Mondial

🗓️ Contexte Article publié le 3 mai 2026 sur webhosting.today par Łukasz Nowak. Il s’agit d’un suivi d’une couverture initiale du 29 avril 2026 portant sur la divulgation d’une vulnérabilité critique dans cPanel et WHM. L’article compile des données de Rapid7, Censys, GreyNoise, KnownHost et NocInit. 🔍 Vulnérabilité CVE-2026-41940 est classée CWE-306 (Missing Authentication for Critical Function). Le mécanisme technique repose sur une injection CRLF dans le processus de chargement et sauvegarde de sessions de cPanel, permettant à un attaquant non authentifié de manipuler les fichiers de session et d’injecter des privilèges root, contournant entièrement l’écran de connexion sur les interfaces cPanel et WHM. ...

🗞️ Contexte Article publié le 1er mai 2026 par The Register (Carly Page). Il rapporte l’exploitation active d’une vulnérabilité critique dans cPanel et WHM, l’un des panneaux de gestion d’hébergement web les plus répandus au monde, ainsi que dans WP Squared, une couche de gestion WordPress construite sur la même plateforme. 🔍 Vulnérabilité CVE-2026-41940 — score CVSS 9.8 (critique) Affecte toutes les versions supportées de cPanel/WHM postérieures à la version 11.40, ainsi que WP Squared Un exploit réussi permet la prise de contrôle totale du serveur Le patch a été publié par cPanel un mardi ; l’exploitation était déjà en cours avant cette date CISA a ajouté la faille à son catalogue Known Exploited Vulnerabilities (KEV) le jeudi suivant 📅 Chronologie de l’exploitation 23 février 2026 : premières tentatives d’exploitation observées par l’hébergeur KnownHost (déclaration du CEO Daniel Pearson sur Reddit) Avant le patch : exploitation confirmée en conditions réelles Post-patch : CISA confirme l’exploitation active ; Namecheap a temporairement bloqué l’accès à cPanel/WHM en attendant les correctifs 💥 Impact observé Un propriétaire de petite entreprise a signalé sur Reddit avoir été victime d’une attaque ransomware suite à l’exploitation de cette vulnérabilité sur une configuration cPanel standard Demande de rançon : 7 000 $ pour déverrouiller les systèmes L’hébergeur de la victime semblait débordé par l’incident Rapid7, via Shodan, a identifié environ 1,5 million d’instances cPanel exposées sur Internet cPanel sous-tend l’hébergement de dizaines de millions de sites web 🎯 Profil des cibles Hébergeurs web et leurs clients Petites structures dépendant de fournisseurs d’hébergement mutualisé Sites WordPress gérés via WP Squared 📄 Nature de l’article Article de presse spécialisée relatant une annonce d’incident en cours, combinant des éléments de rapport d’exploitation active, de réponse des hébergeurs et de témoignages de victimes. But principal : informer sur l’étendue de l’exploitation et l’urgence de la situation. ...

🔍 Contexte Publié en avril 2026 sur morganrobertson.net, cet article de recherche en sécurité documente une investigation menée entre mars et mai 2025 sur les instances Perforce Helix Core (P4) accessibles publiquement sur Internet. Le chercheur a identifié 6 121 instances contactables présentant des failles critiques liées aux configurations par défaut non sécurisées. 📊 Statistiques d’exposition 72% des serveurs autorisent un accès en lecture aux fichiers internes 21% (1 334 serveurs) permettent un accès en lecture/écriture 4% (223 serveurs) disposent de comptes « super » non sécurisés permettant une compromission complète via injection de commandes (RCE) 32% des serveurs sous licence (268/829) présentent une configuration non sécurisée 🛠️ Misconfigurations identifiées Création automatique de comptes utilisateurs (dm.user.noautocreate non configuré) Listage d’utilisateurs non authentifié — permet l’énumération et le brute-force Comptes sans mot de passe — accès direct en usurpant l’identité d’un utilisateur Auto-définition du mot de passe initial — permet à un attaquant de s’approprier un compte inactif Synchronisation non authentifiée via Remote Depot — l’utilisateur caché remote (activé par défaut jusqu’à la version 2025.1) permet la lecture de tous les fichiers sans authentification si le niveau de sécurité est ≤ 3 💥 Impact et vecteurs d’attaque Exfiltration de code source : dépôts de jeux AAA, logiciels médicaux, bancaires, gouvernementaux, automobiles RCE via triggers P4 : un compte super sans mot de passe permet d’injecter des scripts exécutés côté serveur Mouvement latéral : présence de certificats PEM, clés privées, fichiers .env, configurations Okta/SAML dans des dépôts exposés Attaques supply chain : un seul serveur vendeur exposait le code source de dizaines de clients en aval 🏭 Secteurs impactés Jeux vidéo (AAA, indie), santé/dispositifs médicaux, services financiers (core banking, PoS), gouvernement/défense, automobile (ECU, schémas électriques), éducation, industrie/ICS, Web3/crypto, aérospatiale, VFX/animation. ...

🗓️ Contexte Rapport publié par Kaspersky (Olga Altukhova) le 20 avril 2026 sur Securelist, couvrant l’année 2025. Les données proviennent du Kaspersky Security Network (KSN), de sources publiques et du dark web. Le rapport analyse le phishing financier, les malwares bancaires PC et mobiles, les infostealers et l’économie souterraine associée. 🎣 Phishing financier Le phishing financier en 2025 s’est réorienté vers les plateformes numériques et le e-commerce au détriment des leurres bancaires traditionnels : ...

📅 Contexte Article publié le 13 avril 2026 sur Tomsguide.fr, basé sur le document technique Microsoft Support KB5062710. Il traite de l’expiration imminente des certificats cryptographiques fondant la chaîne de confiance du Secure Boot Windows, émis en 2011 à l’époque de Windows 8. 🔐 Certificats concernés et calendrier Microsoft a publié un calendrier précis d’expiration : Certificat KEK (Key Enrollment Key) : expiration en juin 2026 Certificat UEFI CA : expiration en juin 2026 Certificat Windows Production PCA : expiration en octobre 2026 Des versions de remplacement millésimées 2023 doivent prendre le relais. ...

🕵️ Contexte Publié le 1er avril 2026 par Daniel Kelley (Varonis Threat Labs), cet article présente une analyse technique d’un nouvel infostealer nommé Storm, apparu sur des forums cybercriminels clandestins en début d’année 2026. 🦠 Description du malware Storm est un infostealer vendu sous forme d’abonnement, développé en C++ (MSVC/msbuild), pesant environ 460 Ko, fonctionnant uniquement sous Windows. Sa version actuelle est v0.0.2.0 (Gunnar). Il se distingue par une approche de déchiffrement côté serveur des credentials navigateur, contournant ainsi les outils de sécurité endpoint qui surveillent les accès locaux aux bases de données de credentials. ...

🗓️ Contexte Publié le 31 mars 2026 sur Ars Technica par Dan Goodin, cet article analyse deux whitepapers non encore soumis à peer-review qui réévaluent à la baisse les ressources nécessaires pour casser la cryptographie à courbes elliptiques (ECC-256) à l’aide d’un ordinateur quantique. 🔬 Premier whitepaper : atomes neutres comme qubits reconfigurables Intitulé « Shor’s algorithm is possible with as few as 10,000 reconfigurable atomic qubits », ce papier démontre qu’une architecture basée sur des atomes neutres piégés par pinces optiques (optical tweezers) permet : ...

🗞️ Contexte Article publié le 26 mars 2026 par Lorenzo Franceschi-Bicchierai sur TechCrunch. Il synthétise les observations de chercheurs en sécurité de Google, iVerify et Lookout concernant deux outils de hacking iOS récemment documentés et désormais fuités en ligne. 🎯 Campagnes documentées Au cours du dernier mois, des chercheurs ont documenté plusieurs campagnes de hacking à grande échelle ciblant des victimes dans le monde entier via : Des sites web compromis ou des pages frauduleuses (drive-by download) Les outils Coruna et DarkSword, utilisés de manière quasi-indiscriminée contre des utilisateurs n’ayant pas mis à jour leur iOS Les acteurs identifiés incluent des espions russes et des cybercriminels chinois. ...

🗓️ Contexte Source : BleepingComputer — Article publié le 2 avril 2026. Shadowserver, organisation à but non lucratif spécialisée dans la surveillance des menaces Internet, a identifié plus de 14 000 instances F5 BIG-IP APM encore exposées à des attaques exploitant une vulnérabilité critique d’exécution de code à distance. 🔍 Vulnérabilité concernée CVE-2025-53521 : faille vieille de 5 mois, initialement divulguée en octobre 2025 comme une vulnérabilité de déni de service (DoS). Reclassifiée en RCE (Remote Code Execution) le week-end précédant la publication, suite à de nouvelles informations obtenues en mars 2026. Exploitable sans privilèges sur des systèmes BIG-IP APM non patchés disposant de politiques d’accès configurées sur un serveur virtuel. F5 a confirmé que la vulnérabilité est activement exploitée dans les versions vulnérables. 📊 Exposition et impact Shadowserver suit plus de 17 100 IPs avec des empreintes BIG-IP APM exposées sur Internet. Plus de 14 000 instances restent vulnérables aux attaques CVE-2025-53521. La CISA a ajouté cette CVE à sa liste des failles activement exploitées et a ordonné aux agences fédérales américaines de sécuriser leurs systèmes BIG-IP APM avant minuit le lundi. 🏢 Contexte éditeur F5 est un géant technologique Fortune 500 fournissant des services de cybersécurité et de livraison d’applications à plus de 23 000 clients, dont 48 entreprises du Fortune 50. Les vulnérabilités BIG-IP ont historiquement été ciblées par des groupes étatiques et cybercriminels pour compromettre des réseaux, déployer des malwares destructeurs et exfiltrer des données. ...

🔬 Contexte Publication de recherche académique (arXiv, mars 2026) conduite par des chercheurs de Stanford University, UC Davis et TU Delft. L’étude porte sur l’exposition de credentials API sur le web public via l’analyse dynamique de 10 millions de pages web issues du dataset HTTP Archive (crawl septembre 2025). 📊 Périmètre et méthodologie Les chercheurs ont utilisé TruffleHog (v3.90.8) pour détecter les credentials dans les fichiers HAR (HTTP Archive), couvrant environ 200 TB de données. Seuls les credentials vérifiés via les API officielles des fournisseurs ont été retenus, constituant une borne inférieure des expositions réelles. 14 types de services ont été analysés : AWS, Azure, Alibaba, Cloudflare, Stripe, RazorPay, Telegram, Mailchimp, SendGrid, Twilio, Slack, OpenAI, GitHub, Bitly. ...