International

Source : LeMagIT. Dans un article publié le 18 février 2026, LeMagIT relaie le rapport du groupe Insikt (Recorded Future), présenté à la Conférence sur la sécurité de Munich, qui décrit un paysage cyber mondialisé fragmenté en 2025 et des dynamiques appelées à s’intensifier en 2026. Le rapport lie la fragmentation géopolitique (tensions transatlantiques, ambiguïtés juridiques des actions américaines, ex. Caraïbes/Venezuela, et même l’hypothèse d’une prise de contrôle du Groenland) à un affaiblissement des cadres de sécurité et à des restrictions de partage de renseignement (jusqu’au Royaume-Uni). Les pressions des forces de l’ordre ont certes abouti à des démantèlements d’infrastructures criminelles, mais ont poussé l’écosystème à devenir plus décentralisé, modulaire et résilient 🧩. ...

Source et contexte — AWS Security Blog (CJ Moses, Amazon Threat Intelligence) publie une analyse d’une campagne observée du 11 janvier au 18 février 2026 : un acteur russophone à motivation financière a compromis plus de 600 appareils FortiGate dans plus de 55 pays. Aucune vulnérabilité FortiGate n’a été exploitée ; les intrusions reposent sur des interfaces de gestion exposées, des identifiants faibles et l’absence de MFA, avec une forte dépendance à des services d’IA générative commerciaux. L’acteur a compromis des environnements Active Directory, exfiltré des bases d’identifiants et ciblé les infrastructures de sauvegarde (pré-ransomware). L’infrastructure AWS n’a pas été impliquée. ...

Selon TechCrunch, dans le contexte de la communauté du hacking et des événements de cybersécurité, la conférence DEF CON a décidé de bannir plusieurs personnalités liées au milieu technologique. Décision : La conférence de hacking DEF CON a prononcé un bannissement à l’encontre de trois personnes, leur interdisant d’assister à la conférence annuelle. 🚫 Personnes concernées : Pablos Holman et Vincenzo Iozzo (hackers), ainsi que Joichi Ito (ancien directeur du MIT Media Lab). ...

Selon Check Point Research (blog.checkpoint.com), une recherche publiée le 19/02/2026 décrit une technique potentielle où des assistants IA avec capacité de navigation web pourraient être exploités comme relais de commande‑et‑contrôle (C2) furtifs ; cette approche a été démontrée en environnement contrôlé contre Grok et Microsoft Copilot, sans preuve d’exploitation active à ce stade. • Technique démontrée (C2 via assistants IA) 🤖: en incitant un assistant IA à « fetch » et résumer une URL contrôlée par l’attaquant, un malware peut exfiltrer des données et récupérer des commandes sans contacter directement un serveur C2 traditionnel. L’interaction peut se faire sans clés API ni comptes authentifiés, rendant moins efficaces les mécanismes de takedown classiques. Du point de vue réseau, le trafic ressemble à un usage IA légitime, l’AI servant de proxy/relai furtif au sein des communications autorisées en entreprise. ...

Selon un article publié le 19 février 2026, des vulnérabilités graves touchent plusieurs extensions populaires de Visual Studio Code (VSCode). Des vulnérabilités hautes à critiques affectant plusieurs extensions Visual Studio Code (et IDE compatibles comme Cursor et Windsurf) pourraient permettre à un attaquant de voler des fichiers locaux et/ou d’exécuter du code à distance. Les extensions concernées totalisent plus de 128 millions de téléchargements. Source : BleepingComputer — Flaws in popular VSCode extensions expose developers to attacks https://www.bleepingcomputer.com/news/security/flaws-in-popular-vscode-extensions-expose-developers-to-attacks/ ...

Selon The Cyber Express, Firefox v147.0.4 corrige la vulnérabilité CVE-2026-2447, décrite comme un débordement de tampon du tas dans la bibliothèque libvpx, avec un risque élevé d’exécution de code à distance. 🛠️ Correctif: Firefox v147.0.4 🧩 Composant affecté: libvpx ⚠️ Vulnérabilité: CVE-2026-2447 — débordement de tampon du tas (heap buffer overflow) 💥 Impact potentiel: exécution de code à distance (RCE) 📈 Sévérité: haut risque Firefox (libvpx) – Correctif hors cycle pour une faille critique : CVE-2026-2447 Résumé Mozilla a publié une mise à jour de sécurité hors cycle pour corriger une vulnérabilité critique (heap buffer overflow) dans la bibliothèque libvpx utilisée pour décoder les vidéos VP8/VP9. Une exploitation via du contenu multimédia/piégé peut provoquer de la corruption mémoire et potentiellement mener à de l’exécution de code dans le contexte de l’utilisateur. ...

Source et contexte : Cato Networks (Cato CTRL Threat Research) publie une analyse technique d’un nouveau loader baptisé « Foxveil », actif depuis août 2025, qui s’appuie sur des plateformes cloud de confiance pour le staging et déploie du shellcode en mémoire avec des techniques d’injection et d’évasion avancées. Foxveil s’appuie sur des infrastructures « de confiance » (Cloudflare Pages, Netlify, Discord) pour héberger ses charges de second étage, ce qui brouille les signaux réseau et rend inefficaces les simples listes de blocage. Deux variantes sont observées : v1 (staging surtout via Cloudflare/Netlify) et v2 (staging souvent via pièces jointes Discord). La campagne est en cours depuis août 2025. ...

Selon Trail of Bits (blog), dans une analyse publiée en février 2026, deux bibliothèques populaires, aes-js (JavaScript) et pyaes (Python), exposent leurs utilisateurs à des failles cryptographiques en fournissant un IV par défaut en mode AES-CTR, ce qui a entraîné des vulnérabilités dans de nombreux projets en aval, dont strongMan (outil de gestion pour strongSwan), qui a été corrigé. Problème central: IV par défaut (0x00000000_00000000_00000000_00000001) en AES-CTR dans aes-js et pyaes, avec des exemples de documentation omettant l’IV. Cela favorise la réutilisation clé/IV, permettant la récupération de l’XOR des textes en clair et rendant le chiffrement très fragile (récupération de masques et secrets en chaîne). ...

Selon Cyderes – Howler Cell Threat Research Team (publié le 16 février 2026), 0APT est un ransomware écrit en Rust apparu avec une campagne de bluff revendiquant plus de 200 victimes, mais sans preuves vérifiables; l’équipe a néanmoins confirmé l’existence d’une plateforme RaaS fonctionnelle et de charges malveillantes opérationnelles. Cyderes souligne des doutes sur la crédibilité des fuites: un site onion listait de nombreuses victimes avant de disparaître, la section « leaks » du panneau RaaS propose des archives prétendument volumineuses qui ne se téléchargent pas, et aucune capture de données compromises n’est fournie. Les annonces massives et rapides (≈200 victimes) sans artefacts contredisent les pratiques des groupes de rançongiciels matures, renforçant l’hypothèse d’une campagne de bluff destinée à impressionner. ...

Bashe (ex-APT73) – Profil d’un acteur RaaS émergent Source : SuspectFile – Inside Bashe: The Interview with the Ransomware Group Known as APT73 https://www.suspectfile.com/inside-bashe-the-interview-with-the-ransomware-group-known-as-apt73/ Résumé exécutif Le groupe Bashe, précédemment identifié sous le nom APT73, est un acteur RaaS (Ransomware-as-a-Service) qui s’inscrit dans la nouvelle génération d’opérations structurées autour d’un modèle d’affiliation centralisé. Le rebranding vers “Bashe” ne serait pas lié à une pression policière ou à une compromission d’infrastructure, mais à un repositionnement identitaire. Le nom fait référence à une créature mythologique chinoise (serpent géant dévoreur d’éléphants), en cohérence avec leur rhétorique : cibler de grandes entreprises solvables. ...