International

📰 Source : EFF (Electronic Frontier Foundation), publié le 18 juin 2026. Cet article constitue un retour d’expérience structuré sur les activités de formation OPSEC (sécurité opérationnelle) menées par l’EFF auprès de communautés à risque, dans le cadre de son travail pro bono. 🎯 Contexte et public cible L’EFF distingue explicitement son approche de celle des entreprises de pentest traditionnelles. Son cycle d’engagement comprend : découverte/modélisation des menaces, investigation OSINT du périmètre numérique, puis formation adaptée au contexte. Les communautés accompagnées incluent des activistes pour l’accès à l’avortement, des défenseurs des droits transgenres, des travailleurs du sexe, des survivants de violences conjugales, des militants pour la justice climatique et des groupes de défense juridique. ...

🔍 Contexte Publié le 19 juin 2026 par The Register, cet article rapporte la divulgation publique d’un exploit BootROM baptisé « usbliter8 », développé par les chercheurs en sécurité de Paradigm Shift. La divulgation a été coordonnée avec Apple avant publication. 🧩 Détails techniques L’exploit cible une vulnérabilité dans le code SecureROM des puces Apple A12 et A13, présentes dans les modèles iPhone XS, XR, 11 et 11 Pro. La faille réside dans le contrôleur USB Synopsys DesignWare utilisé par Apple : une mauvaise gestion de certains paquets USB setup permet une corruption mémoire en mode DFU (Device Firmware Update), conduisant à la prise de contrôle du SecureROM. ...

🌐 Contexte Article de recherche publié le 10 juin 2026 sur kmsec.uk par Kieran Miyamoto, chercheur indépendant en cybersécurité. L’article documente l’utilisation de Google Docs par l’acteur FAMOUS CHOLLIMA (nexus RPDC) pour mener deux campagnes distinctes mais liées. 🎯 Campagnes identifiées FAMOUS CHOLLIMA opère deux campagnes thématiquement similaires : Contagious Interview (aka DevPopper) : fausses offres d’emploi ciblant des développeurs, avec des tâches de codage hébergées sur Bitbucket/GitHub menant à une chaîne d’infection multi-étapes déployant des infostealers (OtterCookie, InvisibleFerret) pour vider des portefeuilles de cryptomonnaies. IT Worker scheme (aka WageMole) : recrutement de « proxy interviewees », des personnes conduisant des entretiens d’embauche à la place d’opérateurs FAMOUS CHOLLIMA pour faciliter l’infiltration d’entreprises. 🔗 Preuve de réutilisation d’actifs entre campagnes Un élément clé de l’analyse est la réutilisation d’une image bannière non-standard (hash de7f4a6cc9faa9e8cd165e77963b278f9c377978b1b4a0be58e41b4b1f4a525b) entre : ...

🔍 Contexte Publié le 16 juin 2026 sur le blog personnel BobDaHacker, cet article est un post-mortem détaillé rédigé par un chercheur en sécurité basé à Tokyo. Il décrit la découverte et la divulgation responsable d’une vulnérabilité d’autorisation critique affectant l’infrastructure numérique de la FIFA pendant la Coupe du Monde 2026. 🎯 Vecteur d’accès initial Le chercheur s’est inscrit sur agents.fifa.org (FIFA Agent Platform, ou FAP), un portail public permettant de s’enregistrer comme agent de football. Cette inscription a automatiquement créé un compte dans le tenant Microsoft Entra (Azure AD) partagé de la FIFA, utilisé par l’ensemble des plateformes internes de l’organisation. ...

🗓️ Contexte Article publié le 21 juin 2026 par Hudson Rock via la plateforme Infostealers. Il s’agit d’une analyse technique approfondie de la campagne FortiBleed, initialement divulguée par Hudson Rock, portant sur la compromission de 75 000 firewalls Fortinet FortiGate exposés sur internet, couvrant 21 632 domaines. ⚙️ Mécanisme d’attaque Les attaquants ont adopté un pipeline entièrement automatisé et assisté par IA : Collecte : exfiltration de fichiers de configuration chiffrés depuis des appareils Fortinet exposés Infrastructure de craquage : location de 36 GPU enterprise (3 instances × 4 GPU + 3 instances × 8 GPU) sur la plateforme Vast.ai, pour un coût d’environ 14,40 $/heure (~350 $/jour) Orchestration : gestion du cluster via un bot Telegram et le framework open source Hashtopolis Développement : scripts et bots écrits avec l’éditeur de code assisté par IA Cursor Post-exploitation : utilisation de frameworks de pentest agentiques open source pour l’énumération Active Directory 🔢 Performances cryptographiques Hachages SHA-256 salés (legacy Fortinet) : jusqu’à 720 milliards de hachages/seconde → mots de passe complexes épuisés en quelques minutes PBKDF2 (FortiOS récent) : entre 180 et 360 millions de hachages/seconde → attaques par dictionnaire et règles ciblées en quelques secondes Résultat : craquage de ~143 000 hachages Kerberos et ~33 000 hachages NetNTLM ciblant des contrôleurs de domaine internes 🌐 Impact supply chain Les firewalls compromis servent de beachheads pour pivoter latéralement vers des fournisseurs tiers, MSPs et partenaires de confiance, transformant une compromission périmétrique en crise de chaîne d’approvisionnement en cascade. ...

🔍 Contexte Le 20 juin 2026, la société ZenoX publie une analyse technique approfondie de la campagne FortiBleed, après avoir reçu le 19 juin 2026 l’accès à un répertoire de travail laissé exposé sur internet par les opérateurs eux-mêmes. Ce répertoire contenait environ 318 fichiers constituant l’intégralité de l’infrastructure offensive : outils, scripts, listes de cibles, journaux opérationnels et données volées. 🎯 Périmètre de la campagne La campagne FortiBleed est une opération de vol de credentials à l’échelle industrielle ciblant les firewalls et concentrateurs SSL-VPN Fortinet FortiGate. Les chiffres clés : ...

🎯 Contexte Analyse publiée le 20 juin 2026 par Cyber Press, basée sur des recherches d’ESET, Group-IB et PRODAFT, portant sur la suite EDR killer du groupe Gentlemen, un opérateur de ransomware-as-a-service (RaaS) apparu fin 2025 et classé parmi les cinq groupes ransomware les plus actifs au T1 2026. 👤 Acteurs et structure Le groupe a été fondé par un acteur connu sous le pseudonyme hastalamuerte, ancien affilié de Qilin, avec des liens documentés vers LockBit, Embargo, Medusa et BlackLock. Brian Krebs a publié des éléments d’identification réelle de cet acteur le 10 juin 2026. Le groupe propose à ses affiliés une part de revenus de 90%. ...

🔍 Contexte Publié le 21 juin 2026 sur le blog officiel de Recorded Future, cet article constitue une communication de transparence adressée aux clients et partenaires de la plateforme CTI, suite à un incident de sécurité impliquant un prestataire tiers. 📅 Chronologie de l’incident 12 juin 2026 : début de l’activité non autorisée dans l’environnement de Klue, fournisseur marketing tiers, contenue le même matin 17 juin 2026 : confirmation par Recorded Future que des éléments de son compte Salesforce ont été compromis via un token OAuth compromis lié à l’intégration Salesforce-Klue Semaine du 21 juin 2026 : notification au CSIRT de Recorded Future et publication de la communication 🎯 Nature de l’attaque L’attaque a ciblé la couche d’intégration entre Klue et d’autres plateformes SaaS marketing et commerciales. Le vecteur d’accès identifié est un token OAuth compromis associé à l’intégration entre Salesforce et Klue. Recorded Future n’était pas une cible spécifique mais une victime incidente. ...

🔍 Contexte Publié le 21 juin 2026 sur GitHub (struppigel/hedgehog-tools), ktrace est un outil de traçage d’API pour drivers Windows en mode noyau, développé à l’aide d’une approche semi-automatisée (“vibe-coded”) combinant analyse manuelle et génération assistée par IA. 🛠️ Description de l’outil ktrace s’appuie sur l’émulateur Speakeasy (speakeasy-emulator) pour émuler l’exécution de fichiers .sys (drivers Windows) et capturer les appels aux API du noyau. L’outil a été conçu et validé à partir de l’analyse manuelle d’environ 20 rootkits en mode noyau et drivers, avec un corpus de test de 100 drivers soumis à un timeout de 30 secondes par échantillon. ...

📰 Source : Numerama, publié le 16 juin 2026. Article de presse spécialisée couvrant une décision institutionnelle européenne à portée géopolitique. 🌍 Contexte géopolitique : L’Ukraine subit des cyberattaques russes de manière quasi-continue depuis le début de l’invasion généralisée en 2022. Dans ce contexte, le Conseil de l’UE a approuvé le 15 juin 2026 l’intégration de l’Ukraine à la réserve de cybersécurité de l’Union européenne, mécanisme géré par l’ENISA (Agence de l’Union européenne pour la cybersécurité). ...