decio

Une vulnérabilité critique a été identifiée dans le code d’Advanced Custom Fields: Extended (ACF Extended), un plugin WordPress qui permet de créer des champs personnalisés (cases, listes, zones de texte, etc.) pour construire des pages et des contenus sur mesure. Dans les détails, le plugin ajoute des fonctionnalités au plugin Advanced Custom Fields (ACF), essentiellement destinées aux développeurs.

Découverte par le chercheur en sécurité Andrea Bocchetti, la faille se situe dans le traitement des formulaires « Insérer un utilisateur / Mettre à jour un utilisateur » d’ACF Extended, précisément dans la gestion du champ du rôle utilisateur. Sur certains formulaires publics ACF Extended, n’importe qui peut se faire passer pour l’administrateur. À la suite d’un manque de contrôles, le plugin accepte qu’un internaute lambda décrète arbitrairement qu’il est l’administrateur du site. En exploitant la faille, un attaquant peut donc s’octroyer des privilèges administrateur sur un site vulnérable.

Une récente décision de justice néerlandaise détaille la façon d’opérer d’un pirate visant des infrastructures portuaires au profit de narcotrafiquants.

Comme le signale un arrêt récent de la cour d’appel d’Amsterdam, cela fait alors environ un mois que le « black hat » est en relation avec les trafiquants de drogue. Ces derniers souhaitent prendre le contrôle de l'informatique des infrastructures portuaires d’Anvers et Rotterdam pour faciliter le déchargement et l’exfiltration de leurs livraisons de drogue.

[Mozilla Foundation] Il existe plus de jouets connectés au cloud que nous ne pouvons en compter. Pendant les fêtes, ce n’est pas seulement l’IA que vous devez surveiller lorsque vous déballez les cadeaux pour les enfants.

Si un jouet est connecté à Internet, il peut envoyer des informations sur vous et vos enfants aux serveurs du fournisseur, ainsi qu’à des sociétés tierces avec lesquelles le fournisseur a conclu des accords de partage de données.

Nous avons commandé une étude à 7ASecurity, un cabinet de conseil en cybersécurité de confiance, pour pirater dix des jouets Internet les plus populaires afin d’évaluer leur niveau de confidentialité et de sécurité.

« Sur les dix jouets intelligents audités pour ce rapport, 7ASecurity a constaté des faiblesses généralisées en matière de sécurité et de confidentialité. Concrètement, cela signifie que de nombreux jouets commercialisés pour les enfants pourraient être utilisés à mauvais escient pour espionner des familles, manipuler ce que les enfants entendent ou voient, ou exposer des données sensibles. »

France Éducation international informe qu’un acte de cyber-malveillance a ciblé, entre le vendredi 9 janvier et le lundi 12 janvier 2026, la plateforme GAEL, utilisée pour la gestion des diplômes DELF et DALF.  

En 2025, on parlait de secrets hardcodés. En 2026, le problème a muté : tool poisoning, conversation hijacking, supply chain compromise. MCP n'est pas 'LE' vecteur d'attaque de l'ère agentique — mais il cristallise toutes ses failles, parce qu'il donne aux agents un accès réel aux systèmes.

La Commission européenne veut rendre obligatoire le bannissement des équipementiers jugés à risque pour la sécurité des réseaux, comme les chinois Huawei et ZTE. Ce projet de loi vise à harmoniser les pratiques des États membres et impose aux opérateurs un délai de trois ans pour retirer ces infrastructures

Une extension malveillante fait évoluer les attaques ClickFix en provoquant volontairement le crash du navigateur. Une approche plus convaincante, conçue pour leurrer les internautes, et ciblant en priorité les environnements d’entreprise.

L'Urssaf a lancé lundi un appel à la vigilance sur des risques d'hameçonnage après la détection d'un accès frauduleux à une interface contenant des données des déclarations préalables à l'embauche, 12 millions de salariés étant potentiellement concernés.

"L'Urssaf a constaté un accès non-autorisé à l'API (l’interface, NDLR) contenant certaines données de la déclaration préalable à l'embauche, réservée à ses partenaires institutionnels, opéré via un compte partenaire habilité dont les identifiants avaient été compromis", explique l'institution dans un communiqué.

Les données qui ont été "consultées et potentiellement extraites" sont les noms, prénoms, dates de naissance, Siret de l'employeur et dates d’embauche de 12 millions de salariés embauchés depuis moins de trois ans, précise l'Urssaf.

Les dégâts financiers et matériels que peuvent occasionner une attaque informatique sont considérables. Si un incident majeur est partiellement ou mal remédié, ses effets peuvent s’étendre dans la durée. Ce fort potentiel de déstabilisation exige, à la fois des organisations cibles et des prestataires de cybersécurité, un savoir-faire dans l’endiguement de ces cyber-attaques, dans la reprise de contrôle du système d’information compromis et dans le rétablissement d’un état de fonctionnement suffisant. La remédiation est l'étape clé pour y parvenir. Elle constitue l’une des dimensions majeures de la réponse à incident cyber, avec l’investigation et la gestion de crise.

L’ANSSI est engagée avec l’écosystème de sécurité informatique, à l’élaboration, et la diffusion des piliers doctrinaux de la mise en œuvre et du pilotage de la remédiation. Elle publie un corpus doctrinal qui s’articule en trois volets (stratégique, opérationnel, technique) et a vocation à s’enrichir progressivement.

En plus d’être menée et pilotée, la remédiation nécessite une préparation. La préparation à la remédiation permet de faciliter l'élaboration et l'exécution de la réponse à un incident de sécurité et fluidifie les conditions d'interventions d'équipe en charge de remédier à l'attaque. Cette préparation peut se faire en anticipation, avant que la détection d'un incident n'ait lieu et quand les équipes ne sont pas spécifiquement mobilisées; ou elle peut se faire lors de la réaction d'un incident détecté, dans un temps contraint et en amorce de la remédiation.

Ce document vient compléter le volet opérationnel de la remédiation. Il aide à la mise en œuvre ou à l'identification des actions citées parmi les activités du guide « Piloter la remédiation » de cette même collection (Piloter la remédiation | MesServicesCyber). Il s’appuie sur des retours opérationnels de l’ANSSI et il est aussi issu d’ateliers avec des prestataires en réponse à incident qui ont bien voulu partager leurs expériences.

Une nouvelle faille de sécurité importante a été corrigée dans PAN-OS, le système utilisé par les firewalls de chez Palo Alto Networks. Quels sont les risques ? Comment se protéger ? Voici l'essentiel à savoir.

Le mercredi 14 janvier 2026, une nouvelle vulnérabilité importante, estampillée CVE-2026-0227 (score CVSS de 7.7 sur 10), a été dévoilée par Palo Alto Networks au travers d'un bulletin de sécurité. Elle affecte le système PAN-OS des firewalls Palo Alto (Next-Gen Firewall) et Prisma Access.

En exploitant cette faille de sécurité, un attaquant distant non authentifié peut causer un déni de service sur le pare-feu. Cela signifie que le firewall est susceptible de redémarrer. Le pire, c'est que des tentatives d'exploitation répétées pourront faire entrer le firewall en mode maintenance, ce qui le rend inactif. Pour l'entreprise, ce comportement est synonyme d'interruptions de service.

L'entreprise Mandiant, filiale de Google, vient de lâcher une bombe : des rainbow tables de 8 To permettant de casser n'importe quel hash de mots de passe NTLMv1. Ce protocole obsolète est pourtant encore très utilisé dans les environnements Windows.

Jeudi 15 janvier 2026, la société Mandiant a publié sur Google Cloud une rainbow table spécifiquement conçue pour s'attaquer au hash Net-NTLMv1. Concrètement, cette base permet à n'importe qui, autant aux défenseurs qu'aux attaquants, de retrouver un mot de passe en clair à partir de son empreinte en moins de 12 heures.

Pour cela, il n'est pas nécessaire de disposer d'un supercalculateur : du matériel grand public, facile à se procurer et abordable (moins de 600 dollars) suffit amplement. Mandiant n'a pas donné d'exemple de matériel.

Mandiant précise : "En publiant ces tables, Mandiant vise à abaisser la barrière pour que les professionnels de la sécurité puissent démontrer l'insécurité de Net-NTLMv1. Bien que des outils pour exploiter ce protocole existent depuis des années, ils nécessitaient souvent le téléchargement de données sensibles vers des services tiers ou du matériel coûteux pour forcer les clés par brute-force."___

Le chef présumé de Black Basta a été démasqué lors d’une vaste opération de police en Ukraine. Le ressortissant russe est activement recherché par les forces de l’ordre.

Avec l’appui d’Europol et d’Interpol, les forces de l’ordre ukrainiennes et allemandes ont mené une opération d’envergure à l’encontre de Black Basta, l’un des plus redoutables gangs de l’industrie du ransomware. Spécialisé dans la double extorsion, le gang est impliqué dans plus de 600 cyberattaques à l’encontre de grandes entreprises. Le groupuscule est apparu en 2022 et est considéré comme l’un des principaux héritiers de Conti, un ancien mastodonte du ransomware, qui a disparu quelques années plus tôt. Dans le sillage de la guerre en Ukraine, Conti s’est en effet disloqué sous la pression de luttes intestines. Notez que Conti était déjà né sur les centres du gang Ryuk, disparu en 2020.