Posts

📋 Contexte Le 9 juin 2026 (mise à jour le 16 juin 2026), Dell Technologies a publié l’avis de sécurité DSA-2026-197 concernant une vulnérabilité affectant le BIOS de multiples plateformes client Dell. La source est le portail officiel de support Dell (knowledge base article 000453482). 🔍 Vulnérabilité identifiée CVE : CVE-2026-40639 Type : Weak Encoding for Password (encodage faible des mots de passe) Score CVSS 3.1 : 5.7 (Medium) Vecteur CVSS : CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N Impact : Un attaquant non authentifié disposant d’un accès physique à la machine peut potentiellement exploiter cette vulnérabilité pour réaliser une élévation de privilèges. 🖥️ Produits affectés (sélection) Dell Edge Gateway 3000 / 5000 Dell Embedded PC 3000 / 5000 Dell Precision 3630 Tower, 3930 Rack, 5540 Latitude 3190, 3190 2-in-1, 3310, 3310 2-in-1 Latitude 7220 Rugged Extreme, Latitude Rugged 5420, 5424, 7220EX, 7424 OptiPlex 7070 UFF 🛠️ Versions corrigées Chaque produit dispose d’une version BIOS corrigée disponible sur le site Drivers & Downloads de Dell, publiées entre le 04/06/2026 et le 16/06/2026. ...

🔍 Contexte Publié le 16 juin 2026 par OALABS (OpenAnalysis), cet article présente une analyse forensique inédite de plus de 1 000 sessions d’agents IA récupérées sur un serveur compromis ayant servi de pivot à un attaquant. La source primaire est le répertoire de travail de l’attaquant, copié avant nettoyage du serveur. 🧩 Vecteur initial et chaîne de compromission L’attaquant a volé une instance Claude Code appartenant à un développeur tchèque hébergée sur un serveur Hetzner. Ce développeur avait des pratiques de sécurité défaillantes (credentials collés dans les prompts, services exposés sur internet, mots de passe simples). Le 2 février 2026, le serveur du développeur est compromis ; le 16 février 2026, l’intégralité de l’instance Claude (avec tout l’historique de sessions) est copiée sur un hôte Vultr contrôlé par l’attaquant. ...

📅 Article technique publié le 25 mai 2026 par Guillaume Ross sur recyclebin.zip, présentant une solution open-source de détection de secrets en clair sur les postes de travail des développeurs. 🎯 Contexte L’expansion de la surface d’attaque via les gestionnaires de paquets (PyPI, npm, VS Code Extensions, OpenVSX, brew) expose les postes développeurs à des vols de credentials. La prolifération des agents IA qui consomment les mêmes paquets étend ce risque à l’ensemble des postes de travail, y compris non techniques. ...

🗓️ Source : Securelist (Kaspersky) — Publication le 16 juin 2026, auteurs : Maxim Starodubov et Denis Brylev. Contexte Depuis fin 2025 (et confirmé dès août 2025 selon la mise à jour du 17 juin), des acteurs malveillants exploitent Steam Workshop et l’application Wallpaper Engine pour distribuer des malwares à grande échelle. Des dizaines de fonds d’écran malveillants ont été identifiés, chacun ayant été téléchargé des milliers à des dizaines de milliers de fois. ...

📰 Source : EFF (Electronic Frontier Foundation), publié le 18 juin 2026. Cet article constitue un retour d’expérience structuré sur les activités de formation OPSEC (sécurité opérationnelle) menées par l’EFF auprès de communautés à risque, dans le cadre de son travail pro bono. 🎯 Contexte et public cible L’EFF distingue explicitement son approche de celle des entreprises de pentest traditionnelles. Son cycle d’engagement comprend : découverte/modélisation des menaces, investigation OSINT du périmètre numérique, puis formation adaptée au contexte. Les communautés accompagnées incluent des activistes pour l’accès à l’avortement, des défenseurs des droits transgenres, des travailleurs du sexe, des survivants de violences conjugales, des militants pour la justice climatique et des groupes de défense juridique. ...

🔍 Contexte Publié le 19 juin 2026 par The Register, cet article rapporte la divulgation publique d’un exploit BootROM baptisé « usbliter8 », développé par les chercheurs en sécurité de Paradigm Shift. La divulgation a été coordonnée avec Apple avant publication. 🧩 Détails techniques L’exploit cible une vulnérabilité dans le code SecureROM des puces Apple A12 et A13, présentes dans les modèles iPhone XS, XR, 11 et 11 Pro. La faille réside dans le contrôleur USB Synopsys DesignWare utilisé par Apple : une mauvaise gestion de certains paquets USB setup permet une corruption mémoire en mode DFU (Device Firmware Update), conduisant à la prise de contrôle du SecureROM. ...

🌐 Contexte Article de recherche publié le 10 juin 2026 sur kmsec.uk par Kieran Miyamoto, chercheur indépendant en cybersécurité. L’article documente l’utilisation de Google Docs par l’acteur FAMOUS CHOLLIMA (nexus RPDC) pour mener deux campagnes distinctes mais liées. 🎯 Campagnes identifiées FAMOUS CHOLLIMA opère deux campagnes thématiquement similaires : Contagious Interview (aka DevPopper) : fausses offres d’emploi ciblant des développeurs, avec des tâches de codage hébergées sur Bitbucket/GitHub menant à une chaîne d’infection multi-étapes déployant des infostealers (OtterCookie, InvisibleFerret) pour vider des portefeuilles de cryptomonnaies. IT Worker scheme (aka WageMole) : recrutement de « proxy interviewees », des personnes conduisant des entretiens d’embauche à la place d’opérateurs FAMOUS CHOLLIMA pour faciliter l’infiltration d’entreprises. 🔗 Preuve de réutilisation d’actifs entre campagnes Un élément clé de l’analyse est la réutilisation d’une image bannière non-standard (hash de7f4a6cc9faa9e8cd165e77963b278f9c377978b1b4a0be58e41b4b1f4a525b) entre : ...

📰 Source : Blick.ch — Article publié le 21 juin 2026, relayant une alerte de la police cantonale vaudoise datée du 16 juin 2026. 🎯 Contexte de l’attaque Une campagne de fraude physique couplée à du phishing est en cours dans la région de l’Ouest lausannois (Crissier, Renens, Bussigny, Suisse). Des documents frauduleux sont déposés physiquement sur des véhicules ou dans des boîtes aux lettres : Fausses amendes de stationnement imitant la Fondation des parkings Faux avis de passage imitant La Poste Suisse 🔗 Mécanisme d’attaque Chaque document contient un QR code redirigeant vers un site frauduleux : ...

🔍 Contexte Publié le 16 juin 2026 sur le blog personnel BobDaHacker, cet article est un post-mortem détaillé rédigé par un chercheur en sécurité basé à Tokyo. Il décrit la découverte et la divulgation responsable d’une vulnérabilité d’autorisation critique affectant l’infrastructure numérique de la FIFA pendant la Coupe du Monde 2026. 🎯 Vecteur d’accès initial Le chercheur s’est inscrit sur agents.fifa.org (FIFA Agent Platform, ou FAP), un portail public permettant de s’enregistrer comme agent de football. Cette inscription a automatiquement créé un compte dans le tenant Microsoft Entra (Azure AD) partagé de la FIFA, utilisé par l’ensemble des plateformes internes de l’organisation. ...

🔍 Contexte Présentation publiée le 11 juin 2026 par Dominik Phillips et Sebastian Feldmann, membres du CSIRT de Deutsche Bahn AG, dans le cadre de la conférence x33fcon 2026. Le contenu est disponible sur GitHub (threathunters-io). L’objectif est de décrire une approche de fingerprinting d’implants C2 modernes à l’exécution, avec un bon rapport performance/confiance. 🎯 Problématique Les équipes Blue Team détectent aujourd’hui les opérateurs (activité post-compromission) mais rarement l’implant lui-même. Les outils de scan mémoire comme Moneta, PE-Sieve ou Hunt-Sleeping-Beacons sont efficaces mais nécessitent une exécution manuelle et sont déclenchés après détection de l’opérateur. Les artefacts révélateurs (allocations RWX, modules stomped, hooks ntdll, abus de timers/APC, threads anormaux) ne sont pas exposés par les capteurs de sécurité classiques. ...