IoT

🌐 Contexte Le 21 mars 2026, Security Affairs rapporte qu’une opération internationale coordonnée par le Département de Justice américain (DoJ) a ciblé l’infrastructure de commandement et contrôle (C2) de plusieurs botnets IoT majeurs : AISURU, Kimwolf, JackSkid et Mossad. L’opération a impliqué des autorités du Canada et de l’Allemagne, ainsi que des entreprises technologiques privées. 🎯 Botnets ciblés et ampleur Les quatre botnets ont infecté plus de 3 millions d’appareils dans le monde, principalement des équipements IoT (caméras, routeurs). Ils opéraient selon un modèle cybercrime-as-a-service, louant l’accès aux appareils compromis pour lancer des attaques DDoS massives : ...

Selon bka.de, dans un communiqué du 20 mars 2026, la ZACNRW et le Bundeskriminalamt (BKA) ont mené le 19/03/2026 une opération internationale avec le Canada et les États‑Unis pour démanteler deux des plus grands botnets actuels, Aisuru et Kimwolf. 🚔 Les autorités ont neutralisé l’infrastructure technique mondialement répartie des deux botnets. Deux administrateurs présumés ont été identifiés; des perquisitions ont eu lieu en Allemagne et au Canada, avec saisies de nombreux supports de données et de cryptomonnaies (montant à cinq chiffres). L’action s’inscrit dans des enquêtes de plusieurs mois, techniquement complexes et étroitement coordonnées à l’international. ...

Selon Black Lotus Labs (Lumen), dans une publication du 10 mars 2026, un nouveau malware nommé KadNap cible principalement des routeurs Asus pour bâtir un botnet d’environ 14 000 appareils, utilisé comme proxy criminel via le service « Doppelganger ». Lumen indique avoir bloqué proactivement le trafic vers/depuis l’infrastructure de contrôle et publiera des IoCs. • Découverte et ampleur 🕵️‍♂️ Depuis août 2025, KadNap a été observé à grande échelle, avec une moyenne quotidienne de 14 000 victimes et 3–4 C2 actifs. Plus de 60 % des victimes sont aux États‑Unis; d’autres se trouvent à Taïwan, Hong Kong et Russie. Bien que visant surtout les routeurs Asus, le botnet affecte aussi d’autres équipements réseau en périphérie. L’opérateur segmente ses C2 par type/modèle d’appareil. ...

Selon The Verge, DJI a décidé de récompenser de 30 000 $ le chercheur Sammy Azdoufal après la mise en lumière d’un accès à un réseau d’environ 7 000 aspirateurs robots Romo, tout en précisant avoir déjà corrigé une faille de visualisation de flux vidéo sans PIN et en préparer d’autres correctifs. • Paiement et attribution 🎁 — DJI confirme avoir « récompensé » un chercheur (sans le nommer) et, d’après l’email partagé avec The Verge, versera 30 000 $ pour une seule découverte, sans préciser laquelle. Ce développement intervient après la révélation mi-février d’un accès à des milliers de Romo permettant d’observer l’intérieur de foyers. ...

Sur un billet de blog technique daté du 6 mars 2026, l’auteur décrit le processus ayant mené à l’obtention d’un shell sur la caméra TP-Link Tapo C260, en documentant trois vulnérabilités liées (CVE-2026-0651, CVE-2026-0652, CVE-2026-0653). Un avis de TP-Link couvre les bases, tandis que l’article expose le cheminement de découverte et l’enchaînement d’exploits. Découverte LFD (CVE-2026-0651) 🔓 L’analyse statique de /bin/main (serveur HTTP intégré avec gestion SOAP/ONVIF) révèle un gestionnaire GET qui concatène le chemin demandé à « /www » après un simple décodage d’URL, sans aucune sanitisation. Le décodage de « ../ » permet une traversée de répertoires conduisant à une divulgation de fichiers locaux (LFD). L’accès nécessite une session authentifiée, mais un compte invité suffit. ...

Selon KrebsOnSecurity (23 janvier 2026), le botnet IoT Kimwolf s’est rapidement étendu fin 2025 en abusant de services de proxies résidentiels pour pivoter vers les réseaux locaux, avec une présence notable dans des réseaux d’administrations et d’entreprises. • Nature de la menace: Kimwolf est un botnet IoT ayant infecté plus de 2 millions d’appareils, utilisés pour des attaques DDoS massives et le relais de trafic malveillant (fraude publicitaire, prises de contrôle de comptes, scraping de contenu). Sa capacité à scanner les réseaux locaux des points d’accès compromis lui permet d’infecter d’autres IoT à proximité. ...

Selon HackRead, le groupe de hackers RondoDox exploite la vulnérabilité React2Shell dans Next.js pour mener des attaques à grande échelle. 🚨 Nature de l’attaque: Exploitation active d’une faille baptisée React2Shell au sein de Next.js par le groupe RondoDox. 📈 Impact: Plus de 90 000 appareils sont visés, incluant des routeurs, des caméras intelligentes et des sites web de petites entreprises. 🧩 Vecteur: L’attaque repose sur l’exploitation de la faille React2Shell dans le framework Next.js. ...

Contexte: Billet de blog d’un chercheur en sécurité détaillant plusieurs failles majeures dans l’écosystème Petlibro (distributeurs, fontaines et caméras connectés), utilisés par des millions de propriétaires d’animaux. 🚨 Principales vulnérabilités: Bypass d’authentification (prise de compte complète) via l’endpoint social login qui ne vérifiait pas les tokens OAuth et acceptait un identifiant Google côté client. Absence de contrôle d’accès sur l’endpoint de détail des animaux permettant de consulter les informations de n’importe quel animal via son identifiant. Exposition d’informations d’appareils (numéro de série, adresse MAC, nom du produit) récupérables à partir d’un ID d’animal lié. Prise de contrôle d’appareils: les API d’appareils acceptaient n’importe quel numéro de série sans vérification de propriété (programmation des repas, déclenchement manuel, accès caméra, réglages, etc.). Accès à des enregistrements audio privés en raison d’identifiants séquentiels et d’une API permettant d’associer n’importe quel audio à n’importe quel appareil, puis de récupérer l’URL. Ajout non autorisé de co-propriétaires: contrôle en place seulement pour la suppression, pas pour l’ajout. 🎯 Impacts mentionnés: ...

Source : CNIL — Le 22 décembre 2025, la CNIL explique le règlement européen sur les données (Data Act), qui encadre le partage et l’utilisation des données générées par les objets connectés, en l’articulant avec le RGPD et le DGA. Le Data Act vise une économie de la donnée plus ouverte et compétitive, en fixant des règles équitables d’accès et d’usage pour toutes les données (personnelles ou non) issues des objets connectés et de leurs services associés. Il précise qui peut utiliser quelles données et comment, tout en prévoyant que, en cas de contradiction, le RGPD prévaut dès lors que des données personnelles sont en jeu. Il tient compte du Digital Governance Act (DGA) et de ses intermédiaires de confiance. 📡🧩 ...

Selon TechCrunch, le fabricant Kohler, à l’origine d’une caméra pour toilettes connectées, indique pouvoir accéder aux données des clients hébergées sur ses serveurs et utiliser des photos de cuvette pour entraîner une intelligence artificielle. L’article met en avant des enjeux de confidentialité et de gestion des données autour d’un produit IoT doté d’une caméra. Kohler peut accéder aux données clients stockées sur ses serveurs. Le média précise que l’entreprise peut également utiliser des photos du contenu du bol prises par l’appareil pour entraîner une IA. 📸🤖 ...