Posts

🗓️ Contexte Article publié le 21 juin 2026 par Hudson Rock via la plateforme Infostealers. Il s’agit d’une analyse technique approfondie de la campagne FortiBleed, initialement divulguée par Hudson Rock, portant sur la compromission de 75 000 firewalls Fortinet FortiGate exposés sur internet, couvrant 21 632 domaines. ⚙️ Mécanisme d’attaque Les attaquants ont adopté un pipeline entièrement automatisé et assisté par IA : Collecte : exfiltration de fichiers de configuration chiffrés depuis des appareils Fortinet exposés Infrastructure de craquage : location de 36 GPU enterprise (3 instances × 4 GPU + 3 instances × 8 GPU) sur la plateforme Vast.ai, pour un coût d’environ 14,40 $/heure (~350 $/jour) Orchestration : gestion du cluster via un bot Telegram et le framework open source Hashtopolis Développement : scripts et bots écrits avec l’éditeur de code assisté par IA Cursor Post-exploitation : utilisation de frameworks de pentest agentiques open source pour l’énumération Active Directory 🔢 Performances cryptographiques Hachages SHA-256 salés (legacy Fortinet) : jusqu’à 720 milliards de hachages/seconde → mots de passe complexes épuisés en quelques minutes PBKDF2 (FortiOS récent) : entre 180 et 360 millions de hachages/seconde → attaques par dictionnaire et règles ciblées en quelques secondes Résultat : craquage de ~143 000 hachages Kerberos et ~33 000 hachages NetNTLM ciblant des contrôleurs de domaine internes 🌐 Impact supply chain Les firewalls compromis servent de beachheads pour pivoter latéralement vers des fournisseurs tiers, MSPs et partenaires de confiance, transformant une compromission périmétrique en crise de chaîne d’approvisionnement en cascade. ...

🔍 Contexte Le 20 juin 2026, la société ZenoX publie une analyse technique approfondie de la campagne FortiBleed, après avoir reçu le 19 juin 2026 l’accès à un répertoire de travail laissé exposé sur internet par les opérateurs eux-mêmes. Ce répertoire contenait environ 318 fichiers constituant l’intégralité de l’infrastructure offensive : outils, scripts, listes de cibles, journaux opérationnels et données volées. 🎯 Périmètre de la campagne La campagne FortiBleed est une opération de vol de credentials à l’échelle industrielle ciblant les firewalls et concentrateurs SSL-VPN Fortinet FortiGate. Les chiffres clés : ...

📰 Contexte Le 16 juin 2026, le ministère des Sports, de la Jeunesse et de la Vie associative a communiqué sur un incident de cybersécurité ayant touché JeVeuxAider.gouv.fr, la plateforme publique du bénévolat gérée par la Réserve civique. 🔍 Nature de l’incident Un acteur malveillant non identifié a exploité une vulnérabilité de sécurité présente sur la plateforme, permettant une extraction de données en lecture seule. Environ 550 000 comptes sont concernés. ...

🎯 Contexte Analyse publiée le 20 juin 2026 par Cyber Press, basée sur des recherches d’ESET, Group-IB et PRODAFT, portant sur la suite EDR killer du groupe Gentlemen, un opérateur de ransomware-as-a-service (RaaS) apparu fin 2025 et classé parmi les cinq groupes ransomware les plus actifs au T1 2026. 👤 Acteurs et structure Le groupe a été fondé par un acteur connu sous le pseudonyme hastalamuerte, ancien affilié de Qilin, avec des liens documentés vers LockBit, Embargo, Medusa et BlackLock. Brian Krebs a publié des éléments d’identification réelle de cet acteur le 10 juin 2026. Le groupe propose à ses affiliés une part de revenus de 90%. ...

🔍 Contexte Publié le 21 juin 2026 sur le blog officiel de Recorded Future, cet article constitue une communication de transparence adressée aux clients et partenaires de la plateforme CTI, suite à un incident de sécurité impliquant un prestataire tiers. 📅 Chronologie de l’incident 12 juin 2026 : début de l’activité non autorisée dans l’environnement de Klue, fournisseur marketing tiers, contenue le même matin 17 juin 2026 : confirmation par Recorded Future que des éléments de son compte Salesforce ont été compromis via un token OAuth compromis lié à l’intégration Salesforce-Klue Semaine du 21 juin 2026 : notification au CSIRT de Recorded Future et publication de la communication 🎯 Nature de l’attaque L’attaque a ciblé la couche d’intégration entre Klue et d’autres plateformes SaaS marketing et commerciales. Le vecteur d’accès identifié est un token OAuth compromis associé à l’intégration entre Salesforce et Klue. Recorded Future n’était pas une cible spécifique mais une victime incidente. ...

🔍 Contexte Publié le 21 juin 2026 sur GitHub (struppigel/hedgehog-tools), ktrace est un outil de traçage d’API pour drivers Windows en mode noyau, développé à l’aide d’une approche semi-automatisée (“vibe-coded”) combinant analyse manuelle et génération assistée par IA. 🛠️ Description de l’outil ktrace s’appuie sur l’émulateur Speakeasy (speakeasy-emulator) pour émuler l’exécution de fichiers .sys (drivers Windows) et capturer les appels aux API du noyau. L’outil a été conçu et validé à partir de l’analyse manuelle d’environ 20 rootkits en mode noyau et drivers, avec un corpus de test de 100 drivers soumis à un timeout de 30 secondes par échantillon. ...

📰 Source : Numerama, publié le 16 juin 2026. Article de presse spécialisée couvrant une décision institutionnelle européenne à portée géopolitique. 🌍 Contexte géopolitique : L’Ukraine subit des cyberattaques russes de manière quasi-continue depuis le début de l’invasion généralisée en 2022. Dans ce contexte, le Conseil de l’UE a approuvé le 15 juin 2026 l’intégration de l’Ukraine à la réserve de cybersécurité de l’Union européenne, mécanisme géré par l’ENISA (Agence de l’Union européenne pour la cybersécurité). ...

🗞️ Contexte Source : Politico.eu — Article publié le 16 juin 2026. Le Premier ministre français Sébastien Lecornu annonce, à la veille du salon VivaTech, la sélection de ChapsVision pour remplacer Palantir au sein de la Direction générale de la Sécurité intérieure (DGSI). 🔍 Faits principaux La DGSI utilise les services de Palantir depuis 2016 pour l’analyse de données de renseignement. Le contrat Palantir a été renouvelé en décembre 2025 et court en principe jusqu’en 2028. ChapsVision, entreprise française, a été retenue à l’issue d’un partenariat d’innovation lancé en 2022. Le périmètre de déploiement de ChapsVision couvre : DGSI, douanes, police et gendarmerie. La transition est estimée entre 1 et 3 ans, afin d’éviter un « trou capacitaire ». 🌍 Dimension géopolitique Cette décision s’inscrit dans une logique de souveraineté numérique, le renouvellement du contrat Palantir ayant suscité des inquiétudes quant à la protection des données sensibles traitées par les services de renseignement. Les services de renseignement allemands ont également annoncé adopter la solution ChapsVision pour l’analyse de leurs données. 💬 Réactions Palantir affirme que son contrat « reste pleinement en vigueur ». Olivier Dellenbach, PDG de ChapsVision, qualifie la décision d’« immense victoire pour ChapsVision et pour l’Europe ». 📌 Nature de l’article Article de presse généraliste à dimension cybergéopolitique, relatant une décision institutionnelle française visant à réduire la dépendance technologique envers un fournisseur américain pour des systèmes critiques de renseignement. ...

📰 Source : BleepingComputer, article de Bill Toulas publié le 18 juin 2026. L’article rapporte la confirmation par Nintendo of America d’un incident de sécurité impliquant un prestataire tiers. 🎯 Contexte de l’incident Nintendo of America a confirmé que des données ont été volées via TinyPulse, une plateforme d’enquêtes internes pour les employés, appartenant à WebMD Health Services. Nintendo précise que ses propres systèmes n’ont pas été compromis et qu’aucune donnée client ou financière n’a été exposée. ...

🔍 Contexte Publié le 17 juin 2026 par CloudSEK, ce rapport documente l’Opération Escaneo, une campagne d’intrusion coordonnée et multi-étapes découverte lors d’une analyse de routine d’infrastructure malveillante. Un serveur de staging exposé hébergé sur 62.171.185.97 a permis de cartographier l’ensemble des capacités offensives du groupe. 🎯 Attribution et ciblage La campagne est attribuée avec une confiance moyenne au groupe MexicanMafia aka PanchoVilla, un acteur connu pour des attaques antérieures contre des institutions mexicaines (2024). Les secteurs ciblés incluent : ...