Posts

Source : Palo Alto Networks – Unit 42, Global Incident Response Report 2026 (février 2026). Dans plus de 750 interventions IR menées en 2025, le rapport met en évidence quatre tendances majeures: l’IA comme multiplicateur de force, l’identité comme périmètre effectif, l’extension du risque supply chain via connectivités de confiance (SaaS, outils, dépendances), et l’adaptation des acteurs étatiques à l’infrastructure et à la virtualisation. Plus de 90% des brèches ont été permises par des expositions évitables (visibilité limitée, contrôles inégaux, confiance d’identité excessive), et 87% des intrusions ont touché plusieurs surfaces d’attaque. ...

Source : Tech Xplore (20 février 2026), relayant des travaux du Georgia Institute of Technology présentés à l’ACM CCS 2025. L’article décrit une nouvelle attaque de backdoor contre les SuperNets d’IA utilisées par les véhicules autonomes, baptisée VillainNet. Les chercheurs expliquent que les SuperNets fonctionnent comme un « couteau suisse » d’IA, activant au besoin des sous-réseaux spécialisés. L’attaque empoisonne un seul de ces sous-réseaux, reste dormante tant qu’il n’est pas sollicité, puis se déclenche sous des conditions spécifiques (ex. réponse de l’IA à la pluie) 🚗🌧️. Une fois activée, l’attaque est « presque certaine » de réussir, offrant un contrôle au pirate sur le véhicule. ...

Source et contexte : Dark Reading (article de Robert Lemos, 20 fév. 2026) rapporte les leçons de deux années de recherches menées par Hillai Ben Sasson et Dan Segev (Wiz) sur les failles de l’infrastructure IA, avec une présentation prévue à RSAC en mars. Leur message clé : se concentrer sur les vulnérabilités d’infrastructure plutôt que sur le seul prompt injection, alors que de nouveaux services (ex. MCP) arrivent avec de nombreuses failles sous-jacentes. ...

Selon Reuters (citant le Financial Times), des scans de plus de 700 passeports et cartes d’identité liés à l’Abu Dhabi Finance Week (ADFW) ont été trouvés sur un serveur de stockage cloud non protégé, accessible via un simple navigateur web. • 🔓 Nature de l’incident: exposition de données due à un serveur cloud non sécurisé associé à l’ADFW, un événement ayant réuni plus de 35 000 participants en décembre. Les documents exposés comprenaient des scans de passeports et de cartes d’identité d’État. ...

Selon l’équipe Mobile Threat Intelligence (MTI), une nouvelle famille de malware Android baptisée « Massiv » a été observée dans des campagnes ciblées, principalement en Europe, se faisant passer pour des applications IPTV afin de prendre le contrôle des appareils et mener des fraudes bancaires. • Nature de la menace. Massiv est un trojan bancaire Android axé Device Takeover (DTO), sans liens directs avec des menaces connues. Il combine overlays, keylogging, interception SMS/Push et un contrôle à distance complet de l’appareil, avec un C2 en WebSocket et opérations en screen streaming (MediaProjection) ou en mode UI-tree (traversée Accessibility pour contourner les protections anti-capture). ...

ESET Research (WeLiveSecurity) publie l’analyse de PromptSpy, « premier » malware Android observé à intégrer de l’IA générative dans son flux d’exécution. Découvert en février 2026, il s’appuie sur Google Gemini pour guider des interactions d’interface contextuelles et maintenir la persistance, tout en déployant un module VNC pour un accès à distance complet. Les échantillons semblent viser prioritairement l’Argentine et pourraient avoir été développés dans un environnement sinophone. 🧪 Fonctionnalité IA générative (Gemini) 🤖: PromptSpy sérialise en XML l’état courant de l’UI (texte, types, packages, bounds) et l’envoie à Gemini, qui renvoie des instructions JSON (taps, swipes, long press) pour exécuter le geste « verrouiller l’app dans les applications récentes » — un mécanisme de persistance résistant aux variations d’UI selon les modèles et versions Android. Le malware boucle jusqu’à confirmation explicite de réussite par l’IA. ...

Selon The Register, le gang ShinyHunters a publié sur son site de fuite une revendication de brèche chez CarGurus, annonçant le vol de 1,7 million d’enregistrements « corporate » et posant un ultimatum au 20 février 2026, avec menace de divulgation et d’autres « problèmes numériques ». Le collectif affirme que l’intrusion s’est produite le 13 février et s’inscrit dans une série de vols de code où des attaques de voice phishing (vishing) ont servi à obtenir des codes de Single Sign-On (SSO) auprès d’utilisateurs des services Okta, Microsoft et Google. Les données compromises incluraient, selon les cybercriminels, des informations personnellement identifiables (PII) et d’autres données internes. CarGurus n’a pas répondu aux sollicitations de The Register au moment de la publication. ...

Selon The Cyber Express, Advantest a confirmé une cyberattaque après la détection d’un ransomware le 15 février, et mène actuellement une enquête pour évaluer l’ampleur de l’incident. Type d’attaque: ransomware Date de détection: 15 février Statut: enquête en cours Axes d’investigation: accès réseau, exposition de données, impact potentiel sur l’organisation 🔎 L’entreprise examine comment le réseau a pu être accédé, si des données ont été exposées, et l’impact opérationnel associé. ...

Source: LayerX — Publication de recherche détaillant une campagne d’extensions Chrome malveillantes se faisant passer pour des assistants IA grand public et des outils Gmail. 🚨 Des chercheurs de LayerX ont mis au jour une campagne coordonnée impliquant 30 extensions Chrome (dont certaines « Featured » sur le Chrome Web Store) usurpant Claude, ChatGPT, Gemini, Grok et divers outils « AI Gmail ». Ces extensions partagent le même code, les mêmes permissions et la même infrastructure backend (tapnetic[.]pro), totalisant 260 000+ installations. Leur architecture délègue les fonctions clés à des iframes distantes contrôlées côté serveur, permettant de modifier le comportement sans mise à jour du Store. ...

Selon une alerte officielle de la CISA (agence américaine de cybersécurité), une vulnérabilité critique affecte plusieurs produits CCTV Honeywell, autorisant un accès non authentifié aux flux vidéo ou le détournement de comptes. Honeywell CCTV – vuln critique d’authentification (CVE-2026-1670) Résumé CISA alerte sur CVE-2026-1670, une vulnérabilité critique (CVSS 9.8) de type “Missing Authentication for Critical Function” (CWE-306) affectant plusieurs produits Honeywell CCTV. Le problème provient d’un endpoint API accessible sans authentification permettant à un attaquant distant de modifier l’adresse e-mail de récupération (“forgot password”) d’un compte associé à l’équipement. Cela peut mener à une prise de contrôle de compte et à un accès non autorisé aux flux vidéo. :contentReference[oaicite:0]{index=0} ...