Actualités & Veille Tech
Cybersécurité · Intelligence artificielle · Cloud · DevSecOps · Réseaux
PyTorch Lightning : 2 versions PyPI volent vos secrets
Le 30 avril 2026, deux versions malveillantes du package PyTorch Lightning ont été publiées sur PyPI. En 42 minutes d'exposition, elles ont exfiltré credentials développeurs, secrets cloud et wallets crypto.
Dernières actus
Qilin : 6 victimes en 4 jours via RDP enumeration brute
Le groupe Qilin enchaine les victimes en cette fin avril 2026 : Lifeline PCS, The Switch Enterprises, Zinkan & Barker, Jayeff Construction. Nouvelle technique de reconnaissance via l'historique RDP des serveurs compromis.
CVE-2026-33827 : RCE wormable IPv6 dans la pile Windows
Microsoft a corrigé CVE-2026-33827, une race condition critique CVSS 9.8 dans la pile TCP/IP Windows lors du réassemblage de fragments IPv6 avec IPSec. Wormable, non-authentifiée, sans interaction utilisateur.
CVE-2026-32202 : APT28 vole vos hashes NTLM en zéro-clic
Microsoft et CISA confirment l'exploitation active de CVE-2026-32202, un correctif incomplet du zéro-day APT28. Coercition NTLM zéro-clic via fichier .lnk : le simple affichage d'un dossier suffit à fuiter les hashes vers l'attaquant.
Checkmarx : LAPSUS$ publie 96 Go de code et de credentials
Checkmarx confirme la publication par LAPSUS$ de 96 Go de données internes : code source, clés API, credentials MongoDB et MySQL exposés sur le clearnet.
Vimeo : ShinyHunters exfiltre via Anodot, ultimatum 30 avril
Vimeo confirme une compromission via Anodot revendiquée par ShinyHunters. Rockstar Games et Zara également visés par le même pivot fournisseur.
Scattered Spider : Bouquet arrêté à Helsinki à 19 ans
Peter Stokes, alias Bouquet, 19 ans, présumé membre de Scattered Spider, a été arrêté à Helsinki et fait face à six chefs d'inculpation aux États-Unis.
Telia Norge : 2 ans de géolocalisation exposée, Nkom enquête
Une faille de Telia Norge a permis de géolocaliser des abonnés mobiles depuis 2023. Le régulateur Nkom et l'équivalent CNIL norvégien Datatilsynet enquêtent.
Anthropic retarde Mythos, OpenAI brief le Congrès cyber
Le 29 avril, Anthropic et OpenAI ont briefé en huis clos le Congrès américain sur les capacités cyber offensives de leurs modèles. Anthropic retarde Mythos Preview.
OpenAI sur AWS Bedrock : GPT-5.5 et Codex chez Amazon
OpenAI étend son empreinte cloud : GPT-5.5, Codex et les Bedrock Managed Agents arrivent chez AWS, ouvrant ses modèles aux clients enterprise du leader IaaS.