Vulnérabilité

📰 Contexte Le 16 juin 2026, le ministère des Sports, de la Jeunesse et de la Vie associative a communiqué sur un incident de cybersécurité ayant touché JeVeuxAider.gouv.fr, la plateforme publique du bénévolat gérée par la Réserve civique. 🔍 Nature de l’incident Un acteur malveillant non identifié a exploité une vulnérabilité de sécurité présente sur la plateforme, permettant une extraction de données en lecture seule. Environ 550 000 comptes sont concernés. ...

📅 Source : The Record Media — Date de publication : 10 juin 2026 🏛️ Contexte La CISA (Cybersecurity and Infrastructure Security Agency) a publié une nouvelle directive opérationnelle contraignante (Binding Operational Directive) imposant aux agences civiles fédérales américaines des délais de remédiation accélérés pour les vulnérabilités cyber, en réponse à la montée en puissance des menaces facilitées par l’intelligence artificielle. 🔍 Critères de priorisation La directive définit quatre critères pour évaluer la criticité d’une vulnérabilité : ...

📅 Source : IT-Connect, publié le 30 avril 2026 par Florian Burnel. Contexte L’équipe de GLPI a publié le 29 avril 2026 deux mises à jour de sécurité simultanées : GLPI 11.0.7 (7ème mise à jour mineure de la branche 11) et GLPI 10.0.25 (branche legacy toujours maintenue). Ces versions corrigent un ensemble de vulnérabilités affectant les deux branches du logiciel de gestion de parc informatique. Vulnérabilités corrigées dans GLPI 11.0.7 13 vulnérabilités ont été patchées, dont 4 considérées comme importantes : ...

🏛️ Contexte Publié le 1er mai 2026 sur le blog officiel du NCSC (National Cyber Security Centre, Royaume-Uni), ce billet est signé par Ollie Whitehouse, CTO du NCSC. Il s’inscrit dans une série de publications sur les capacités offensives de l’IA et la résilience cyber. ⚠️ Menace identifiée Le NCSC constate que l’intelligence artificielle, utilisée par des individus suffisamment qualifiés, est désormais capable d’exploiter la dette technique à grande échelle et à grande vitesse dans l’ensemble de l’écosystème technologique. Cette dette technique — accumulée dans les logiciels open source, commerciaux, propriétaires et SaaS — constitue une surface d’attaque latente massive. ...

🗓️ Contexte Article publié le 10 avril 2026 par le Telegraph (Tim Wallace, Matthew Field, James Titcomb). Il rapporte les réactions institutionnelles britanniques et américaines face à la divulgation par Anthropic d’un nouveau modèle d’IA, Claude Mythos, jugé trop dangereux pour être rendu public. 🤖 Claude Mythos : capacités et risques Anthropic a annoncé que Claude Mythos est capable de découvrir des failles de sécurité inconnues dans des systèmes informatiques plus rapidement que tout humain. Le modèle a déjà identifié des milliers de vulnérabilités dans des navigateurs web et systèmes d’exploitation populaires. Anthropic a décidé de ne pas le rendre public en raison de ces capacités jugées dangereuses. ...

Selon BleepingComputer, CISA a ordonné aux agences gouvernementales américaines de sécuriser leurs serveurs confrontés à une vulnérabilité activement exploitée affectant Zimbra Collaboration Suite (ZCS). Vulnérabilité Zimbra (CVE-2025-66376) Détails Produit : Zimbra Collaboration Suite (ZCS) Type : Stored XSS Gravité : élevée Patch : novembre 2025 Description La vulnérabilité affecte l’interface : C l a s s i c U I Elle permet à un attaquant distant non authentifié de : ...

ConnectWise avertit ses clients d’une vulnérabilité de vérification de signature cryptographique dans ScreenConnect pouvant permettre un accès non autorisé et une élévation de privilèges. Selon BleepingComputer, ConnectWise met en garde les clients de ScreenConnect au sujet d’une vulnérabilité de vérification de signature cryptographique susceptible d’entraîner un accès non autorisé et une élévation de privilèges. ⚠️ ConnectWise ScreenConnect : faille critique de vérification cryptographique (CVE-2026-3564) Résumé ConnectWise a publié un correctif pour CVE-2026-3564, une vulnérabilité critique affectant ScreenConnect dans les versions antérieures à 26.1. Le problème peut permettre un accès non autorisé et une élévation de privilèges si un attaquant parvient à obtenir le matériel cryptographique serveur utilisé pour l’authentification de session. ConnectWise a renforcé la protection des ASP.NET machine keys dans la version 26.1, notamment via un stockage chiffré et une meilleure gestion des clés. :contentReference[oaicite:0]{index=0} ...

Selon BleepingComputer, une vulnérabilité d’injection SQL affecte Ally, un plugin WordPress d’Elementor dédié à l’accessibilité et l’ergonomie web, comptant plus de 400 000 installations. Cette faille pourrait être exploitée sans authentification pour dérober des données sensibles. ⚠️ P## Vulnérabilité SQL injection dans le plugin WordPress Ally (Elementor) Résumé Une vulnérabilité SQL injection critique affecte le plugin Ally, un module WordPress développé par Elementor pour améliorer l’accessibilité des sites web. CVE : CVE-2026-2413 Gravité : élevée Installations : plus de 400 000 sites WordPress Sites encore vulnérables : plus de 250 000 La faille permet à un attaquant non authentifié d’exécuter des requêtes SQL malveillantes et d’extraire des données sensibles de la base de données. ...

Selon The Verge, DJI a décidé de récompenser de 30 000 $ le chercheur Sammy Azdoufal après la mise en lumière d’un accès à un réseau d’environ 7 000 aspirateurs robots Romo, tout en précisant avoir déjà corrigé une faille de visualisation de flux vidéo sans PIN et en préparer d’autres correctifs. • Paiement et attribution 🎁 — DJI confirme avoir « récompensé » un chercheur (sans le nommer) et, d’après l’email partagé avec The Verge, versera 30 000 $ pour une seule découverte, sans préciser laquelle. Ce développement intervient après la révélation mi-février d’un accès à des milliers de Romo permettant d’observer l’intérieur de foyers. ...

Selon Trail of Bits (blog), dans une analyse publiée en février 2026, deux bibliothèques populaires, aes-js (JavaScript) et pyaes (Python), exposent leurs utilisateurs à des failles cryptographiques en fournissant un IV par défaut en mode AES-CTR, ce qui a entraîné des vulnérabilités dans de nombreux projets en aval, dont strongMan (outil de gestion pour strongSwan), qui a été corrigé. Problème central: IV par défaut (0x00000000_00000000_00000000_00000001) en AES-CTR dans aes-js et pyaes, avec des exemples de documentation omettant l’IV. Cela favorise la réutilisation clé/IV, permettant la récupération de l’XOR des textes en clair et rendant le chiffrement très fragile (récupération de masques et secrets en chaîne). ...