🔎 Cyberveille

• Apple a laissé VPHONE600AP, un composant de virtualisation iOS, traîner dans le firmware de Private Cloud Compute : des chercheurs peuvent maintenant faire tourner iOS 26 en VM sur Mac via le Virtualization.framework
• vphone-cli automatise tout le processus (téléchargement firmware, patches, boot) en quelques commandes Terminal, sinon il faudrait appliquer 20 étapes manuelles pour contourner bootloader, SSV, APFS et trustcache
• Accès via SSH, VNC ou RPC une fois lancé, mais limité à macOS Sequoia + Apple Silicon avec SIP/AMFI désactivés : outil de sécu avant tout, pas une feature officielle

Deux domaines saisis, treize arrestations dans quatorze pays et des dizaines de perquisitions simultanées : l'"Operation Leak", coordonnée depuis les locaux d'Europol à La Haye, a mis fin aux activités de LeakBase, un forum criminel parmi les plus fréquentés du cybercrime anglophone.

Dans une démarche qu’il veut prudente, Datagouv lance un serveur MCP expérimental afin de permettre aux utilisateurs d’interroger les données ouvertes en langage naturel via un chatbot. Seule la lecture des données est autorisée.

Un module malveillant imitant la célèbre bibliothèque de cryptographie du langage Go a été découvert par les chercheurs de Socket. Ce faux package, baptisé xinfeisoft/crypto, ne se contente pas de voler les mots de passe saisis dans le terminal, car il installe également une porte dérobée persistante sur les systèmes Linux.

La célèbre plateforme de piratage française YggTorrent a définitivement fermé ses portes, empochant au passage un butin estimé à 10 millions d'euros. Après avoir imposé un "Mode Turbo" payant très controversé, les administrateurs ont orchestré un exit scam (fuite avec la caisse), laissant sur le carreau plus de 6,6 millions d'utilisateurs et confirmant les pires craintes de la communauté.

Dans son dernier rapport annuel Threat Intelligence Index, le groupe de chercheurs en sécurité X-Force d'IBM montre que la rapidité, l'ampleur et l'efficacité des attaques bénéficient à plein de l'IA. Beaucoup de problèmes de sécurité résultent d'erreurs de configuration et de faiblesses dans le contrôle d'accès.

Ce mardi 3 mars 2026, de nouvelles mises à jour de sécurité de GLPI ont été mises en ligne : GLPI 11.0.6 et GLPI 10.0.24. Quelles sont les vulnérabilités patchées par ces nouvelles versions ? Voici ce que l'on sait.

GLPI 11.0.6 : six vulnérabilités corrigées

Si vous avez déjà migré votre instance sur la branche 11.x de GLPI, vous devez mettre à jour votre instance vers la version 11.0.6. En effet, cette version corrige au total 6 failles de sécurité, dont une vulnérabilité considérée comme critique. Au-delà de celle-ci, on note la présence d'une injection SQL exploitable sans authentification via le moteur de recherche.

Voici le détail des vulnérabilités corrigées dans GLPI 11.0.6 :

CVE-2026-26026 : une faille de sécurité critique décrite comme Server-side template injection. Dans le pire des cas, ce type de vulnérabilité peut permettre une exécution de code à distance (RCE).

CVE-2026-26263 : une faille de sécurité de type injection SQL qui ne nécessite pas d'être authentifié pour être exploitée. Elle serait située dans le moteur de recherche de GLPI.

CVE-2026-26027 : une faille Stored XSS (Cross-Site Scripting) via l'inventaire.

CVE-2026-25937 : contournement de l'authentification multifacteur.

CVE-2026-25936 : une faille de type injection SQL exploitable par un utilisateur authentifié. Référence CVE en cours d'attribution : une injection SQL nécessitant une authentification.

Alors que le conflit au Moyen-Orient s’intensifie, les services de renseignement occidentaux et les entreprises de cybersécurité tirent la sonnette d’alarme face à une recrudescence possible des cyberattaques iraniennes. Ces hackers représentent désormais une menace directe pour les gouvernements, les entreprises et les infrastructures stratégiques à l’échelle mondiale.

Après avoir ouvert à tous l'accès à ses images durcies (DHI) en décembre dernier, Docker annonce le lancement des "Docker Hardened System Packages". L'objectif : sécuriser les composants individuels, c'est-à-dire les applications, peu importe l'image utilisée.

• Le fisc sud-coréen a exposé les seed phrases de portefeuilles Ledger dans un communiqué de presse photo, permettant à un inconnu de voler 4,8 millions de dollars en tokens Pre-Retogeum en quelques heures.
• Le vol s'est avéré inutile : le token était si illiquide (332 dollars de volume quotidien) que le voleur n'a trouvé aucun acheteur et a restitué les fonds pour éviter d'être tracé sur la blockchain.
• C'est la deuxième catastrophe crypto du gouvernement sud-coréen en trois ans, poussant le vice-Premier ministre à ordonner un audit d'urgence sur la gestion des actifs numériques saisis.

Le Service national des impôts sud-coréen a publié par erreur les phrases de récupération de portefeuilles crypto saisis lors d'une opération contre la fraude fiscale. Résultat, un inconnu a siphonné l'équivalent de 4,8 millions de dollars en quelques heures. Les fonds ont finalement été restitués, mais l'affaire fait quand même pas mal jaser.

Les membres du programme de fidélité et/ou ayant souscrit à la newsletter du Centre commercial Confluence à Lyon 2 ont reçu un email les informant d’un « accès illicite » à l’une des bases de données du centre. L’établissement, exploité par le groupe Unibail-Rodamco-Westfield, indique « avoir été notifié » de cet incident et avoir immédiatement pris des mesures pour en limiter l’impact.

Si vous utilisez Vaultwarden, la version de Bitwarden destinée à l'auto-hébergement, vous devez installer la nouvelle version : 1.35.4. Cette version corrige trois failles de sécurité.

https://github.com/dani-garcia/vaultwarden/releases/tag/1.35.4

03.03.2026 - L’Office fédéral de la cybersécurité (OFCS) reçoit régulièrement des signalements d’entreprises ou d’associations indiquant que leur site Internet désactivé serait soudainement de nouveau en ligne. Les contenus varient selon les cas. Parfois, un site identique réapparaît et dans d’autres, le site réactivé contient des contenus pornographiques ou des offres douteuses. Que se cache-t-il derrière ces situations ?

Un nouveau kit de phishing, Kratos, transforme le paysage des cybermenaces et industrialise le vol d'identifiants à grande échelle. D'ici fin 2026, plus de 90% des attaques de ce type pourraient lui ressembler.

Depuis le début de l'année, un nouveau kit Phishing-as-a-Service, donc du hameçonnage en tant que service, qui répond au nom de Kratos, inquiète sérieusement les experts en cybersécurité. Conçu pour permettre à des attaquants peu qualifiés de lancer des campagnes de phishing avancées, il a déjà ciblé des victimes dans plus de 20 pays. Son architecture technique, son usurpation de la marque Adobe et son exfiltration de données via Telegram en font une menace d'un nouveau genre, sur laquelle nous informe l'équipe du threat labs de KnowBe4.

Le 28 février 2026, les États-Unis (É.-U.) et l’État d’Israël (Israël) ont mené des frappes militaires contre la République islamique d’Iran (Iran) afin d’éliminer les menaces posées par le régime iranienNote de bas de page1. L’Iran a riposté par des attaques militaires contre Israël et des bases militaires américaines à travers le Moyen-OrientNote de bas de page2.

Le 28 février 2026, le gouvernement du Canada a publié une déclaration visant à appuyer les mesures prises par les États-Unis pour empêcher l’Iran d’obtenir l’arme nucléaire et de menacer davantage la paix et la sécurité à l’échelle internationaleNote de bas de page3.

L’Iran aura fort probablement recours à son programme de cyberactivité pour répondre aux opérations de combat conjointes menées par les É.-U. et Israël à son égard. Les ripostes des auteurs de cybermenace iraniens pourraient comprendre :

• des cyberattaques contre les infrastructures essentielles;
• des cyberopérations d’information;
• le harcèlement en ligne du personnel militaire;
• le harcèlement et la répression de la diaspora et des communautés d’activistes. Les exploitants d’infrastructures essentielles canadiennes et les autres entités possiblement ciblées devraient faire preuve de vigilance envers les menaces posées par les auteurs de menaces veillant aux intérêts de l’Iran.

La Ville de Paris a confirmé une fuite de données liée à la plateforme des Cours d’adultes. Un fichier antérieur à mai 2025 aurait été diffusé à la suite d’une attaque de sécurité. Les informations concernées incluent des données personnelles, sans impact sur les mots de passe ni les coordonnées bancaires.

#Publication illégale de données issues d’OPUSS

L’Union nationale du sport scolaire (UNSS) a été informée le 28 février 2026 de la publication illégale, sur un site du darknet, d’extraits de données issues

de son outil de gestion OPUSS.

Ces données avaient fait l’objet d’une exfiltration dispersée en novembre 2025, pour laquelle l’UNSS avait immédiatement alerté son prestataire technique. La mise en vente récente de ces données a conduit à une nouvelle mobilisation des équipes et à l’activation des procédures prévues en matière de cybersécurité.

Mesures immédiates engagées

Dès confirmation des faits, l’UNSS a :

Notifié l’incident à la Commission nationale de l’informatique et des libertés (CNIL) ;

Déposé plainte auprès des autorités compétentes ;

Saisi l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ;

Effectué une déclaration auprès de son assureur ;

Engagé, avec son prestataire technique, une analyse approfondie des journaux de connexion afin d’identifier précisément l’origine et le périmètre de l’incident.

Le compte utilisateur identifié comme point d’entrée a été immédiatement neutralisé.

Données concernées

À ce stade des investigations, les données susceptibles d’être concernées comprennent des informations d’identification liées aux licences UNSS (nom, prénom, genre, date de naissance, établissement scolaire, classe, date d’inscription, URL de photographie d’identité).

Les premières analyses indiquent que les données financières (RIB, mandats de prélèvement SEPA) ainsi que les données relatives au handicap ne seraient pas concernées par cet incident.

Les liens permettant d’accéder aux images ont été rendus inopérants.

Information des personnes concernées

Conformément aux obligations du règlement général sur la protection des données (RGPD), l’UNSS procédera à l’information des personnes concernées dans les meilleurs délais et au plus tard sous 48 heures.

Renforcement des dispositifs de sécurité

L’UNSS a engagé des mesures complémentaires de sécurisation, notamment :

Le renforcement des procédures d’authentification ;

La suppression des comptes inactifs ;

Le renouvellement systématique des mots de passe ;

Le lancement de nouveaux tests d’intrusion ;

Le renforcement des exigences de cybersécurité dans le cadre des marchés en cours et à venir.

L’UNSS travaille en coordination étroite avec les services compétents de l’État. Elle condamne fermement cette publication illégale de données et réaffirme son engagement constant en matière de protection des données personnelles des élèves et des personnels.

Le texte lancé mardi exige que les plateformes, les moteurs de recherche et l’intelligence artificielle assument leurs responsabilités.

• Une initiative populaire officielle vise à réguler les géants du numérique en Suisse.
• Le texte prévoit des sanctions financières et des restrictions d’accès aux plateformes concernées.
• L’initiative est soutenue par des personnalités politiques de premier plan, toutes tendances confondues.
• Le projet de loi du Conseil fédéral est jugé largement insuffisant par les initiants.

Plusieurs ordonnances de blocage d’accès à des sites web ont été adressées ces derniers mois au fournisseur d’accès suisse Init7 par des ministères publics romands. L’entreprise conteste ces décisions en justice, estimant que la base légale invoquée et les dispositions générales relatives au séquestre pénal ne permettent pas d’imposer des mesures de blocage réseau à un fournisseur d’accès à Internet.

Le « dark web » désigne un ensemble d’espaces où circulent et se négocient des données issues d’activités cybercriminelles. Ces environnements regroupent des forums parfois indexés par des moteurs de recherche, des plateformes semi-publiques et des canaux de messagerie tels que Telegram. Des contenus initialement réservés à des cercles restreints finissent souvent par être relayés dans des espaces plus ouverts, voire diffusés gratuitement. Ce basculement s’explique par plusieurs facteurs : absence d’acheteurs, conflits entre acteurs malveillants ou stratégies visant à renforcer une réputation au sein de ces communautés.

Les bases de données personnelles, première famille de données disponibles La première grande catégorie de données visibles sur ces espaces correspond aux bases de données personnelles issues de fuites. « Il est très courant de trouver sur des forums généralistes comme ‘BreachForums’ la vente ou le partage de listings issus de fuites associées à des services grand public ou à des organisations très visibles. Ces listings contiennent des e-mails, des numéros de téléphone, des adresses postales et parfois des attributs additionnels. Ces derniers peuvent être des dates de naissance, des historiques ou des montants d’achats effectués sur des sites marchands, etc. La circulation de ces données est rapide : annonce, preuve d’échantillon puis transaction », explique David Sygula, Head of CTI chez Anozr Way.

Plusieurs outils d’analyse permettent de mieux caractériser la nature de ces données personnelles compromises. La page « Data breach statistics globally », fournie par la société Surfshark, met en avant le chiffre astronomique suivant : depuis 2004, 23,5 milliards d’adresses e-mail ont été divulguées à l’échelle mondiale, auxquels 58,5 milliards de points de données personnelles viennent s’ajouter. La France représente à elle seule 717 millions d’e-mails divulgués et près de deux milliards de points de données.

Au cœur d'une escalade militaire sans précédent au Moyen-Orient, l'infrastructure numérique mondiale a été touchée de plein fouet, rappelant sa vulnérabilité face aux conflits géopolitiques.

Dimanche, l'un des piliers du cloud mondial, Amazon Web Services, a connu une panne significative dans sa région ME-CENTRAL-1, située aux Émirats arabes unis. L'entreprise a confirmé que l'une de ses zones de disponibilité, identifiée comme mec1-az2, a été mise hors service après un incident physique majeur.

Un centre de données d'Amazon Web Services aux Émirats arabes unis a été frappé par des objets non identifiés, provoquant un incendie et une interruption majeure de service.

L’ANSSI fait partie du projet PANAME (Privacy Auditing of AI Models) lancé en juin dernier conjointement avec (Ouvre une nouvelle fenêtre)la CNIL, (Ouvre une nouvelle fenêtre)le PEReN et le (Ouvre une nouvelle fenêtre)projet IPoP du PEPR (programmes et équipements prioritaires de recherche) Cybersécurité piloté par (Ouvre une nouvelle fenêtre)Inria.

PANAME vise à développer un outil pour auditer la confidentialité des modèles d’IA et prévoit le développement d’une bibliothèque logicielle disponible en tout ou partie en source ouverte, afin d’unifier la façon dont la confidentialité des modèles est évaluée.

Plus précisément, l’objectif de l’outil est de permettre une mise en œuvre efficace et à moindre coût de certains tests techniques d’extraction d’informations sur les données d’entraînement que les acteurs de l’écosystème IA sont susceptibles de devoir réaliser pour évaluer le statut d’un modèle d’IA au regard du Règlement européen sur la protection des données (RGPD).

Après une première phase de spécifications techniques et de développements sur la libraire, les membres du projets PANAME souhaitent lancer une phase de tests avec des administrations et des entreprises afin de s’assurer que le développement de l’outil se fait en cohérence avec leur contexte d’utilisation.

Dans ce cadre, un appel à manifestation d’intérêt (AMI) est lancé auprès des acteurs de l’écosystème souhaitant participer à la phase de test de cette librairie. Les retours d’expérience et la mise en œuvre de ces tests permettront d’enrichir les fonctionnalités et d’assurer que l’outil permet une évaluation effective de de la conformité au RGPD.

L’AMI est ouvert du 26 février 2026 au 28 mars 2026. Il s’adresse à toutes les entités publiques ou privées établies dans les États membres de l’Union Européenne, dont les entreprises, startups, laboratoires de recherche et institutions utilisant ou développant des modèles d’IA. Un atelier sera organisé pour convier les acteurs ayant répondu à l’appel.

Une vulnérabilité particulièrement dangereuse a été découverte permettant à des pirates d'intercepter ou de rediriger des données de routeurs PTX de Juniper Networks. Des mises à jour correctives sont à installer dès que possible.

• Les capteurs TPMS des voitures émettent en clair sur 433 MHz un identifiant unique, permettant à quiconque avec un Raspberry Pi et un dongle RTL-SDR (100€) de pister les trajets, horaires et charge des véhicules à distance
• Une étude suisse a capté 6 millions de messages de 20 000 véhicules en 10 semaines, prouvant qu'on peut reconstituer les habitudes complètes (trajets, télétravail, présence) sans caméra ni GPS
• Les systèmes directs (dTPMS) chez Toyota, Mercedes, Peugeot sont vulnérables, les indirects (iTPMS) chez VW/Audi/Skoda sont sûrs ; la réglementation UN R155 n'impose pas le chiffrement et les utilisateurs ne peuvent rien faire pour se protéger

Que doivent faire les équipes de sécurité des entreprises face à cet agent d’IA «viral» ?

Tout le monde a probablement entendu parler d’OpenClaw, anciennement connu sous le nom de « Clawdbot » ou « Moltbot », l’assistant d’IA à code source ouvert que l’on peut installer localement sur une machine. Il se connecte à des plateformes de chat populaires telles que WhatsApp, Telegram, Signal, Discord et Slack, ce qui lui permet de recevoir des commandes de son propriétaire et d’agir librement sur le système de fichiers local. Il a accès au calendrier, à la messagerie électronique et au navigateur du propriétaire, et peut même exécuter des commandes du système d’exploitation via le shell.