📢 Actualité Cybersécurité – Semaine du 22 au 28 juin 2026

🙋‍♂️Introduction

Pour commencer, un point de contexte : cette semaine illustre parfaitement une tendance qui se confirme depuis plusieurs mois. Les cyberattaques ne se limitent plus aux grandes entreprises technologiques ou aux infrastructures critiques. Administrations, organismes de santé, associations, éditeurs de logiciels et services cloud sont désormais exposés à des menaces toujours plus variées. En parallèle, les chercheurs en sécurité continuent de mettre au jour des vulnérabilités parfois enfouies depuis plusieurs décennies, tandis que les attaquants perfectionnent leurs méthodes en exploitant les chaînes d’approvisionnement, les relations de confiance entre organisations ou encore les mécanismes les plus profonds des systèmes d’exploitation.

Dans cette revue de l’actualité cyber couvrant la période du 22 au 28 juin 2026, nous reviendrons sur plusieurs fuites de données majeures en France, des incidents internationaux touchant des acteurs bien connus comme LastPass, ainsi que sur plusieurs vulnérabilités particulièrement intéressantes, dont certaines rappellent que quelques lignes de code oubliées peuvent encore aujourd’hui mettre en péril des millions de systèmes. Comme chaque semaine, l’objectif est de dépasser le simple fait divers pour comprendre les mécanismes techniques, les risques réels et les enseignements à retenir en matière de cybersécurité.

🗼Zoom France

1- Fuite de données à la Fédération Sportive de la Police Nationale

La Fédération Sportive de la Police Nationale (FSPN) a confirmé avoir été victime d’une cyberattaque ayant conduit à l’exfiltration d’une importante base de données regroupant plusieurs années d’informations relatives à ses adhérents. L’organisation a indiqué avoir ouvert une enquête interne, déposé plainte et procédé aux déclarations réglementaires auprès des autorités compétentes, notamment la CNIL. Selon les premières analyses, l’incident pourrait concerner environ 224 000 personnes, principalement des policiers actifs, des personnels administratifs, des retraités, mais également certains ayants droit ayant participé aux activités de la fédération. Les données compromises couvriraient une période allant de 2012 à 2026, ce qui représente près de quatorze années d’archives.

Une fuite d’ampleur

Les éléments publiquement évoqués laissent penser que la base de données compromise ne contenait pas uniquement des informations administratives classiques.

Parmi les données susceptibles d’avoir été exposées figureraient notamment :

  • identité complète (nom, prénom, sexe, date de naissance)
  • numéro de matricule professionnel
  • grade et service d’affectation
  • coordonnées électroniques et téléphoniques
  • informations relatives aux licences sportives
  • certificats médicaux nécessaires à certaines disciplines
  • convocations à des compétitions ou événements sportifs
  • différents documents administratifs associés aux adhésions

Les estimations évoquent notamment près de 380 000 licences sportives, environ 180 000 certificats médicaux, plus d’un million de convocations et plusieurs centaines de milliers de documents annexes

Des données particulièrement sensibles

Toutes les fuites de données ne présentent pas le même niveau de risque. Dans ce cas précis, plusieurs facteurs rendent l’incident particulièrement préoccupant.

La présence simultanée d’informations permettant d’identifier précisément un fonctionnaire de police (nom, matricule, grade, affectation) augmente fortement la valeur de ces données pour des acteurs malveillants.

Contrairement à une fuite classique impliquant uniquement une adresse électronique ou un mot de passe, ces informations peuvent être exploitées dans le cadre d’opérations d’ingénierie sociale ciblées, de campagnes de phishing crédibles, d’usurpation d’identité, de tentatives d’approche ou de compromission d’agents exerçant des fonctions sensibles.

La présence alléguée de documents médicaux constitue également un facteur aggravant, ces données appartenant à la catégorie des données sensibles au sens du RGPD. Leur divulgation peut entraîner des conséquences importantes tant pour les personnes concernées que pour l’organisme responsable de leur traitement.

Une diffusion sur le dark web

La base de données aurait été publiée sur un forum clandestin fréquenté par des cybercriminels. Sa diffusion a été revendiquée par un acteur utilisant le pseudonyme « Misère », déjà associé par le passé à plusieurs publications de données sensibles.

Il convient toutefois de rester prudent : comme pour toute revendication publiée sur ce type de plateforme, l’origine exacte des données ainsi que les modalités techniques de leur obtention ne peuvent être considérées comme définitivement établies tant que les investigations judiciaires et techniques ne sont pas achevées.

Une hypothèse technique

Certaines analyses évoquent la possibilité qu’une vulnérabilité de type IDOR (Insecure Direct Object Reference) ait permis d’accéder à des documents via des identifiants d’objets insuffisamment protégés, possiblement associés à des identifiants MD5.

À ce stade, cette hypothèse n’a fait l’objet d’aucune confirmation officielle. Les investigations devront déterminer si l’origine de la compromission résulte d’une faille applicative, d’une mauvaise configuration, d’identifiants compromis ou d’un autre vecteur d’attaque.

Les risques pour les personnes concernées

Même en l’absence de fuite de mots de passe, les conséquences peuvent être importantes.

Tout comme pour n’importe quelle fuire de données, les victimes peuvent être exposées à :

  • des campagnes de phishing personnalisées
  • des appels frauduleux se faisant passer pour l’administration ou la hiérarchie
  • des tentatives d’usurpation d’identité
  • des attaques visant spécifiquement certains services de police
  • une diffusion durable de données personnelles sur des plateformes clandestines

Pour les personnels exerçant des missions sensibles, la divulgation du service d’affectation ou du matricule peut constituer un risque supplémentaire en matière de sécurité opérationnelle.

Réponse de la fédération

La FSPN indique avoir immédiatement pris plusieurs mesures :

  • ouverture d’une enquête interne
  • dépôt de plainte
  • notification auprès de la CNIL
  • investigations techniques afin d’identifier l’origine de la compromission
  • communication auprès des adhérents afin de les sensibiliser aux risques de phishing et d’escroquerie

Les personnes susceptibles d’être concernées sont invitées à faire preuve d’une vigilance accrue vis-à-vis des courriels inattendus, des SMS, des appels téléphoniques ou des demandes inhabituelles de communication d’informations personnelles.

Une piqûre de rappel des enjeux liés à la protection des données

Au-delà de cet incident, cette affaire rappelle que les associations, fédérations et organismes publics manipulant d’importants volumes de données personnelles sont désormais des cibles privilégiées des cybercriminels.

Les informations médicales, administratives et professionnelles représentent une forte valeur sur les marchés clandestins, notamment lorsqu’elles concernent des personnels exerçant des fonctions régaliennes.

Cette compromission illustre également l’importance de mettre en œuvre des contrôles de sécurité réguliers, une gestion rigoureuse des accès, une surveillance des applications exposées sur Internet ainsi qu’une politique efficace de détection des vulnérabilités. La sécurisation des documents stockés, la limitation des accès par le principe du moindre privilège et les audits réguliers demeurent des mesures essentielles pour réduire le risque de ce type d’incident.

(sources : lemondeinformatique.fr, frenchbreaches.com, incyber.org)

2- Fuite de données touchant le site MesVaccins.net

Les cyberattaques visant le secteur de la santé continuent de se multiplier, et les plateformes numériques de suivi médical figurent désormais parmi les cibles les plus convoitées. Un récent incident de sécurité ayant touché une plateforme française de gestion des carnets de vaccination numériques illustre parfaitement cette tendance. Au-delà du vol de données personnelles, cette attaque rappelle que les informations de santé possèdent une valeur particulièrement élevée pour les cybercriminels et nécessitent un niveau de protection renforcé.

Une intrusion ayant conduit à une fuite de données sensibles

L’incident a été détecté à la mi-juin 2026, après la découverte d’un accès non autorisé aux systèmes de la plateforme. Les premières investigations indiquent qu’un tiers malveillant a pu consulter et copier une partie des données hébergées. Les équipes techniques ont rapidement isolé les systèmes concernés, lancé une enquête interne, notifié les autorités compétentes et déposé plainte.

L’un des principaux défis de cette affaire réside dans l’impossibilité, à ce stade, d’identifier avec certitude les utilisateurs effectivement concernés. Par mesure de précaution, l’ensemble des titulaires d’un carnet de vaccination numérique est donc considéré comme potentiellement impacté.

Quelles données ont pu être exposées ?

Les catégories de données potentiellement compromises couvrent à la fois des informations d’identification et des données médicales.

Les informations concernées comprennent notamment :

  • nom et prénom
  • adresse électronique
  • numéro de téléphone
  • adresse postale
  • date de naissance
  • numéro de sécurité sociale lorsqu’il avait été renseigné
  • données relatives au carnet vaccinal
  • informations complémentaires du profil santé

Les mots de passe ne figureraient pas parmi les données directement exposées puisqu’ils étaient stockés sous forme chiffrée. De même pour les informations médicales qui n’étaient pas conservées en clair, même si les investigations se poursuivent afin de déterminer précisément le niveau d’exposition réel de ces données.

Pourquoi les données de santé intéressent-elles autant les cybercriminels ?

Contrairement à un simple numéro de carte bancaire, qui peut être rapidement bloqué, les données médicales sont pratiquement impossibles à modifier.

Elles présentent plusieurs caractéristiques qui les rendent particulièrement lucratives :

  • elles permettent une identification très fiable des victimes
  • elles peuvent servir à l’usurpation d’identité
  • elles facilitent les campagnes de phishing ciblé
  • elles permettent de construire des dossiers très complets revendus sur des places de marché clandestines

Une fiche de santé associant identité, coordonnées, numéro de sécurité sociale et informations médicales possède généralement une valeur bien supérieure à celle d’un simple identifiant de connexion.

Ces données peuvent également être utilisées dans des escroqueries particulièrement crédibles, par exemple en se faisant passer pour :

  • un professionnel de santé
  • une caisse d’assurance maladie
  • une mutuelle
  • un centre de vaccination
  • un laboratoire d’analyses

Un contexte préoccupant pour le secteur de la santé

Cette attaque ne constitue malheureusement pas un cas isolé. En effet, depuis plusieurs années, les établissements de santé, les laboratoires, les éditeurs de logiciels médicaux et les plateformes de télémédecine figurent parmi les cibles privilégiées des groupes cybercriminels.

Plusieurs facteurs expliquent cette attractivité :

  • forte concentration de données sensibles
  • disponibilité critique des services
  • coexistence de systèmes modernes et d’équipements anciens difficiles à maintenir
  • multiplication des interfaces avec des partenaires externes

Les attaquants savent également que les organismes de santé disposent souvent de délais très courts pour rétablir leurs services, ce qui peut accroître la pression en cas d’attaque par rançongiciel ou de vol de données.

Quels sont les risques pour les personnes concernées ?

Même en l’absence de diffusion publique des données, plusieurs scénarios doivent être envisagés.

1- Phishing ciblé

Les attaquants peuvent envoyer des courriels ou des SMS particulièrement crédibles faisant référence à la vaccination ou à un suivi médical.

Ces messages peuvent inviter la victime à :

  • confirmer ses informations personnelles
  • télécharger un faux certificat vaccinal
  • renouveler un carnet de vaccination
  • payer de prétendus frais administratifs

La présence de véritables données personnelles augmente fortement le taux de réussite de ces campagnes.

2- Usurpation d’identité

La combinaison de l’identité civile, des coordonnées et du numéro de sécurité sociale peut faciliter certaines tentatives de fraude administrative ou financière.

Même si ces informations ne suffisent pas toujours à réaliser des démarches frauduleuses, elles constituent des éléments précieux pour compléter d’autres bases de données issues de précédentes fuites.

3- Ingénierie sociale

Les informations médicales permettent également de rendre les attaques beaucoup plus crédibles.

Un cybercriminel connaissant l’âge, certaines vaccinations ou le contexte médical d’une personne sera davantage en mesure de gagner sa confiance lors d’un appel téléphonique ou d’un échange par courrier électronique.

Les obligations réglementaires

En Europe, ce type d’incident relève directement du RGPD.

Les données de santé appartiennent aux catégories particulières de données personnelles définies par l’article 9 du règlement. Leur traitement impose donc des mesures de sécurité renforcées ainsi qu’une notification rapide de l’autorité de contrôle lorsqu’une violation de données présente un risque pour les personnes concernées.

Dans ce dossier, une notification a été transmise à la CNIL conformément aux obligations réglementaires, tandis qu’une plainte a également été déposée auprès des autorités compétentes.

Mesures engagées

À la suite de la découverte de l’incident, plusieurs actions ont été engagées :

  • isolement des systèmes concernés
  • sécurisation de l’infrastructure de production
  • renforcement des mécanismes de contrôle d’accès
  • audits complémentaires de sécurité
  • poursuite des investigations afin de déterminer l’origine exacte de l’intrusion
  • information des utilisateurs potentiellement concernés

Impact utilisateurs

Même si les mots de passe ne semblent pas avoir été compromis directement, quelques mesures de précaution restent recommandées :

  • modifier son mot de passe par mesure de prudence, surtout s’il est réutilisé sur d’autres services
  • rester particulièrement vigilant face aux courriels, SMS ou appels évoquant la vaccination, l’assurance maladie ou des démarches administratives
  • ne jamais communiquer de codes d’authentification ou d’informations confidentielles à un interlocuteur non vérifié
  • surveiller les activités inhabituelles sur ses comptes administratifs ou médicaux
  • signaler toute tentative de phishing aux organismes compétents

Une illustration de l’évolution des cybermenaces

Cet incident rappelle que les cyberattaques ne visent plus uniquement les grandes entreprises ou les administrations. Les plateformes spécialisées, même lorsqu’elles proposent un service de niche comme la gestion d’un carnet vaccinal numérique, concentrent des données à forte valeur ajoutée qui attirent naturellement les cybercriminels.

Il met également en évidence l’importance de la défense en profondeur : chiffrement des données, segmentation des infrastructures, contrôle strict des accès, journalisation des actions sensibles, authentification multifacteur et surveillance continue sont désormais des exigences incontournables pour toute plateforme manipulant des données de santé.

Conclusion

La compromission d’une plateforme de gestion de carnets de vaccination constitue un nouvel exemple de la pression constante exercée sur les acteurs du secteur de la santé. Même si les investigations se poursuivent et que certaines données médicales semblent avoir été protégées par des mécanismes de codage ou de chiffrement, la combinaison d’informations d’identité, de coordonnées et de données vaccinales représente un risque significatif pour les utilisateurs.

Au-delà de cet incident, cette affaire rappelle que les données de santé sont aujourd’hui parmi les actifs numériques les plus convoités. Leur protection ne relève plus seulement de la conformité réglementaire, mais constitue un enjeu majeur de cybersécurité et de confiance numérique, tant pour les organismes qui les hébergent que pour les millions de citoyens qui leur confient leurs informations les plus sensibles.

(sources : usine-digitale.fr, frenchbreaches.com, next.ink)

3- Cyberattaque contre l’Insee et données exposées

Une nouvelle cyberattaque a récemment visé un organisme public français majeur. L’incident a conduit à une violation de données touchant environ 12 800 agents et anciens agents, sans affecter les bases statistiques nationales ni les données collectées auprès des citoyens et des entreprises.

Si l’impact semble limité au regard de l’ampleur des informations traitées quotidiennement par l’institution, cette affaire met en lumière un risque souvent sous-estimé : la compromission des annuaires internes et des informations professionnelles, qui constituent une ressource de choix pour les cybercriminels.

Une attaque détectée rapidement

L’incident a été détecté le 19 juin 2026, avant d’être rendu public quelques jours plus tard.

Selon les premières investigations, les attaquants sont parvenus à accéder à un annuaire interne contenant des informations relatives aux personnels de l’organisme.

Dès la découverte de l’intrusion, plusieurs mesures ont été engagées :

  • interruption de l’accès concerné
  • ouverture d’une enquête technique
  • mobilisation des équipes de cybersécurité
  • notification des autorités compétentes
  • dépôt d’une plainte auprès du procureur de la République

L’organisme travaille également en coordination avec les services spécialisés du ministère de l’Économie et avec l’ANSSI afin d’analyser l’origine de l’attaque et de renforcer les mesures de sécurité.

Quelles données ont été compromises ?

Contrairement à certaines violations de données particulièrement sensibles, cette attaque ne concerne pas les informations statistiques produites par l’institution. Les investigations indiquent que les données exposées sont limitées à l’annuaire professionnel des agents.

Les informations concernées comprennent notamment :

  • nom et prénom
  • identité professionnelle
  • adresse électronique professionnelle
  • coordonnées professionnelles
  • informations liées aux fonctions occupées

En revanche, les autorités précisent qu’aucune des données suivantes n’a été compromise :

  • mots de passe
  • coordonnées personnelles
  • numéros de sécurité sociale
  • informations bancaires
  • données de santé

Les analyses menées à ce stade n’ont pas non plus mis en évidence de compromission des bases contenant les données statistiques collectées auprès des particuliers ou des entreprises.

Que cherchaient les cybercriminels ?

À première vue, une liste de noms et d’adresses professionnelles peut sembler peu sensible.

En réalité, ce type de base représente une véritable mine d’or pour les attaquants.

Elle permet notamment de :

  • cartographier l’organisation interne
  • identifier les responsables de services
  • préparer des campagnes de phishing ciblé
  • mener des attaques de type Business Email Compromise (BEC)
  • usurper l’identité d’agents auprès de partenaires ou d’entreprises

Une adresse professionnelle authentique accompagnée du nom, de la fonction et du service d’un agent augmente considérablement la crédibilité d’un courriel frauduleux.

Un risque important d’ingénierie sociale

Les conséquences d’une telle fuite dépassent largement la simple divulgation d’informations.

Les attaquants disposent désormais d’éléments permettant de construire des scénarios particulièrement convaincants.

Ils peuvent par exemple envoyer des courriels se faisant passer pour :

  • un responsable de l’institution
  • un agent chargé du répertoire des entreprises
  • un correspondant administratif
  • un interlocuteur officiel demandant une mise à jour de dossier

L’objectif peut être :

  • voler des identifiants
  • diffuser un malware
  • obtenir un paiement frauduleux
  • récupérer de nouvelles informations internes

C’est pourquoi l’organisme recommande aux entreprises comme aux particuliers de faire preuve d’une vigilance accrue face aux messages prétendant provenir de ses services et rappelle qu’il ne demande jamais de communiquer des mots de passe ou des informations bancaires pour l’inscription ou la mise à jour de ses registres.

Les données statistiques ne sont pas concernées

L’un des points importants de cette affaire concerne la distinction entre les systèmes administratifs internes et les infrastructures de production statistique.

L’organisme indique que :

  • les bases statistiques demeurent protégées
  • les portails de collecte utilisés par les entreprises restent sécurisés
  • aucune preuve de compromission des données économiques ou démographiques n’a été identifiée

Cette précision est essentielle compte tenu du rôle stratégique joué par l’institution dans la collecte des données servant aux statistiques nationales, au recensement de la population ou encore au répertoire des entreprises françaises.

Une cible stratégique pour les attaquants

Les organismes publics constituent aujourd’hui des cibles privilégiées.

Plusieurs raisons expliquent cet intérêt :

  • volume important de données
  • forte visibilité institutionnelle
  • multiplicité des partenaires publics et privés
  • infrastructures informatiques complexes
  • nécessité d’assurer une continuité de service

Même lorsqu’aucune donnée hautement sensible n’est dérobée, une fuite concernant les personnels peut servir de point de départ à des attaques plus élaborées contre d’autres administrations ou contre des entreprises en relation avec elles.

Une tendance préoccupante dans le secteur public

Cette attaque s’inscrit dans une série d’incidents ayant récemment touché plusieurs organismes publics français.

Les administrations deviennent des cibles de plus en plus fréquentes, que l’objectif soit :

  • l’espionnage
  • le rançongiciel
  • l’extorsion
  • la revente de données
  • la préparation d’attaques ultérieures

Parallèlement, les notifications de violations de données adressées à la CNIL continuent d’augmenter, illustrant la pression croissante exercée sur les organisations publiques comme privées.

Les bonnes pratiques à retenir

Même si les mots de passe n’ont pas été compromis, plusieurs mesures restent recommandées.

Pour les agents concernés :

  • rester attentifs aux courriels inattendus
  • vérifier l’identité des expéditeurs
  • signaler toute tentative de phishing
  • utiliser systématiquement l’authentification multifacteur lorsque celle-ci est disponible.

Pour les organisations :

  • renforcer la protection des annuaires internes
  • appliquer le principe du moindre privilège
  • surveiller les accès inhabituels aux référentiels d’identité
  • segmenter les systèmes contenant les données administratives
  • former régulièrement les utilisateurs aux risques d’ingénierie sociale

Conclusion

Cette cyberattaque démontre qu’il n’est pas nécessaire de compromettre des bases de données hautement confidentielles pour générer un risque important. Les annuaires professionnels, souvent considérés comme de simples outils d’administration, constituent des cibles de choix pour les cybercriminels en raison de la richesse des informations qu’ils contiennent sur les personnes, les fonctions et l’organisation interne.

Si les investigations indiquent que les données statistiques nationales et les informations sensibles des agents n’ont pas été affectées, la fuite d’identités et de coordonnées professionnelles peut alimenter des campagnes d’hameçonnage ciblées et des opérations d’usurpation d’identité particulièrement crédibles. Cette affaire rappelle enfin que la cybersécurité des organismes publics ne se limite pas à la protection des données les plus sensibles : chaque composant du système d’information, y compris les annuaires internes, doit être considéré comme un actif stratégique nécessitant des mesures de sécurité adaptées.

(sources : lemondeinformatique.fr, usine-digitale.fr, siecledigital.fr)


🌍Zoom International

1- LastPass à nouveau touché par une fuite de données

Alors que l’affaire de la compromission majeure de 2022 semblait appartenir au passé, LastPass a de nouveau annoncé avoir été impacté par une fuite de données. Cette fois-ci, il ne s’agit toutefois pas d’une intrusion dans son infrastructure principale, mais d’une attaque de la chaîne d’approvisionnement (Supply Chain Attack) ayant visé l’un de ses prestataires technologiques.

Même si les coffres-forts contenant les mots de passe des utilisateurs n’ont pas été compromis, cet incident rappelle qu’une entreprise peut subir une fuite de données sans que ses propres systèmes aient été directement attaqués.

Une attaque indirecte via un fournisseur

L’incident trouve son origine chez Klue, une plateforme d’intelligence commerciale utilisée par les équipes marketing et commerciales de nombreuses entreprises. Cette solution est notamment connectée à différents services SaaS tels que Salesforce ou Gong afin de centraliser des informations commerciales et les interactions avec les clients.

Selon les informations publiées par LastPass, les attaquants sont parvenus à compromettre des jetons OAuth détenus par Klue pour plusieurs de ses clients. Ces jetons permettent à une application tierce d’accéder à des ressources sur une autre plateforme sans nécessiter les identifiants de l’utilisateur.

En utilisant ces jetons dérobés, les cybercriminels ont pu accéder à l’environnement Salesforce de LastPass et exfiltrer diverses données relatives aux clients.

Quelles données ont été exposées ?

Les investigations menées jusqu’à présent indiquent que les informations compromises concernent principalement les données stockées dans l’environnement CRM.

Les données susceptibles d’avoir été consultées comprennent notamment : nom et prénom, adresse électronique, numéro de téléphone, adresse postale, informations commerciales, historique des demandes adressées au support technique et données liées aux échanges commerciaux avec LastPass.

En revanche, aucun élément ne laisse penser que les coffres-forts contenant les mots de passe des utilisateurs aient été affectés. LastPass indique que ses infrastructures principales, ses services et les données chiffrées des utilisateurs sont restés isolés de cette compromission.

Une illustration des risques liés aux attaques de Supply Chain

Cette affaire constitue un nouvel exemple des risques associés aux dépendances entre entreprises.

Aujourd’hui, une organisation utilise parfois plusieurs centaines de services SaaS différents : CRM, outils marketing, plateformes RH, solutions collaboratives, outils d’analyse, gestion documentaire, etc. Chacun de ces services dispose souvent d’autorisations permettant d’accéder à d’autres applications via des mécanismes comme OAuth.

Lorsqu’un fournisseur est compromis, l’attaquant peut profiter de ces relations de confiance pour rebondir vers plusieurs entreprises clientes sans avoir besoin de les attaquer directement.

Ce type d’attaque est devenu particulièrement populaire ces dernières années, comme l’ont montré auparavant les compromissions de SolarWinds, MOVEit ou encore 3CX. Il démontre que la sécurité d’une organisation dépend désormais également de celle de ses partenaires.

OAuth : un mécanisme puissant … mais sensible

OAuth est devenu un standard largement utilisé pour permettre à des applications de communiquer entre elles.

Concrètement, lorsqu’une entreprise autorise une plateforme externe à accéder à Salesforce, Microsoft 365 ou Google Workspace, celle-ci reçoit un jeton d’autorisation lui permettant d’effectuer certaines opérations sans connaître les identifiants de connexion.

Si ce jeton est compromis, il peut être utilisé jusqu’à sa révocation, contourne parfois certaines protections comme la MFA, et permet d’accéder uniquement aux ressources autorisées, mais celles-ci peuvent déjà contenir des données sensibles.

Dans le cas présent, les attaquants auraient récupéré ces jetons directement chez Klue avant de les utiliser pour accéder aux environnements Salesforce des entreprises concernées.

Un risque principalement orienté vers le phishing

Même sans mots de passe ni données bancaires, les informations compromises présentent une réelle valeur pour les cybercriminels.

Une base contenan les coordonnées d’un client, son historique de support, les produits qu’il utilise ainsi que ses échanges avec l’entreprise, permet de construire des campagnes de phishing extrêmement crédibles.

Un attaquant pourrait par exemple envoyer un courriel faisant référence à une ancienne demande de support ou à un abonnement réel afin d’inciter la victime à divulguer de nouvelles informations sensibles.

C’est pourquoi LastPass recommande à ses utilisateurs de rester particulièrement vigilants face aux courriels, appels téléphoniques ou SMS prétendant provenir de son support technique.

Une nouvelle atteinte à l’image de LastPass

Même si cet incident est très différent de celui de 2022, il intervient dans un contexte où LastPass reste fortement associé aux précédentes compromissions ayant conduit au vol des sauvegardes chiffrées des coffres-forts utilisateurs.

L’attaque de 2022 avait permis aux cybercriminels de récupérer les sauvegardes des coffres-forts. Bien que celles-ci soient chiffrées, plusieurs chercheurs en sécurité ont rappelé que les coffres protégés par des mots de passe maîtres faibles pouvaient être soumis à des attaques hors ligne (offline brute force). Des vols de cryptomonnaies ont ensuite été attribués à des coffres compromis après déchiffrement.

Ce nouvel incident ne présente pas le même niveau de gravité technique, mais il contribue à alimenter les interrogations sur la gestion globale des risques autour de l’écosystème LastPass.

Les bonnes pratiques à adopter

Même si les coffres-forts n’ont pas été touchés, plusieurs mesures restent recommandées :

  • rester attentif aux tentatives de phishing faisant référence à LastPass
  • ne jamais communiquer son mot de passe maître ou son code MFA
  • vérifier l’authenticité des courriels avant de cliquer sur un lien
  • privilégier des mots de passe maîtres longs et uniques
  • utiliser une authentification multifacteur robuste (clé de sécurité FIDO2/WebAuthn lorsque possible)
  • surveiller les connexions inhabituelles sur les comptes sensibles

Pour les entreprises, cet incident rappelle également l’importance :

  • d’inventorier les applications tierces connectées aux services cloud
  • d’auditer régulièrement les autorisations OAuth accordées
  • de supprimer les intégrations inutilisées
  • d’appliquer le principe du moindre privilège aux applications SaaS
  • de surveiller les accès anormaux provenant de fournisseurs tiers

Conclusion

Cette nouvelle fuite ne remet pas en cause le chiffrement des coffres-forts de LastPass, mais elle illustre une réalité de plus en plus fréquente : la sécurité d’une organisation ne dépend plus uniquement de ses propres infrastructures.

Les attaques de la chaîne d’approvisionnement exploitent les relations de confiance entre entreprises et leurs fournisseurs. À mesure que les organisations multiplient les intégrations cloud et les applications SaaS, la gestion des accès tiers, des jetons OAuth et des autorisations devient un enjeu stratégique. Une compromission chez un partenaire peut désormais suffire à exposer des données sensibles, même lorsque les systèmes internes restent parfaitement sécurisés.

(sources : zdnet.fr, bleepingcomputer.com, cybernews.com)

2- Squidbleed : une vulnérabilité vieille de 29 ans qui rappelle Heartbleed

Une nouvelle vulnérabilité baptisée Squidbleed (CVE-2026-47729) vient d’être rendue publique. Son originalité ne réside pas uniquement dans son impact, mais surtout dans son ancienneté : le code vulnérable aurait été introduit en 1997, ce qui signifie qu’il est resté présent dans Squid pendant près de trois décennies avant d’être découvert.

Cette faille est particulièrement intéressante car elle illustre parfaitement la manière dont un simple bug de manipulation mémoire en C peut survivre pendant des années malgré les audits, les réécritures successives et les nombreuses versions du logiciel.

Présentation de Squid

Squid est l’un des serveurs proxy HTTP les plus utilisés au monde. Il est largement déployé dans les entreprises, les universités, les écoles, les administrations ainsi que dans certains fournisseurs d’accès Internet.

Ses principales fonctions sont :

  • la mise en cache des ressources Web
  • le contrôle d’accès Internet
  • le filtrage de contenu
  • l’inspection du trafic HTTP et parfois HTTPS (via SSL Bump)
  • proxy direct ou transparent

Même si le protocole FTP est aujourd’hui largement abandonné sur Internet, Squid conserve un module permettant d’accéder à des serveurs FTP via HTTP.

C’est précisément ce composant historique qui est à l’origine de la vulnérabilité.

Une fuite mémoire de type « Heartbleed »

Squidbleed est une vulnérabilité de divulgation d’informations (Information Disclosure).

Contrairement à une exécution de code arbitraire, elle ne permet pas directement de compromettre le serveur, mais elle autorise un utilisateur malveillant à récupérer des fragments de mémoire appartenant au processus Squid.

Cette attaque rappelle fortement Heartbleed car aucune corruption mémoire complexe n’est nécessaire, la mémoire est simplement lue au-delà des limites prévues et les données divulguées proviennent d’anciennes requêtes déjà traitées par le proxy.

Les informations récupérées peuvent notamment contenir :

  • en-têtes HTTP Authorization
  • cookies de session
  • tokens OAuth
  • clés API
  • identifiants Basic Authentication
  • fragments de requêtes HTTP d’autres utilisateurs

L’impact dépend donc essentiellement des données ayant transité récemment dans la mémoire du proxy.

La faille est présente depuis 1997 !

L’origine du problème remonte aux débuts de Squid.

À cette époque, certains serveurs NetWare FTP produisaient des listings de fichiers contenant des espaces supplémentaires.

Pour assurer la compatibilité, les développeurs avaient ajouté un code destiné à ignorer les espaces avant le nom du fichier.

La logique ressemblait à ceci :

while (strchr(w_space, *copyFrom))
    ++copyFrom;

À première vue, ce code paraît inoffensif, pourtant, il possède un comportement subtil lié à la fonction standard strchr().

Lorsque copyFrom atteint le caractère nul ('\0'), strchr() considère ce caractère comme appartenant à la chaîne recherchée et renvoie un pointeur valide au lieu de NULL.

La boucle continue alors d’incrémenter le pointeur au-delà de la fin du buffer : le résultat est alors un heap buffer over-read.

Le programme commence à lire des données situées immédiatement après la mémoire allouée.

Pourquoi les données d’autres utilisateurs sont-elles divulguées ?

La vulnérabilité devient particulièrement dangereuse à cause de la manière dont Squid gère ses buffers mémoire.

Pour des raisons de performances, Squid réutilise fréquemment des buffers déjà alloués sans les remettre à zéro.

Ainsi :

  1. Un utilisateur A envoie une requête HTTP contenant un cookie ou un mot de passe
  2. Squid traite alors cette requête
  3. Le buffer est libéré mais son contenu reste intact (pour des raisons d’optimisation)
  4. Un utilisateur B « déclenche » alors Squidbleed
  5. Squid lit au-delà de la mémoire prévue (heap buffer over-read)
  6. Le contenu de l’ancien buffer est renvoyé à l’attaquant.

Le bug ne crée donc pas les données sensibles : il révèle simplement ce qui est encore présent dans la mémoire du processus.

Conditions nécessaires à l’exploitation

Contrairement à certaines vulnérabilités accessibles depuis Internet, Squidbleed nécessite plusieurs conditions.

L’attaquant doit être autorisé à utiliser le proxy Squid, « convaincre » Squid d’accéder à un serveur FTP qu’il contrôle et enfin exploiter le parseur FTP vulnérable.

La victime et l’attaquant doivent donc partager le même proxy.

Les environnements les plus exposés sont :

  • les réseaux d’entreprise
  • les universités
  • les écoles
  • les bibliothèques
  • les hôtels
  • les Wi-Fi publics
  • les proxys mutualisés

Il ne s’agit donc pas d’une attaque totalement distante contre un serveur exposé sur Internet, mais d’une attaque entre utilisateurs partageant une même infrastructure proxy.

HTTPS est-il concerné ?

Dans la plupart des cas, non.

Lorsque Squid agit simplement comme tunnel CONNECT, il ne voit jamais le contenu des échanges TLS.

En revanche, les déploiements utilisant SSL Bump, l’inspection TLS et le déchiffrement HTTPS en entreprise peuvent être vulnérables, puisque Squid manipule alors les requêtes HTTP en clair avant de les retransmettre.

Les requêtes HTTP non chiffrées restent naturellement les plus exposées.

Pourquoi personne ne l’avait découverte auparavant ?

Cette vulnérabilité est un excellent exemple de dette technique.

Plusieurs facteurs expliquent sa longévité :

  • le module FTP est aujourd’hui très peu utilisé
  • peu de chercheurs auditent encore ce code historique
  • le bug repose sur un cas limite très spécifique de strchr()
  • le comportement n’entraîne généralement pas de crash, ce qui le rend discret

Le bug est donc resté enfoui pendant près de trente ans.

Un exemple des capacités des outils d’analyse assistés par IA

Un aspect intéressant de cette découverte est que les chercheurs indiquent avoir utilisé un assistant d’analyse basé sur un LLM pour explorer le code source de Squid.

L’IA n’a évidemment pas « découvert » seule la vulnérabilité, mais elle a permis d’attirer rapidement l’attention sur une portion de code particulièrement suspecte, qui a ensuite été analysée et validée manuellement.

Ce cas illustre l’évolution des pratiques d’audit : les modèles de langage deviennent progressivement des outils d’assistance capables d’accélérer l’identification de bugs subtils dans des bases de code anciennes, tout en laissant la validation finale aux chercheurs en sécurité.

Correctifs et mesures de mitigation

Les administrateurs de Squid devraient :

  • appliquer le correctif fourni par leur distribution ou par les mainteneurs du projet
  • vérifier que le correctif est réellement présent, certains échanges ayant créé une confusion sur la première version officiellement corrigée
  • désactiver complètement le support FTP lorsqu’il n’est pas nécessaire
  • bloquer les connexions sortantes vers le port TCP 21
  • limiter les utilisateurs autorisés à utiliser le proxy
  • renouveler les identifiants, cookies et tokens susceptibles d’avoir transité par un proxy vulnérable

À ce jour, aucune exploitation active à grande échelle n’a été signalée, mais une preuve de concept publique existe déjà, ce qui augmente le risque d’exploitation opportuniste.

Conclusion

Squidbleed démontre qu’une simple erreur de manipulation de chaînes de caractères en C peut rester cachée pendant près de trente ans dans un logiciel largement déployé. Plus qu’une vulnérabilité isolée, elle rappelle plusieurs enseignements essentiels : le code historique constitue souvent une source de risques sous-estimée, les composants hérités (comme le support FTP) méritent des audits réguliers même lorsqu’ils semblent obsolètes, et les fuites mémoire restent particulièrement dangereuses lorsqu’elles exposent des identifiants, des cookies ou des jetons d’authentification.

Enfin, cette découverte met en évidence l’évolution des méthodes d’audit de sécurité : l’association entre l’expertise humaine et les outils d’analyse assistés par IA permet désormais de mettre en lumière des vulnérabilités profondément enfouies dans des bases de code matures, sans pour autant remplacer l’analyse technique indispensable à leur validation.

(sources : thehackernews.com, korben.info, it-connect.fr)

3- DirtyClone, ou comment obtenir les droits root sans laisser de traces

L’année 2026 continue d’être particulièrement mouvementée pour la sécurité du noyau Linux. Après Copy Fail, Dirty Frag puis Fragnesia, une nouvelle variante baptisée DirtyClone (CVE-2026-43503) a été dévoilée. Cette vulnérabilité permet à un utilisateur local d’obtenir les privilèges root en exploitant une erreur dans la gestion des paquets réseau clonés au sein du noyau Linux.

Plus inquiétant encore, cette attaque ne modifie jamais les fichiers présents sur le disque. Toutes les modifications s’effectuent directement dans le page cache du noyau, rendant leur détection particulièrement difficile.

Une nouvelle variante de la famille DirtyFrag

DirtyClone appartient à une famille de vulnérabilités apparues au printemps 2026, dont le principe repose sur une mauvaise gestion du mécanisme Copy-on-Write (COW).

Le Copy-on-Write est un mécanisme fondamental du noyau Linux. Lorsqu’une page mémoire est partagée entre plusieurs processus, le noyau ne crée une copie privée que lorsqu’un processus tente de modifier son contenu, et cette optimisation permet d’économiser énormément de mémoire.

Le problème apparaît lorsqu’une opération d’écriture est réalisée sans que cette copie privée soit correctement créée.

L’écriture affecte alors directement une page mémoire partagée, notamment une page appartenant au page cache, c’est-à-dire la représentation en mémoire d’un fichier stocké sur le disque, et c’est précisément le mécanisme qu’utilise DirtyClone.

Le rôle du page cache

Pour comprendre l’attaque, il est nécessaire de rappeler le fonctionnement du page cache.

Sous Linux, lorsqu’un fichier est lu, son contenu est généralement conservé en mémoire afin d’accélérer les accès ultérieurs. Toutes les applications qui lisent ce fichier utilisent alors cette même copie mémoire. Le disque n’est consulté qu’en cas de besoin.

Cette architecture améliore fortement les performances mais signifie également que modifier le page cache revient à modifier ce que verront tous les processus utilisant ce fichier… sans modifier le fichier lui-même.

C’est précisément ce comportement qui est exploité.

L’origine du bug

La vulnérabilité se situe dans la pile réseau du noyau Linux.

Lorsqu’un paquet réseau est cloné, certaines fonctions internes chargées de copier ou déplacer les fragments mémoire (__pskb_copy_fclone() et skb_shift()) « oublient » de propager un indicateur interne appelé SKBFL_SHARED_FRAG.

Ce marqueur indique que les fragments mémoire sont partagés avec le page cache et qu’ils ne doivent jamais être modifiés directement.

En perdant cette information, le noyau considère à tort que ces fragments sont privés.

Certaines opérations réseau réalisent alors une écriture directement dans une page partagée.

Le résultat est une corruption contrôlée du page cache.

Une attaque qui ne modifie jamais le disque

C’est probablement l’aspect le plus impressionnant de DirtyClone.

Prenons un binaire SUID comme /usr/bin/su.

Normalement, ce programme appartient à root et permet le changement d’utilisateur.

Grâce à DirtyClone :

  1. Le binaire est d’abord chargé dans le page cache
  2. L’attaquant modifie uniquement cette copie mémoire
  3. Le fichier présent sur le disque reste parfaitement intact
  4. Lorsque le système exécute le programme, il utilise la version modifiée présente en mémoire.

L’attaquant obtient alors un shell root.

Après un redémarrage, le page cache est vidé et le fichier retrouve automatiquement son état d’origine.

Aucun outil d’intégrité de fichiers (AIDE, Tripwire, RPM Verify, …) ne détecte la compromission puisqu’aucun octet du disque n’a été modifié.

Une attaque « sans traces »

Les solutions de détection traditionnelles recherchent généralement :

  • des fichiers modifiés
  • des changements de hash
  • des binaires remplacés
  • des timestamps inhabituels

Avec DirtyClone :

  • aucun inode n’est modifié
  • aucune écriture disque n’est réalisée
  • les sommes de contrôle restent identiques
  • les journaux système ne montrent généralement aucune modification des fichiers ciblés

Le seul indice observable est l’exploitation préalable de la vulnérabilité, ce qui complique fortement les investigations post-compromission.

Conditions d’exploitation

Contrairement à une vulnérabilité d’exécution de code à distance, DirtyClone est une élévation locale de privilèges (Local Privilege Escalation ou LPE).

L’attaquant doit déjà disposer d’un accès au système, par exemple via :

  • un compte utilisateur compromis
  • une application Web permettant d’exécuter des commandes
  • un conteneur Linux
  • une faille RCE exploitée auparavant

Une fois un accès limité obtenu, DirtyClone permet de devenir root.

L’exploitation nécessite également la possibilité d’utiliser certaines fonctionnalités du sous-système réseau, notamment via CAP_NET_ADMIN. Sur plusieurs distributions, cette capacité peut être obtenue dans un espace de noms utilisateur (user namespace) lorsque ceux-ci sont activés, ce qui facilite l’exploitation par un utilisateur non privilégié.

Systèmes concernés

DirtyClone touche principalement les noyaux Linux récents intégrant les fonctions vulnérables de la pile réseau.

Toutes les distributions ne sont pas affectées de la même manière, car certaines appliquent rapidement les correctifs du noyau principal tandis que d’autres rétroportent uniquement certaines corrections.

Les environnements les plus sensibles sont :

  • les serveurs Linux multi-utilisateurs
  • les infrastructures cloud
  • les clusters Kubernetes
  • les plateformes d’hébergement mutualisé
  • les environnements de développement partagés

Dans un contexte de post-exploitation, une simple compromission d’un compte utilisateur peut ainsi conduire à une prise de contrôle complète de la machine.

DirtyClone ou le dernier né d’une grande « fraterie »

Cette vulnérabilité constitue le quatrième membre d’une série de failles partageant le même mécanisme :

  • Copy Fail
  • Dirty Frag
  • Fragnesia

Toutes exploitent une mauvaise gestion du Copy-on-Write dans différents chemins du sous-système réseau du noyau Linux. Les chercheurs montrent que, malgré les correctifs successifs, des variantes subsistaient dans d’autres fonctions manipulant les mêmes structures mémoire, soulignant la difficulté d’éliminer entièrement cette classe de vulnérabilités.

Correctifs et recommandations

La vulnérabilité a été corrigée dans le noyau principal en mai 2026, et les principales distributions Linux ont publié des mises à jour de sécurité ou des rétroportages adaptés à leurs versions supportées.

Les administrateurs devraient :

  • mettre à jour le noyau vers une version corrigée
  • appliquer rapidement les correctifs fournis par leur distribution
  • limiter l’utilisation des user namespaces lorsqu’ils ne sont pas nécessaires
  • restreindre l’accès aux capacités réseau avancées, notamment CAP_NET_ADMIN
  • surveiller les tentatives inhabituelles d’utilisation des fonctionnalités IPsec et des sous-systèmes réseau concernés
  • privilégier les mécanismes de live patching lorsque les redémarrages sont difficiles à planifier

À ce jour, les chercheurs ont publié une preuve de concept fonctionnelle, mais aucune campagne d’exploitation massive n’a été confirmée. Néanmoins, comme pour la plupart des vulnérabilités d’élévation de privilèges du noyau, il est probable que DirtyClone soit rapidement intégrée dans des chaînes d’attaque post-compromission.

Conclusion

DirtyClone illustre une nouvelle fois à quel point les mécanismes internes du noyau Linux, notamment ceux liés à la gestion de la mémoire et du réseau, peuvent devenir des vecteurs d’élévation de privilèges lorsqu’un simple indicateur de sécurité est mal propagé. Plus qu’une vulnérabilité isolée, elle confirme l’émergence d’une véritable famille de failles exploitant le page cache et les subtilités du Copy-on-Write.

Son caractère furtif constitue sa principale dangerosité : en modifiant uniquement la représentation mémoire des fichiers, l’attaque contourne les contrôles d’intégrité classiques et complique considérablement les analyses forensiques. Pour les administrateurs comme pour les équipes de sécurité, cette vulnérabilité rappelle l’importance de maintenir les noyaux Linux à jour et de considérer les élévations locales de privilèges comme des éléments essentiels des chaînes d’attaque modernes, particulièrement dans les environnements cloud, les conteneurs et les infrastructures multi-utilisateurs.

(sources : thehackernews.com, it-connect.fr, research.jfrog.com, hivesecurity.gitlab.io)


🎯 Conclusion

Cette semaine aura une nouvelle fois démontré que la cybersécurité ne se résume pas à la découverte de nouvelles vulnérabilités ou aux attaques les plus médiatisées. Les incidents évoqués illustrent des problématiques très diverses : protection des données personnelles, sécurité des organismes publics, dépendance aux fournisseurs tiers, vieillissement du code historique ou encore complexité croissante du noyau Linux. Derrière chaque actualité se cache un même constat : la surface d’attaque continue de s’élargir à mesure que les systèmes deviennent plus interconnectés.

On retiendra également que les conséquences d’une compromission ne dépendent pas uniquement de la nature des données volées. Un simple annuaire professionnel peut faciliter des campagnes de phishing très ciblées, tandis qu’une erreur de programmation datant de près de trente ans peut encore aujourd’hui exposer des informations sensibles. La sécurité repose donc autant sur les mises à jour et les correctifs que sur une gestion rigoureuse des accès, une surveillance continue des infrastructures et une sensibilisation régulière des utilisateurs.

Comme chaque semaine, l’actualité rappelle enfin qu’il est essentiel d’adopter une approche de défense en profondeur. Aucun mécanisme de sécurité n’est infaillible, mais la combinaison de bonnes pratiques, d’une veille active et d’une amélioration continue permet de réduire significativement les risques. Rendez-vous la semaine prochaine pour un nouveau tour d’horizon des événements qui façonnent l’écosystème de la cybersécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *