Faits marquants de la semaine
- La CISA alerte les clients Fortinet après l’exposition d’environ 74 000 identifiants de pare-feu et de réseaux privés virtuels dans une fuite baptisée « FortiBleed », compromettant directement l’accès à de nombreux équipements périmétriques.
- Un chercheur de Varonis Threat Labs a enchaîné trois failles pour créer « SearchLeak », un scénario d’attaque en un clic exploitant Microsoft 365 Copilot Enterprise Search afin d’exfiltrer courriels, agendas et fichiers indexés via un lien microsoft.com légitime.
- Un défaut d’application des contrôles d’accès Entra chez FIFA permettait à un attaquant de prendre à distance le contrôle des flux de diffusion de la Coupe du monde, ouvrant la voie à la manipulation en direct des contenus vidéo.
- Une attaque de chaîne d’approvisionnement visant le plugin WordPress OptinMonster a exposé plus de 1,2 million de sites à une compromission active, les assaillants ayant modifié des fichiers JavaScript légitimes affectant aussi TrustPulse et PushEngage, utilisés sur des millions d’installations.
La semaine est marquée par une série de failles touchant des briques d’infrastructure massivement déployées, des pare-feu Fortinet aux plateformes cloud comme Microsoft 365 Copilot, en passant par l’écosystème WordPress. Fuites d’identifiants, exfiltration de données en un clic, prise de contrôle de flux vidéo et compromission de plugins illustrent un risque systémique pesant sur les services en ligne les plus répandus.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La sélection des 14 actualités à retenir cette semaine
La CISA met en garde les utilisateurs de Fortinet contre la fuite de données FortiBleed et les invite à sécuriser leurs appareils.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a exhorté les clients de Fortinet à sécuriser leurs appareils après la fuite de données baptisée « FortiBleed », qui a exposé près de 74 000 identifiants de… Lire la suite
Une faille de sécurité dans Microsoft 365 Copilot, exploitant un clic, aurait pu permettre à des attaquants de voler des e-mails, des fichiers et des codes d'authentification multifacteur.
Un simple clic sur un lien Microsoft de confiance aurait permis à un attaquant d'extraire des e-mails, des informations de calendrier et des fichiers indexés de Microsoft 365 Copilot Enterprise Search. Les chercheurs de Varonis Threat Labs… Lire la suite
Une faille de sécurité dans la FIFA a permis la prise de contrôle à distance des diffusions de la Coupe du Monde.
Un pirate informatique aurait pu « truquer » la Coupe du monde — ou pire — grâce aux contrôles d'accès Entra non appliqués par la FIFA. Lire la suite
Une vulnérabilité du plugin OptinMonster expose 1,2 million de sites WordPress à des cyberattaques.
Une attaque de grande ampleur ciblant la chaîne d'approvisionnement du plugin WordPress OptinMonster a exposé plus de 1,2 million de sites web à une compromission active. Cette campagne affecte également les plugins TrustPulse et PushEngage, tous deux… Lire la suite
Des vulnérabilités critiques dans une extension Chrome permettent aux attaquants de compromettre facilement les navigateurs.
Une faille de sécurité critique dans des extensions Chrome largement utilisées expose des millions d'utilisateurs à un risque de compromission totale de leur navigateur. Ces vulnérabilités, nommées « MaXSS » et « Spyder », affectent les extensions populaires basées sur l'IA… Lire la suite
Apple corrige une faille des écouteurs Beats Studio Buds qui aurait pu permettre à des pirates d'écouter les conversations.
Dans sa dernière mise à jour du firmware pour les casques Beats, la version 1B211, Apple a corrigé une faille de sécurité alarmante qui permettait potentiellement à des personnes malveillantes d'écouter des conversations privées à portée Bluetooth… Lire la suite
Une vulnérabilité du BootROM de l'iPhone ouvre la voie à une compromission totale de la chaîne de confiance des SoC d'Apple.
Une vulnérabilité récemment découverte dans la BootROM de l'iPhone, baptisée « usbliter8 », met en lumière une faille importante dans l'implémentation de SecureROM d'Apple. Cette vulnérabilité permet aux attaquants de compromettre l'intégralité de la chaîne de confiance… Lire la suite
Des pirates informatiques liés à la Russie exploitent une ancienne vulnérabilité de WinRAR pour cibler des organisations ukrainiennes.
La vulnérabilité CVE-2025-8088, une faille de traversée de répertoire dans WinRAR corrigée en juillet 2025, demeure un vecteur d'accès initial important pour de multiples groupes d'intrusion ciblant l'Ukraine. L'analyse des attaques menées jusqu'en avril 2026 révèle au… Lire la suite
Faille de Jenkins RCE exploitée par des attaquants en milieu sauvage
Une vulnérabilité d'exécution de code à distance (RCE) dans Jenkins, référencée CVE-2026-53435, est actuellement exploitée. Cette faille, due à une désérialisation non sécurisée lors du traitement du fichier config.xml de Jenkins, permet à des attaquants non authentifiés… Lire la suite
Microsoft confirme la présence d'une faille zero-day RoguePlanet dans Defender ; un correctif est en cours de développement.
Microsoft a confirmé la présence d'une faille zero-day RoguePlanet dans Microsoft Defender (CVE-2026-50656), une vulnérabilité permettant une élévation de privilèges, et travaille au développement d'un correctif de sécurité. Microsoft a reconnu la présence de cette faille zero-day… Lire la suite
F5 corrige des vulnérabilités critiques de NGINX permettant l'exécution de code non authentifié
F5 a publié des mises à jour d'urgence pour corriger des failles critiques dans NGINX (CVE-2026-42530 et CVE-2026-42055) susceptibles de permettre l'exécution de code sans authentification. F5 a également publié des correctifs hors cycle pour plusieurs vulnérabilités… Lire la suite
Cisco corrige une faille de sécurité exploitée dans SD-WAN vManage lors d'attaques zero-day.
Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité du Catalyst SD-WAN Manager, référencée CVE-2026-20262, qui était exploitée lors d'attaques permettant d'obtenir des privilèges d'administrateur. […] Lire la suite
L'agence américaine CISA a ajouté une faille de Splunk Enterprise à son catalogue de vulnérabilités exploitées connues et a exhorté les agences à la corriger d'ici dimanche.
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoute une faille de sécurité dans Splunk Enterprise à son catalogue des vulnérabilités exploitées connues. La CISA a ajouté une faille de sécurité dans Splunk Enterprise, référencée… Lire la suite
Une faille de sécurité vieille de 7 ans dans OpenBSD expose les systèmes à un contournement complet de l'authentification PAP.
Une faille d'authentification importante a été découverte dans la pile PPP d'OpenBSD, permettant aux attaquants de contourner la validation du protocole d'authentification par mot de passe (PAP) et d'obtenir un accès réseau non autorisé. Bien que cette… Lire la suite
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
