Posts

🔍 Contexte Le 19 avril 2026, Vercel a publié un bulletin de sécurité officiel sur son site (vercel.com/kb/bulletin) signalant un incident de sécurité actif impliquant un accès non autorisé à certains systèmes internes. L’enquête est en cours avec l’appui d’experts en réponse à incident, et les autorités ont été notifiées. 🎯 Vecteur d’attaque identifié L’investigation a révélé que l’incident trouve son origine dans la compromission d’une application OAuth Google Workspace appartenant à un outil IA tiers comptant des centaines d’utilisateurs. Ce vecteur a permis un accès non autorisé aux systèmes internes de Vercel. ...

🔍 Contexte L’AI Security Institute (AISI) du Royaume-Uni a publié le 19 avril 2026 une évaluation des capacités cybersécurité du modèle Claude Mythos Preview d’Anthropic. Cette évaluation s’inscrit dans un suivi continu des capacités cyber des IA depuis 2023, avec des environnements de test progressivement plus complexes. 📊 Résultats CTF (Capture The Flag) Sur les tâches de niveau expert (aucun modèle ne pouvait les résoudre avant avril 2025), Mythos Preview réussit 73% du temps Les évaluations couvrent des modèles depuis GPT-3.5 Turbo jusqu’à Mythos Preview, avec des budgets de tokens allant jusqu’à 50M tokens pour les niveaux expert 🏭 Résultats sur le cyber range « The Last Ones » (TLO) TLO est une simulation d’attaque réseau d’entreprise en 32 étapes, estimée à 20 heures de travail humain Claude Mythos Preview est le premier modèle à résoudre TLO de bout en bout, dans 3 tentatives sur 10 En moyenne, il complète 22 étapes sur 32 sur l’ensemble de ses tentatives Le modèle suivant, Claude Opus 4.6, complète en moyenne 16 étapes Les performances continuent de progresser avec l’augmentation du budget de tokens (jusqu’à 100M tokens testés) ⚠️ Limites observées Mythos Preview n’a pas pu compléter le cyber range « Cooling Tower » (axé sur les technologies opérationnelles / OT), bien que le blocage soit survenu sur des sections IT Les environnements de test sont plus simples que le monde réel : absence de défenseurs actifs, d’outils de détection, et aucune pénalité pour les actions déclenchant des alertes 🎯 Implications CTI Le modèle est capable d’attaquer de manière autonome des systèmes d’entreprise faiblement défendus si un accès réseau lui est fourni Les évaluations futures intégreront des environnements durcis et défendus (EDR, SOC actif, réponse à incident en temps réel) L’AISI prévoit également de tester les capacités de découverte de vulnérabilités et de pentest sur des systèmes réels 📄 Type d’article Il s’agit d’une publication de recherche officielle de l’AISI visant à documenter l’évolution des capacités offensives des modèles d’IA frontier et à informer la communauté cybersécurité sur les risques émergents liés à l’IA autonome. ...

🗞️ Contexte Article d’opinion publié le 19 avril 2026 par Jessica Lyons sur The Register, portant sur la posture des grands éditeurs d’IA face aux vulnérabilités découvertes dans leurs produits. 🔍 Faits principaux Des chercheurs ont démontré que trois agents IA populaires intégrés à GitHub Actions peuvent être détournés pour voler des clés API et des jetons d’accès : Anthropic Claude Code Security Review Google Gemini CLI Action Microsoft GitHub Copilot Les trois éditeurs ont versé des bug bounties : ...

🗞️ Contexte Article de presse d’investigation publié le 17 avril 2026 par WIRED (auteurs : Noah Shachtman et Robert Silverman), basé sur des témoignages de sept employés actuels et anciens, des rapports internes confidentiels et des messages Signal, ainsi qu’une plainte judiciaire déposée en 2025 par un ancien membre de l’équipe de sécurité de MSG. 🎯 Système de surveillance Depuis 2018, Madison Square Garden (MSG) déploie une technologie de reconnaissance faciale dans ses enceintes (Madison Square Garden, Radio City Music Hall, Sphere de Las Vegas). Le système est piloté par John Eversole, chef de la sécurité corporative, ancien senior director of global investigations chez Oracle. ...

🌐 Contexte Publié le 17 avril 2026 par DomainTools, ce rapport constitue une analyse de menace approfondie portant sur l’évolution des personas cyber Homeland Justice, Karma/KarmaBelow80 et Handala, évalués à haute confiance comme constituant un écosystème cyber-influence coordonné aligné sur le MOIS (Ministry of Intelligence and Security iranien). 🎭 Attribution et structure L’analyse établit que ces trois personas ne sont pas des groupes hacktivistes indépendants mais des couches opérationnelles d’un appareil centralisé unique. Un individu nommé Seyed Yahya Hosseini Panjaki, affilié au MOIS, est identifié comme occupant une fonction de commandement au sein de cette structure. Chaque persona remplit un rôle distinct : ...

📰 Source : NRK (média public norvégien), publié le 15 avril 2026. L’article rapporte la découverte et la divulgation responsable d’une vulnérabilité de configuration dans le réseau mobile de Telia Norvège, opérateur comptant environ 2 millions d’abonnés. 🔍 Découverte de la faille Le 20 mars 2026, le chercheur en sécurité Harrison Sand, employé de la société norvégienne Mnemonic, découvre la faille lors d’investigations sur l’abus du réseau téléphonique à des fins de fraude par SMS. En passant un appel vers un journaliste de NRK, il constate que Telia transmet spontanément l’identifiant de la station de base à laquelle le téléphone appelé est connecté. ...

🗓️ Contexte Source : Malwarebytes (blog officiel), publié le 14 avril 2026. L’article présente une analyse d’un nouveau logiciel malveillant de type infostealer nommé Omnistealer, dont la particularité principale est l’utilisation de blockchains publiques comme infrastructure de commande et contrôle (C2). 🔗 Technique d’hébergement via la blockchain Contrairement aux infostealers classiques qui stockent leurs charges utiles sur des plateformes supprimables (GitHub, PyPI, npm, Google Docs, OneDrive), Omnistealer encode des fragments de code malveillant, du texte chiffré et des commandes codées directement dans des transactions blockchain sur : ...

🗞️ Contexte Article de presse spécialisée publié le 11 avril 2026 par PCMag, basé sur des informations exclusives fournies par les chercheurs de Ransom-ISAC et Crystal Intelligence. L’enquête a débuté lorsque le vice-président ingénierie de Crystal Intelligence a reçu une fausse offre d’emploi sur LinkedIn, révélant une campagne d’attaque d’envergure mondiale. 🎯 Description de l’attaque La chaîne d’attaque repose sur plusieurs étapes : Vecteur initial : fausses offres d’emploi diffusées via LinkedIn, Upwork, Telegram et Discord, ciblant des développeurs freelance (notamment en Inde et en Asie du Sud) Infection : les cibles sont invitées à exécuter du code depuis des dépôts GitHub infectés Infrastructure C2 blockchain : le code malveillant contacte les blockchains TRON ou Aptos pour récupérer un pointeur vers la Binance Smart Chain, qui héberge le payload final Persistance : le malware est encodé dans des transactions blockchain, le rendant impossible à supprimer et de plus en plus difficile à tracer 🦠 Malware : Omnistealer Le malware baptisé Omnistealer est compatible avec : ...

🗓️ Contexte Publié le 17 avril 2026 sur IT-Connect par Florian Burnel, cet article traite de deux nouvelles vulnérabilités affectant PHP Composer, l’outil de gestion de dépendances très répandu dans l’écosystème PHP. 🔍 Vulnérabilités identifiées Deux failles de sécurité ont été divulguées, toutes deux localisées dans le pilote VCS (Version Control System) Perforce de Composer : CVE-2026-40176 (CVSS : 7.8/10) : vulnérabilité de mauvaise validation des entrées. Un attaquant contrôlant la configuration d’un dépôt via un fichier composer.json malveillant déclarant un dépôt Perforce VCS peut injecter des commandes arbitraires, exécutées avec les privilèges de l’utilisateur lançant Composer. CVE-2026-40261 (CVSS : 8.8/10) : vulnérabilité d’échappement inadéquat. Elle permet l’injection de commandes via une référence de source manipulée contenant des métacaractères shell. ⚠️ Ces failles sont exploitables même si Perforce VCS n’est pas installé sur la machine cible. ...

🔍 Contexte Source : Breakglass Intelligence (intel.breakglass.tech), publiée le 17 avril 2026. L’analyse fait suite à la détection d’un pull de configuration malveillante en direct le 16 avril 2026, pointant vers un serveur C2 à 137.220.153.175:886. L’investigation a permis de reconstituer l’intégralité de la chaîne d’infection en quelques heures. 🎯 Acteur et ciblage Silver Fox APT (alias Void Arachne / CL-STA-0048 / UTG-Q-1000) est un groupe chinois principalement connu pour le déploiement de ValleyRAT (aussi classifié Winos 4.0), un dérivé de Gh0st RAT. Historiquement centré sur les victimes sinophones, le groupe a étendu ses opérations au Japon, à la Malaisie et à l’Asie du Sud-Est depuis décembre 2025. Cette campagne cible spécifiquement des victimes japonaises via un leurre de facture Rakuten en langue japonaise. ...