Des hackers chinois espionnent l'ambassade cubaine Ă  Washington via des failles Microsoft Exchange

đŸ—“ïž Contexte Article publiĂ© le 29 avril 2026 par Bloomberg (Patrick Howell O’Neill), basĂ© sur les conclusions de la firme de cybersĂ©curitĂ© Gambit Security. L’opĂ©ration s’inscrit dans un contexte gĂ©opolitique tendu : blocus naval amĂ©ricain de Cuba, raid amĂ©ricain au Venezuela, et dĂ©cision de l’administration Trump de suspendre les livraisons de pĂ©trole Ă  Cuba. 🎯 Cible et impact Les attaquants ont compromis l’ambassade cubaine Ă  Washington, DC, accĂ©dant aux boĂźtes mail de 68 officiels, dont : ...

3 mai 2026 Â· 2 min

Guide conjoint CISA/NSA/NCSC : sécuriser les systÚmes d'IA agentique

🌐 Contexte PubliĂ© le 1 mai 2026 sur le site de la CISA, ce document est une guidance conjointe co-rĂ©digĂ©e par l’ASD/ACSC (Australie), la CISA et la NSA (États-Unis), le Centre canadien pour la cybersĂ©curitĂ©, le NCSC-NZ (Nouvelle-ZĂ©lande) et le NCSC-UK (Royaume-Uni). Il s’adresse aux gouvernements, opĂ©rateurs d’infrastructures critiques et acteurs industriels qui conçoivent, dĂ©veloppent, dĂ©ploient ou opĂšrent des systĂšmes d’IA agentique basĂ©s sur des LLM. đŸ€– DĂ©finition et pĂ©rimĂštre Les systĂšmes d’IA agentique se distinguent de l’IA gĂ©nĂ©rative classique par leur capacitĂ© Ă  agir de maniĂšre autonome, Ă  planifier sur le long terme, Ă  atteindre des objectifs sous-spĂ©cifiĂ©s et Ă  crĂ©er des sous-agents. Ils intĂšgrent des LLM, des outils externes, des sources de donnĂ©es, des mĂ©moires et des workflows de planification. ...

3 mai 2026 Â· 3 min

Le NCSC UK alerte sur une vague imminente de correctifs liée à la dette technique amplifiée par l'IA

đŸ›ïž Contexte PubliĂ© le 1er mai 2026 sur le blog officiel du NCSC (National Cyber Security Centre, Royaume-Uni), ce billet est signĂ© par Ollie Whitehouse, CTO du NCSC. Il s’inscrit dans une sĂ©rie de publications sur les capacitĂ©s offensives de l’IA et la rĂ©silience cyber. ⚠ Menace identifiĂ©e Le NCSC constate que l’intelligence artificielle, utilisĂ©e par des individus suffisamment qualifiĂ©s, est dĂ©sormais capable d’exploiter la dette technique Ă  grande Ă©chelle et Ă  grande vitesse dans l’ensemble de l’écosystĂšme technologique. Cette dette technique — accumulĂ©e dans les logiciels open source, commerciaux, propriĂ©taires et SaaS — constitue une surface d’attaque latente massive. ...

3 mai 2026 Â· 2 min

Neo23x0 Auditd : configuration de référence pour la surveillance Linux activement maintenue

🔍 Contexte Source : dĂ©pĂŽt GitHub public Neo23x0/auditd, publiĂ© le 3 mai 2026. Il s’agit d’un projet open source sous licence Apache-2.0, activement maintenu, avec 1 800 Ă©toiles et 302 forks. đŸ› ïž Description du projet Le projet fournit une configuration auditd de rĂ©fĂ©rence (best-practice) pour les distributions Linux majeures. L’objectif est de collecter une tĂ©lĂ©mĂ©trie de sĂ©curitĂ© large et rĂ©utilisable, sans intĂ©grer la logique de dĂ©tection directement dans les rĂšgles auditd. ...

3 mai 2026 Â· 2 min

PHP 8.5.5 : UAF 21 ans dans unserialize() exploité en RCE local et distant

🔍 Contexte PubliĂ© le 2 mai 2026 sur le blog de Calif (blog.calif.io), cet article technique dĂ©taille la dĂ©couverte et l’exploitation d’une vulnĂ©rabilitĂ© use-after-free (UAF) dans la fonction unserialize() de PHP, prĂ©sente depuis PHP 5.1 (2005) et toujours exploitable dans PHP 8.5.5. La dĂ©couverte s’inscrit dans le cadre du projet MAD Bugs (Month of AI-Discovered Bugs), combinant modĂšles d’IA (Claude) et expertise humaine. 🐛 La vulnĂ©rabilitĂ© Le bug rĂ©side dans zend_user_unserialize() (fichier Zend/zend_interfaces.c), le point de dispatch pour Serializable::unserialize(). Contrairement Ă  tous les autres points de dispatch utilisateur (__wakeup, __unserialize, __destruct), cette fonction omet d’incrĂ©menter BG(serialize_lock), ce qui permet Ă  un appel rĂ©cursif Ă  unserialize() de partager le var_hash externe. ...

3 mai 2026 Â· 3 min

Surveillance des journalistes : cartographie technique mondiale des outils, tactiques et menaces

🌐 Contexte PubliĂ© en mars 2026 par la FĂ©dĂ©ration Internationale des Journalistes (IFJ), ce rapport technique a Ă©tĂ© rĂ©digĂ© par Samar Al Halal (ingĂ©nieure en sĂ©curitĂ© numĂ©rique) et rĂ©visĂ© par Lukasz Olejnik. Il s’appuie sur des entretiens conduits entre aoĂ»t et septembre 2025 avec neuf experts en cybersĂ©curitĂ©, analystes forensiques et journalistes, ainsi que sur plus de 70 sources secondaires couvrant la pĂ©riode 2021-2025. 🎯 PĂ©rimĂštre et mĂ©thodologie L’étude couvre 10 pays principaux (Inde, Pakistan, Kenya, Italie, Serbie, BrĂ©sil, Mexique, El Salvador, Liban, Jordanie) et des insights techniques sur IsraĂ«l/Palestine et Russie/BiĂ©lorussie. Elle documente quatre couches techniques de surveillance : ...

3 mai 2026 Â· 6 min

Attaques sur la chaĂźne d'approvisionnement IA : abus de Hugging Face et ClawHub pour distribuer des malwares

🔍 Contexte PubliĂ© le 30 avril 2026 par l’Acronis Threat Research Unit (TRU), ce rapport documente des campagnes actives d’abus des plateformes de distribution IA Hugging Face et ClawHub (Ă©cosystĂšme OpenClaw) pour la livraison de malwares dĂ©guisĂ©s en modĂšles, datasets et extensions lĂ©gitimes. 🎯 Vecteurs d’attaque principaux ClawHub / OpenClaw 575 skills malveillants identifiĂ©s, distribuĂ©s par 13 comptes dĂ©veloppeurs Deux acteurs principaux : hightower6eu (334 skills, 58%) et sakaen736jih (199 skills, 35%) Ciblage cross-platform : Windows et macOS Technique clĂ© : indirect prompt injection — des instructions malveillantes cachĂ©es dans des fichiers SKILL.md ou README poussent les agents IA Ă  exĂ©cuter des actions malveillantes Les skills instruisent les utilisateurs Ă  tĂ©lĂ©charger des archives protĂ©gĂ©es par mot de passe et des binaires non vĂ©rifiĂ©s depuis GitHub Hugging Face UtilisĂ© comme infrastructure de staging dans des chaĂźnes d’infection multi-Ă©tapes Campagne ITHKRPAW : ciblage du secteur financier et d’entitĂ©s au Vietnam, usage de Cloudflare Workers pour dĂ©ployer un script PowerShell dropper, payload omni-agent-v4.exe dĂ©guisĂ© en microsoft-update-assist.exe Campagne FAKESECURITY : script batch CDC1.bat avec blob PowerShell encodĂ©, dropper multi-Ă©tapes avec injection de processus dans explorer.exe, payload final dĂ©guisĂ© en Windows Defender đŸ› ïž Techniques observĂ©es Social engineering via des noms de dĂ©pĂŽts attractifs et README bien rĂ©digĂ©s Obfuscation : encodage base64, XOR (clĂ© 30 octets, clĂ© 0xF1), chaĂźnes dĂ©chiffrĂ©es Ă  l’exĂ©cution In-memory execution et process injection dans explorer.exe Persistence : tĂąches planifiĂ©es (WindowsSystemService, RuntimeBrokerService), clĂ©s Run registry Évasion : exclusions Windows Defender, suppression Zone.Identifier (Mark-of-the-Web), mutex C2 chiffrĂ© : canal AES-CBC sur HTTPS vers velvet-parrot.com:443 Dead-drop resolver via bot Telegram (t.me/dusty_vintage) Payload macOS : script shell tĂ©lĂ©chargĂ© depuis IP 91.92.242.30, suppression des attributs Ă©tendus (xattr -c) 🩠 Payloads identifiĂ©s AMOS Stealer : infostealer macOS vendu en MaaS via Telegram Trojan (binaire Windows packĂ© avec VMProtect) Cryptominer : dĂ©posĂ© comme svchost.exe / RuntimeBroker.exe Loader : ClawHub-DependencyInstaller.exe avec dĂ©chiffrement AES-CBC en mĂ©moire RATs, infostealers, loaders divers sur Hugging Face (Windows, Linux, Android) 📌 Type d’article Il s’agit d’une publication de recherche technique produite par Acronis TRU, visant Ă  documenter et quantifier l’abus des Ă©cosystĂšmes IA comme nouveaux vecteurs de distribution de malwares, avec fourniture d’IOCs exploitables. ...

1 mai 2026 Â· 5 min

Jerry's Store : 345 000 cartes bancaires volées exposées via du code généré par IA

🔍 Contexte Le 16 avril 2025, l’équipe de recherche de Cybernews a dĂ©couvert un serveur exposĂ© appartenant Ă  un acteur malveillant opĂ©rant le marketplace de cartes bancaires volĂ©es Jerry’s Store. L’article, publiĂ© le 1er mai 2026, dĂ©taille les mĂ©canismes de cette fuite et les opĂ©rations du groupe. đŸ’„ Incident Les opĂ©rateurs de Jerry’s Store ont utilisĂ© Cursor, un environnement de dĂ©veloppement assistĂ© par IA dĂ©veloppĂ© par la sociĂ©tĂ© amĂ©ricaine Anysphere, pour configurer leur serveur et leurs tableaux de bord administrateurs. L’IA a gĂ©nĂ©rĂ© un code dĂ©faillant crĂ©ant un rĂ©pertoire web ouvert sans authentification, exposant ainsi l’ensemble des donnĂ©es. ...

1 mai 2026 Â· 3 min

Campagne supply chain 'Mini Shai Hulud' cible les packages npm SAP via TeamPCP

🔍 Contexte PubliĂ© le 29 avril 2026 par Wiz (Benjamin Read, Merav Bar, Shay Berkovich, Gili Tikochinski), cet article documente une opĂ©ration de supply chain active baptisĂ©e “Mini Shai Hulud”, attribuĂ©e avec haute confiance au groupe TeamPCP. 🎯 MĂ©canisme d’attaque Des versions malveillantes de packages npm lĂ©gitimes de l’écosystĂšme SAP ont Ă©tĂ© publiĂ©es avec un script preinstall injectant setup.mjs, exĂ©cutĂ© automatiquement lors de npm install. Ce dropper tĂ©lĂ©charge le runtime Bun puis exĂ©cute un payload obfusquĂ© (execution.js), permettant l’exĂ©cution de code attaquant avant la fin de l’installation. ...

30 avril 2026 Â· 4 min

CVE-2026-31431 ' Copy Fail ' : escalade de privilĂšges root en 732 octets sur toutes les distributions Linux majeures

🔍 Contexte PubliĂ© le 29 avril 2026 sur le blog de Xint (xint.io), cet article est une divulgation publique coordonnĂ©e de CVE-2026-31431, surnommĂ© « Copy Fail », dĂ©couvert par le chercheur Taeyang Lee (Theori) avec l’assistance de l’outil d’analyse automatisĂ©e Xint Code. La vulnĂ©rabilitĂ© a Ă©tĂ© signalĂ©e Ă  l’équipe de sĂ©curitĂ© du noyau Linux le 23 mars 2026 et corrigĂ©e en mainline le 1er avril 2026. 🐛 Nature de la vulnĂ©rabilitĂ© Copy Fail est un bug logique dans le template AEAD authencesn du noyau Linux, combinĂ© Ă  deux mĂ©canismes : ...

30 avril 2026 Â· 3 min
Derniùre mise à jour le: 1 juillet 2026 📝