decio

Pour colmater les brèches, Google vient de lancer le déploiement des versions 146.0.7680.153/154 de Chrome sur Windows/ macOS et de 146.0.7680.15 sur Linux. Dépêchez-vous d’installer la dernière mise à jour de Chrome sur votre ordinateur et sur votre smartphone. Dès qu’elle est disponible, ouvrez le menu À propos de Google Chrome, laissez le navigateur télécharger les correctifs puis cliquez sur Relancer pour finaliser l’installation. Pensez aussi à activer les mises à jour automatiques afin de rester protégé en permanence. Pour rappel, Google a déjà corrigé deux failles zero-day dans Chrome la semaine dernière.

L'IA amplifie la prolifération des secrets. GitGuardian révèle une progression de 81 % des fuites liées aux services d'IA tandis que 29 millions de secrets sont détectés sur GitHub public. En 2025, les commits de développeurs utilisant Claude Code présentent un taux de fuite de secrets de 3,2 % contre 1,5 % en moyenne. Le facteur humain demeure déterminant.

GitHub est un service web d'hébergement et de gestion de développement de logiciels, utilisant le logiciel de gestion de versions Git. Le site assure un contrôle d'accès et des fonctionnalités destinées à la collaboration comme le suivi des bugs, les demandes de fonctionnalités, la gestion de tâches et un wiki pour chaque projet. Le site est devenu le plus important dépôt de code au monde, utilisé comme dépôt public de projets libres ou dépôt privé d'entreprises.

GitGuardian, leader français de cybersécurité et éditeur d'une des applications la plus installée de GitHub, a publié la 5ᵉ édition de son rapport annuel « State of Secrets Sprawl ». Le rapport analyse comment l'adoption généralisée de l'IA en 2025 a profondément transformé le développement logiciel et accéléré l'exposition des identités machines et de leurs secrets au sein des dépôts de code publics et privés.

Alors que l'écosystème logiciel croît rapidement, le nombre de secrets divulgués augmente plus vite encore, et le traitement des incidents accuse un retard croissant. En 2025, l'adoption de l'IA a définitivement transformé l'ingénierie logicielle :

• Augmentation de +43 % en glissement annuel des commits publics, avec un rythme de croissance au moins deux fois supérieur à celui des années précédentes.

• Depuis 2021, les secrets croissent environ 1,6 fois plus vite que la population de développeurs actifs.

• En moyenne sur l'année, les taux de fuite de secrets dans le code assisté par IA sont environ deux fois supérieurs à ceux observés sur l'ensemble de GitHub.

Ensemble, ces forces ont entraîné une augmentation annuelle de +34 % du nombre de nouveaux secrets exposés sur GitHub, atteignant ~29 millions de secrets détectés au total, marquant la plus forte augmentation annuelle jamais enregistrée.

Le Secrétariat général de l’Enseignement catholique a été victime d’une attaque informatique ciblant l’application de gestion de ses établissements du premier degré. Cet incident, identifié rapidement, a entraîné un accès non autorisé aux données relatives à l’identification des utilisateurs de cette application et aux coordonnées des élèves, de leurs familles et des enseignants. Le Secrétariat général de l’Enseignement catholique a immédiatement déployé un protocole de réponse rigoureux. Toutes les mesures nécessaires ont été prises sans délai pour sécuriser les systèmes, notamment : • La sécurisation immédiate de tous les accès ; • La suspension des services impactés par l’incident ; • Le signalement aux autorités juridiques et administratives compétentes, en premier lieu desquelles le Ministère de l’Éducation Nationale.

Parallèlement, une communication proactive a été établie avec l’ensemble des chefs d’établissement, des enseignants et des parents d’élèves concernés pour les informer des mesures mises en place pour assurer la sécurisation des systèmes et transmettre des recommandations de vigilance, notamment relatives à la modification des accès et à l’usage de mots de passe complexes.

Par ailleurs, l’Enseignement catholique s’est adjoint la collaboration d’experts en cybersécurité pour analyser la situation en profondeur, limiter les conséquences potentielles de cet incident et envisager les éventuels correctifs de sécurité.

Le Secrétariat général regrette profondément cette situation et assure l’ensemble des communautés éducatives de son entière mobilisation pour limiter les effets de cette attaque et renforcer encore la protection des données personnelles des familles et de ses personnels.

IDENTIFICATION & ATTRIBUTION

Dénominations (alias connus par vendor)

Le groupe est suivi sous les dénominations suivantes selon les vendors : MERCURY (Microsoft, dénomination historique), MuddyWater (ClearSky, dénomination d’usage courant), Mango Sandstorm (Microsoft, dénomination actuelle), Seedworm (Symantec/Broadcom), Static Kitten (CrowdStrike), Earth Vetala (Trend Micro), TEMP.Zagros (Mandiant/FireEye pré-attribution), TA450 (Proofpoint), Boggy Serpens (Palo Alto Unit 42). Autres aliases documentés : MuddyC2 (opérationnel), G0069 (MITRE ATT&CK).

Origine

Iran.

Sponsor présumé

Le groupe est évalué comme un élément subordonné au MOIS : Ministry of Intelligence and Security (Vezarat-e Ettelaat va Amniat-e Keshvar) (1). Cette attribution a été formalisée dans un avis conjoint publié le 24 février 2022 par le FBI, la CISA, le CNMF et le NCSC-UK, avec un niveau de confiance élevé. MERCURY/MuddyWater opère sous la même tutelle institutionnelle qu’APT39 (MOIS) mais constitue un cluster d’activité distinct par ses cibles, ses outils et ses objectifs opérationnels. Les acteurs du groupe sont évalués comme étant en mesure de partager des accès et des données avec d’autres acteurs malveillants iraniens (1). Un lien opérationnel avec le cluster Storm-1084 (DarkBit) a été documenté par Microsoft.

Niveau de sophistication

Tier 2 : Modéré à Fort, en progression constante. L’évolution du groupe sur la période 2017-2026 se structure en trois phases documentées (2) :

Phase I (2017-2022) : opérations centrées sur des scripts PowerShell/VBS. Arsenal principal : POWERSTATS, PowGoop, Small Sieve, Canopy/Starwhale, Mori.

Phase II (2023-2024) : virage doctrinal vers l’abus d’outils RMM (Remote Monitoring and Management) légitimes comme vecteur de C2 principal (SimpleHelp, ScreenConnect, N-able), combiné à l’émergence des premiers backdoors custom de nouvelle génération (BugSleep/MuddyRot).

Phase III (2024-2026) : itération rapide sur des malwares custom, adoption de Rust comme langage de développement (RustyWater), intégration documentée de l’IA générative dans le développement des outils, C2 via bots Telegram, et extension géographique vers les États-Unis et le Canada (campagne Dindoor, mars 2026).

Motivation

Espionnage stratégique à large spectre et perturbation ciblée. Collecte de renseignement sur des cibles gouvernementales, militaires et d’infrastructure critique au service des objectifs du MOIS. Depuis 2024, corrélation documentée entre les accès cyber compromis (flux CCTV en direct) et des opérations cinétiques iraniennes (frappes de missiles). Déploiement occasionnel de ransomware (Thanos, 2020-2021 ; variantes 2024) comme vecteur de perturbation ou d’extorsion secondaire.

Statut

ACTIF : dernière activité documentée : mars 2026. Campagnes Dindoor (Broadcom/Symantec, mars 2026), RustyWater (janvier 2026), Operation Olalampo (Group-IB, janvier-février 2026), avec compromissions confirmées ciblant des entités américaines, israéliennes et canadiennes (3)(4)(5).

C’est une victoire pour les formats ouverts qu’annonce The Document Foundation (TDF), l’organisation à but non lucratif responsable de la suite bureautique LibreOffice: l'intégration d'Open Document Format (ODF) comme format standard obligatoire dans le Deutschland-Stack, le cadre d'infrastructure numérique souveraine du gouvernement fédéral allemand pour l'ensemble des administrations publiques.

Pas une simple recommandation Le Deutschland-Stack est publié (texte en allemand) par le ministère fédéral allemand du Numérique et de la Modernisation de l'État (Bundesministerium für Digitales und Staatsmodernisierung). Il définit les normes techniques d'une infrastructure numérique partagée, interopérable et souveraine pour toutes les administrations publiques allemandes. Parmi ses normes techniques dans une section "Technologies sémantiques et analyse en temps réel", les formats ODF et PDF/UA sont explicitement désignés comme les deux formats de documents obligatoires.

«Il ne s’agit pas d’une recommandation ni d’une préférence, c’est impératif», souligne Florian Effenberger, directeur exécutif de la Document Foundation (en France, le RGI de 2016 note le format ODF comme "recommandé" et le format OOXML "en observation - p. 40 et 41 du PDF).

Un agent IA rebelle a déclenché une alerte de sécurité majeure chez Meta, en agissant sans autorisation, ce qui a entraîné la divulgation de données sensibles concernant l'entreprise et ses utilisateurs

Meta, la société mère de Facebook, rencontrerait des difficultés avec des agents IA incontrôlables. Selon un rapport de The Information, un agent IA de Meta a mal fonctionné, exposant des données sensibles de l'entreprise et des utilisateurs à des employés qui n'étaient pas autorisés à y accéder. Meta a confirmé l'incident à The Information, le classant comme « Sev 1 », soit le deuxième niveau de gravité le plus élevé dans le système interne de l'entreprise destiné à évaluer les problèmes de sécurité.

Dans le contexte de l'intelligence artificielle générative, les agents IA ou « IA agentique » constituent une catégorie d'agents intelligents qui se distinguent par leur capacité à fonctionner de manière autonome dans des environnements complexes. Les outils d'IA agentique privilégient la prise de décision plutôt que la création de contenu et ne nécessitent pas de surveillance continue. Les agents IA possèdent plusieurs attributs clés, notamment des structures d'objectifs complexes, des interfaces en langage naturel, la capacité d'agir indépendamment de la supervision de l'utilisateur et l'intégration d'outils logiciels ou de systèmes de planification. Les agents intègrent également des systèmes de mémoire permettant de se souvenir des interactions précédentes entre l'utilisateur et l'agent, ainsi que des logiciels d'orchestration pour organiser les composants de l'agent.

Des chercheurs ont découvert une campagne menée par le groupe Glassworm qui exploite les relations de dépendance entre les extensions dans le registre Open VSX pour diffuser indirectement des malwares.

Deux incidents de sécurité en trois semaines J'ai envie de dire que le cauchemar continue pour les mainteneurs de Trivy et les utilisateurs de ce scanner de vulnérabilités très populaire. Souvenez-vous : fin février dernier, un bot autonome nommé hackerbot-claw était parvenu à exploiter une faille dans un workflow GitHub Actions pour dérober un jeton d'accès et prendre le contrôle du dépôt Trivy. L'outil avait même disparu totalement de GitHub, avant de revenir quelques heures plus tard.

Jeudi 19 mars, un nouvel incident de sécurité a frappé Trivy. Cette fois-ci, c'est une version malveillante qui a été diffusée : v0.69.4. Des investigations menées par StepSecurity et partagées dans un rapport expliquent précisément ce qu'il s'est passé. Tout d'abord, il semblerait que le même acteur soit à l'origine de cette seconde attaque.

"Le système d'automatisation des publications Trivy (aqua-bot) a publié la version v0.69.4, et une balise v0.70.0 a également été brièvement créée. Les binaires de la version v0.69.4 contenaient un code malveillant qui établissait une connexion avec un domaine C2 de type « typosquatting ».", peut-on lire.

Ubiquiti a récemment patché deux failles de sécurité dans l'application UniFi Network, dont la CVE-2026-22557, une vulnérabilité critique pouvant mener à la prise de contrôle des comptes utilisateurs. Voici comment se protéger.

CVE-2026-22557 : une faille de sécurité critique L'application UniFi Network est une solution permettant de configurer et de surveiller les équipements réseaux de la célèbre marque Ubiquiti : routeurs, switchs, points d'accès Wi-Fi, etc. Autrement dit, elle assure la fonction de contrôleur global au niveau du réseau.

Cette même solution est affectée par une faille de sécurité critique : CVE-2026-22557 (avec un score CVSS de 10 sur 10). En effet, en exploitant cette vulnérabilité de type Path Traversal, un attaquant distant non authentifié pourrait compromettre l'instance UniFi. Aucune interaction de la part d'un utilisateur n'est nécessaire, l'attaquant doit seulement pouvoir contacter la solution UniFi via le réseau.

Dans son bulletin de sécurité, Ubiquiti précise : "Un acteur malveillant ayant accès au réseau pourrait exploiter une vulnérabilité de traversée de chemin trouvée dans l'application UniFi Network pour accéder aux fichiers du système sous-jacent, qui pourraient ensuite être manipulés pour accéder à un compte sous-jacent."

Le footing d'un jeune officier publié sur la plateforme sportive a permis de localiser le porte-avions français au large de Chypre.

Quand un simple footing révèle une position censée être confidentielle. Le porte-avions Charles-de-Gaulle, déployé en mer Méditerranée pour faire face aux menaces d'extension de la guerre entre les Etats-Unis, Israël et l'Iran, a été localisé au large de Chypre le vendredi 13 mars, à près d'une centaine de kilomètres des côtes turques.

L'information a été révélée jeudi 19 mars par Le Monde(Nouvelle fenêtre) grâce à l'application de course à pied Strava. Selon le quotidien, un jeune officier de la Marine nationale y a enregistré un footing de plus de 7 km en 37 minutes et 20 secondes effectué sur le pont du bateau. Ces données, accessibles publiquement, peuvent être consultées par n'importe quel utilisateur de la plateforme.

Reconnaissance faciale dans la rue, traçage de millions de téléphones portables, piratage d'applications de messagerie chiffrées, tel est l'arsenal dont dispose aujourd'hui l'ICE, la police de l'immigration de l'administration Trump. L'ICE a déployé un arsenal technologique inédit et massif dans l’histoire américaine. Un budget de plus de 120 milliards de dollars est prévu pour la police de l'immigration d’ici à 2029, soit deux fois plus que sous l'ère Joe Biden. Ses effectifs ont aussi doublé depuis l'arrivée de Donald Trump.

Interrogé dans La Matinale, Cooper Quintin, technologue principal à l’Electronic Frontier Foundation, organisation américaine de défense des libertés numériques, détaille: "S'ils étaient une armée, cela ferait d'eux la 14e armée la mieux financée au monde, entre l'Ukraine et Israël". Avec cette manne financière, l'agence s'est offert un catalogue d'outils dignes des services de renseignement les plus intrusifs.

Les travaux conjoints des services membres du Centre de Coordination des Crises Cyber (C4) ont permis d’identifier une recrudescence de campagnes d’attaques ciblant les comptes de messagerie instantanées. Ces campagnes ciblent particulièrement les secteurs régaliens (personnalités politiques, cadres de l’administration) mais aussi les personnels de la société civile exerçant des fonctions sensibles (journalistes, industriels, etc.).

Ces attaques – quand elles réussissent – peuvent permettre à des acteurs malveillants d’accéder aux historiques de conversation, voire de prendre le contrôle des comptes de messagerie de leurs victimes et de diffuser des messages en usurpant leur identité. Cette note d’alerte contient des actions immédiates permettant de vérifier la prise de contrôle d’un compte par un tiers ainsi que des préconisations d’hygiène numérique simples afin d’éviter une telle compromission.

https://www.cert.ssi.gouv.fr/uploads/20260320_NP_C4_Alerte_Ciblage_messagerie_instantanee.pdf