Actualités & Veille Tech
Cybersécurité · Intelligence artificielle · Cloud · DevSecOps · Réseaux
Chrome : zero-day V8 CVE-2026-11645 exploité activement, mise à jour immédiate
CVE-2026-11645 (CVSS 8.8) : corruption mémoire out-of-bounds dans le moteur JavaScript V8 de Chrome, avec exploit public disponible et exploitation confirmée. Google publie un patch d'urgence le 15 juin 2026. Edge et tous les navigateurs Chromium sont également affectés.
Dernières actus
Check Point VPN : CVE-2026-50751 activement exploité, patch critique urgent
CVE-2026-50751 (CVSS 9.3) permet de contourner entièrement l'authentification sur Check Point Remote Access VPN en configuration IKEv1. Exploitation active depuis le 4 juin 2026, patch disponible, action immédiate requise.
EU AI Act GPAI : le compte a rebours avant le 2 aout 2026
Le 2 août 2026, les obligations GPAI de l'EU AI Act entrent en vigueur : transparence des modèles, marquage des contenus IA et exigences de sécurité pour les modèles à risque systémique. Anthropic, Google et OpenAI ont signé le Code de Pratique — Meta et xAI, non.
Conti : Lytvynenko plaide coupable, 20 ans de prison requis
Le DOJ américain a annoncé en juin 2026 le guilty plea d'Oleksii Lytvynenko, développeur ukrainien du loader du ransomware Conti, extradé d'Irlande après trois ans de procédure judiciaire. Il risque jusqu'à 20 ans de prison pour son rôle dans 150 millions de dollars de rançons extorquées.
WordPress : 1,2 million de sites touchés via Awesome Motive
Le 12 juin 2026, des attaquants ont compromis les fichiers JavaScript du CDN d'Awesome Motive, injectant un backdoor qui crée silencieusement des comptes administrateurs non autorisés sur plus de 1,2 million de sites WordPress utilisant OptinMonster, TrustPulse et PushEngage.
Android : Google corrige 124 failles dont un 0-day activement exploité
Google déploie les correctifs Android de juin 2026 : 124 vulnérabilités corrigées dont CVE-2025-48595, un zero-day dans le Framework Android activement exploité, probablement par des spywares commerciaux ou des acteurs étatiques.
ServiceNow : faille API non authentifiée expose des données clients
ServiceNow a corrigé une faille API accessible sans authentification exploitée entre le 2 et le 5 juin 2026. L'avis de sécurité a été retenu derrière un portail client pendant quatre jours, retardant la réponse des équipes sécurité.
ShinyHunters : 26 millions de dossiers volés à MSG Sports
ShinyHunters revendique le vol de 26 millions de dossiers chez Madison Square Garden Sports Corp., propriétaire des Knicks et des Rangers. L'ultimatum expire le 15 juin 2026 : payer ou voir les données publiées.
152 extensions Chrome « Live Wallpaper » piégées : vol de données et faux trafic Google détectés
152 extensions Chrome de type Live Wallpaper identifiées comme malveillantes le 14 juin 2026, collectant secrètement l'historique de navigation des utilisateurs et générant du faux trafic Google Search. Des millions d'installations potentiellement affectées ; suppression et réinitialisation des sessions recommandées.
CVE-2026-35273 : ShinyHunters exploite un 0-day Oracle PeopleSoft, 100 universités compromises
Le groupe ShinyHunters a exploité CVE-2026-35273, un zero-day CVSS 9,8 dans Oracle PeopleSoft, pour compromettre plus de 100 organisations dont 68 % d'universités américaines entre le 27 mai et le 9 juin 2026. Oracle a publié un correctif d'urgence hors-cycle ; CISA a ajouté la faille à son catalogue KEV.