Posts

🔍 Contexte Article d’investigation publié par The Guardian le 14 mars 2026, rédigé par Hannah Devlin et Tom Burgis. UK Biobank est une base de données médicales britannique fondée en 2003, détenant les dossiers de santé de 500 000 volontaires britanniques, incluant séquences génomiques, scanners, échantillons sanguins et données de style de vie. 📂 Nature de l’incident Des données de santé confidentielles ont été exposées publiquement en ligne à de nombreuses reprises par des chercheurs ayant accidentellement publié des jeux de données Biobank sur GitHub en même temps que leur code d’analyse. Cette pratique résulte de l’obligation croissante des journaux scientifiques et financeurs de publier le code source des analyses. ...

Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outils, BYOVD via NSecKrnl.sys et déploiement de ransomware par GPO. 🔍 Contexte Cet article publié le 21 mars 2026 par Trend Micro Research constitue une analyse technique approfondie d’une campagne d’attaque attribuée au groupe Warlock. Il documente une chaîne d’attaque complète allant de l’accès initial jusqu’au déploiement de ransomware à l’échelle du domaine Active Directory. 🚪 Accès initial et mouvement latéral Suivant l’accès initial, les acteurs de la menace ont réalisé un mouvement latéral extensif via des outils d’administration légitimes et de l’abus de credentials : ...

Le Centre de Coordination des Crises Cyber (C4) publie une note d’alerte signalant une hausse d’attaques visant les messageries instantanées, en particulier Signal (et aussi WhatsApp), contre des personnalités politiques et cadres de l’administration, notamment des secteurs régaliens. Les attaques reposent sur de la fraude à l’identité et le détournement de fonctionnalités légitimes (association d’appareils, transfert de compte), permettant l’accès à l’historique des conversations, au carnet d’adresses, l’usurpation d’identité pour envoyer des messages, et des usages de désinformation/manipulation dans des contextes d’ingérence étrangère. ...

Selon bka.de, dans un communiqué du 20 mars 2026, la ZACNRW et le Bundeskriminalamt (BKA) ont mené le 19/03/2026 une opération internationale avec le Canada et les États‑Unis pour démanteler deux des plus grands botnets actuels, Aisuru et Kimwolf. 🚔 Les autorités ont neutralisé l’infrastructure technique mondialement répartie des deux botnets. Deux administrateurs présumés ont été identifiés; des perquisitions ont eu lieu en Allemagne et au Canada, avec saisies de nombreux supports de données et de cryptomonnaies (montant à cinq chiffres). L’action s’inscrit dans des enquêtes de plusieurs mois, techniquement complexes et étroitement coordonnées à l’international. ...

Selon Socket (socket.dev), une nouvelle attaque de chaîne d’approvisionnement visant l’écosystème Trivy a été détectée à partir d’environ 19:15 UTC, distincte du précédent incident OpenVSX/VS Code. L’attaque cible l’action GitHub officielle aquasecurity/trivy-action et transforme des références de versions largement utilisées en vecteur de distribution d’un infostealer. L’acteur a force-push 75 des 76 tags de version du dépôt aquasecurity/trivy-action afin de les faire pointer vers de nouveaux commits malveillants, tout en conservant une apparence légitime via des métadonnées spoofées. Plus de 10 000 workflows GitHub référencent ces tags, amplifiant le rayon d’impact. Les tags compromis « restent actifs » au moment de la rédaction. Le tag 0.35.0 est le seul non empoisonné, car il pointe déjà vers le commit parent utilisé par l’attaquant (57a97c7e). Des indices de fraude incluent l’absence de signatures GPG d’origine, des dates incohérentes (dates anciennes avec un parent de mars 2026) et des commits ne modifiant que entrypoint.sh. Des « releases immuables » ont été publiées lors du poisonnement, compliquant le rétablissement. Homebrew a déjà amorcé des retours arrière. ...

Contexte: Selon Akamai, cité dans un article de presse publié le 19 mars 2026, l’activité cybercriminelle a fortement augmenté depuis le début du conflit lié à l’Iran. Le rapport fait état d’une hausse de 245% d’activités malveillantes, couvrant notamment le credential harvesting et la reconnaissance automatisée. Ces actions visent des banques et d’autres entreprises critiques. L’article souligne que des hacktivistes utilisent des services proxy basés en Russie et en Chine pour mener des « billions of designed-for-abuse connection attempts » 🔥, illustrant une industrialisation des connexions abusives. ...

Selon Ctrl-Alt-Intel, qui s’appuie sur les travaux initiaux de Hunt.io et des avis de CERT-UA et ESET, une erreur d’OPSEC d’APT28/FancyBear a exposé un open-directory sur un VPS NameCheap (203.161.50.145) opérant au moins depuis septembre 2024, révélant le code source C2, des payloads XSS, des modules d’exfiltration et des journaux détaillant des compromissions en Ukraine, Roumanie, Bulgarie, Grèce, Serbie et Macédoine du Nord. Les chercheurs ont trouvé une seconde opendir sur le même serveur que celle décrite par Hunt.io (port 8889, janvier–mars 2026), contenant des preuves substantielles d’opérations en cours : plus de 2 800 emails exfiltrés, plus de 240 jeux d’identifiants (dont mots de passe et secrets TOTP 2FA), 140+ règles Sieve de redirection furtive, et 11 500+ contacts récoltés. L’infrastructure (zhblz[.]com ↔ 203.161.50.145) était déjà reliée par CERT-UA en 2024 à de l’exploitation de Roundcube (CVE-2023-43770) et à des leurres ClickFix. ...

Aura indique qu’une partie autorisée a accédé à près de 900 000 enregistrements clients contenant des noms et adresses e‑mail. Selon BleepingComputer, l’entreprise de protection d’identité Aura a confirmé qu’une partie « autorisée » a accédé à près de 900 000 enregistrements clients. Organisation touchée: Aura (protection d’identité) Nature de l’incident: accès par une partie autorisée à des enregistrements clients Volume: près de 900 000 enregistrements Données concernées: noms et adresses e‑mail Impact résumé: exposition de données personnelles limitées aux champs précisés (noms, e‑mails). Aucune autre catégorie de données ou détail technique n’est mentionné dans l’extrait. ...

Selon BleepingComputer, CISA a ordonné aux agences gouvernementales américaines de sécuriser leurs serveurs confrontés à une vulnérabilité activement exploitée affectant Zimbra Collaboration Suite (ZCS). Vulnérabilité Zimbra (CVE-2025-66376) Détails Produit : Zimbra Collaboration Suite (ZCS) Type : Stored XSS Gravité : élevée Patch : novembre 2025 Description La vulnérabilité affecte l’interface : C l a s s i c U I Elle permet à un attaquant distant non authentifié de : ...

ConnectWise avertit ses clients d’une vulnérabilité de vérification de signature cryptographique dans ScreenConnect pouvant permettre un accès non autorisé et une élévation de privilèges. Selon BleepingComputer, ConnectWise met en garde les clients de ScreenConnect au sujet d’une vulnérabilité de vérification de signature cryptographique susceptible d’entraîner un accès non autorisé et une élévation de privilèges. ⚠️ ConnectWise ScreenConnect : faille critique de vérification cryptographique (CVE-2026-3564) Résumé ConnectWise a publié un correctif pour CVE-2026-3564, une vulnérabilité critique affectant ScreenConnect dans les versions antérieures à 26.1. Le problème peut permettre un accès non autorisé et une élévation de privilèges si un attaquant parvient à obtenir le matériel cryptographique serveur utilisé pour l’authentification de session. ConnectWise a renforcé la protection des ASP.NET machine keys dans la version 26.1, notamment via un stockage chiffré et une meilleure gestion des clés. :contentReference[oaicite:0]{index=0} ...