Actualités & Veille Tech
Cybersécurité · Intelligence artificielle · Cloud · DevSecOps · Réseaux
Patch Tuesday juin 2026 : 206 failles dont un RCE noyau Windows CVSS 9.8 wormable
Microsoft corrige 206 vulnérabilités en juin 2026, dont deux failles potentiellement wormables CVSS 9,8 : CVE-2026-45657 dans le noyau Windows et CVE-2026-47291 dans HTTP.sys. Déploiement immédiat des correctifs recommandé avant toute exploitation dans la nature.
Dernières actus
FBI.gov : un hacker revendique l'accès via deux zero-days
Un acteur cybercriminel baptisé Orcinus Orca revendique l'accès aux systèmes de FBI.gov via deux techniques zero-day inédites. L'analyse révèle un probable scraping d'API publiques, mais deux misconfigurations réelles ont été identifiées sur l'infrastructure fédérale.
npm v12 : GitHub bloque les scripts d'installation par défaut
GitHub a annoncé que npm v12, attendu en juillet 2026, désactivera par défaut l'exécution des scripts d'installation, neutralisant un vecteur majeur d'attaque supply chain. Les équipes doivent migrer vers npm 11.16.0 pour anticiper l'impact.
Velvet Ant : APT chinois dans Linux PAM pendant dix ans
Le groupe APT Velvet Ant, lié à la Chine, a backdooré les modules PAM et OpenSSH de Linux pendant près d'une décennie sur des réseaux isolés, révèle Sygnia. Neuf variantes distinctes du module malveillant ont été identifiées, témoignant d'un acteur bien organisé.
MAI-Code-1-Flash : le modèle IA coding de Microsoft
Microsoft a lancé MAI-Code-1-Flash lors de Build 2026, son premier modèle de coding développé en interne, disponible dans GitHub Copilot. Architecture Mixture-of-Experts de 137 milliards de paramètres, il surpasse Claude Haiku 4.5 sur les benchmarks coding et réduit la dépendance à OpenAI.
Verizon DBIR 2026 : failles exploitées, nouveau vecteur N°1
Le rapport Verizon Data Breach Investigations Report 2026 place l'exploitation des vulnérabilités comme premier vecteur de compromission (31 %), devant le vol de credentials. Le délai médian de patch a progressé à 43 jours, creusant l'écart avec la vitesse d'exploitation des attaquants.
Tchap compromis : 73 000 agents de l'État exposés
La DINUM a confirmé le 8 juin 2026 la compromission de Tchap, messagerie officielle de l'État français. Un attaquant a collecté les données de 73 467 agents via ingénierie sociale et des API sans rate limiting.
CVE-2026-3300 : RCE sans auth sur 4 000 sites WordPress via Everest Forms Pro
CVE-2026-3300 permet l'exécution de code PHP arbitraire sans authentification via la fonction eval() du plugin WordPress Everest Forms Pro. Plus de 29 300 tentatives d'exploitation bloquées depuis avril 2026. Patch disponible en version 1.9.13.
LangGraph : chaîne SQLi vers RCE sur agents IA auto-hébergés (CVE-2025-67644)
Check Point Research révèle une chaîne d'exploitation dans LangGraph combinant injection SQL (CVE-2025-67644) et désérialisation msgpack (CVE-2026-28277) pour une RCE complète sur les agents IA auto-hébergés. Mise à jour langgraph 1.0.10 requise.
CVE-2026-20253 : RCE pré-auth dans Splunk Enterprise, CVSS 9.8
CVE-2026-20253 expose Splunk Enterprise 10.x à une exécution de code à distance sans authentification via le PostgreSQL Sidecar Service. Les instances AWS sont vulnérables par défaut. Patch disponible en versions 10.0.7 et 10.2.4.