📱 Les chercheurs de Paradigm Shift publient usbliter8, un exploit non corrigeable ciblant le SecureROM des puces Apple A12 et A13. La faille, liée au contrôleur USB Synopsys DWC2, permet une exécution de code en mode privilégié EL1 via un accès physique en mode DFU. Les appareils concernés incluent les iPhone XS, XR, 11, SE […]

🚔 L’opération Endgame franchit une nouvelle étape avec le nettoyage de près de 15 000 sites WordPress infectés par SocGholish et la mise hors ligne de 106 serveurs liés à Evil Corp. F5 publie des correctifs hors cycle pour des failles critiques dans NGINX, notamment une use-after-free dans le module HTTP/3. Proofpoint détaille l’expansion mondiale […]

🔓 La fuite FortiBleed expose les identifiants VPN de près de 75 000 équipements Fortinet dans 194 pays. La base contient des noms d’utilisateur et des mots de passe en clair d’organisations majeures. Un groupe russophone multi-opérateurs aurait mené plus d’un milliard de tentatives d’authentification. Kevin Beaumont confirme l’authenticité d’une partie des données et estime […]

🚨 La CISA ajoute deux vulnérabilités à son catalogue KEV sur preuve d’exploitation active : CVE-2026-20262, une faille de Path Traversal dans Cisco Catalyst SD-WAN Manager, et CVE-2026-54420, un Symlink Following dans le plugin LiteSpeed pour cPanel. L’agence cite la Binding Operational Directive 26-04, qui impose aux agences fédérales civiles de prioriser la remédiation des […]

🇷🇺 Le russe Kaluga Astral confirme une cyberattaque ayant interrompu ses services environ une semaine, touchant déclaration fiscale, GED et messagerie de clients dont des entreprises d’État ; aucune fuite de données clients constatée, aucune attribution (Recorded Future News). 🇫🇷 Le CERT-FR publie l’avis CERTFR-2026-AVI-0752 sur de multiples vulnérabilités Mattermost Server (10.11.x < 10.11.20, 11.6.x […]

🇺🇸 Le gouvernement américain coupe l’accès à Mythos Édition spéciale. Le 12 juin 2026, le gouvernement des États-Unis a ordonné à Anthropic de suspendre immédiatement l’accès à ses modèles Fable 5 et Mythos 5, pour l’ensemble de ses clients dans le monde, sur le fondement d’un dispositif de contrôle à l’exportation et de ses autorités […]

🐛 GreatXML, code de démonstration publié le 10 juin par le chercheur Nightmare Eclipse, revendique un contournement de BitLocker via l’environnement de récupération WinRE, l’analyse hors ligne de Defender et le traitement des fichiers unattend.xml. Le résultat revendiqué est un shell avec accès au volume chiffré, alors que BitLocker l’affiche comme protégé. Le modèle de […]

🐛 Check Point Research dévoile une chaîne d’attaque dans LangGraph, framework d’agents IA aux 50 millions de téléchargements mensuels. Une injection SQL dans le checkpointer SQLite (CVE-2025-67644) couplée à une désérialisation msgpack non sécurisée (CVE-2026-28277) mène à une exécution de code à distance. La même classe d’injection touche le checkpointer Redis (CVE-2026-27022). Le service managé […]

📡 Selon Recorded Future News, le Royaume-Uni allège les mesures de sécurité prévues pour ses réseaux télécoms face à la campagne chinoise Salt Typhoon, après le lobbying des opérateurs sur les coûts. Sont abandonnés ou repoussés la détection d’intrusion indépendante sur la signalisation, le traitement de la signalisation entrante comme non fiable, et le redémarrage […]

🪟 Microsoft publie un Patch Tuesday massif pour juin 2026 : 200 vulnérabilités corrigées sur son seul périmètre, dont 33 critiques. La ventilation fait ressortir 65 élévations de privilèges, 55 exécutions de code à distance, 30 divulgations d’information, 27 Spoofing, 19 contournements de sécurité et 7 dénis de service. Le décompte exclut les 360 failles […]