Intrusion via SonicWall et BYOVD : un driver EnCase révoqué utilisé pour neutraliser les EDR

Source: Huntress — DĂ©but fĂ©vrier 2026, Huntress a rĂ©pondu Ă  une intrusion oĂč des identifiants SonicWall SSLVPN compromis ont servi d’accĂšs initial, avant le dĂ©ploiement d’un « EDR killer » exploitant la technique de Bring Your Own Vulnerable Driver (BYOVD) via un driver EnCase (EnPortv.sys) signĂ© mais rĂ©voquĂ©, afin de tuer des processus de sĂ©curitĂ© depuis le noyau. L’attaque a Ă©tĂ© interrompue avant une phase probable de rançongiciel. La tĂ©lĂ©mĂ©trie SonicWall ingĂ©rĂ©e par Huntress Managed SIEM a permis de reconstituer la chronologie: une tentative de connexion portail refusĂ©e depuis 193.160.216[.]221 a prĂ©cĂ©dĂ© d’une minute une authentification VPN rĂ©ussie depuis 69.10.60[.]250. Une reconnaissance rĂ©seau agressive a suivi (ICMP ping sweeps, requĂȘtes NetBIOS, activitĂ© SMB avec rafales >370 SYN/s). La corrĂ©lation SIEM–endpoint a facilitĂ© la dĂ©tection, l’isolement des systĂšmes et des recommandations de remĂ©diation (activer MFA sur les accĂšs distants, revoir les logs VPN). ...

4 fĂ©vrier 2026 Â· 3 min

macOS : Rétro-ingénierie des protections ClickFix d'Apple via Endpoint Security

🔍 Contexte PubliĂ© le 31 mars 2026 sur le blog Objective-See par Patrick Wardle, cet article constitue une analyse technique approfondie de l’implĂ©mentation des protections anti-ClickFix intĂ©grĂ©es nativement dans macOS 26.4 par Apple, ainsi que de leur relation avec le framework Endpoint Security (ES). 🎯 La technique ClickFix ClickFix est une technique d’infection largement adoptĂ©e ciblant macOS et Windows. Elle repose sur la manipulation sociale : convaincre un utilisateur de copier-coller une commande malveillante dans un terminal. Cette technique permet de contourner des protections OS comme Gatekeeper et Notarization sur macOS. Elle est dĂ©sormais utilisĂ©e aussi bien par des cybercriminels opportunistes que par des acteurs plus sophistiquĂ©s. ...

4 fĂ©vrier 2026 Â· 2 min

Moltbook : une mauvaise configuration Supabase expose 1,5 M de tokens et permet la modification de contenus

Selon Wiz (blog), une analyse non intrusive du rĂ©seau social d’agents IA Moltbook a mis au jour une clĂ© Supabase exposĂ©e dans le JavaScript client, pointant vers une base de production sans Row Level Security, ce qui a permis un accĂšs anonyme en lecture et en Ă©criture Ă  de nombreuses tables jusqu’à la correction appliquĂ©e en plusieurs Ă©tapes. Impact et donnĂ©es exposĂ©es. L’équipe Wiz a constatĂ© l’exposition de 1,5 million de tokens d’authentification d’API, d’environ 35 000 adresses e‑mail (tables owners et observers) et de 4 060 messages privĂ©s entre « agents », certains contenant des clĂ©s OpenAI en clair. Les enregistrements d’agents incluaient des secrets sensibles (api_key, claim_token, verification_code), rendant possible une usurpation complĂšte d’identitĂ© et l’interaction Ă  la place de n’importe quel agent, y compris des comptes Ă  forte « karma ». ...

4 fĂ©vrier 2026 Â· 3 min

OpenClaw: plus de 1 800 instances d’agents IA exposent clĂ©s API et historiques, Cisco alerte sur un « cauchemar » sĂ©curitĂ©

Selon VentureBeat, l’agent IA open source OpenClaw (ex-Clawdbot/Moltbot) connaĂźt un essor fulgurant, mais des scans Internet ont rĂ©vĂ©lĂ© plus de 1 800 instances exposĂ©es divulguant des clĂ©s API, des historiques de chats et des identifiants. Des chercheurs et des Ă©quipes sĂ©curitĂ© (Cisco, IBM Research) soulignent que les agents IA crĂ©ent une surface d’attaque sĂ©mantique que pare-feu, EDR et SIEM voient mal, en particulier sur du BYOD. ‱ Pourquoi les pĂ©rimĂštres Ă©chouent ⚠: les attaques visent la sĂ©mantique (ex. « Ignore previous instructions ») plutĂŽt que des signatures de malware. La « trifecta lĂ©tale » dĂ©crite par Simon Willison — accĂšs Ă  des donnĂ©es privĂ©es, exposition Ă  du contenu non fiable, et communication externe — est rĂ©unie dans OpenClaw, permettant des fuites sans alerte. Les SOC voient un HTTP 200 et du comportement process standard, alors que l’attaque est dans le raisonnement du modĂšle. ...

4 fĂ©vrier 2026 Â· 3 min

RFC 9849 : Publication du standard TLS Encrypted Client Hello (ECH) par l'IETF

🌐 Contexte PubliĂ© le 3 mars 2026 sur le datatracker de l’IETF (https://datatracker.ietf.org/doc/rfc9849/), ce document constitue la RFC 9849, un standard de la catĂ©gorie Standards Track produit par le groupe de travail TLS de l’IETF. Les auteurs sont Eric Rescorla (Independent), Kazuho Oku (Fastly), Nick Sullivan (Cryptography Consulting LLC) et Christopher A. Wood (Apple). 🔐 Objet du standard La RFC 9849 spĂ©cifie le mĂ©canisme TLS Encrypted Client Hello (ECH), une extension TLS permettant aux clients de chiffrer leur message ClientHello sous la clĂ© publique du serveur. Ce mĂ©canisme protĂšge notamment : ...

4 fĂ©vrier 2026 Â· 2 min

Web PKI réinventé : Google lance les Merkle Tree Certificates pour l'Úre post-quantique

📅 Source : Feisty Duck Cryptography & Security Newsletter, numĂ©ro 135, publiĂ© le 31 mars 2026. 🔐 Contexte gĂ©nĂ©ral Cet article de newsletter spĂ©cialisĂ©e couvre plusieurs dĂ©veloppements majeurs en cryptographie et PKI. Le sujet central est la refonte du Web PKI par Google via les Merkle Tree Certificates (MTCs), en rĂ©ponse aux contraintes imposĂ©es par la cryptographie post-quantique (PQC) et les limites actuelles de Certificate Transparency (CT). 🌳 Merkle Tree Certificates : la refonte du Web PKI Google travaille depuis dĂ©but 2023 sur une nouvelle architecture PKI. Fin 2025, ce travail a Ă©tĂ© transfĂ©rĂ© au groupe de travail IETF PLANTS, en collaboration avec Cloudflare. Les grandes Ă©tapes annoncĂ©es : ...

4 fĂ©vrier 2026 Â· 3 min

WinDbg MCP : serveur exposant 55 outils de débogage Windows via le Model Context Protocol

🔧 Contexte PubliĂ© le 02/04/2026 sur GitHub, WinDbg MCP est un projet open source qui expose l’intĂ©gralitĂ© des fonctions du dĂ©bogueur Windows pybag/WinDbg sous forme d’outils natifs MCP (Model Context Protocol). Il s’adresse aux dĂ©veloppeurs, chercheurs et agents IA souhaitant automatiser l’analyse de processus, de sessions kernel ou de crash dumps. ⚙ Fonctionnement technique Le serveur s’exĂ©cute comme un processus stdio local et communique via JSON-RPC 2.0. Il expose 55 outils couvrant : ...

4 fĂ©vrier 2026 Â· 2 min

ClawdBot: 386 « skills » malveillants sur ClawHub/GitHub déploient un stealer et pillent des crypto-actifs

Selon OpenSourceMalware.com, une vaste campagne d’empoisonnement de registre touche l’écosystĂšme des « skills » ClawdBot/Moltbot, avec des paquets publiĂ©s sur ClawHub et GitHub entre fin janvier et dĂ©but fĂ©vrier 2026. – Des dizaines puis des centaines de « skills » thĂ©matisĂ©s crypto (ByBit, Polymarket, Axiom, Reddit, LinkedIn) utilisent une ingĂ©nierie sociale sophistiquĂ©e (fausses alertes et « AuthTool » obligatoire) pour conduire l’utilisateur Ă  tĂ©lĂ©charger et exĂ©cuter des binaires malveillants. Le tout vise des utilisateurs macOS et Windows de ClawdBot/Claude Code/Moltbot, avec un C2 unique 91.92.242.30. Les auteurs citent un total de 386 skills impliquĂ©s, avec une premiĂšre salve fin janvier et une seconde, plus massive, entre le 31 janvier et le 2 fĂ©vrier. ...

2 fĂ©vrier 2026 Â· 3 min

Fuite de données au DFAE: des documents «internes» stockés par erreur dans le cloud Microsoft 365

Selon la NZZ am Sonntag, une rĂ©vision interne du DĂ©partement fĂ©dĂ©ral des affaires Ă©trangĂšres (DFAE/EDA) a mis en Ă©vidence une faille dans les dispositifs de protection: des documents classĂ©s «internes» ont Ă©tĂ© stockĂ©s dans le cloud de Microsoft, malgrĂ© des rĂšgles censĂ©es empĂȘcher l’upload de contenus sensibles. Contexte: alors que la France Ă©carte Zoom/Teams des administrations, la Chancellerie fĂ©dĂ©rale a gĂ©nĂ©ralisĂ© Microsoft 365 Ă  quelque 54 000 postes de la ConfĂ©dĂ©ration. Des mĂ©canismes de sĂ©curitĂ© prĂ©voient que les contenus sensibles soient Ă©tiquetĂ©s et bloquĂ©s pour tout stockage dans le cloud. Or, ces mesures ne fonctionnent que partiellement. ...

2 fĂ©vrier 2026 Â· 2 min

Le Comité Nobel évoque un espionnage numérique derriÚre la divulgation anticipée du prix de la paix 2025

Selon Reuters (Gwladys Fouche), le ComitĂ© Nobel norvĂ©gien considĂšre que l’« espionnage numĂ©rique » est probablement Ă  l’origine de la rĂ©vĂ©lation anticipĂ©e du nom du laurĂ©at du Prix Nobel de la paix 2025, avant l’annonce officielle Ă  Oslo. Le secrĂ©taire permanent du comitĂ© a indiquĂ© Ă  Reuters que, bien qu’il soit impossible Ă  ce stade de dĂ©terminer prĂ©cisĂ©ment ce qui s’est passĂ© ou qui est derriĂšre la brĂšche, le domaine numĂ©rique reste le « principal suspect ». Il s’agit d’une fuite d’information attribuĂ©e Ă  un probable espionnage numĂ©rique . ...

2 fĂ©vrier 2026 Â· 2 min
Derniùre mise à jour le: 5 juillet 2026 📝