decio

Le groupe de pirates TeamPCP continue de faire parler de lui, et cette fois-ci, c'est le paquet Python LiteLLM qui a été compromis ! Les pirates affirment avoir volé des données sur des milliers de machines suite à la diffusion d'une version malveillante. Voici ce que l'on sait.

TeamPCP, c'est le groupe de cybercriminels qui fait énormément parler de lui ces dernières semaines. Pourquoi ? Tout simplement parce qu'ils sont à l'origine de la compromission de Trivy, le scanner de vulnérabilités open source. Une attaque de grande ampleur sur la chaine d'approvisionnement logicielle, avec à la clé un impact fort : un infostealer injecté dans le code, des versions malveillantes publiées sur Docker Hub, etc...

02/03/2026 - HackerBot Claw : le bot IA autonome qui a fait disparaître Trivy de GitHub

20/03/2026 - Le scanner Trivy piraté une seconde fois : attention au vol de secrets

24/03/2026 - L’attaque contre Trivy s’étend jusqu’au Docker Hub : attention aux malwares

Concernant LiteLLM, il s'agit d'une bibliothèque Python open source qui permet de jouer le rôle de passerelle/proxy entre un utilisateur et plusieurs LLM, grâce à son API (probablement le même principe qu'avec OpenRouter, mais en local). Ce paquet est très populaire : il est téléchargé plus de 3 millions de fois par jour, soit un total de 95 millions de téléchargements sur les 30 derniers jours.

Une nouvelle alerte de sécurité pour les solutions Citrix NetScaler après la découverte de deux failles de sécurité, dont l'une rappelle les vulnérabilités CitrixBleed et CitrixBleed2 qui ont fait beaucoup de dégâts depuis 2023. Voici ce qu'il faut savoir.

Ces dernières années, les solutions Citrix NetScaler ADC et Citrix NetScaler Gateway ont été plusieurs fois impactées par des failles de sécurité critiques. On se souvient en 2023 de la vulnérabilité CitrixBleed, et en juin 2025, de la vulnérabilité CitrixBleed 2. Ces deux failles de sécurité zero-day ont permis aux pirates de compromettre de nombreuses instances, notamment le groupe de ransomware LockBit qui a exploité la faille CitrixBleed.

Le 23 mars 2026, Citrix a mis en ligne un nouveau bulletin de sécurité pour divulguer deux failles de sécurité : CVE-2026-3055 et CVE-2026-4368.

24.03.2026 - Les offres d’emploi frauduleuses peuvent prendre différentes formes et présenter un degré de sophistication variable. Il y a quelques années, les escrocs ciblaient principalement les personnes à la recherche d’un emploi dans le secteur de la restauration. Dans ces cas-là, les personnes intéressées devaient payer à l’avance des cotisations d’assurance maladie fictives. Puis sont apparues des offres proposant d’effectuer des missions sur de fausses plateformes, pour lesquelles les candidates et les candidats devaient payer plus qu’ils ne gagnaient. Dans la variante la plus récente, les escrocs ne se contentent pas d’inventer de fausses entreprises suisses : ils imitent également des entreprises existantes et, dans ces cas-là, publient même des offres d’emploi dans les journaux.

La justice a condamné le propriétaire de Facebook et Instagram pour avoir exposé les jeunes utilisateurs à des contenus inappropriés et à des prédateurs sexuels. Le jugement intervient alors qu’un procès du même type se tient à Los Angeles et que des milliers de milliers d’autres plaintes similaires ont été déposées aux Etats-Unis.

Les fuites de données se suivent en France, et tellement que l'on a tendance à sauter au plafond dès qu'une annonce est faite. Aujourd'hui, c'est OVH qui est au coeur de la discussion après une communication de ce genre !

Il y a eu beaucoup de fuites de données l'an dernier en France. Même si l'ANSSI a indiqué récemment que le nombre de piratages serait moins élevé que ce que prétendent les hackers, il est tout de même évident que notre pays a beaucoup souffert dans ce domaine en 2025. Alors, beaucoup se mettent à scruter les annonces faites sur les forums de pirates, même si certaines sont difficiles à confirmer, comme on peut le voir aujourd'hui.

Les données de 1,6 million de clients OVH seraient compromises OVH Cloud a-t-il été victime à son tour d'un piratage ? C'est ce qu'affirme un individu sur un forum cybercriminel, individu qui a, sur place, le statut d'administrateur. Il a expliqué au public avoir eu accès à un compte parent d'OVH et à des serveurs.

Le Centre national des œuvres universitaires et scolaires (Cnous) a pris connaissance, le 23 mars 2026, d’une exfiltration de données provenant du site mesrdv.etudiant.gouv.fr, plateforme de prise de rendez-vous avec les services sociaux et logement des Crous. Dès la détection de cet incident, les accès concernés ont été immédiatement sécurisés et une investigation technique approfondie a été engagée afin d’en identifier les causes, de mesurer le nombre de personnes susceptibles d’avoir été impactées et d’éviter qu’une situation similaire ne se reproduise. Cet incident fait l’objet d’un suivi attentif et d’une mobilisation complète des services compétents. 774 000 personnes sont concernées par cette extraction de données, issues de rendez-vous pris sur les dix dernières années. Parmi elles, 139 000 personnes ont fait l’objet d’une exfiltration de pièces jointes déposées dans l’application et 635 000 ont fait l’objet d’une exfiltration de données très limitée (nom, prénom, adresse mail, objet et date du rendez-vous).

Une déclaration a été faite auprès de la Commission nationale de l’informatique et des libertés (CNIL). Un dépôt de plainte est en cours. Chaque personne concernée sera informée de la situation par le Cnous. L’accès au site est temporairement suspendu, le temps de procéder aux corrections nécessaires et de garantir une réouverture dans des conditions de sécurité renforcées. Dans l’attente, les étudiants nécessitant un rendez-vous social d’urgence peuvent prendre attache avec le centre de contact du réseau des Crous : 09 72 59 65 65.

Conscient du caractère systémique des cyberattaques, le Cnous accorde la plus haute importance à la sécurité numérique. Il porte une politique de sécurité des systèmes d’information renforcée de façon continue pour s’adapter à l’évolution des menaces.

Après une cyberattaque le 14 mars 2026, l'entreprise Intoxalock, qui gère des milliers d'éthylotests connectés, doit faire face à la gronde d'automobilistes à l'arrêt.

Depuis plusieurs jours, sur les réseaux sociaux comme Reddit, des automobilistes se plaignent de ne pas pouvoir démarrer leur véhicule. En cause, la présence d'un éthylotest connecté inopérant. Pourquoi ne remplit-il plus son office? Selon Intoxalock, son fabricant, la faute reviendrait à une cyberattaque survenue le 14 mars 2026, qui vient perturber ses services et causer des interruptions.

Données personnelles, adresses postales notamment ont été piratées dans un logiciel de l’éducation nationale a annoncé le ministère le 23 mars. 243.000 agents essentiellement des enseignants, ont été touchés quelques jours plus tôt.

Une seule clé volée, 80 millions de stablecoins créés à partir de rien, 24,5 millions convertis en Ether en quelques minutes. Le protocole DeFi Resolv n'a pas été piraté par un bug. Son code a fonctionné exactement comme prévu.

Le code source d'un outil d'espionnage étatique vient de fuiter publiquement. Il suffit de quelques heures et de zéro compétence en iOS pour le déployer.

La menace DarkSword vient de changer de nature. Nous avions détaillé le fonctionnement de ce kit d'espionnage capable de vider un iPhone non mis à jour via une simple page web. Désormais, le problème n'est plus seulement technique. Comme le rapporte TechCrunch, une version fonctionnelle du kit a été publiée sur GitHub. N'importe qui peut la télécharger.

Les autorités pensaient avoir mis un terme aux activités de l’une des plateformes de phishing les plus dangereuses du moment, Tycoon2FA. En quelques jours, la plateforme, spécialisée dans le contournement de la double authentification, est revenue sur le devant de la scène… et elle tourne à plein régime.

...

Le répit n’aura été que de courte durée. Moins d’un mois après sa fermeture forcée, Tycoon2FA fait son retour sur le devant de la scène. Après avoir constaté une chute brutale de l’activité du kit dans le sillage de l’opération du 4 mars, les chercheurs de CrowdStrike ont vite enregistré une reprise d’activité. Le service a très vite repris sa cadence de croisière, seulement quelques jours après, indiquant que la plateforme est loin d’être morte et enterrée.

Ces plateformes arnaquaient leurs utilisateurs en prétendant vendre du matériel pédopornographique et cybercriminel. Europol a annoncé, le 20 mars 2026, avoir coordonné, avec les autorités allemandes, le démantèlement de 373 000 sites du dark web, qui prétendaient vendre des contenus pédopornographiques et cybercriminels. Lancée par la police allemande en 2021, l’enquête ciblait à l’origine la plateforme « Alice with Violence CP ». Elle s’est avérée n’être que la partie émergée de ce vaste réseau de fausses places de marché criminelles.