Open Source

🗓️ Contexte Article de blog publié le 1er mai 2026 par un ancien employé du gouvernement britannique (GDS, NHSX, i.AI), relatant une décision interne de NHS England de fermer la majorité de ses dépôts de code open source publics. 📋 Faits rapportés Un responsable technique senior de NHS England aurait déclaré que l’organisation allait cesser de publier son code en open source et supprimer la plupart de ses dépôts GitHub, en invoquant le risque posé par Mythos, un outil d’IA décrit comme plus sophistiqué dans la détection de vulnérabilités. ...

📰 Source : ZDNet France, publié le 22 avril 2026 par Gabriel Thierry. 🔧 Présentation de l’outil : Un spécialiste en renseignement sur les cybermenaces de l’ANSSI a développé Verifium, une application iOS open source d’audit de sécurité et de confidentialité. L’outil est disponible sur GitHub et son site officiel (verifium.app). Il a été présenté publiquement le 31 mars 2026 via le réseau social Bluesky par le compte @x0rz. ✅ Fonctionnalités : L’application effectue 23 contrôles de sécurité locaux, sans transmission de données hors de l’appareil, couvrant : ...

🗓️ Contexte Article publié le 22 avril 2026 sur le blog personnel de Daniel Stenberg, mainteneur principal du projet curl. Il s’agit d’une analyse de tendance basée sur l’observation directe des soumissions au programme de bug bounty de curl sur HackerOne, ainsi que d’un sondage informel auprès d’autres mainteneurs de projets open source. 📈 Tendance principale : volume et qualité en hausse simultanée Depuis le retour de curl sur HackerOne en mars 2026 (après une fermeture temporaire le 1er février 2026 due aux soumissions de faible qualité générées par IA), la nature des rapports a radicalement changé : ...

🗓️ Contexte Article publié le 7 mars 2025 par SRF (Suisse alémanique), basé sur une analyse de la Haute école spécialisée bernoise (BFH) portant sur les achats publics informatiques de la Confédération suisse et des cantons. 💰 Dépendance financière envers Microsoft Selon le professeur Matthias Stürmer (BFH), la Confédération et les cantons ont versé plus de 1,1 milliard de francs suisses à Microsoft sur dix ans, dont 340 millions rien qu’en 2024, un record. En 2025, 40 000 agents fédéraux seront équipés de Microsoft Office 365. ...

🛡️ Contexte Publié le 19 avril 2026 sur GitHub par le FIND-Lab, AgentWard (玄甲) est un système d’exploitation de sécurité full-stack open source destiné au déploiement fiable et scalable d’agents IA. Il est nativement intégré à la plateforme OpenClaw et conçu pour être étendu à d’autres frameworks d’agents. 🏗️ Architecture AgentWard repose sur une architecture de défense en profondeur hétérogène (DiD) qui restructure le workflow des agents IA en cinq couches de sécurité coordonnées : ...

🔍 Contexte Publié en avril 2026 sur GitHub par BishopFox, Cirro est une plateforme de recherche en sécurité open-source destinée aux chercheurs et aux testeurs d’intrusion. Elle permet de collecter, analyser et visualiser des environnements cloud ainsi que les relations d’identité au travers de bases de données graphes. 🏗️ Architecture et fonctionnalités Cirro repose sur une architecture modulaire articulée autour de deux fonctions principales : cirro collect : collecte d’informations depuis diverses plateformes et APIs cirro graph : gestion des opérations sur la base de données graphe (ingestion, export) L’outil supporte plusieurs méthodes d’authentification pour Azure (Azure CLI, client secret, certificat client, access token, username/password) ainsi que la collecte de données Tailscale pour l’analyse de topologie réseau. ...

📰 Source : PCMag UK | Date : 8 avril 2026 | Contexte : Incident opérationnel affectant la chaîne de distribution logicielle de projets open-source critiques sous Windows. 🔍 Faits principaux Microsoft a suspendu sans préavis explicite les comptes développeurs utilisés par plusieurs projets logiciels open-source majeurs : VeraCrypt (chiffrement de disque) — développeur Mounir Idrassi WireGuard (protocole VPN) — créateur Jason Donenfeld, société Edge Security Windscribe (VPN commercial) Thermotron (fabricant de cartes PCIe) OSR Open Systems Resources (développement kernel Windows) ⚙️ Impact technique Un compte Microsoft Hardware Developer est requis pour certifier les drivers tiers sous Windows 10/11. Sans signature valide, le système d’exploitation bloque le chargement des drivers au niveau kernel. Les développeurs concernés ne peuvent plus : ...

🎯 Contexte Le 7 avril 2026, l’OpenSSF Siren (mailing list de threat intelligence de l’Open Source Security Foundation) a publié une alerte de haute sévérité concernant une campagne active ciblant les développeurs open source via Slack. L’analyse détaillée a été publiée par Socket le 8 avril 2026. 🕵️ Mécanisme d’attaque L’attaque se déroule en quatre étapes : Usurpation d’identité : l’attaquant se fait passer pour un leader reconnu de la Linux Foundation dans le workspace Slack du TODO Group (groupe de travail Linux Foundation dédié aux OSPO). Phishing : la victime reçoit un message direct avec un lien vers https://sites.google.com/view/workspace-business/join, hébergé sur l’infrastructure légitime Google Sites pour contourner les filtres de sécurité. Collecte de credentials : un faux flux d’authentification récolte l’adresse email et un code de vérification. Livraison de malware : la victime est invitée à installer un faux « certificat Google » (certificat racine malveillant). 💻 Divergence par plateforme macOS : un script télécharge et exécute un binaire nommé gapi depuis l’IP distante 2.26.97.61, pouvant mener à une compromission totale du système. Windows : installation du certificat malveillant via une boîte de dialogue de confiance du navigateur, permettant l’interception du trafic chiffré. 🎣 Leurre utilisé L’attaquant a utilisé le prétexte d’un outil d’IA privé censé analyser les dynamiques de projets open source et prédire les contributions acceptées. Le message insistait sur l’exclusivité de l’accès. Le message contenait l’URL de phishing, une fausse adresse email (cra@nmail.biz) et une clé d’accès (CDRX-NM71E8T). ...

🗓️ Contexte Source : BleepingComputer, publié le 4 avril 2026. Cet article relate un incident de supply chain affectant Axios, l’un des clients HTTP les plus populaires de l’écosystème JavaScript/npm, avec des milliards de téléchargements hebdomadaires. 🎯 Déroulement de l’attaque L’attaque a débuté par une campagne d’ingénierie sociale ciblée contre Jason Saayman, mainteneur principal du projet. Les attaquants ont : Usurpé l’identité d’une entreprise légitime en clonant son branding et les profils de ses fondateurs Invité la victime dans un faux espace de travail Slack contenant des canaux réalistes, des profils fictifs d’employés et d’autres mainteneurs open-source Planifié une réunion sur Microsoft Teams avec de nombreux participants apparents Affiché un faux message d’erreur technique pendant l’appel, incitant la victime à installer une fausse mise à jour Teams contenant un RAT Cette technique est similaire aux attaques de type ClickFix, où une fausse erreur pousse la victime à exécuter un correctif malveillant. ...

🛡️ Contexte Publié le 04/05/2026 sur GitHub par Ridgeline Cyber Defence, VanGuard est un toolkit de réponse à incident (DFIR) open-source développé en Go, conçu pour les équipes de sécurité en entreprise. Il se présente comme un binaire unique, portable, sans installation requise, compatible Windows et Linux. 🔧 Fonctionnalités principales VanGuard consolide l’ensemble du cycle de vie IR dans un seul exécutable : Triage rapide : collecte de 20+ catégories d’artefacts Windows et 15+ Linux (processus, logs, tâches planifiées, historique navigateur, registre, connexions réseau, etc.) Threat Hunting : intégration de Hayabusa (Sigma), Chainsaw, Loki (IOC scanning), YARA ; détection de LOLBins, autoruns suspects, DLL hijacking, unités systemd rogues, binaires SUID, patterns C2 Forensique mémoire : capture via DumpIt, WinPMEM, AVML, LiME ; analyse via Volatility3 Collecte disque : KAPE + EZ Tools (Windows), UAC (Linux) Opérations Velociraptor : gestion complète du cycle de vie serveur/agent, déploiement via WinRM/SSH/PSExec, VQL, hunts Opérations distantes : exécution simultanée sur plusieurs endpoints, authentification NTLM/SSH/PSExec Reporting : rapports HTML auto-contenus, super-timelines CSV, clustering MITRE ATT&CK automatique 📋 Bibliothèque de 28 cas d’usage pré-construits Chaque cas d’usage inclut un mapping MITRE ATT&CK, une classification de sévérité et une collecte d’artefacts phasée : ...