Threat Advisories

Un incident de sécurité récent impliquant ServiceNow met en évidence un risque important pour les entreprises qui s'appuient sur des plateformes de gestion des flux de travail et des services informatiques dans le cloud. ServiceNow a révélé qu'une faille logicielle affectant certaines instances client permettait un accès non authentifié aux données via un point de terminaison API vulnérable. Cette faille contournait de fait les contrôles d'authentification, permettant ainsi à des tiers d'interroger les données stockées sans identifiants valides.

Les organisations utilisant les solutions Check Point Remote Access VPN, Mobile Access ou Spark Firewall sont invitées à prendre des mesures immédiates suite à la confirmation de l'exploitation active de CVE-2026-50751, une vulnérabilité critique de contournement d'authentification. Cette faille, classée avec un score de gravité élevé de 9.3, affecte les environnements configurés pour utiliser le protocole d'échange de clés IKEv1 déprécié et permet à des attaquants non authentifiés d'obtenir un accès VPN sans identifiants d'utilisateur valides.

GitHub a confirmé l'accès non autorisé et l'exfiltration d'environ 3 800 de ses référentiels de développement internes. La violation a été orchestrée par le groupe de cybercriminelsTeamPCP, motivé financièrement, qui a exploité une extension trojanisée de Microsoft Visual Studio Code (VS Code) installée sur l'appareil d'un employé privilégié.

La mise à jour du mardi de correctifs de mai 2026 de Microsoft pour Windows 10, KB5087544, reflète la réalité actuelle de la plateforme. Désormais bien installé dans sa phase de mises à jour de sécurité étendues, Windows 10 n'évolue plus par le biais de fonctionnalités, mais il est toujours activement sécurisé et entretenu. Cette mise à jour combine un large ensemble de corrections de vulnérabilités avec des changements ciblés sur le bureau à distance et le démarrage sécurisé qui révèlent comment Microsoft renforce le contrôle de la confiance et de la stabilité des points d'extrémité.

Fortinet a révélé deux vulnérabilités critiques affectant FortiSandbox et FortiAuthenticator qui pourraient permettre l'exécution de code à distance non authentifié (RCE) sur les systèmes exposés.

Trellix a annoncé que le code source interne de certaines parties de son portefeuille de produits a été consulté sans autorisation. Le matériel affecté concerne uniquement le code de développement des produits et n'inclut pas les environnements ou les données des clients. Il n'y a aucune indication de modification malveillante des artefacts logiciels publiés.

CVE 2026 31431, communément appelée "Copy Fail", est une vulnérabilité locale d'élévation de privilèges de haute sévérité affectant le noyau Linux. Le problème affecte les noyaux livrés par toutes les distributions Linux majeures depuis 2017 et permet à un utilisateur local non privilégié d'obtenir une exécution au niveau racine sur le système hôte.

Fin mars 2026, un acteur de la menace opérant sous le pseudonyme "The_Auditors" a prétendu avoir pénétré dans BlackLine Systems, un fournisseur américain de logiciels d'automatisation financière et de comptabilité. L'attaquant affirme avoir exfiltré environ 354 Go de documents financiers et opérationnels sensibles, soit un total de plus de 1,5 million d'enregistrements appartenant non seulement à BlackLine, mais aussi à ses entreprises clientes. À l'heure où nous écrivons ces lignes, BlackLine n'a pas confirmé publiquement l'existence d'une brèche, et les allégations ne sont pas vérifiées. Toutefois, de nombreuses sociétés de renseignement en matière de cybersécurité ont estimé que les allégations étaient crédibles sur la base de plusieurs indicateurs.

Une nouvelle attaque active de la chaîne d'approvisionnement npm a été observée. Elle utilise les informations d'identification compromises des responsables pour propager un code malveillant dans les paquets de l'écosystème Node.js. Le logiciel malveillant vole des éléments d'authentification (jetons npm, identifiants cloud, secrets CI/CD, clés SSH et données de portefeuille) et utilise les jetons de publication découverts pour s'injecter dans d'autres paquets appartenant au même responsable, créant ainsi une propagation latérale de type ver.

L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a confirmé l'exploitation active d'une vulnérabilité d'exécution de code à distance (RCE) de grande gravité dans Apache ActiveMQ Classic, répertoriée sous la référence CVE-2026-34197. La faille a été ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA, signalant une activité malveillante vérifiée dans la nature et élevant la priorité de remédiation pour toutes les organisations utilisant les versions affectées d'ActiveMQ