Zero-Day

🌐 Contexte Publié le 13 avril 2026 par la Cloud Security Alliance (CSA), SANS Institute, [un]prompted et l’OWASP Gen AI Security Project, ce document de stratégie (version 0.4) analyse l’émergence de Claude Mythos (Preview) d’Anthropic comme point d’inflexion majeur dans la découverte automatisée de vulnérabilités et l’exploitation offensive par IA. ⚡ Événement déclencheur : Claude Mythos & Project Glasswing Anthropic a annoncé le 7 avril 2026 le modèle Claude Mythos Preview, accompagné du Project Glasswing, décrit comme le plus grand effort de coordination multi-parties de l’histoire pour la divulgation de vulnérabilités. Mythos se distingue par : ...

📅 Source et contexte : Article d’analyse prospective publié le 7 avril 2026 par Bruce Schneier sur son blog personnel, initialement paru dans CSO. L’article explore les implications de l’IA sur la cybersécurité dans un futur où les logiciels sont générés à la demande (« instant software »). 🔍 Tendances d’attaque identifiées : Les IA automatisent la découverte et l’exploitation de vulnérabilités, augmentant les capacités des attaquants peu sophistiqués Les logiciels open-source et leurs bibliothèques sont identifiés comme les cibles prioritaires (code source accessible) Les logiciels IoT (véhicules connectés, caméras, réfrigérateurs) et IoT industriel (réseaux électriques, raffineries, pipelines, usines chimiques) sont particulièrement exposés en raison de leur faible qualité et de leur nature legacy Les attaquants rechercheront des zero-days « nobody but us », utilisés de façon ciblée ou massive selon l’objectif Les attaques sociales (ingénierie sociale, vol de credentials, deepfakes) persistent indépendamment des vulnérabilités logicielles Les IA défensives elles-mêmes sont vulnérables : prompt injection, empoisonnement de données, manipulation des réseaux de partage 🛡️ Tendances défensives identifiées : ...

📰 Source : BleepingComputer — Date de publication : 8 avril 2026 La CISA (Cybersecurity and Infrastructure Security Agency) a ajouté la vulnérabilité CVE-2026-1340 au catalogue Known Exploited Vulnerabilities (KEV) et a émis une directive contraignant les agences FCEB (Federal Civilian Executive Branch) à sécuriser leurs systèmes Ivanti Endpoint Manager Mobile (EPMM) avant le 11 avril 2026 à minuit, conformément à la Binding Operational Directive (BOD) 22-01. 🔍 Détails de la vulnérabilité : ...

🧭 Contexte Source : Microsoft Security Blog — Publication du 6 avril 2026. Analyse de menace produite par Microsoft Threat Intelligence portant sur l’acteur Storm-1175, un groupe cybercriminel à motivation financière opérant des campagnes ransomware Medusa à haute cadence. 🎯 Profil de l’acteur Storm-1175 est un acteur cybercriminel financièrement motivé, caractérisé par un tempo opérationnel élevé et une forte capacité à identifier des actifs périmètre exposés. Il exploite la fenêtre temporelle entre la divulgation publique d’une vulnérabilité et l’adoption généralisée des correctifs. ...

🔍 Contexte L’article est publié le 9 avril 2026 sur le blog EXPMON (justhaifei1.blogspot.com). Il documente la détection et l’analyse d’un exploit PDF zero-day sophistiqué ciblant Adobe Reader, initialement soumis sur la plateforme EXPMON Public le 26 mars, et présent sur VirusTotal depuis le 23 mars avec un faible taux de détection (5/64). 🎯 Nature de l’attaque L’exploit repose sur une vulnérabilité zero-day non patchée dans Adobe Reader (confirmée sur la version 26.00121367, la plus récente au moment de l’analyse). Il ne nécessite aucune interaction utilisateur au-delà de l’ouverture du fichier PDF. ...

🧠 Contexte Publié le 7 avril 2026 sur le blog de recherche d’Anthropic, cet article technique présente les capacités en cybersécurité de Claude Mythos Preview, un nouveau modèle de langage général. En réponse à ces capacités, Anthropic annonce le lancement de Project Glasswing, un effort coordonné pour utiliser Mythos Preview à des fins défensives sur les logiciels critiques. 🔍 Capacités offensives documentées Mythos Preview démontre des capacités autonomes de découverte et d’exploitation de vulnérabilités : ...

🗓️ Contexte Source : BleepingComputer — publié le 5 avril 2026. Fortinet a publié en urgence un correctif le week-end pour une nouvelle vulnérabilité critique affectant FortiClient Enterprise Management Server (EMS), confirmant son exploitation active dans la nature. 🔍 Détails de la vulnérabilité CVE : CVE-2026-35616 Type : Contrôle d’accès inapproprié (improper access control) — contournement d’authentification et d’autorisation en pré-authentification Impact : Permet à des attaquants non authentifiés d’exécuter du code ou des commandes via des requêtes spécialement forgées Versions affectées : FortiClient EMS 7.4.5 et 7.4.6 Versions non affectées : FortiClient EMS 7.2 Correctif disponible : Hotfix pour les versions 7.4.5 et 7.4.6 ; correction définitive prévue dans FortiClientEMS 7.4.7 🚨 Exploitation La vulnérabilité a été exploitée en zero-day avant sa divulgation à Fortinet. La société de cybersécurité Defused a observé l’exploitation active en début de semaine avant de la signaler à Fortinet via un processus de divulgation responsable. Fortinet crédite également Nguyen Duc Anh pour la découverte. ...

📰 Contexte Publié le 6 avril 2026 par BleepingComputer, cet article rapporte la divulgation publique non coordonnée d’un exploit zero-day Windows par un chercheur en sécurité opérant sous les alias Chaotic Eclipse et Nightmare-Eclipse, en réaction à la gestion jugée insatisfaisante de son signalement par le Microsoft Security Response Center (MSRC). 🔍 Détails de la vulnérabilité La vulnérabilité, baptisée BlueHammer, est une élévation de privilèges locale (LPE) sur Windows. Elle combine deux techniques : ...

🔍 Contexte Publié le 31 mars 2026 par Check Point Research, ce rapport documente l’opération TrueChaos, une campagne d’espionnage ciblée contre des entités gouvernementales en Asie du Sud-Est, exploitant une vulnérabilité zero-day dans le client TrueConf, une plateforme de vidéoconférence on-premises. 🐛 Vulnérabilité : CVE-2026-3502 CVSS score : 7.8 La faille réside dans l’absence de vérification d’intégrité et d’authenticité dans le mécanisme de mise à jour du client TrueConf Un attaquant contrôlant le serveur TrueConf on-premises peut remplacer le paquet de mise à jour légitime par un exécutable arbitraire Le client fait confiance au serveur sans validation, permettant la distribution et l’exécution de fichiers malveillants sur tous les endpoints connectés Correctif disponible dans TrueConf Windows client version 8.5.3 (mars 2026) ⚔️ Déroulement de l’attaque L’attaquant compromet le serveur TrueConf on-premises d’un département IT gouvernemental Il remplace le paquet de mise à jour (trueconf_client.exe) par une version weaponisée Un lien est envoyé aux cibles pour déclencher le client TrueConf et afficher une invite de mise à jour Le paquet malveillant (construit avec Inno Setup) installe légitimement la version 8.5.2 tout en déposant : poweriso.exe (binaire bénin) 7z-x64.dll (implant malveillant) dans c:\programdata\poweriso\ DLL side-loading via poweriso.exe pour charger 7z-x64.dll 🛠️ Post-exploitation Reconnaissance : tasklist, tracert 8.8.8.8 Téléchargement via FTP depuis 47.237.15[.]197 d’un loader iscsiexe.dll dans update.7z Bypass UAC via iscsicpl.exe (SysWOW64) et DLL search-order hijacking Modification du PATH utilisateur : HKCU\environment Persistance via HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck pointant vers PowerISO.exe Déploiement final d’un implant Havoc communiquant avec l’infrastructure C2 de l’acteur 🎯 Attribution Check Point Research attribue avec confiance modérée cette opération à un acteur à nexus chinois, sur la base de : ...

🔍 Contexte Publié le 1 avril 2026 par BleepingComputer, cet article couvre la réponse d’Apple à l’exploitation active du kit d’exploit DarkSword, ciblant les iPhones sous iOS 18.4 à 18.7. La mise à jour iOS 18.7.7 a été étendue à un plus grand nombre d’appareils le 1er avril 2026. 🎯 Le kit d’exploit DarkSword Dévoilé en mars 2026 par des chercheurs de Lookout, iVerify et Google Threat Intelligence (GTIG), DarkSword exploite six vulnérabilités : ...