Posts

Selon calcalistech.com (Hofit Cohen Azulay), une cyberattaque a visé des écrans d’affichage publicitaire sur les quais des gares d’Herzliya et de Shalom à Tel-Aviv. 🖥️ Les assaillants, estimés être des hackers iraniens, ont pris le contrôle des écrans et diffusé de faux messages annonçant des attaques de missiles et ordonnant l’évacuation. ⚠️ Les écrans ont été rapidement mis hors ligne. Parallèlement, l’agence iranienne Fars a relayé une fausse allégation affirmant que l’ensemble du réseau ferroviaire israélien avait été piraté et mis hors service. ...

Source: GitHub (wh1te4ever). Contexte: l’auteur analyse l’apparition de composants « vphone600ap » dans les firmwares PCC (cloudOS 26) d’Apple fin 2025 et publie un write-up détaillant la construction d’un iPhone virtuel, en s’appuyant sur des outils de virtualisation Apple et des patchs du firmware pour la recherche sécurité. L’auteur adapte super-tart en s’appuyant sur Virtualization.framework et des binaires AVPBooter/AVPSEPBooter de recherche, force un modèle matériel spécifique (VRESEARCH101), configure le SEP, le NVRAM/auxiliary storage et un écran iPhone (résolution d’un 14 Pro Max/15 Plus/15 Pro Max/16 Plus). Le VM expose clavier, multi-touch et graphiques via VZMacGraphicsDevice. ...

Selon le Département de la Justice des États-Unis (DOJ), un autre ancien employé de DigitalMint, Angelo Martino, a été inculpé pour son implication présumée dans un schéma interne où des négociateurs ransomware se seraient secrètement associés à l’opération BlackCat (ALPHV). Des documents judiciaires dé-scellés indiquent que Martino a partagé des informations confidentielles sur des négociations en cours avec des opérateurs de BlackCat pendant qu’il travaillait comme négociateur ransomware pour DigitalMint, une société de cybersécurité spécialisée dans la réponse aux incidents de rançongiciel. ...

Source: BleepingComputer (Sergiu Gatlan), 12 mars 2026 — Veeam a corrigé plusieurs vulnérabilités dans son produit Backup & Replication (VBR), dont quatre failles RCE critiques, et exhorte les administrateurs à appliquer sans délai les mises à jour. • Quatre vulnérabilités RCE majeures ont été corrigées: CVE-2026-21666, CVE-2026-21667 et CVE-2026-21669 permettent à des utilisateurs de domaine faiblement privilégiés d’exécuter du code à distance sur des serveurs de sauvegarde via des attaques de faible complexité; CVE-2026-21708 permet à un Backup Viewer d’obtenir une exécution de code à distance en tant qu’utilisateur postgres. 🛡️ ...

Selon le Wall Street Journal (WSJ), dans la guerre en cours contre l’Iran, les États-Unis et Israël déploient l’IA à une échelle inédite pour accélérer le renseignement, le ciblage, la planification de missions et l’évaluation des dégâts, après des mois de préparation et une concentration exceptionnelle de moyens. Le WSJ rapporte que le renseignement bénéficie le plus de l’IA 🤖: des années d’« écoutes » de communications de hauts responsables iraniens et l’exploitation de caméras de circulation de Téhéran piratées sont désormais triées et résumées par des outils d’IA. Des capacités de vision automatique identifient rapidement des cibles (jusqu’à des modèles d’aéronefs ou de véhicules), et des systèmes de requête vidéo permettent des recherches complexes et des alertes (ex. « avertir à chaque prise de photo près de telle base »). Les armées indiquent que des volumes colossaux de données ne pouvaient être traités par des humains (environ 4% exploitable manuellement), d’où un gain d’efficacité majeur. ...

Source : ICLR 2026 Workshop on Agents in the Wild — Des chercheurs introduisent ZeroDayBench, un nouveau benchmark visant à évaluer la capacité d’agents LLM à détecter et corriger des vulnérabilités critiques dans des bases de code open source, en se concentrant sur la remédiation et non l’exploitation. Principales contributions 🧪 Portage de CVE réelles vers des dépôts cibles « fonctionnellement similaires » pour créer des failles inédites et limiter la mémorisation par les modèles. Couverture exclusive de vulnérabilités critiques (CVSS ≥ 7.0) et scénarios à fort impact (RCE, élévation de privilèges, dépassements mémoire, etc.). Évaluation par pentest: une correction n’est validée que si un exploit actif est effectivement bloqué après patch. 5 niveaux d’information fournis à l’agent (zero‑day, CWE, post‑exploit, one‑day, full‑info) pour mesurer la dépendance au contexte. Variantes inter‑dépôts et intra‑dépôt pour tester la généralisation (ex. portage de CVE‑2021‑23017 entre HAProxy, Squid, Tinyproxy). Résultats et comportements observés 🛡️ ...

Source et contexte — Qualys (Threat Research Unit) publie un avis de recherche détaillant « CrackArmor », un ensemble de neuf vulnérabilités dans AppArmor, le module de sécurité Linux par défaut sur Ubuntu, Debian et SUSE. Présentes depuis 2017 (noyau v4.11), elles exposent plus de 12,6 M de systèmes. Des PoC complets existent (non publiés), aucun CVE n’est encore attribué, et un correctif noyau immédiat est recommandé. • Mécanisme principal: des failles de type « confused deputy » permettent à un utilisateur non privilégié de manipuler des profils AppArmor via des pseudo-fichiers système (p. ex. /sys/kernel/security/apparmor/.load, .replace, .remove), de contourner les restrictions de user namespaces et d’atteindre une exécution de code au sein du noyau. Des interactions avec des outils de confiance comme Sudo et Postfix participent à la chaîne d’exploitation. ...

Source: Huntress (blog), publication du 11 mars 2026. Contexte: analyse de plusieurs intrusions observées entre décembre 2025 et janvier 2026 montrant un « daisy-chaining » d’outils RMM pour l’accès initial, la persistance et l’évasion, avec une visibilité inédite lorsque des acteurs se sont inscrits directement sur la plateforme Huntress. Chiffres clés et tendance 📈: L’abus d’outils RMM représente 24% des incidents observés par Huntress l’an passé, avec une hausse de 277%. Les acteurs — du peu qualifié aux groupes plus établis — abandonnent des outils “hacking” classiques au profit de RMM légitimes pour déposer des charges, voler des identifiants et exécuter des commandes. La technique centrale est le daisy-chaining de RMM pour fragmenter la télémétrie, distribuer la persistance et compliquer l’attribution/containment. ...

Selon l’AIVD (Service général de renseignement et de sécurité) et la MIVD (Renseignement militaire) des Pays-Bas, via un avis publié le 09/03/2026, des hackers étatiques russes mènent une campagne mondiale contre des comptes Signal et WhatsApp de dignitaires, militaires, fonctionnaires et autres cibles d’intérêt (dont des journalistes). Les services confirment que des agents publics néerlandais sont visés et certains déjà victimes. Les attaquants recourent à de l’ingénierie sociale pour soutirer les codes de vérification et PIN des utilisateurs, notamment en se faisant passer pour un chatbot de support Signal. Ils abusent aussi de la fonction “appareils liés” de Signal/WhatsApp pour connecter discrètement un appareil et lire à distance les conversations. Les services précisent qu’aucune vulnérabilité technique des applications n’est exploitée: la menace vise des comptes individuels, pas l’intégralité des plateformes. Bien que les apps offrent une chiffrement de bout en bout, la MIVD rappelle qu’elles ne doivent pas servir à des informations classifiées ou sensibles. ...

Selon Microsoft (Security Blog), Microsoft Defender Experts a identifié mi-janvier 2026 une campagne de vol d’identifiants attribuée à l’acteur cybercriminel Storm-2561, actif depuis mai 2025, qui abuse du SEO pour rediriger les utilisateurs vers de faux sites de téléchargement de VPN d’entreprise. L’attaque repose sur du SEO poisoning menant à des sites usurpant des marques de VPN d’entreprise (Pulse Secure/Ivanti, Fortinet, Sophos, GlobalProtect, Check Point, Cisco, SonicWall, WatchGuard). Le téléchargement pointe vers un dépôt GitHub malveillant (désactivé depuis) hébergeant une archive ZIP contenant un MSI se faisant passer pour un installateur légitime. À l’exécution, le MSI installe des binaires dans un chemin imitant Pulse Secure (%CommonFiles%\Pulse Secure) et side‑load des DLL malveillantes (dwmapi.dll, inspector.dll). ...