Fortinet corrige une SQLi critique dans FortiClientEMS (CVE-2026-21643)

Selon un avis PSIRT de Fortinet publiĂ© le 6 fĂ©vrier 2026, une vulnĂ©rabilitĂ© critique d’injection SQL affecte FortiClientEMS. VulnĂ©rabilitĂ©: Injection SQL (CWE-89) dans l’interface d’administration (composant GUI), exploitable via des requĂȘtes HTTP spĂ©cialement conçues. Impact: ExĂ©cution non autorisĂ©e de code ou de commandes (score CVSSv3 9.1 – Critique), sans authentification requise. CVE: CVE-2026-21643 | IR: FG-IR-25-1142. Produits/versions concernĂ©s: FortiClientEMS 7.4.4: affectĂ© → corriger en 7.4.5 ou supĂ©rieur. FortiClientEMS 8.0: non affectĂ©. FortiClientEMS 7.2: non affectĂ©. Le 2026-02-06, FortiEMS Cloud a Ă©tĂ© retirĂ© de la note car non affectĂ©. Chronologie: ...

11 fĂ©vrier 2026 Â· 1 min

Fuite massive chez Chat & Ask AI : 300 M de messages exposés via une mauvaise config Firebase

Selon Malwarebytes, un chercheur indĂ©pendant a mis au jour une fuite de donnĂ©es Ă  grande Ă©chelle touchant l’application Chat & Ask AI (50+ millions d’utilisateurs), imputable Ă  une mauvaise configuration de Google Firebase. L’application, un « wrapper » permettant de choisir entre plusieurs LLMs (ChatGPT, Claude, Gemini), a laissĂ© exposĂ©s des fichiers utilisateurs contenant l’historique complet des conversations, le modĂšle utilisĂ© et d’autres paramĂštres. Le chercheur affirme avoir accĂ©dĂ© Ă  300 millions de messages provenant de plus de 25 millions d’utilisateurs, incluant des Ă©changes sur des activitĂ©s illĂ©gales et des demandes d’aide au suicide. L’exposition concernait aussi des donnĂ©es d’utilisateurs d’autres apps de Codeway. ...

11 fĂ©vrier 2026 Â· 2 min

GTIG (Google Cloud) : menaces multivecteurs contre la base industrielle de défense

Source : Google Cloud Blog (Google Threat Intelligence Group), 10 fĂ©vrier 2026. Contexte : analyse approfondie des menaces actuelles visant la base industrielle de dĂ©fense (DIB) avec un focus sur l’Ukraine, les technologies UAS/drone, l’exploitation des processus RH, l’espionnage chinois via appareils pĂ©rimĂ©triques, et l’impact du cybercrime/hacktivisme sur la supply chain. ‱ Panorama des menaces đŸ›Ąïž Le GTIG observe quatre axes majeurs : Ciblage russe d’entitĂ©s dĂ©ployant des technologies sur le champ de bataille (notamment UAS/drones), incluant militaires, sous-traitants et individus. Exploitation des employĂ©s/RH Ă  l’échelle mondiale (faux portails de recrutement, offres d’emploi, piratage de mails personnels, IT workers nord‑corĂ©ens). PrĂ©pondĂ©rance par volume d’intrusions Chine‑nexus, avec exploitation de 0‑days sur Ă©quipements de bordure (VPN, firewalls, routeurs) et usage de rĂ©seaux ORB pour la reconnaissance. Risque supply chain accru : ransomware, hack‑and‑leak, DDoS et fuites ciblant la fabrication industrielle, incluant composants Ă  double usage. ‱ Russie et front ukrainien âš”ïžđŸ›°ïž Des clusters russes ciblent applications chiffrĂ©es (Signal/Telegram/WhatsApp), systĂšmes de gestion de champ de bataille (Delta, Kropyva) et unitĂ©s drones : ...

11 fĂ©vrier 2026 Â· 6 min

Ivanti EPMM : 83 % des exploits proviennent d’une seule IP « bulletproof » absente des IOC publiĂ©s

Source : GreyNoise (Threat Signals), 10 fĂ©vrier 2026. Contexte : GreyNoise rapporte une exploitation active de vulnĂ©rabilitĂ©s critiques Ivanti EPMM, majoritairement orchestrĂ©e depuis une IP sur infrastructure « bulletproof », alors que des IOC largement partagĂ©s ne correspondent pas Ă  l’activitĂ© Ivanti observĂ©e. ‱ VulnĂ©rabilitĂ©s et chronologie. GreyNoise couvre CVE-2026-1281 (CVSS 9.8), une RCE non authentifiĂ©e dans Ivanti EPMM via une expansion arithmĂ©tique Bash dans le mĂ©canisme de livraison de fichiers, et CVE-2026-1340 (CVSS 9.8), une injection de code liĂ©e dans un autre composant. Le 29 janvier, Ivanti publie son avis, CISA ajoute CVE-2026-1281 au catalogue KEV (dĂ©lai de remĂ©diation 3 jours) et les autoritĂ©s nĂ©erlandaises confirment des compromissions (AP, RVDR) via EPMM. Le 30 janvier, watchTowr Labs publie une analyse technique et un PoC apparaĂźt sur GitHub; NHS England, CERT-EU et NCSC-NL confirment l’exploitation active. ...

11 fĂ©vrier 2026 Â· 4 min

La Commission europĂ©enne contient une cyberattaque ciblant l’infrastructure MDM et des donnĂ©es mobiles

Selon Cyber Security News, la Commission europĂ©enne a confirmĂ© une intrusion dĂ©tectĂ©e le 30 janvier dans l’infrastructure centrale gĂ©rant les appareils mobiles du personnel, rapidement contenue sans impact sur les terminaux. đŸ›Ąïž Type d’incident: accĂšs non autorisĂ© Ă  la couche de gestion centralisĂ©e (MDM/UEM), sans compromission des endpoints mobiles. đŸ“± DonnĂ©es affectĂ©es: PII limitĂ©es (noms et numĂ©ros de tĂ©lĂ©phone du personnel). ⏱ RĂ©ponse: environ 9 heures pour isoler, nettoyer et rĂ©tablir les systĂšmes; prĂ©vention de tout mouvement latĂ©ral vers la flotte mobile. Les Ă©quipes de sĂ©curitĂ© ont agi sur la base d’indicateurs de compromission (IoC) issus de la tĂ©lĂ©mĂ©trie interne, dĂ©clenchant des protocoles de confinement, des opĂ©rations de nettoyage des artefacts malveillants, puis une remise en service. Une revue post-incident est en cours pour analyser le vecteur d’attaque et renforcer la rĂ©silience face aux mĂ©canismes de persistance. ...

11 fĂ©vrier 2026 Â· 2 min

Orange Cyberdefense dĂ©crit la mutation du hacktivisme vers l’« Ăšre de l’establishment » et la guerre cognitive

Source: orangecyberdefense.com — Dans une analyse issue des rapports Security Navigator 2024/2025/2026, Orange Cyberdefense retrace l’évolution rĂ©cente du hacktivisme, dĂ©sormais plus coordonnĂ©, imbriquĂ© aux enjeux gĂ©opolitiques, et de plus en plus orientĂ© vers l’influence et la guerre cognitive plutĂŽt que la seule perturbation technique. ‱ De la perturbation Ă  la coordination: depuis 2022/2023, l’activitĂ© de hacktivisme a fortement augmentĂ© et s’est structurĂ©e en collectifs menant des campagnes coordonnĂ©es (ex. #OpSweden, #OpFrance, #OpAustralia). Les secteurs gouvernement, tĂ©lĂ©coms, Ă©nergie et mĂ©dias sont visĂ©s pour leur symbolique sociĂ©tale plus que pour leur valeur technique, avec un rĂŽle amplificateur des mĂ©dias qui peut renforcer l’anxiĂ©tĂ© publique et la visibilitĂ© des groupes. ...

11 fĂ©vrier 2026 Â· 3 min

RCE sans clic via Claude Desktop Extensions (MCP) exposant >10 000 utilisateurs, CVSS 10

Selon LayerX (par Roy Paz), une vulnĂ©rabilitĂ© d’exĂ©cution de code Ă  distance (RCE) sans clic affecte les extensions Claude Desktop (MCP), permettant Ă  un Ă©vĂ©nement Google Agenda malveillant de dĂ©clencher l’exĂ©cution de code local avec privilĂšges. L’impact concerne plus de 10 000 utilisateurs actifs et environ 50 extensions DXT, avec un score CVSS de 10/10. ⚠ Nature du problĂšme: Les extensions Claude Desktop (serveurs MCP) s’exĂ©cutent sans sandbox et avec des privilĂšges systĂšme complets. Claude peut chaĂźner automatiquement des connecteurs Ă  faible risque (ex. Google Agenda) vers des exĂ©cutables locaux Ă  haut risque, sans consentement utilisateur. Cette violation des limites de confiance permet de transfĂ©rer des donnĂ©es issues d’une source bĂ©nigne vers un contexte d’exĂ©cution privilĂ©giĂ©. ...

11 fĂ©vrier 2026 Â· 2 min

ReMemory : un outil open source pour chiffrer des fichiers et partager la clĂ© via Shamir, hors‑ligne

Selon l’annonce du projet ReMemory (open source sur GitHub), un nouvel outil permet de chiffrer des fichiers puis de rĂ©partir la clĂ© de dĂ©chiffrement entre des proches via Shamir’s Secret Sharing, avec rĂ©cupĂ©ration hors‑ligne dans le navigateur. 🔐 ReMemory chiffre un fichier, scinde la clĂ© en plusieurs parts et permet de la recomposer lorsque le seuil dĂ©fini est atteint (exemples donnĂ©s : 3‑sur‑5 pour un groupe d’amis, 2‑sur‑2 pour un couple). DiffĂ©rentes combinaisons de dĂ©tenteurs peuvent ainsi restaurer la clĂ© et dĂ©chiffrer le fichier. ...

11 fĂ©vrier 2026 Â· 2 min

Spamhaus: +26% de C2 de botnets au S1 2025, percĂ©e des frameworks de pentest et impact d’Operation Endgame 2.0

Selon Spamhaus (Botnet Threat Update Jan–Jun 2025), l’activitĂ© des serveurs de commande et contrĂŽle (C2) de botnets remonte de 26% au premier semestre 2025, aprĂšs 18 mois de baisse. Le rapport couvre les volumes, la gĂ©olocalisation, les familles de malwares associĂ©es, les TLD et registrars les plus abusĂ©s, ainsi que les rĂ©seaux les plus touchĂ©s. 📈 VolumĂ©trie et tendances globales 17 258 C2 identifiĂ©s entre janvier et juin 2025 (moyenne mensuelle: 2 876, vs 2 287 au semestre prĂ©cĂ©dent). Cinq nouvelles familles dans le Top 20: XWorm, ValleyRAT, Chaos (ransomware builder), Joker (Android), DeimosC2 (framework de pentest). Frameworks de pentest en tĂȘte (43% des malwares du Top 20), portĂ©s par Cobalt Strike (30% Ă  lui seul), et fortes hausses de Sliver (+138%) et Havoc (+139%). RATs en progression, reprĂ©sentant 39,8% des malwares liĂ©s aux C2. 🚔 Operation Endgame 2.0 (mai 2025) ...

11 fĂ©vrier 2026 Â· 4 min

Stormshield Ă©tend les IOCs de l’attaque supply chain/watering hole visant EmEditor

Source: Stormshield (Customer Security Lab). Dans une note publiĂ©e le 9 fĂ©vrier 2026, l’équipe CTI prolonge l’analyse de Trend Micro (22 janvier 2026) sur l’attaque de la chaĂźne d’approvisionnement d’EmEditor couplĂ©e Ă  un rare watering hole ciblant ses utilisateurs, et met en Ă©vidence la poursuite des activitĂ©s malveillantes. Constats d’infrastructure: plusieurs domaines typosquattĂ©s dĂ©marrant par « emed » et en .com (ex. emeditorjp[.]com, emeditorgb[.]com, emeditorde[.]com, emeditorjapan[.]com, emedorg[.]com, emeditorltd[.]com, emedjp[.]com) sont enregistrĂ©s le 22/12/2025 via NameSilo LLC, avec des NS chez ns1/2/3.dnsowl[.]com. Des changements de rĂ©solution DNS sont observĂ©s au 06/02/2026, notamment vers 5[.]101.82.118, 5[.]101.82.159 et 46[.]28.70.245 (selon les domaines). ...

11 fĂ©vrier 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝