<?xml version="1.0" encoding="UTF-8"?><?xml-stylesheet href="/scripts/pretty-feed-v3.xsl" type="text/xsl"?><rss version="2.0" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Lenaick Sorimoutou : Veille</title><description>Digests hebdomadaires de veille cybersécurité, IA et tech.</description><link>https://lenasori.com</link><item><title>Veille Cyber #4 : vishing, agents IA et paquets piégés</title><link>https://lenasori.com/veille/2026-s24</link><guid isPermaLink="true">https://lenasori.com/veille/2026-s24</guid><description>Faux support IT, agent IA trompé par phishing, paquets npm malveillants : trois attaques humaines et logicielles à connaître avant votre entretien.</description><pubDate>Fri, 12 Jun 2026 00:00:00 GMT</pubDate><content:encoded>&lt;p&gt;La scène : quelqu&apos;un appelle, se présente comme le support informatique de votre entreprise, signale un problème urgent sur votre compte. La voix est posée. Le numéro semble familier. Vous êtes à la bourre. Vous accordez un accès à distance. Quelques heures plus tard, des données confidentielles sont dehors.&lt;/p&gt;
&lt;p&gt;C&apos;est exactement ce qui arrive cette semaine. Trois actualités, un fil rouge : les attaquants ciblent l&apos;humain autant que la machine, et les agents IA deviennent un terrain inédit.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 Faux support IT, vraie fuite en quelques heures&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/2026-s24-fake-it-support-schema.png&quot; alt=&quot;Schéma illustrant les quatre étapes d&amp;#x27;une attaque vishing : appel piégé, accès distant accordé, exfiltration de données, demande de rançon&quot;&gt;&lt;/p&gt;
&lt;p&gt;Le groupe &lt;strong&gt;Silent Ransom&lt;/strong&gt; cible des cabinets d&apos;avocats américains avec de faux appels de support IT. Des attaquants se font passer pour des techniciens internes, obtiennent un accès à distance et exfiltrent des données confidentielles en quelques heures. La demande de rançon suit rapidement.&lt;/p&gt;
&lt;p&gt;Les cabinets d&apos;avocats stockent des informations très sensibles : contrats, dossiers clients, correspondances internes. Pour un attaquant, c&apos;est une cible de choix. Et cette attaque fonctionne sans aucune ligne de code malveillant au départ. Juste un appel téléphonique convaincant.&lt;/p&gt;
&lt;p&gt;Ce qui me frappe, c&apos;est la simplicité. Pas de faille zero-day, pas de malware sophistiqué pour commencer. La pression du moment, un appel qui semble légitime, et l&apos;accès est accordé. On enseigne la sensibilisation au phishing depuis des années, et ça continue de marcher. La vraie question : comment développer des réflexes efficaces face à une urgence fabriquée ?&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://www.bleepingcomputer.com/news/security/silent-ransom-group-targets-law-firms-with-fake-it-support-calls/&quot;&gt;BleepingComputer&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Vishing&lt;/strong&gt; : phishing par appel vocal. L&apos;attaquant se fait passer pour une personne de confiance (support IT, banque, collègue) pour obtenir des informations ou un accès direct. C&apos;est le phishing classique par mail, adapté au téléphone.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 Un agent IA trompé par un message ordinaire&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/2026-s24-agent-ia-phishing-schema.png&quot; alt=&quot;Schéma montrant comment des instructions malveillantes glissées dans un message ordinaire manipulent un agent IA pour exfiltrer des données utilisateur&quot;&gt;&lt;/p&gt;
&lt;p&gt;Des chercheurs ont démontré qu&apos;&lt;strong&gt;OpenClaw&lt;/strong&gt;, un agent IA, peut être manipulé via un simple message de phishing. En glissant des instructions malveillantes dans un message ordinaire, un attaquant pousse l&apos;agent à exfiltrer des données utilisateur. L&apos;agent exécute l&apos;action sans détecter quoi que ce soit d&apos;anormal.&lt;/p&gt;
&lt;p&gt;Pourquoi ça compte ? Les agents IA automatisent de plus en plus d&apos;actions réelles : lire des mails, interagir avec des APIs, déclencher des workflows. Si un attaquant peut leur glisser des instructions cachées, il obtient un assistant avec des accès légitimes qui agit à la place de sa cible, sans éveiller le moindre soupçon.&lt;/p&gt;
&lt;p&gt;J&apos;avoue que ça me dérange vraiment. On délègue des tâches sensibles à des agents IA en contexte professionnel, et leur robustesse face aux entrées malveillantes est encore loin d&apos;être acquise. La sécurité des agents IA, c&apos;est un défi de conception entier, qui dépasse largement la correction d&apos;un bug isolé.&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://www.bleepingcomputer.com/news/security/openclaw-ai-agent-found-falling-for-phishing-attacks-spills-user-data/&quot;&gt;BleepingComputer&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Prompt injection&lt;/strong&gt; : technique qui consiste à glisser des instructions malveillantes dans l&apos;entrée d&apos;un agent IA pour lui faire exécuter des actions non prévues. L&apos;équivalent d&apos;une injection SQL, adapté au langage naturel.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 Des paquets piégés pour voler les développeurs IA&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/2026-s24-packages-microsoft-pieges-schema.png&quot; alt=&quot;Schéma de la chaîne d&amp;#x27;attaque supply chain via faux paquets npm : publication d&amp;#x27;un paquet malveillant, installation par un développeur, vol de credentials, accès aux systèmes cloud&quot;&gt;&lt;/p&gt;
&lt;p&gt;Pour la deuxième fois en quelques semaines, des paquets publiés sous des noms proches de ceux de &lt;strong&gt;Microsoft&lt;/strong&gt; contenaient un voleur de credentials. Ces paquets ciblaient particulièrement les développeurs qui construisent des outils et agents IA.&lt;/p&gt;
&lt;p&gt;Le mécanisme est simple : un développeur installe un paquet qui ressemble à un outil officiel. En arrière-plan, un programme récupère ses tokens, ses clés API, ses mots de passe stockés. Ces données ouvrent ensuite l&apos;accès à des dépôts, des environnements cloud, des bases de données entières.&lt;/p&gt;
&lt;p&gt;Ce qui marque ici, c&apos;est la récidive. Une fois, c&apos;est un incident isolé. Deux fois en quelques semaines sur les mêmes registres, ciblant les mêmes développeurs IA : c&apos;est un signal fort. L&apos;écosystème IA grandit vite, de nouveaux paquets apparaissent chaque jour, et la vigilance sur l&apos;origine des dépendances reste insuffisante dans beaucoup d&apos;équipes.&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://arstechnica.com/security/2026/06/for-the-2nd-time-in-weeks-microsoft-packages-laced-with-credential-stealer/&quot;&gt;Ars Technica&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Credential stealer&lt;/strong&gt; : programme qui récupère discrètement des identifiants stockés sur un poste ou dans l&apos;environnement : tokens, clés API, mots de passe. Une fois exfiltrés, ils ouvrent l&apos;accès à tous les systèmes associés.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;Conseil et note finale&lt;/h2&gt;
&lt;p&gt;&lt;em&gt;&quot;Vous recevez un appel du support IT demandant un accès à distance urgent. Comment réagissez-vous ?&quot;&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Pourquoi on vous la pose :&lt;/strong&gt; le recruteur évalue votre réflexe face à la menace humaine, souvent sous-estimée par rapport aux aspects techniques.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Comment y répondre :&lt;/strong&gt; Mentionnez la vérification via un canal officiel distinct : rappeler le numéro référencé dans l&apos;annuaire interne, jamais par rappel direct de l&apos;appelant. Évoquez le principe de ne jamais accorder un accès sous pression téléphonique. Ajoutez que les procédures internes existent précisément pour ces situations, et qu&apos;un technicien légitime comprend qu&apos;on vérifie avant d&apos;agir.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;strong&gt;OWASP Top 10 for LLM Applications&lt;/strong&gt; : &lt;a href=&quot;https://owasp.org/www-project-top-10-for-large-language-model-applications/&quot;&gt;consulter le guide&lt;/a&gt;&lt;br&gt;
Ce document liste les dix risques principaux des applications basées sur des LLM, dont les injections de prompt. Utile pour comprendre le terrain avant de construire ou d&apos;auditer un système IA.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;À vendredi prochain. En attendant, méfiez-vous autant des appels téléphoniques urgents que des paquets installés en deux clics. Lénaïck&lt;/p&gt;</content:encoded><category>veille</category><category>cybersecurite</category><category>debutants</category><category>social-engineering</category><category>ai-security</category><category>supply-chain</category></item><item><title>Veille Cyber #3 : IA, VPN et systèmes physiques</title><link>https://lenasori.com/veille/2026-s23</link><guid isPermaLink="true">https://lenasori.com/veille/2026-s23</guid><description>Meta AI détournée pour voler des comptes Instagram, VPN Palo Alto contourné sans alerte, capteurs industriels exposés : trois actualités cyber pour débutants.</description><pubDate>Fri, 05 Jun 2026 00:00:00 GMT</pubDate><content:encoded>&lt;p&gt;Un ami m&apos;a envoyé un message cette semaine : &quot;Comment tu fais pour suivre tout ça ?&quot; Honnêtement, je ne suis pas tout. Mais trois actualités ont retenu mon attention, chacune sur un angle différent : un chatbot d&apos;assistance retourné contre ses propres utilisateurs, un VPN très répandu contourné silencieusement, et des équipements industriels oubliés sur Internet depuis des années.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 Meta AI retournée contre les comptes Instagram&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/2026-s23-meta-ai-instagram.png&quot; alt=&quot;Schéma montrant comment un bot de support IA peut être détourné pour voler des comptes Instagram&quot;&gt;&lt;/p&gt;
&lt;p&gt;Des attaquants ont trouvé le moyen de &lt;strong&gt;détourner le chatbot d&apos;assistance de Meta&lt;/strong&gt; pour prendre le contrôle de comptes Instagram. En simulant des échanges légitimes avec le bot, ils déclenchaient des procédures de récupération de compte à leur avantage. Résultat : des utilisateurs bloqués dehors, avec un recours quasi inexistant.&lt;/p&gt;
&lt;p&gt;Ce qui frappe ici, c&apos;est l&apos;angle. On parle souvent de phishing, de mots de passe volés, de failles dans le code. Un bot de support comme surface d&apos;attaque, c&apos;est plus rare à entendre en cours. Et pourtant, c&apos;est logique : si le bot peut déclencher des actions sur un compte, il devient une cible comme n&apos;importe quelle autre interface.&lt;/p&gt;
&lt;p&gt;J&apos;avoue que ça m&apos;a fait réfléchir sur le design des agents IA en entreprise. Un bot conçu pour aider peut, s&apos;il est mal sécurisé, servir aussi les mauvaises personnes. La sécurité des workflows IA dépasse la simple protection des données : elle concerne aussi les permissions accordées au bot.&lt;/p&gt;
&lt;p&gt;Sources : &lt;a href=&quot;https://krebsonsecurity.com/2026/06/hackers-used-metas-ai-support-bot-to-seize-instagram-accounts/&quot;&gt;KrebsOnSecurity&lt;/a&gt;, &lt;a href=&quot;https://www.bleepingcomputer.com/news/security/instagram-users-locked-out-after-meta-ai-abused-to-steal-accounts/&quot;&gt;BleepingComputer&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Surface d&apos;attaque&lt;/strong&gt; : l&apos;ensemble des points par lesquels un attaquant peut tenter d&apos;entrer. Chaque nouveau service, formulaire ou bot élargit cette surface. Réduire la surface d&apos;attaque, c&apos;est supprimer ou restreindre ce qui n&apos;est pas indispensable.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 GlobalProtect : le VPN Palo Alto exploité en ce moment&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/2026-s23-globalprotect-vpn-bypass.png&quot; alt=&quot;Schéma comparatif montrant le flux normal d&amp;#x27;authentification VPN et le bypass exploité&quot;&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;GlobalProtect&lt;/strong&gt;, la solution VPN de Palo Alto Networks, est touché par une faille de contournement d&apos;authentification activement exploitée dans des attaques réelles. Un attaquant extérieur peut, sans identifiant valide, passer outre la vérification d&apos;identité et accéder à des ressources censées être protégées derrière le VPN.&lt;/p&gt;
&lt;p&gt;GlobalProtect est très répandu en entreprise et dans les administrations pour sécuriser les connexions distantes, notamment depuis le télétravail. Un VPN compromis, c&apos;est souvent une porte d&apos;entrée directe sur le réseau interne.&lt;/p&gt;
&lt;p&gt;Ce qui complique les choses : ce type de faille peut être exploité silencieusement. Aucune alerte visible, aucun message d&apos;erreur côté équipe sécurité. C&apos;est seulement en corrélant les journaux système que quelque chose d&apos;anormal peut ressortir. Et si personne ne consulte ces journaux régulièrement, ça peut passer longtemps inaperçu.&lt;/p&gt;
&lt;p&gt;Si vous êtes en stage ou alternance dans une structure qui utilise GlobalProtect, c&apos;est le moment de vérifier la version déployée et de mentionner cette CVE lors de la prochaine réunion d&apos;équipe. C&apos;est concret, utile, et ça montre que vous suivez l&apos;actualité.&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://www.bleepingcomputer.com/news/security/palo-alto-globalprotect-vpn-auth-bypass-flaw-now-exploited-in-attacks/&quot;&gt;BleepingComputer&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Bypass d&apos;authentification&lt;/strong&gt; : une faille qui permet de contourner l&apos;étape de vérification d&apos;identité. Imaginez une serrure numérique qui s&apos;ouvre si on appuie au bon endroit, sans clé.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 Des capteurs industriels de carburant exposés sans protection&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/2026-s23-ot-jauges-carburant.png&quot; alt=&quot;Schéma montrant un réservoir de carburant industriel connecté à Internet sans authentification&quot;&gt;&lt;/p&gt;
&lt;p&gt;La &lt;strong&gt;CISA&lt;/strong&gt; a publié une alerte sur des systèmes de surveillance de réservoirs de carburant directement accessibles depuis Internet. Ces équipements se trouvent dans des stations-service, aéroports et sites industriels. Ils mesurent les niveaux de carburant, détectent les fuites, et certains acceptent des commandes à distance. Le problème : beaucoup tournent avec des identifiants par défaut, parfois sans aucune authentification.&lt;/p&gt;
&lt;p&gt;C&apos;est un exemple concret de &lt;strong&gt;sécurité OT&lt;/strong&gt; (Operational Technology). On pense souvent cybersécurité en termes de serveurs et d&apos;applications web. Mais une grande partie des infrastructures physiques sont aussi connectées : automates industriels, capteurs, pompes, réservoirs. Leurs concepteurs n&apos;avaient pas toujours prévu une exposition à Internet.&lt;/p&gt;
&lt;p&gt;Ce qui rend la situation particulièrement sérieuse : on ne parle plus uniquement de données volées. Un réservoir manipulé à distance, c&apos;est un risque de fuite, de fausse alerte, ou pire. La surface numérique touche ici la surface physique.&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://www.bleepingcomputer.com/news/security/cisa-warns-of-cyberattacks-targeting-fuel-tank-monitoring-systems/&quot;&gt;BleepingComputer&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;OT (Operational Technology)&lt;/strong&gt; : les systèmes qui pilotent des équipements physiques, comme les automates industriels ou les capteurs de terrain. À distinguer de l&apos;IT classique, même si les deux convergent de plus en plus, créant de nouveaux angles d&apos;attaque.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;&quot;Quelle différence faites-vous entre la sécurité IT et la sécurité OT ?&quot;&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Pourquoi on vous la pose :&lt;/strong&gt; les recruteurs cherchent à savoir si votre vision de la cybersécurité dépasse les serveurs et les applications. Dans les secteurs de l&apos;industrie, de l&apos;énergie ou des transports, c&apos;est une question courante.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Comment y répondre :&lt;/strong&gt; l&apos;IT (Information Technology) gère les données et les services numériques. L&apos;OT (Operational Technology) contrôle des équipements physiques. En IT, une faille peut provoquer une fuite de données. En OT, elle peut causer une panne physique, un incident industriel, voire un risque humain. Les deux convergent de plus en plus, ce qui oblige les équipes à développer une double compétence.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;strong&gt;ICS-CERT Advisories (CISA)&lt;/strong&gt; : &lt;a href=&quot;https://www.cisa.gov/ics-advisories&quot;&gt;consulter les alertes&lt;/a&gt;&lt;br&gt;
La section dédiée aux systèmes industriels de la CISA. Utile pour comprendre quels équipements OT sont régulièrement ciblés et comment les vulnérabilités industrielles sont documentées. Un bon point de départ pour explorer la sécurité des infrastructures critiques.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;À vendredi prochain. Cette semaine, une idée à garder : la surface d&apos;attaque s&apos;étend à tout ce qui est connecté, y compris ce qu&apos;on oublie de sécuriser. Lénaïck&lt;/p&gt;</content:encoded><category>veille</category><category>cybersécurité</category><category>débutants</category><category>ai-security</category><category>vuln-critique</category><category>ot-security</category></item><item><title>Veille Cyber #2 : CISA, MFA et IA en SOC</title><link>https://lenasori.com/veille/2026-s22</link><guid isPermaLink="true">https://lenasori.com/veille/2026-s22</guid><description>La CISA expose ses secrets AWS GovCloud, le FBI alerte sur Kali365 qui contourne la MFA, et Cisco teste l&apos;IA pour les rapports d&apos;incident SOC.</description><pubDate>Fri, 29 May 2026 00:00:00 GMT</pubDate><content:encoded>&lt;p&gt;J&apos;avoue que j&apos;ai souri jaune en lisant la première actualité de la semaine. L&apos;agence américaine chargée d&apos;expliquer aux autres comment sécuriser leurs systèmes vient d&apos;exposer ses propres identifiants cloud. C&apos;est le genre de moment qui rappelle quelque chose d&apos;essentiel : personne n&apos;est immunisé. Même pas ceux qui font la police. Cette semaine : secrets cloud, contournement de MFA et IA en SOC.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 La CISA expose ses propres secrets AWS&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/2026-s22-cisa-aws-secrets-exposes.png&quot; alt=&quot;Schéma montrant les trois chemins classiques par lesquels un secret AWS peut être exposé accidentellement : dépôt Git public, log applicatif, variable d&amp;#x27;environnement mal configurée&quot;&gt;&lt;/p&gt;
&lt;p&gt;La CISA (Cybersecurity and Infrastructure Security Agency), l&apos;agence fédérale américaine de cybersécurité, a subi une fuite exposant des identifiants AWS GovCloud. Des parlementaires ont demandé des explications officielles. L&apos;agence, connue pour publier des guides de durcissement et gérer le catalogue KEV, s&apos;est retrouvée dans la position inconfortable de l&apos;élève qui rate son propre examen.&lt;/p&gt;
&lt;p&gt;Pourquoi c&apos;est important ? Les &lt;strong&gt;secrets cloud&lt;/strong&gt; (clés d&apos;accès, jetons API, mots de passe de service) sont l&apos;un des points faibles les plus courants en production. Ils finissent dans des fichiers de configuration, des logs, des dépôts publics ou des variables d&apos;environnement mal protégées. Quand une organisation comme la CISA est touchée, le message est clair : ce problème ne concerne pas que les petites structures.&lt;/p&gt;
&lt;p&gt;Honnêtement, ce qui me frappe ce n&apos;est pas tant la faille que le contexte. En SOC, les alertes pour des secrets exposés dans Git font partie du quotidien. Le réflexe correctif existe : rotation de clé, révocation immédiate, audit de l&apos;étendue de l&apos;accès. Mais il faut l&apos;avoir automatisé avant l&apos;incident, pas après. La vraie question c&apos;est : est-ce que vous sauriez détecter une clé cloud exposée dans votre code ce soir ?&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://krebsonsecurity.com/2026/05/lawmakers-demand-answers-as-cisa-tries-to-contain-data-leak/&quot;&gt;KrebsOnSecurity&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Secret cloud&lt;/strong&gt; : clé, jeton ou identifiant donnant accès à des ressources cloud. S&apos;il est exposé dans un fichier public ou un log, n&apos;importe qui peut l&apos;utiliser pour lire, modifier ou supprimer des données, souvent sans laisser de trace immédiate.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 Kali365 : quand la double authentification ne suffit plus&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/2026-s22-kali365-aitm-mfa-bypass.png&quot; alt=&quot;Schéma du mécanisme AiTM de Kali365 : la victime valide sa MFA normalement mais le proxy intercepte le jeton de session en temps réel&quot;&gt;&lt;/p&gt;
&lt;p&gt;Le FBI alerte sur Kali365, une plateforme de phishing vendue comme service (PhaaS). Elle cible les comptes Microsoft 365 et contourne la double authentification via une technique dite AiTM (Adversary-in-the-Middle). Un faux site Microsoft joue le rôle d&apos;intermédiaire : la victime entre ses identifiants et valide sa MFA normalement, mais l&apos;attaquant récupère le &lt;strong&gt;jeton de session&lt;/strong&gt; en temps réel. Il peut ensuite se connecter sans avoir eu besoin du code à six chiffres.&lt;/p&gt;
&lt;p&gt;Pourquoi c&apos;est important ? La MFA reste essentielle. Mais comprendre ses limites l&apos;est tout autant. Les MFA par SMS ou par code TOTP (Google Authenticator) sont vulnérables à l&apos;AiTM. Arriver en entretien avec cette nuance en tête, c&apos;est déjà se démarquer de la majorité des candidats.&lt;/p&gt;
&lt;p&gt;La vraie question c&apos;est : quelle MFA résiste vraiment ? Les clés physiques FIDO2 (type YubiKey) vérifient le domaine du site lors de l&apos;authentification. Si le site est un faux, la clé refuse. Pas parfait dans tous les contextes, mais nettement plus robuste face à ce type d&apos;attaque. C&apos;est pour ça que les organisations les plus exposées migrent vers FIDO2.&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://www.bleepingcomputer.com/news/security/fbi-warns-of-kali365-phishing-service-targeting-microsoft-365-accounts/&quot;&gt;BleepingComputer&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;AiTM (Adversary-in-the-Middle)&lt;/strong&gt; : l&apos;attaquant se place entre vous et le vrai service. Il relaie vos actions en temps réel et intercepte votre jeton de session, celui qui prouve que vous venez de vous authentifier. Il peut ensuite se connecter à votre compte sans avoir eu besoin de votre mot de passe ni de votre code MFA.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 L&apos;IA rédige des rapports d&apos;incident SOC : bilan mitigé&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/2026-s22-ia-soc-redaction-rapport.png&quot; alt=&quot;Comparaison côte à côte du flux de rédaction SOC sans IA et avec IA, l&amp;#x27;étape de relecture humaine étant mise en avant&quot;&gt;&lt;/p&gt;
&lt;p&gt;Cisco a expérimenté l&apos;IA générative pour produire des rapports d&apos;incident dans ses équipes SOC. Le résultat est nuancé : &lt;strong&gt;les rapports sortent plus vite&lt;/strong&gt;, mais les analystes ont relevé &lt;strong&gt;des imprécisions, un manque de contexte technique et des formulations trop génériques&lt;/strong&gt; pour être directement exploitables.&lt;/p&gt;
&lt;p&gt;Pourquoi ça compte ? Si vous visez un poste SOC, la question est directe : &lt;strong&gt;l&apos;IA va-t-elle remplacer les analystes ?&lt;/strong&gt; La réponse de Cisco est &lt;strong&gt;non, pas sans supervision humaine&lt;/strong&gt;. L&apos;IA peut prendre en charge &lt;strong&gt;la structure de base&lt;/strong&gt;, mais &lt;strong&gt;quelqu&apos;un doit valider et apporter le contexte&lt;/strong&gt; que l&apos;outil n&apos;a pas.&lt;/p&gt;
&lt;p&gt;Je dois dire que c&apos;est l&apos;actualité qui me parle le plus cette semaine. En SOC, les rapports d&apos;incident prennent du temps, surtout en fin de nuit. Si &lt;strong&gt;l&apos;IA génère un premier jet&lt;/strong&gt; et que &lt;strong&gt;l&apos;analyste se concentre sur la partie critique&lt;/strong&gt;, c&apos;est un gain réel. &lt;strong&gt;Déléguer sans relire, c&apos;est là que ça se complique.&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://www.theregister.com/security/2026/05/22/cisco-used-ai-to-write-security-incident-reports-with-mixed-results/5244692&quot;&gt;The Register&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;SOC (Security Operations Center)&lt;/strong&gt; : l&apos;équipe chargée de surveiller les systèmes en temps réel, détecter les incidents et y répondre. Un analyste SOC passe une part importante de son temps à rédiger des rapports pour chaque alerte traitée, ce qui fait de la rédaction assistée un cas d&apos;usage IA très concret.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;&quot;La double authentification suffit-elle à protéger un compte ?&quot;&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Pourquoi on vous la pose :&lt;/strong&gt; le recruteur teste votre capacité à nuancer plutôt qu&apos;à réciter une réponse toute faite. Savoir qu&apos;un outil a des limites, c&apos;est preuve de maturité technique.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Comment y répondre :&lt;/strong&gt; La MFA réduit très significativement le risque de compromission et reste indispensable. Mais les techniques AiTM permettent de contourner les MFA classiques (SMS, TOTP) en interceptant le jeton de session après authentification réussie. Les implémentations résistantes au phishing, notamment FIDO2, offrent une protection bien plus robuste car elles vérifient le domaine du site. Bonne réponse : recommander la MFA systématiquement, tout en précisant que le type d&apos;implémentation change tout.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;strong&gt;GitGuardian&lt;/strong&gt; : &lt;a href=&quot;https://www.gitguardian.com&quot;&gt;gitguardian.com&lt;/a&gt;&lt;br&gt;
Outil de détection de secrets exposés dans vos dépôts Git, gratuit pour les projets publics. Utile pour comprendre concrètement comment les clés et tokens se retrouvent dans le code, et pour développer le réflexe de scanner ses dépôts avant de pousser. Directement lié à l&apos;actualité CISA de cette semaine.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;À vendredi prochain. D&apos;ici là, un réflexe simple : si vous avez un projet sur GitHub, scannez-le pour des secrets exposés. Vous seriez surpris de ce qui traîne depuis des mois. Lénaïck&lt;/p&gt;</content:encoded><category>veille</category><category>cybersecurite</category><category>debutants</category><category>cloud</category><category>phishing</category><category>soc</category></item><item><title>Veille Cyber #1 : Exchange, GitHub, IA</title><link>https://lenasori.com/veille/2026-s21</link><guid isPermaLink="true">https://lenasori.com/veille/2026-s21</guid><description>Trois actualités cyber pour comprendre les failles exploitées, la chaîne développeur et les risques IA.</description><pubDate>Fri, 22 May 2026 00:00:00 GMT</pubDate><content:encoded>&lt;p&gt;Scène classique : vous êtes en &lt;strong&gt;entretien cyber&lt;/strong&gt;. Le recruteur sourit, regarde votre CV, puis lâche : &quot;Vous avez suivi l&apos;actualité ?&quot; Et là, trou noir. Pas parce que vous êtes mauvais. Entre les &lt;strong&gt;CVE&lt;/strong&gt;, les communiqués éditeurs et les acronymes, c&apos;est facile de décrocher.&lt;/p&gt;
&lt;p&gt;Trois actualités. De quoi discuter, pas réciter Wikipédia.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 Exchange encore dans le viseur : pourquoi les vieux serveurs font toujours peur&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/exchange-owa-kev-point-appui.png&quot; alt=&quot;Schéma expliquant comment une faille OWA sur un serveur Exchange exposé devient un point d&amp;#x27;appui&quot;&gt;&lt;/p&gt;
&lt;p&gt;Microsoft a publié une alerte autour de &lt;code&gt;CVE-2026-42897&lt;/code&gt;, une vulnérabilité qui touche &lt;strong&gt;Outlook Web Access&lt;/strong&gt; sur Exchange Server. La CISA l&apos;a ajoutée à son catalogue des failles exploitées, avec une correction attendue avant le 29 mai 2026 pour les agences fédérales américaines. Traduction : ce n&apos;est pas juste une faille théorique vue dans un laboratoire.&lt;/p&gt;
&lt;p&gt;Pourquoi c&apos;est important ? &lt;strong&gt;Exchange&lt;/strong&gt;, c&apos;est souvent la porte d&apos;entrée mail d&apos;une organisation. En entreprise, le mail transporte identifiants, pièces jointes, conversations internes et demandes urgentes. Si un serveur exposé est mal corrigé, l&apos;attaquant trouve un point d&apos;appui.&lt;/p&gt;
&lt;p&gt;Honnêtement, ça rappelle un truc frustrant du terrain : les systèmes critiques ne sont pas toujours les plus modernes, ni les plus faciles à patcher. Parfois, le vrai sujet, c&apos;est mettre à jour une brique historique sans casser la production.&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498/replies/4519822&quot;&gt;Microsoft Exchange Team&lt;/a&gt;, &lt;a href=&quot;https://nvd.nist.gov/vuln/detail/CVE-2026-42897&quot;&gt;NVD&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;KEV&lt;/strong&gt; : le catalogue Known Exploited Vulnerabilities de la CISA liste des failles déjà exploitées dans la vraie vie. Si une CVE arrive dedans, ce n&apos;est plus un &quot;à regarder un jour&quot; : c&apos;est une priorité.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 Une extension VS Code malveillante : le piège qui ressemble à un outil pratique&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/github-vscode-extension-compromission-v2.png&quot; alt=&quot;Schéma expliquant comment une extension VS Code malveillante peut compromettre des dépôts GitHub&quot;&gt;&lt;/p&gt;
&lt;p&gt;GitHub a confirmé une compromission d&apos;environ &lt;strong&gt;3 800 dépôts internes&lt;/strong&gt; après l&apos;installation d&apos;une extension VS Code malveillante sur le poste d&apos;un employé. L&apos;incident est relié à une attaque de chaîne d&apos;approvisionnement visant l&apos;écosystème développeur, notamment autour de &lt;code&gt;npm&lt;/code&gt; et d&apos;extensions d&apos;environnement de développement.&lt;/p&gt;
&lt;p&gt;La leçon est simple : les développeurs installent beaucoup d&apos;outils. Extensions, paquets, plugins, assistants, thèmes. Chacun peut devenir une porte d&apos;entrée. Comme ces outils accèdent parfois au &lt;strong&gt;code source&lt;/strong&gt; et aux &lt;strong&gt;jetons d&apos;accès&lt;/strong&gt;, l&apos;impact dépasse vite &quot;un poste compromis&quot;.&lt;/p&gt;
&lt;p&gt;Ce qui me marque, c&apos;est le côté banal. Une extension utile en apparence, un clic, et derrière ça peut lire des fichiers, interagir avec l&apos;environnement, récupérer des secrets. Pas idéal si votre dépôt contient des clés API oubliées depuis 2022.&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/&quot;&gt;BleepingComputer&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Chaîne d&apos;approvisionnement&lt;/strong&gt; : en cyber, cela désigne tout ce dont votre projet dépend : librairies, extensions, outils, prestataires. Attaquer un maillon faible permet parfois de toucher beaucoup de monde d&apos;un coup.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;🔍 ChromaDB exposé : quand une brique IA devient une porte d&apos;entrée&lt;/h2&gt;
&lt;p&gt;&lt;img src=&quot;https://lenasori.com/images/veille/chromadb-api-exposee-compromission.png&quot; alt=&quot;Schéma expliquant comment une API ChromaDB exposée peut mener à une exécution de code&quot;&gt;&lt;/p&gt;
&lt;p&gt;Une vulnérabilité critique, &lt;code&gt;CVE-2026-45829&lt;/code&gt;, touche le serveur Python FastAPI de &lt;strong&gt;ChromaDB&lt;/strong&gt;. D&apos;après les informations publiées, un attaquant non authentifié peut forcer le chargement d&apos;un modèle malveillant et obtenir une &lt;strong&gt;exécution de code&lt;/strong&gt; si l&apos;API est exposée en HTTP.&lt;/p&gt;
&lt;p&gt;Pourquoi ça compte ? Parce que beaucoup de projets IA sont montés vite. On teste un outil, on branche une &lt;strong&gt;base vectorielle&lt;/strong&gt;, on expose une API &quot;juste pour voir&quot;, puis le prototype reste en ligne. C&apos;est humain. Mais côté sécurité, un prototype exposé devient vite une surface d&apos;attaque.&lt;/p&gt;
&lt;p&gt;Je dois dire que c&apos;est l&apos;actualité la plus intéressante côté IA. La sécurité IA, ce n&apos;est pas seulement &quot;est-ce que le modèle hallucine ?&quot;. C&apos;est aussi de l&apos;infrastructure classique : authentification, exposition réseau, mises à jour.&lt;/p&gt;
&lt;pre&gt;&lt;code class=&quot;language-bash&quot;&gt;curl -I http://localhost:8000/api/v1/heartbeat
curl -I https://votre-domaine.example/api/v1/heartbeat
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;Ici, &lt;code&gt;bash:curl -I&lt;/code&gt; interroge une URL. L&apos;option &lt;code&gt;bash:-I&lt;/code&gt; demande seulement les en-têtes, pas toute la page. La ligne 1 teste un service local. La &lt;strong&gt;ligne 2&lt;/strong&gt;, mise en évidence, représente le vrai risque : une API accessible depuis Internet.&lt;/p&gt;
&lt;p&gt;Source : &lt;a href=&quot;https://www.bleepingcomputer.com/news/security/max-severity-flaw-in-chromadb-for-ai-apps-allows-server-hijacking/&quot;&gt;BleepingComputer&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;RCE&lt;/strong&gt; : Remote Code Execution, ou exécution de code à distance. En clair : quelqu&apos;un peut faire exécuter ses instructions sur votre serveur, comme s&apos;il avait trouvé une télécommande cachée.&lt;/p&gt;
&lt;hr&gt;
&lt;h2&gt;Conseil et note finale&lt;/h2&gt;
&lt;p&gt;&lt;em&gt;&quot;Parmi ces trois actualités, laquelle vous semble la plus inquiétante et pourquoi ?&quot;&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Pourquoi on vous la pose :&lt;/strong&gt; le recruteur veut voir si vous savez prioriser, pas si vous connaissez toutes les CVE par cœur.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Comment y répondre :&lt;/strong&gt; choisissez un angle : &lt;strong&gt;impact métier&lt;/strong&gt;, &lt;strong&gt;facilité d&apos;exploitation&lt;/strong&gt; ou &lt;strong&gt;exposition publique&lt;/strong&gt;. Exchange est critique parce qu&apos;il touche une brique centrale. GitHub montre le risque des outils développeur. ChromaDB rappelle que les projets IA doivent suivre les mêmes règles que le reste.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;strong&gt;CISA Known Exploited Vulnerabilities Catalog&lt;/strong&gt; : &lt;a href=&quot;https://www.cisa.gov/known-exploited-vulnerabilities-catalog&quot;&gt;consulter le catalogue&lt;/a&gt;&lt;br&gt;
Utile pour comprendre quelles failles sont exploitées dans le monde réel. Pour compléter la partie IA, regardez aussi la &lt;a href=&quot;https://docs.trychroma.com/&quot;&gt;documentation Chroma&lt;/a&gt; et gardez une question simple : &lt;strong&gt;est-ce accessible depuis Internet ?&lt;/strong&gt;&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;À vendredi prochain. En attendant, gardez une idée en tête : demandez &quot;qu&apos;est-ce qui est exposé ?&quot; avant de demander &quot;quel outil on achète ?&quot;. Lénaïck&lt;/p&gt;</content:encoded><category>veille</category><category>cybersécurité</category><category>débutants</category><category>microsoft</category><category>supply chain</category><category>ia</category></item></channel></rss>