Posts

Source : GitGuardian (blog), en collaboration avec Google — résultats présentés à Real World Crypto (RWC) 2026 à Taipei. L’étude analyse à l’échelle d’Internet l’impact réel des fuites de clés privées en reliant des clés exposées publiquement aux certificats TLS via Certificate Transparency (CT). • Portée et risque 🔐: Depuis 2021, environ 1 M de clés privées uniques ont été détectées sur GitHub et DockerHub. En s’appuyant sur l’infrastructure CT de Google, les chercheurs ont associé >40 000 clés à 140 000 certificats TLS. Au septembre 2025, 2 622 certificats restaient valides, dont >900 protégeant des Fortune 500, des établissements de santé et des agences gouvernementales. Les fuites de clés TLS permettent l’usurpation de sites, l’interception/manipulation de données et potentiellement la décryption de communications passées si la PFS n’était pas généralisée. ...

Selon SentinelOne (billet de blog DFIR), plusieurs incidents début 2026 montrent des FortiGate compromis servant de point d’entrée pour des mouvements latéraux profonds dans Active Directory, avec exploitation de failles SSO corrigées par Fortinet et carences de logs compliquant l’attribution. • Vulnérabilités et accès initial: exploitation de CVE-2025-59718 et CVE-2025-59719 (SSO ne validant pas les signatures cryptographiques) et de CVE-2026-24858 (FortiCloud SSO), permettant un accès administrateur non authentifié. Des acteurs tentent aussi des connexions avec identifiants faibles. Une fois sur l’appliance, l’attaque consiste à extraire la configuration via la commande show full-configuration et à déchiffrer les identifiants AD/LDAP, les fichiers de configuration FortiOS étant chiffrés de façon réversible. Le délai entre compromission périmétrique et action réseau a varié de 2 mois à quasi immédiat. ...

Selon SECTØR (Flare), l’acteur russophone « Snow », actif sur le forum XSS depuis août 2023, vend et opère des outils offensifs visant les entreprises, dont un pipeline distribué de découverte/attaque de VPN et un « Active Directory Dumper v2.0 ». • Profil et activité: « Snow » a publié 526 messages sur XSS, démontre une forte expertise technique (malware, architecture système, pentest, sécurité d’entreprise) et une motivation principalement financière (vente d’outils, contenus techniques pour soigner sa réputation). Les outils et techniques visent des organisations mondiales, particulièrement aux États‑Unis, en Europe et autres économies « Tier‑1 ». ...

KrebsOnSecurity publie un article sur les assistants/agents basés sur l’IA 🤖, décrits comme des programmes autonomes capables d’accéder à l’ordinateur de l’utilisateur, à ses fichiers et à ses services en ligne, et d’automatiser quasiment n’importe quelle tâche. Les assistants IA autonomes : nouvelle surface d’attaque majeure pour les organisations Contexte Les assistants IA autonomes (“AI agents”) connaissent une adoption rapide auprès des développeurs et des équipes IT. Ces agents peuvent : ...

Source : monxresearch-sec (GitHub Pages). Contexte : publication technique du 8 mars 2026 documentant la compromission supply-chain d’une extension Chrome « Featured » (ShotBird) transformée en canal de commande/contrôle et en tremplin vers une compromission hôte Windows. Nature de l’attaque : compromission de chaîne d’approvisionnement d’une extension Chrome suivie d’abus en navigateur (injection de fausses mises à jour, capture de formulaires) et pivot vers l’hôte via un faux installeur. L’extension (ID: gengfhhkjekmlejbhmmopegofnoifnjp) aurait changé d’opérateur fin 2025-début 2026, puis a commencé à baliser vers une infra attaquante, exécuter des scripts de tâches distants, supprimer des en-têtes de sécurité, et pousser des scénarios de mise à jour factices. ...

Selon The guardian, l’Iran cible des centres de données commerciaux situés aux Émirats arabes unis et à Bahreïn, ce qui constituerait une nouvelle frontière de la guerre asymétrique. Des frappes de drones contre des datacenters remettent en question l’ambition du Golfe comme superpuissance de l’IA Des frappes de drones attribuées à l’Iran contre des datacenters commerciaux d’Amazon Web Services (AWS) aux Émirats arabes unis et à Bahreïn pourraient marquer une nouvelle étape dans la guerre moderne : le ciblage direct des infrastructures numériques civiles. ...

Source: Infoblox (blog Threat Intelligence). Contexte: publication détaillant des campagnes de phishing qui exploitent le TLD .arpa via IPv6 et d’autres tactiques pour contourner les défenses, avec IOCs et schémas techniques. — Les acteurs abusent du TLD .arpa (réservé aux usages d’infrastructure DNS, notamment les reverse DNS en ip6.arpa) en créant, chez certains fournisseurs DNS, des enregistrements A sur des noms de reverse IPv6, ce qui ne devrait pas être possible. En obtenant un espace d’adresses IPv6 (souvent via des tunnels IPv6 gratuits) et la délégation du sous-domaine ip6.arpa correspondant, ils évitent d’ajouter des PTR et créent des A records qui pointent vers du contenu hébergé (souvent derrière l’edge Cloudflare), tirant parti de la confiance implicite accordée au TLD .arpa. ...

Contexte — BleepingComputer rapporte que l’avocat général de la Cour de justice de l’Union européenne (CJUE), Athanasios Rantos, a émis un avis formel suggérant que les banques doivent procéder à un remboursement immédiat des titulaires de compte affectés par des transactions non autorisées, y compris lorsque la faute leur est imputable. Avis de la CJUE : les banques devraient rembourser immédiatement les victimes de phishing Contexte L’avocat général de la Cour de justice de l’Union européenne (CJUE), Athanasios Rantos, a rendu un avis juridique indiquant que les banques doivent rembourser immédiatement les clients victimes de transactions non autorisées, même lorsque la fraude résulte d’une erreur de l’utilisateur. ...

Source: VulnCheck — Exploit Intelligence Report 2026. Ce rapport rétrospectif et chiffré dresse le panorama de l’exploitation des vulnérabilités en 2025 (500+ sources, 2 douzaines d’indices VulnCheck), en priorisant l’exploitation in‑the‑wild, la maturité des exploits et le comportement des attaquants. Chiffres clés et tendances 48 174 CVE publiées en 2025 (83% avec identifiant 2025) ; ~1% exploitées in‑the‑wild à fin 2025. 14 400+ exploits pour des CVE 2025 (+16,5% YoY), mais >98% restent des PoC non weaponized ; 417 exploits weaponized (majoritairement privés/commerciaux). 884 vulnérabilités ajoutées au VulnCheck KEV en 2025 (47,7% avec identifiant 2025) ; 28,96% exploitées le jour de la publication CVE ou avant. Ransomware: 39 CVE 2025 attribuées, 56,4% découvertes via exploitation zero‑day ; 1/3 sans exploit public/commercial au 01/2026. Montée du bruit IA: prolifération de faux/faux‑positifs PoC générés par IA, contaminant l’écosystème (ex: premiers PoC React2Shell non fonctionnels largement relayés). Vulnérabilités phares 2025 ...

Source : Black Hills Information Security (blog) — Dans un billet daté du 4 mars 2026, Ben Bowman présente une technique de persistance Linux exploitant le framework PAM et dévoile l’outil open source « PAM Skeleton Key » destiné aux tests d’intrusion (Red Team). L’auteur explique que PAM gère l’authentification pour des services comme SSHD, recevant les identifiants en clair pour appliquer des politiques définies (ex. /etc/pam.d/sshd). En substituant un module PAM par une version malveillante, il devient possible d’implanter un mot de passe universel (skeleton key) pour tous les comptes et de capturer les identifiants avant chiffrement, puis de les exfiltrer. ...