis Claude Cowork (recherche preview) en exploitant une vulnĂ©rabilitĂ© d’isolation reconnue mais non corrigĂ©e dans l’environnement d’exĂ©cution de code, initialement signalĂ©e par Johann Rehberger. Anthropic a averti que Cowork comporte des risques spĂ©cifiques liĂ©s Ă  son caractĂšre agentique et Ă  son accĂšs Internet. Principale dĂ©couverte: l’attaque contourne les restrictions rĂ©seau du VM de Claude grĂące Ă  l’allowlisting de l’API Anthropic, permettant une exfiltration de donnĂ©es vers le compte de l’attaquant sans intervention humaine. Le scĂ©nario s’appuie sur une injection de prompt indirecte dissimulĂ©e dans un fichier que l’utilisateur charge dans Cowork. ...

16 janvier 2026 Â· 2 min

Dark patterns et donnĂ©es d’enfants: l’UX devient un risque fiduciaire et rĂ©glementaire pour les CISOs

Selon un article d’analyse publiĂ© le 13 janvier 2026 par Maryam Shoraka, les rĂ©gulateurs requalifient les dĂ©cisions d’UX liĂ©es aux enfants en responsabilitĂ© fiduciaire, transformant les risques de sĂ©curitĂ© et de conformitĂ© pour les CISOs. Les autoritĂ©s relient dĂ©sormais la conception d’interfaces et de paramĂštres par dĂ©faut, les pratiques de collecte/monĂ©tisation et la gouvernance des risques. L’Inde (DPDP Act) Ă©rige tout acteur en « data fiduciary » avec des devoirs renforcĂ©s pour les enfants, l’UE/UK (GDPR, Children’s Code) et le DSA ciblent les designs manipulatoires, tandis que des lois d’États amĂ©ricains Ă©voluent en ce sens. En Australie, l’Online Safety Act 2021, la future Children’s Online Privacy Code (OAIC, d’ici dĂ©c. 2026) et des rĂ©formes sur les pratiques commerciales dĂ©loyales convergent vers une approche hybride privacy+safety+consommateur. ...

16 janvier 2026 Â· 3 min

DeadLock utilise des smart contracts Polygon (EtherHiding) pour ses communications C2 et négociations

Selon Information Security Media Group (ISMG), le groupe ransomware DeadLock, actif depuis juillet 2025, emploie des smart contracts sur Polygon pour des fonctions de commande et contrĂŽle et pour faciliter les Ă©changes de rançon via la messagerie chiffrĂ©e Session. ‱ Vecteur et communications: DeadLock adopte EtherHiding pour intĂ©grer des instructions malveillantes dans des smart contracts. Le groupe ne dispose pas de site de fuite et attribue Ă  chaque victime un Session ID pour nĂ©gocier via Session (E2E). Le premier binaire de ransomware connu, en C++ ciblant Windows, a Ă©tĂ© compilĂ© en juillet 2025. ...

16 janvier 2026 Â· 3 min

Des liens proxy Telegram dissimulĂ©s peuvent rĂ©vĂ©ler l’IP en un clic

BleepingComputer rapporte qu’une dĂ©monstration de chercheurs rĂ©vĂšle qu’un simple clic sur un lien proxy Telegram (t.me/proxy) dĂ©guisĂ© peut exposer l’adresse IP rĂ©elle d’un utilisateur, en raison d’un test de connexion automatique effectuĂ© par les clients Android et iOS. Le comportement en cause: l’ouverture d’un lien proxy Telegram (t.me/proxy?server=
&port=
&secret=
) dĂ©clenche sur mobile un test de connexion automatique vers le serveur indiquĂ©, avant mĂȘme l’ajout du proxy et sans confirmation supplĂ©mentaire. Cette requĂȘte part directement depuis l’appareil et peut contourner les proxys dĂ©jĂ  configurĂ©s, permettant Ă  l’opĂ©rateur du proxy de journaliser l’IP rĂ©elle de l’utilisateur. ...

16 janvier 2026 Â· 2 min

Jamf révÚle des techniques anti-analyse inédites dans le spyware iOS Predator

Source: Jamf Threat Labs (blog Jamf). Contexte: publication du 14 janvier 2026 prĂ©sentant des dĂ©couvertes originales issues de l’ingĂ©nierie inverse d’un Ă©chantillon de Predator, en complĂ©ment des travaux de Google Threat Intelligence Group (GTIG) de 2024. Jamf expose une architecture de surveillance anti-analyse centrĂ©e sur la classe C++ CSWatcherSpawner::CSWatcherSpawner et sa fonction check_perform(), avec un systĂšme de codes d’erreur (301–311) qui envoie au C2 un diagnostic prĂ©cis avant auto-nettoyage. Plusieurs codes sont mis en Ă©vidence (p. ex. 311 pour multi‑instances, 309 pour restriction gĂ©ographique, 310 pour console active, 304 pour outils de sĂ©curitĂ©), tandis que 302, 303, 305, 306 sont absents dans cet Ă©chantillon. ...

16 janvier 2026 Â· 3 min

Lumen/Black Lotus Labs perturbe les botnets DDoS Aisuru et Kimwolf en neutralisant 550+ serveurs C2

Selon Black Lotus Labs (Lumen Technologies), l’opĂ©rateur a observĂ© fin 2025 une croissance fulgurante du botnet Aisuru (jusqu’à >11 Tbps), puis l’apparition d’un nouveau botnet Kimwolf, alimentĂ© par l’exploitation de services de proxy rĂ©sidentiel. Lumen dĂ©crit ses actions de disruption (null-routing) ayant permis de neutraliser plus de 550 serveurs C2. — Contexte et montĂ©e en puissance — En septembre 2025, Aisuru passe d’environ 50 000 Ă  200 000 bots/jour, corrĂ©lĂ© Ă  des attaques records (>11 Tbps). Un backend C2 d’Aisuru (65.108.5[.]46) agit comme entonnoir de trafic depuis les C2 confirmĂ©s. Des connexions SSH depuis des IP canadiennes vers 194.46.59[.]169 (proxy-sdk.14emeliaterracewestroxburyma02132[.]su) suggĂšrent une interface de contrĂŽle. Le backend adopte ensuite le domaine client.14emeliaterracewestroxburyma02132[.]su. — Bifurcation vers Kimwolf — ...

16 janvier 2026 Â· 3 min
Derniùre mise à jour le: 6 juillet 2026 📝