decio

Trois acteurs majeurs du tourisme ont signalé un piratage en quelques jours. Homair, Vacancéole et Belambra ont-ils un prestataire commun, possiblement lié à Septeo/Resalys ?

C’est une bourde qui devrait rester dans les mémoires. Aujourd’hui, le code source de Claude Code, l’assistant IA de codage d’Anthropic, a fuité complètement. Chez Anthropic, on a aujourd’hui un gros problème avec les autorités américaines, qui souhaitent pouvoir utiliser militairement les outils IA Claude sans aucune restriction - ce qui pousse aujourd’hui l’entreprise à mener un combat judiciaire. Mais la liste des soucis ne s’arrête pas là pour la firme de Dario Amodei, avec aujourd'hui une fuite historique du code source de Claude Code.

Le code source de Claude Code se retrouve soudainement à l’air libre ! Il y a des fuites qui portent préjudice. Et nul doute que celle qui vient d’avoir lieu ce 31 mars va marquer. Le spécialiste de la sécurité Chaofan Shou vient en effet de découvrir l’ensemble du code de Claude Code dans un fichier source map de 60 Mo, publié par erreur sur le registre npm.

Pour rappel, un fichier source map est un fichier qui permet de retrouver un code lisible, à des fins notamment de débogage - et qui n’est pas censé être proposé au public. Évidemment, le code a très vite intéressé des nuées d’internautes, et une copie s’est retrouvée sur GitHub, où elle est déjà extrêmement populaire.

L'un des piliers de l'écosystème JavaScript, la bibliothèque Axios, a été compromise pour diffuser un malware. En piratant le compte d'un mainteneur, des attaquants ont injecté une dépendance malveillante dans deux versions officielles, exposant serveurs et postes de travail au vol de données.

L’équipe du GReAT (Global Research and Analysis Team) de Kaspersky a mené une analyse approfondie du code source des exploits Coruna et a déterminé avec certitude que ce kit constitue une itération directe et actualisée du framework utilisé, du moins en partie, lors de la campagne de cyberespionnage Opération Triangulation. Kaspersky est convaincu que les exploitations du kernel identifiés dans les deux opérations sont l’œuvre du même auteur.

• Des milliers de faux messages d'alerte VS Code inondent GitHub Discussions, imitant des CVE critiques avec liens Google Drive pour collecter données système et credentials des développeurs
• Le script JavaScript de filtrage écarte les bots et chercheurs en sécurité, ne livrant le malware final qu'aux vrais utilisateurs, ce qui explique pourquoi Socket n'a pas pu l'analyser
• GitHub reste une cible récurrente : après une attaque OAuth en mars 2025 et du phishing en juin 2024, cette campagne exploite les notifications email officielles pour crédibiliser des arnaques

Des chercheurs en cybersécurité ont découvert un kit d’outils d’accès à distance d’origine russe qui est distribué via des fichiers de raccourci Windows malveillants (LNK) déguisés en dossiers de clés privées.

Selon Censys, la boîte à outils CTRL est conçue sur mesure à l’aide de .NET et comprend divers exécutables pour faciliter l’hameçonnage d’identifiants, l’enregistrement de frappe, le détournement du protocole de bureau à distance (RDP) et le tunnelage inverse via Fast Reverse Proxy (FRP).

« Les exécutables permettent le chargement de charges utiles chiffrées, la collecte d’identifiants via une interface utilisateur de phishing Windows Hello soignée, l’enregistrement des frappes au clavier, le détournement de sessions RDP et le tunnelage par proxy inverse via FRP », a déclaré Andrew Northern, chercheur en sécurité chez Censys .

La plateforme de gestion de la surface d’attaque a déclaré avoir récupéré CTRL à partir d’un répertoire ouvert à 146.19.213[.]155 en février 2026. Les chaînes d’attaque distribuant la boîte à outils s’appuient sur un fichier LNK armé (« Clé privée #kfxm7p9q_yek.lnk ») avec une icône de dossier pour inciter les utilisateurs à double-cliquer dessus.

Cela déclenche un processus en plusieurs étapes, chaque étape déchiffrant ou décompressant la suivante, jusqu’à l’exécution du kit d’outils. Le programme d’installation de fichiers LNK est conçu pour lancer une commande PowerShell cachée, qui efface ensuite les mécanismes de persistance existants du dossier de démarrage Windows de la victime.

Une erreur humaine dans le système de gestion de contenu d’Anthropic a accidentellement exposé un brouillon de billet décrivant le modèle. Anthropic travaille sur un nouveau modèle d’intelligence artificielle (IA) très puissant qui « fait peser des risques sans précédent sur la cybersécurité », selon une fuite provenant de l’entreprise.

La semaine dernière, une fuite de données a révélé qu’Anthropic développait un nouveau modèle très performant, que la société d’IA a depuis reconnu et baptisé « Claude Mythos ».

Un porte-parole d’Anthropic a déclaré au magazine Fortune (source en anglais) qu’il s’agissait d’un « changement d’échelle » pour l’IA et du modèle « le plus performant » conçu à ce jour, avec « des progrès significatifs en matière de raisonnement, de programmation et de cybersécurité ».

La technologie pourrait être si puissante qu’elle en deviendrait l’outil rêvé des pirates informatiques. Les valeurs de la cybersécurité ont reculé en Bourse après les rumeurs concernant Anthropic.

Dans le même temps, Anthropic avertit en privé de hauts responsables gouvernementaux que Mythos rend beaucoup plus probables des cyberattaques de grande ampleur en 2026, rapporte le site Axios (source en anglais).

Les pirates n'ont mis que quelques heures pour exploiter une faille RCE dans Langflow. La CISA l'a ajouté à son catalogue et a fixé une délai rapide pour l'application du correctif.

20 heures, le délai est relativement court pour l’exploitation d’une vulnérabilité dans le framework open source Langflow utilisé dans le développement des agents IA et des pipelines de RAG. Selon Sysdig, des cybercriminels ont commencé à attaquer un ensemble de nœuds honeypot hébergeant des instances vulnérables chez plusieurs fournisseurs de cloud et dans différentes régions dès leur mise en service. Le fournisseur a observé quatre tentatives de ce types dans les heures qui ont suivi le déploiement et l’un des attaquants est parvenu à exfiltrer des variables d’environnement.

Le 24 mars, la Commission européenne a découvert une cyberattaque qui a affecté son infrastructure en nuage hébergeant la présence de la Commission sur le web sur la plateforme Europa.eu. Des mesures immédiates ont été prises pour contenir l'attaque. La réaction rapide de la Commission a permis de contenir l'incident et de mettre en œuvre des mesures d'atténuation des risques pour protéger les services et les données, sans perturber la disponibilité des sites web Europa.

Les premières conclusions de notre enquête en cours suggèrent que des données ont été extraites de ces sites Web. La Commission en informe dûment les entités de l'Union qui auraient pu être touchées par l'incident. Les services de la Commission continuent d'enquêter sur l'impact total de l'incident.

Les systèmes internes de la Commission n'ont pas été affectés par la cyberattaque. La Commission continuera à suivre la situation et à prendre toutes les mesures nécessaires pour assurer la sécurité de ses systèmes et données internes. Il analysera l'incident et utilisera les résultats pour renforcer encore ses capacités en matière de cybersécurité.

Alors que l'Europe est confrontée à des cyberattaques et à des attaques hybrides persistantes ciblant des services essentiels et des institutions démocratiques, la Commission s'emploie activement à renforcer la résilience de l'UE en matière de cybersécurité.

Après des revendications la semaine dernière, c’est désormais officiel : un pirate a récupéré des données du système d’information sur les armes du ministère de l’Intérieur. En plus du type d’arme, il dispose aussi de l’adresse des propriétaires.

Le système d’information sur les armes (alias SIA) est un service du ministère de l’Intérieur. « La création d’un compte dans le SIA est obligatoire pour les détenteurs d’armes particuliers majeurs ». Comme le rapporte l’Union Française des amateurs d’Armes, le ministère prévient d’une fuite de données (copie du courier, en pdf). L’information a également été confirmée au Parisien.

« Nous avons le regret de vous informer qu’il a été constaté l’accès, par action malveillante, à un des comptes d’une entreprise utilisatrice du système d’information sur les armes (SIA), entraînant l’extraction de données commerciales présentes dans ce compte, dont certaines sont susceptibles de contenir une ou plusieurs de vos données personnelles ».

Armes et adresses du propriétaire… un combo dangereux ! Cela comprend des informations « relatives à l’arme détenue ou acquise (type, classement, marque, modèle) », mais aussi des données sur leur propriétaire avec le nom et prénom, l’adresse électronique et enfin l’adresse postale. Comme avec la fuite de données de la Fédération française de tir (FFTir), le risque est de voir des personnes malintentionnées tenter de récupérer des armes.

YesWeHack étend son positionnement au-delà du bug bounty et lance deux nouvelles offres de test d’intrusion, le Pentest Autonome et le Pentest Continu, pour couvrir l’intégralité de la gestion de l’exposition aux risques cyber. La plateforme réunit désormais quatre modalités complémentaires, bug bounty, politique de divulgation des vulnérabilités, pentest autonome et pentest continu, dans une interface unifiée de pilotage de la sécurité offensive.

La surface d’attaque des organisations a profondément changé de nature au cours des cinq dernières années. La prolifération des API, la généralisation des architectures cloud hybrides, l’intégration de composants tiers et l’accélération des cycles de développement ont rendu obsolètes les approches de test fondées sur des audits ponctuels annuels ou semestriels. Une vulnérabilité introduite lors d’un déploiement en production un mardi matin peut rester non détectée pendant des mois si l’organisation ne dispose pas de mécanismes de détection en continu. C’est ce fossé que YesWeHack cherche à combler avec son nouveau positionnement.

30.03.2026 - Le rapport semestriel de l’Office fédéral de la cybersécurité (OFCS), publié aujourd’hui, décrit l’évolution des cybermenaces et des principaux cyberincidents qui ont marqué la Suisse et la scène internationale au cours du second semestre 2025. Pour la première fois, il présente non seulement les cyberincidents rapportés sur une base volontaire, mais aussi les cyberattaques visant les infrastructures critiques qui sont soumises à l’obligation de signaler depuis le 1er avril 2025. Le volume élevé des annonces facultatives reste stable, mais leur forme se développe et se précise. Pour assurer une protection efficace, il est nécessaire que l’État, l’économie et la société collaborent étroitement, tant au niveau national qu’à l’échelon international.