Bilan 2025 des zero‑days : les CSV dĂ©passent les États, PRC en tĂȘte, et pic d’attaques financiĂšres

Selon Google Threat Intelligence Group (GTIG), cette rĂ©trospective 2025 couvre 90 vulnĂ©rabilitĂ©s zero‑day exploitĂ©es, met l’accent sur les techniques observĂ©es et Ă©voque comment l’IA pourrait accĂ©lĂ©rer le paysage des vulnĂ©rabilitĂ©s. 📈 Tendances clĂ©s. Pour la premiĂšre fois, l’exploitation attribuĂ©e aux fournisseurs de surveillance commerciale (CSV) dĂ©passe celle des groupes Ă©tatiques traditionnels, illustrant la dĂ©mocratisation de l’accĂšs aux zero‑days via ces vendeurs et leurs clients. Les groupes d’espionnage liĂ©s Ă  la Chine (PRC‑nexus) demeurent toutefois les plus prolifiques parmi les acteurs Ă©tatiques (au moins 10 zero‑days, davantage qu’en 2024 mais moins qu’en 2023), ciblant surtout des Ă©quipements rĂ©seau/edge difficiles Ă  surveiller (ex. CVE‑2025‑21590 par UNC3886, CVE‑2025‑0282 par UNC5221) et montrant une rĂ©duction du temps entre divulgation publique et exploitation de n‑days. À l’inverse de 2024, aucun zero‑day n’a Ă©tĂ© attribuĂ© Ă  des groupes nord‑corĂ©ens en 2025. ...

8 mars 2026 Â· 3 min

Billet critique sur une étude suisse de désanonymisation par LLM et son manque de modÚle de menace

Source : billet de blog de Davi Ottenheimer (8 mars 2026). Contexte : critique d’un « papier suisse » sur la dĂ©sanonymisation automatisĂ©e via LLM et ses implications pour la vie privĂ©e. L’auteur rĂ©sume la thĂšse de l’étude : les LLM permettraient des attaques de dĂ©sanonymisation entiĂšrement automatisĂ©es sur du texte non structurĂ©, Ă  grande Ă©chelle. Il juge la menace « pas nouvelle », renvoyant Ă  Narayanan & Shmatikov (2008, actualisĂ© en 2019) : le coĂ»t de l’attaque baisse mais la capacitĂ© fondamentale ne change pas. ...

8 mars 2026 Â· 3 min

CISA ordonne aux agences fédérales de corriger trois failles iOS exploitées par le kit Coruna

Selon BleepingComputer, la CISA a ordonnĂ© aux agences fĂ©dĂ©rales amĂ©ricaines d’appliquer des correctifs Ă  trois failles de sĂ©curitĂ© affectant iOS. Ces vulnĂ©rabilitĂ©s sont ciblĂ©es dans des attaques de cyberespionnage et de vol de cryptomonnaies, menĂ©es Ă  l’aide du kit d’exploitation Coruna. CISA alerte sur des vulnĂ©rabilitĂ©s iOS exploitĂ©es via le kit d’exploit Coruna Contexte L’agence amĂ©ricaine CISA (Cybersecurity and Infrastructure Security Agency) a ordonnĂ© aux agences fĂ©dĂ©rales de corriger trois vulnĂ©rabilitĂ©s iOS activement exploitĂ©es dans des campagnes : ...

8 mars 2026 Â· 3 min

CVE-2026-27971 : RCE non authentifiée dans Qwik via désérialisation server$, corrigée en 1.19.1

Selon un avis de sĂ©curitĂ© GitHub (dĂ©pĂŽt QwikDev/qwik) publiĂ© le 2 mars 2026, le package npm @builder.io/qwik est affectĂ© par une faille critique permettant une exĂ©cution de code Ă  distance non authentifiĂ©e. ‱ Nature de la vulnĂ©rabilitĂ© : dĂ©sĂ©rialisation de donnĂ©es non fiables (CWE-502) au sein du mĂ©canisme RPC server$, ouvrant la voie Ă  l’exĂ©cution de code arbitraire sur le serveur via une seule requĂȘte HTTP. L’impact sur le systĂšme vulnĂ©rable est Ă©valuĂ© Ă©levĂ© en confidentialitĂ©, intĂ©gritĂ© et disponibilitĂ©. ...

8 mars 2026 Â· 1 min

Data.gouv teste un serveur MCP pour interroger l’open data en langage naturel (accùs en lecture seule)

Selon ZDNET, Data.gouv (le portail français de l’open data) dĂ©ploie Ă  titre expĂ©rimental un serveur MCP (Model Context Protocol) afin de permettre l’interrogation des donnĂ©es publiques en langage naturel via un chatbot, avec un accĂšs strictement en lecture. L’objectif affichĂ© est d’évaluer ce que MCP apporte Ă  l’accĂšs aux donnĂ©es publiques tout en restant prudent sur ses limites, et de faciliter des interactions plus contextualisĂ©es sans multiplier les intĂ©grations spĂ©cifiques. À ce stade, toute modification/Ă©dition des jeux de donnĂ©es est interdite. À terme, Data.gouv ambitionne de tester des usages d’édition et de publication, avec prudence et en s’appuyant sur des modĂšles souverains (sans calendrier prĂ©cisĂ©). ...

8 mars 2026 Â· 2 min

Des hacktivistes « Department of Peace » revendiquent le piratage du DHS et publient des données de contrats

Source et contexte — TechCrunch (Lorenzo Franceschi-Bicchierai), 2 mars 2026 : Un groupe de hacktivistes nommĂ© « Department of Peace » revendique un piratage du Department of Homeland Security (DHS), avec une fuite de donnĂ©es publiĂ©e par DDoSecrets 🔓. Les donnĂ©es proviendraient de l’Office of Industry Partnership du DHS, chargĂ© d’acquĂ©rir des technologies auprĂšs du secteur privĂ©. DHS et ICE n’ont pas rĂ©pondu immĂ©diatement aux demandes de commentaire. Impact et contenu des donnĂ©es đŸ—‚ïž — La publication couvre des contrats entre le DHS, l’ICE et plus de 6 000 entreprises. Le jeu de donnĂ©es comprend notamment : ...

8 mars 2026 Â· 2 min

DJI verse 30 000 $ au chercheur à l’origine de l’accùs à 7 000 aspirateurs Romo

Selon The Verge, DJI a dĂ©cidĂ© de rĂ©compenser de 30 000 $ le chercheur Sammy Azdoufal aprĂšs la mise en lumiĂšre d’un accĂšs Ă  un rĂ©seau d’environ 7 000 aspirateurs robots Romo, tout en prĂ©cisant avoir dĂ©jĂ  corrigĂ© une faille de visualisation de flux vidĂ©o sans PIN et en prĂ©parer d’autres correctifs. ‱ Paiement et attribution 🎁 — DJI confirme avoir « rĂ©compensĂ© » un chercheur (sans le nommer) et, d’aprĂšs l’email partagĂ© avec The Verge, versera 30 000 $ pour une seule dĂ©couverte, sans prĂ©ciser laquelle. Ce dĂ©veloppement intervient aprĂšs la rĂ©vĂ©lation mi-fĂ©vrier d’un accĂšs Ă  des milliers de Romo permettant d’observer l’intĂ©rieur de foyers. ...

8 mars 2026 Â· 2 min

Dust Specter (APT prĂ©sumĂ© liĂ© Ă  l’Iran) cible des officiels irakiens avec SPLITDROP/TWINTASK/TWINTALK et GHOSTFORM

Selon ThreatLabz, un acteur APT prĂ©sumĂ© liĂ© Ă  l’Iran, nommĂ© Dust Specter, cible des officiels gouvernementaux en Irak avec une campagne utilisant de nouveaux malwares nommĂ©s SPLITDROP, TWINTASK, TWINTALK et GHOSTFORM. L’analyse dĂ©taille deux chaĂźnes d’attaque observĂ©es en conditions rĂ©elles, l’une basĂ©e sur une architecture scindĂ©e (worker + orchestrateur C2) et l’autre consolidĂ©e dans un binaire unique. đŸ§Ș ChaĂźne d’attaque 1 (SPLITDROP → TWINTASK → TWINTALK). Un RAR protĂ©gĂ© par mot de passe (« mofa-Network-code.rar ») livre un dropper .NET dĂ©guisĂ© en WinRAR (SPLITDROP). AprĂšs saisie du mot de passe, SPLITDROP dĂ©chiffre une ressource chiffrĂ©e en AES‑256‑CBC avec PBKDF2 (HMAC‑SHA1, 10 000 itĂ©rations, clĂ© 256 bits), Ă©crit un ZIP puis extrait dans C:\ProgramData\PolGuid\, et exĂ©cute un VLC.exe lĂ©gitime pour dĂ©clencher un sideloading de DLL. Le DLL malveillant libvlc.dll (TWINTASK) agit comme module worker : il boucle toutes les 15 s, lit in.txt, dĂ©cale le premier caractĂšre, dĂ©code en Base64, et exĂ©cute le script via PowerShell (timeout 600 s), en journalisant vers out.txt. La persistance est ajoutĂ©e via HKCU...\Run (clĂ©s VLC et WingetUI). Le binaire lĂ©gitime WingetUI.exe est lancĂ© et sideloade hostfxr.dll (TWINTALK), l’orchestrateur C2. ...

8 mars 2026 Â· 4 min

Empoisonnement du cache GitHub Actions: une chaüne d’escalade menaçait la supply chain d’Angular

Source: blog d’adnanthekhan (3 mars 2026). Contexte: dĂ©couverte en dĂ©cembre 2025 d’une mauvaise configuration GitHub Actions dans le dĂ©pĂŽt angular/dev-infra, exploitĂ©e pour montrer une escalade via empoisonnement du cache jusqu’à un scĂ©nario plausible de compromis de supply chain d’Angular. Google a corrigĂ© la vulnĂ©rabilitĂ© et indique qu’il n’existe plus de risque pour les utilisateurs d’Angular. – Le point de dĂ©part est un workflow “Worklow Testing” dĂ©clenchĂ© par pull_request_target utilisant la variable ${{ github.head_ref }} dans une commande shell, permettant une injection via le nom de branche. Bien que le GITHUB_TOKEN fĂ»t en lecture seule et sans secrets, l’auteur a recherchĂ© un pivot via GitHub Actions Cache Poisoning. ...

8 mars 2026 Â· 3 min

Frappe israĂ©lienne contre le QG cyber du CGRI Ă  TĂ©hĂ©ran, mais l’activitĂ© pro-iranienne se poursuit en ligne

Politico (Maggie Miller) rapporte qu’IsraĂ«l a frappĂ© Ă  TĂ©hĂ©ran un complexe attribuĂ© au quartier gĂ©nĂ©ral cyber et Ă©lectronique du Corps des gardiens de la rĂ©volution islamique (CGRI/IRGC), alors mĂȘme que des opĂ©rations pro-iraniennes continuent de viser des infrastructures rĂ©gionales. đŸ’„ L’IDF Ă©voque une « frappe de grande ampleur » contre plusieurs sites militaires Ă  l’est de TĂ©hĂ©ran, incluant le QG cyber et Ă©lectronique et la Direction du renseignement du CGRI. L’ampleur des dĂ©gĂąts et d’éventuelles victimes restent inconnues, l’Iran Ă©tant sous quasi black-out internet depuis le 28 fĂ©vrier, ce qui limite les informations disponibles. Les porte-parole de l’IDF, de l’ambassade d’IsraĂ«l Ă  Washington, de la Maison Blanche et de l’USCENTCOM n’ont pas commentĂ©. ...

8 mars 2026 Â· 3 min
Derniùre mise à jour le: 3 juillet 2026 📝