Chat with us, powered by LiveChat
Partner Login

Monthly Threat Report Juin 2026

Codes d’appareil, failles découvertes et prises de contrôle de domaine

Écrit par Security Lab / 18.06.2026 /

Introduction

Le Monthly Threat Report de Hornetsecurity by Proofpoint vous apporte chaque mois des informations sur les tendances de sécurité dans M365, les menaces diffusées par email et l’actualité du secteur de la cybersécurité. Cette édition du Monthly Threat Report se concentre sur les événements du secteur survenus en mai 2026. Comme il s’agit d’une édition axée sur l’actualité et l’analyse, le rapport de ce mois-ci privilégie la profondeur sur les menaces émergentes et les recherches sectorielles plutôt que les sections de données statistiques.

Résumé

  • Notre Threat Intelligence Lab a documenté une campagne active utilisant le kit Kali365 Phishing-as-a-Service (PhaaS) pour détourner des sessions Microsoft 365 via le phishing par code d’appareil, en abusant du flux légitime d’autorisation d’appareil OAuth 2.0 de Microsoft afin de capturer des jetons d’accès et de rafraîchissement. Le FBI a publié le 21 mai une Public Service Announcement concernant ce même kit.
  • Anthropic a publié les premiers résultats du Project Glasswing, dans le cadre duquel son modèle restreint Claude Mythos et environ 50 entreprises partenaires ont identifié plus de 10 000 vulnérabilités de gravité élevée ou critique dans des logiciels critiques, dont plus de 23 000 failles potentielles dans 1 000 projets open source, avec un taux de vrais positifs de 90,6 % sur des résultats échantillonnés de manière indépendante.
  • CVE-2026-41089, une vulnérabilité critique d’exécution de code à distance dans Windows Netlogon avec un score CVSS de 9,8, fait désormais l’objet d’une exploitation active dans la nature. Microsoft a corrigé cette faille lors du Patch Tuesday du 12 mai. La vulnérabilité ne nécessite aucune authentification et permet une compromission complète des contrôleurs de domaine.
  • NYC Health + Hospitals a confirmé qu’une violation divulguée plus tôt cette année a affecté au moins 1,8 million de patients, des membres du personnel et des candidats à l’emploi. Les données volées incluent des dossiers médicaux, des numéros de sécurité sociale, des informations financières, des données de géolocalisation et des données biométriques d’empreintes digitales et palmaires. L’intrusion a été attribuée à la compromission d’un fournisseur tiers.
  • Foxconn a confirmé une cyberattaque contre ses opérations nord-américaines le 12 mai. Le groupe de ransomware Nitrogen affirme avoir volé environ 8 téraoctets de données, soit plus de 11 millions de fichiers. AppleInsider a ensuite confirmé que des schémas de serveurs Apple figuraient parmi les données volées.
  • L’abus des codes d’appareil, la découverte de vulnérabilités accélérée par l’IA et l’exposition liée aux fournisseurs tiers représentent trois tendances convergentes auxquelles les entreprises doivent se préparer au second semestre 2026. Chacune modifie l’arbitrage entre détection, rapidité de correction et contrôles d’identité.

Vue d’ensemble des menaces

Kali365 : le phishing par code d’appareil atteint une échelle industrielle via le PhaaS

Notre Threat Intelligence Lab a documenté au début du mois de juin une campagne active exploitant le kit Kali365 Phishing-as-a-Service, dans le prolongement d’une vague d’activité qui s’est intensifiée en mai. Notre analyse technique complète est disponible sur le Blog Hornetsecurity. Le 21 mai, l’Internet Crime Complaint Center (IC3) du FBI a publié une Public Service Announcement sur Kali365, le décrivant comme une plateforme PhaaS émergente qui donne même à des opérateurs peu qualifiés accès à des capacités avancées de phishing. Bleeping Computer et Infosecurity Magazine ont relayé séparément l’avis du FBI.

Kali365 vend l’accès via des canaux Telegram pour environ 250 dollars par mois ou 2 000 dollars par an. Le kit regroupe des leurres de phishing générés par IA, des modèles de campagne, des tableaux de bord de suivi des victimes en temps réel, ainsi que la capacité centrale qui le distingue du phishing de collecte d’identifiants : la capture de jetons OAuth par abus du flux de code d’appareil.

Comment fonctionne le phishing par code d’appareil

L’authentification par code d’appareil est un flux légitime OAuth 2.0 de Microsoft, conçu à l’origine pour des appareils à saisie limitée comme les smart TV, les équipements de salles de conférence et les systèmes IoT. Dans le flux légitime, un appareil qui ne peut pas facilement accepter des identifiants affiche un court code de vérification, puis l’utilisateur se rend sur le portail de connexion de Microsoft depuis un autre appareil pour saisir ce code et terminer l’authentification. Microsoft émet ensuite des jetons d’accès et de rafraîchissement pour l’appareil demandeur.

Le phishing par code d’appareil inverse ce modèle de confiance. L’attaquant initie le flux de code d’appareil depuis une infrastructure qu’il contrôle, puis convainc la victime de saisir le code de l’attaquant sur la véritable page de connexion de Microsoft. La victime s’authentifie sur l’infrastructure réelle de Microsoft, satisfait aux éventuels défis MFA et autorise, sans le savoir, Microsoft à émettre des jetons vers la session de l’attaquant. Aucun identifiant n’est intercepté. Aucune fausse page de connexion n’est affichée. La tromperie a lieu avant l’authentification, et non pendant.

La campagne observée

La campagne analysée par notre Threat Intelligence Lab commence par un leurre sur le thème du paiement. L’échantillon observé portait l’objet « EFT Payment in Progress » et utilisait un vocabulaire lié aux remises de paiement conçu pour sembler naturel aux équipes finance et comptabilité. L’email évitait les tactiques d’urgence trop visibles et présentait plutôt un flux de travail métier courant centré sur un appel à l’action « SEE REMITTANCE DETAILS ».

À partir de cette première tromperie, la chaîne progresse en plusieurs étapes conçues pour contourner à la fois l’analyse automatisée et la méfiance humaine :

Étape 1 : le lien contenu dans l’email pointe vers une plateforme SaaS tierce légitime (mixpanel[.]com dans l’échantillon observé), où une page hébergée présente ce qui ressemble à une interface de document numérisé avec une identité visuelle professionnelle.

Étape 2 : une page intermédiaire de vérification de type Cloudflare introduit une friction qui filtre une partie des robots de sécurité automatisés et renforce l’impression d’un hébergement légitime.

Étape 3 : la victime arrive sur la page Kali365 elle-même, une interface de document sécurisé aux couleurs de Microsoft affichant une identité visuelle de type Outlook, un texte sur le chiffrement des messages et un court code d’appareil. La page demande à la victime d’ouvrir le portail de connexion Microsoft, de saisir le code affiché, de s’authentifier, puis de revenir.

Étape 4 : la victime se rend sur microsoft.com/devicelogin, saisit le code, termine l’authentification, y compris les éventuels prompts MFA, puis voit une confirmation faisant référence à « Microsoft Authentication Broker on another device ». À cet instant, des jetons OAuth valides sont émis pour la session de l’attaquant, et non pour le navigateur de la victime.

Une deuxième variante observée le 2 juin a fait passer le thème du leurre d’un paiement EFT à une « urgent proposal review », tout en conservant une chaîne technique identique, ce qui indique une adaptation opérationnelle active.

Indicateurs de compromission (IOC)

Hôtes de leurres de premier niveau :hxxps://mixpanel[.]com/public/5TwfnfSBNLp72xaBMcuEwT - hxxps://biovelt[.]com/@trianzprop

Pages de phishing de second niveau :hxxps://6civt6gowo[.]clearprocesses[.]de/l/375eYPgUe-4 - hxxps://l2k9vlvw7p[.]brinautomotivekow[.]sbs/l/fjOZveI_IVw

IP associée : - 104.21.28[.]254

Pourquoi c’est important

Le phishing par code d’appareil remet en cause un principe de base de la sensibilisation des utilisateurs. Depuis des années, nous apprenons aux utilisateurs à vérifier les URL et à repérer les fausses pages de connexion. Dans une attaque par code d’appareil, il n’existe aucune fausse page de connexion. La victime s’authentifie sur la véritable infrastructure Microsoft, sur un véritable domaine Microsoft, et valide un vrai MFA. Les indicateurs de compromission classiques que les utilisateurs ont appris à reconnaître sont absents.

Le moment suspect se déplace donc plus tôt dans la chaîne. Le signal d’alerte n’est pas la page de connexion elle-même, mais l’instruction de saisir un code court reçu par email ou dans un flux de documents. Microsoft et le FBI notent tous deux que le flux de code d’appareil est rarement utilisé dans les flux métier normaux, mais qu’il est de plus en plus fréquent dans les opérations de phishing. Cette asymétrie fait d’un blocage unilatéral de l’authentification par code d’appareil, encadré par des politiques de Conditional Access après audit des cas d’usage légitimes, l’un des contrôles les plus efficaces disponibles.

Le modèle de distribution PhaaS compte aussi. Kali365 n’est pas une menace sur mesure qui exige un savoir-faire de niveau étatique. À 250 dollars par mois, le kit est accessible à une large base d’opérateurs, et l’automatisation du kit réduit la barrière technique pour mener des campagnes à grande échelle. Nous devons nous attendre à une poursuite de la hausse des abus de codes d’appareil pendant le reste de l’année 2026.

Nous recommandons de traiter le flux de code d’appareil comme un chemin d’authentification contrôlé et audité, et non comme une option activée par défaut. Des politiques de Conditional Access qui limitent l’authentification par code d’appareil à des catégories d’appareils connues, combinées à une Security Awareness Training couvrant explicitement la tromperie par saisie de code, réduisent sensiblement l’exposition à cette technique.

Incidents majeurs et événements du secteur

Le Project Glasswing d’Anthropic met au jour plus de 10 000 vulnérabilités critiques, sur fond de goulot d’étranglement dans les correctifs

Le 22 mai, Anthropic a publié une première mise à jour sur le Project Glasswing, son programme de recherche restreint en cybersécurité qui donne à environ 50 entreprises partenaires sélectionnées un accès contrôlé à Claude Mythos Preview, un modèle d’IA conçu spécifiquement pour la découverte de vulnérabilités et la construction d’exploits. Parmi les partenaires figurent notamment AWS, Apple, Cisco, Cloudflare, CrowdStrike, Google, JPMorgan Chase, Microsoft, Mozilla et NVIDIA. Bleeping Computer et The Hacker News ont tous deux couvert cette publication.

Les chiffres clés sont marquants. Au cours du premier mois de déploiement chez les partenaires, Mythos a identifié plus de 10 000 vulnérabilités de gravité élevée ou critique dans les logiciels les plus importants sur le plan systémique aujourd’hui en usage. Dans un effort complémentaire d’analyse open source portant sur plus de 1 000 projets, Mythos a signalé 23 019 vulnérabilités potentielles, dont environ 6 202 étaient estimées de gravité élevée ou critique. Six sociétés indépendantes de recherche en sécurité ont examiné un échantillon de 1 752 résultats pour en évaluer la validité. Le taux de vrais positifs s’est élevé à 90,6 %, et 62,4 % des résultats valides confirmés appartenaient à la catégorie de gravité élevée ou critique. Anthropic estime à environ 3 900 le nombre de bugs de gravité élevée ou critique dans l’ensemble open source analysé.

Plusieurs résultats précis ressortent. Mythos a identifié CVE-2026-5194, une faille critique dans WolfSSL avec un score CVSS de 9,1 qui permet la falsification de certificats, donnant à un attaquant la possibilité d’usurper l’identité de services légitimes. Mythos a aussi mis en évidence une vulnérabilité FFmpeg vieille de 16 ans, une faille d’exécution de code à distance dans FreeBSD NFS référencée sous CVE-2026-4747, ainsi que plusieurs chaînes d’élévation de privilèges dans le noyau Linux.

Les résultats obtenus par les partenaires sont les données les plus révélatrices de cette publication. Mozilla a utilisé Mythos pour identifier et corriger 271 vulnérabilités dans Firefox en une seule version (Firefox 150), soit, selon les informations publiées, plus de dix fois ce que l’équipe avait pu faire remonter avec les générations précédentes de modèles. Cloudflare a identifié environ 2 000 bugs dans son infrastructure, dont 400 jugés de gravité élevée ou critique, et a signalé des taux de faux positifs meilleurs que ceux d’analystes humains. Palo Alto Networks a publié environ cinq fois son volume habituel de correctifs sur la même période.

Le constat le moins encourageant concerne le goulot d’étranglement dans les correctifs. Anthropic a divulgué 530 bugs de gravité élevée ou critique à des mainteneurs open source ; 75 ont été corrigés et 65 ont fait l’objet d’avis publics. Sur l’ensemble plus large analysé, moins de 1 % des vulnérabilités identifiées par Mythos ont été corrigées. Le goulot d’étranglement s’est déplacé de la découverte vers la remédiation.

Pourquoi c’est important

Le Project Glasswing constitue à ce jour la preuve publique la plus concrète que la découverte de vulnérabilités pilotée par IA a atteint un niveau opérationnel réellement productif. Un taux de vrais positifs de 90,6 % confirmé par un examen indépendant d’experts est significatif : à ce niveau de qualité, combiné au volume produit par Mythos, le rythme dépasse ce que la plupart des équipes de sécurité peuvent examiner et corriger dans des cadences classiques. Le fait que Mozilla ait corrigé 271 vulnérabilités dans une seule version de Firefox parce que Mythos les a remontées sous une forme exploitable donne un aperçu de ce à quoi ressemble, en pratique, un outil d’IA productif côté défense.

La même technologie est aussi la variable la plus importante du côté offensif. Si des capacités de niveau Mythos deviennent accessibles à un plus large éventail d’opérateurs, que ce soit par disponibilité publique, exfiltration du modèle ou reproduction indépendante, le rythme de découverte de vulnérabilités accessible aux attaquants augmentera fortement. Les entreprises ne doivent pas partir du principe que le délai actuel entre divulgation d’une vulnérabilité et sa mise en exploitation restera inchangé. La rapidité de correction, en particulier pour les composants open source intégrés dans des logiciels tiers, est la variable la plus susceptible de déterminer le niveau d’exposition au cours des douze prochains mois.

Le goulot d’étranglement des correctifs est aussi un problème en soi. Un pipeline qui génère dix fois plus de résultats que les outils précédents, mais qui reste dépendant de cycles humains de revue, de test et de déploiement des correctifs, entraînera une augmentation des files publiques de failles non corrigées. Nous nous attendons à ce que cet écart pousse les entreprises à remettre l’accent, au second semestre, sur l’hygiène des Software Bill of Materials (SBOM), la gestion automatisée des dépendances et les workflows de correction priorisés.

CVE-2026-41089 : exploitation active d’un RCE Windows Netlogon

Microsoft a corrigé CVE-2026-41089 lors du Patch Tuesday du 12 mai, parmi 118 vulnérabilités traitées ce mois-là, dont 17 jugées critiques. La faille est un dépassement de mémoire tampon basé sur la pile dans l’interface RPC Windows Netlogon, qui permet à un attaquant distant non authentifié d’envoyer une requête réseau spécialement conçue à un serveur Windows jouant le rôle de contrôleur de domaine et d’exécuter du code avec des privilèges de niveau SYSTEM. Microsoft lui a attribué un score CVSS de 9,8. Aucune interaction utilisateur n’est requise et aucune authentification préalable n’est nécessaire.

Le 1er juin, le Centre for Cybersecurity Belgium (CCB) a confirmé une exploitation active sur la base d’informations provenant de partenaires de confiance. Bleeping Computer a rapporté séparément cette exploitation active le même jour, et SecurityWeek a publié une confirmation distincte. Microsoft a mis à jour son avis en conséquence et a appelé à corriger immédiatement les systèmes non patchés. Toutes les versions actuellement prises en charge de Windows Server sont affectées, y compris Windows Server 2025.

À la date de rédaction, aucune attribution précise à un acteur de menace n’a été publiée.

Pourquoi c’est important

Les contrôleurs de domaine sont les cibles les plus critiques dans un environnement Windows. L’exécution de code avec des privilèges SYSTEM sur un contrôleur de domaine équivaut dans les faits à une prise de contrôle complète de l’annuaire, et, à partir de là, l’attaquant contrôle l’authentification de tout le domaine. Un RCE non authentifié, sans interaction utilisateur, qui permet cela directement est le type de vulnérabilité qui façonne les calendriers de réponse à incident pendant des mois.

Les entreprises doivent traiter CVE-2026-41089 comme un correctif prioritaire absolu et vérifier son déploiement sur l’ensemble de la flotte de contrôleurs de domaine, et non sur un simple échantillon. Dans les environnements où une correction immédiate n’est pas possible, une segmentation réseau qui limite le trafic RPC Netlogon à des chemins d’administration connus réduit l’exposition sans toutefois l’éliminer.

NYC Health + Hospitals confirme une violation touchant 1,8 million de personnes, avec des données biométriques incluses

Le 18 mai, NYC Health + Hospitals a confirmé qu’une cyberattaque précédemment divulguée avait exposé des données personnelles, médicales, financières et biométriques appartenant à au moins 1,8 million de patients, de membres du personnel et de candidats à l’emploi. TechCrunch a d’abord rapporté cette nouvelle ampleur, et HIPAA Journal a confirmé séparément la population touchée. Le propre avis de violation de données de NYC Health + Hospitals a été publié sur son site web et a commencé à arriver dans les boîtes aux lettres des personnes concernées fin mars.

La chronologie est importante. NYC Health + Hospitals a détecté une activité suspecte le 2 février 2026. L’enquête qui a suivi a déterminé qu’un acteur non autorisé avait accédé à certains systèmes entre le 25 novembre 2025 environ et le 11 février 2026, ce qui signifie une présence dans l’environnement pendant environ deux mois et demi avant détection. L’entreprise a indiqué que l’acteur non autorisé « may have gained access to NYC Health + Hospitals systems due to a security breach at a third-party vendor ». Le fournisseur n’a pas été nommé publiquement.

Les catégories de données compromises sont exceptionnellement larges. D’après la propre communication de NYC Health + Hospitals, les données exposées comprennent des informations d’assurance santé, des dossiers médicaux (diagnostics, médicaments, résultats de tests, images, plans de traitement), des numéros de sécurité sociale, des permis de conduire, des identifiants gouvernementaux, des identifiants fiscaux, des informations et identifiants de comptes financiers, des identifiants de comptes en ligne, des données de géolocalisation précises, ainsi que des données biométriques incluant des empreintes digitales et palmaires. NYC Health + Hospitals propose 24 mois de services de prévention contre le vol d’identité et de surveillance du crédit via Kroll Information Assurance aux membres du personnel et aux patients depuis 2020. Une action collective a déjà été déposée.

Pourquoi c’est important

Les violations dans la santé ne sont pas nouvelles, mais deux caractéristiques de cet incident méritent une attention particulière.

La première est l’inclusion de données biométriques. Les enregistrements d’empreintes digitales et palmaires ne peuvent pas être remplacés. Des mots de passe volés peuvent être changés et des cartes bancaires compromises peuvent être remplacées, mais une donnée biométrique volée est compromise de façon permanente. À mesure que l’authentification biométrique devient plus courante dans les services financiers, la santé et les systèmes de contrôle d’accès physique, la valeur à long terme d’une donnée biométrique compromise continuera d’augmenter. Les entreprises qui collectent des données biométriques pour l’authentification, le contrôle de présence ou la vérification d’identité doivent traiter ces données comme une catégorie plus sensible que les PII classiques et mettre en place des contrôles adaptés à ce niveau de classification.

La deuxième est le vecteur fournisseur tiers. La plus grande violation dans la santé recensée cette année jusqu’à présent n’a pas résulté d’une compromission directe des systèmes de NYC Health + Hospitals. Elle provient d’un fournisseur dont l’accès à l’environnement n’était soit pas surveillé de manière suffisante, soit pas limité de manière appropriée. L’édition d’avril de ce rapport couvrait l’attaque destructive contre Stryker, qui a commencé par un seul identifiant administrateur compromis et s’est terminée par l’effacement d’environ 80 000 appareils. Le schéma est le même dans les deux cas : l’identité est le périmètre, et toute identité hors du contrôle direct de l’entreprise (comptes fournisseurs, accès supply chain, relations de confiance fédérées) fait partie de la surface d’attaque et doit être gouvernée comme telle.

Les entreprises doivent traiter l’accès des tiers aux environnements sensibles comme un sujet de gouvernance de premier plan. Les audits d’identité, la limitation fine des accès, les identifiants à durée limitée et la surveillance comportementale des sessions fournisseurs sont des contrôles concrets qui réduisent sensiblement le rayon d’impact en cas de compromission d’un compte fournisseur.

Foxconn confirme une cyberattaque ; le groupe de ransomware Nitrogen revendique 8 To de données, dont des schémas de serveurs Apple

Le 12 mai, Foxconn a confirmé une cyberattaque contre ses opérations nord-américaines, avec des sites touchés à Mount Pleasant, dans le Wisconsin, et à Houston, au Texas. Le groupe de ransomware Nitrogen a revendiqué l’attaque sur son site de fuite, affirmant avoir exfiltré environ 8 téraoctets de données représentant plus de 11 millions de fichiers. Cybernews et TechRepublic ont couvert séparément cette revendication.

Foxconn a confirmé publiquement l’incident, sans valider le volume ni le contenu précis des données volées. Un porte-parole de Foxconn a déclaré : « The cybersecurity team immediately activated the response mechanism and implemented multiple operational measures to ensure the continuity of production and delivery. » Certaines opérations seraient revenues à des processus manuels pendant la reprise.

Les données que Nitrogen affirme avoir dérobées comprennent des consignes confidentielles, de la documentation de projet interne, des plans de circuits imprimés et des dessins techniques qui seraient liés à des projets d’Apple, Nvidia, Intel, Google, Dell et AMD. Cette revendication a d’abord été accueillie avec prudence faute de vérification indépendante. Le 20 mai, AppleInsider a indiqué avoir examiné des échantillons du jeu de données et confirmé la présence de schémas de serveurs Apple parmi les fichiers volés. Les autres affirmations concernant des OEM restent non vérifiées à la date de rédaction.

Nitrogen est actif depuis 2023 et fonctionne selon un modèle de double extorsion : le groupe chiffre les fichiers des victimes et menace de publier les données volées si une rançon n’est pas payée. Le groupe serait construit à partir de code dérivé du builder de ransomware Conti 2 divulgué, et serait soupçonné de liens avec l’écosystème ALPHV/BlackCat.

Pourquoi c’est important

L’incident Foxconn est remarquable moins pour l’événement de chiffrement lui-même, qui semble avoir été contenu, que pour ce que représentent les données exfiltrées. Les fabricants sous contrat et partenaires OEM détiennent une propriété intellectuelle technique concentrée provenant de plusieurs clients en aval. Une compromission réussie à ce niveau expose non seulement le fabricant touché, mais aussi chaque client dont les conceptions, schémas et feuilles de route se trouvent dans cet environnement. Les schémas confirmés des serveurs Apple ne sont que la partie visible d’une exposition potentiellement bien plus large sur l’ensemble du portefeuille OEM.

Il s’agit d’une catégorie de risque supply chain qualitativement différente des compromissions de packages open source (npm, GitHub Actions) que nous couvrons depuis 2026. Il apparaît clairement que les partenaires de la chaîne d’approvisionnement physique sont aussi des partenaires de la chaîne d’approvisionnement logicielle, dans la mesure où ils détiennent le même type de documents techniques confidentiels que l’entreprise d’origine, avec parfois une posture de sécurité différente de celle des clients dont ils hébergent les données. Les entreprises doivent considérer que la propriété intellectuelle technique détenue chez des fabricants sous contrat, des partenaires de conception et des fournisseurs OEM entre dans le périmètre de leurs propres modèles de menace, avec les exigences contractuelles de sécurité, les droits d’audit et les engagements de coordination de réponse à incident correspondants.

Prévisions pour les mois à venir

  • L’abus des codes d’appareil va continuer à se développer à mesure que la distribution en PhaaS réduit la barrière à l’entrée pour les opérateurs. Le prix de Kali365, fixé à 250 dollars par mois, rend cette technique accessible à une large base d’opérateurs, et Microsoft 365 reste une cible à forte valeur. Il faut s’attendre à ce que les campagnes de phishing par code d’appareil diversifient leurs thèmes de leurres, aujourd’hui dominés par les paiements et les achats, et qu’elles commencent à intégrer des usurpations plus agressives de notifications système M365 courantes.
  • Des capacités d’IA de niveau Mythos deviendront plus largement accessibles au public, et l’équilibre entre attaque et défense sera testé dans des environnements réels. Malgré les retards actuels concernant le retour sur le marché de Mythos / Fable, ces modèles finiront par atteindre une disponibilité grand public. La première génération de vulnérabilités découvertes par IA qui apparaîtra dans des campagnes d’exploitation active plutôt que dans des divulgations coordonnées sera le marqueur que le camp offensif a rattrapé son retard.
  • CVE-2026-41089 apparaîtra dans des rapports d’incident de prise de contrôle de domaine. Un RCE public, non authentifié et sans interaction utilisateur sur des contrôleurs de domaine est trop utile pour rester longtemps une simple curiosité de divulgation coordonnée. Il faut s’attendre à voir cette CVE citée dans des rapports post-incident tout au long du troisième trimestre 2026, en particulier dans les environnements où le patching coordonné de l’ensemble de la flotte de contrôleurs de domaine est resté incomplet.
  • La compromission de fournisseurs tiers dominera les analyses de causes racines dans les violations du secteur de la santé. L’incident NYC Health + Hospitals est à ce jour la plus grande violation dans la santé de l’année et il a pris naissance en dehors du périmètre propre de l’entreprise touchée. À mesure que le secteur de la santé consolide ses relations fournisseurs autour d’un nombre plus limité de plateformes spécialisées, le rayon d’impact d’une seule compromission de fournisseur continuera de s’élargir.
  • Les données biométriques deviendront une catégorie de violation plus visible. Alors que les entreprises des secteurs de la santé, des services financiers et du contrôle d’accès physique poursuivent le déploiement de l’authentification biométrique, la valeur à long terme des données biométriques volées pour les attaquants augmentera. Nous nous attendons à voir davantage de notifications de violation au second semestre 2026 mentionner explicitement l’exposition de données biométriques, et à ce que les régulateurs commencent à traiter les violations biométriques comme une catégorie distincte en matière de notification et de remédiation.
  • Les retards de correction dans l’open source deviendront une catégorie de risque stratégique. Avec Mythos et des outils similaires qui produisent des résultats plus vite que la communauté open source ne peut les qualifier et les corriger, les entreprises devront surveiller leurs chaînes d’approvisionnement logicielles de manière plus active qu’auparavant afin de détecter les avis non corrigés.

Recommandations mensuelles

  • Bloquez ou limitez strictement l’authentification Microsoft 365 par code d’appareil via Conditional Access. Commencez par auditer les cas d’usage légitimes, généralement un petit nombre d’appareils à saisie limitée, puis appliquez des politiques qui bloquent le flux de code d’appareil pour tous les autres utilisateurs et catégories d’appareils. Associez cela à une Security Awareness Training qui couvre explicitement la tromperie par saisie de code afin que les utilisateurs comprennent qu’une véritable page de connexion Microsoft peut malgré tout faire partie du chemin d’attaque.
  • Déployez le correctif de CVE-2026-41089 sur l’ensemble de la flotte de contrôleurs de domaine au cours d’une fenêtre de maintenance coordonnée. Un patching partiel crée une situation intenable, car un seul contrôleur de domaine non patché suffit pour compromettre l’environnement. Vérifiez l’achèvement sur tous les contrôleurs, et non sur un échantillon, et confirmez que le trafic RPC Netlogon est correctement limité au niveau réseau lorsque cela est possible.
  • Auditez l’identité et les accès des fournisseurs tiers dans votre environnement. La violation chez NYC Health + Hospitals est née d’une compromission fournisseur. Recensez tous les accès fournisseurs permanents, vérifiez qu’ils sont correctement limités et temporisés, et appliquez une surveillance comportementale aux sessions fournisseurs. Considérez les relations d’identité fédérée et les comptes de service créés pour des tiers comme soumis aux mêmes contrôles que les identités des collaborateurs.
  • Pour les Managed Service Providers (MSPs), consultez le MSP Playbook 2026. Le guide couvre l’onboarding, la supervision, la personnalisation, la gestion de la cybersécurité, la gestion des fournisseurs et la GenAI comme domaines opérationnels où la standardisation et l’automatisation améliorent à la fois la rentabilité et les résultats de sécurité. Le phishing par code d’appareil et le risque lié aux fournisseurs tiers s’inscrivent pleinement dans les volets cybersécurité et gestion des fournisseurs traités par le guide.
  • Renforcez la surveillance des dépendances open source et les workflows de correction. Avec une découverte de vulnérabilités pilotée par IA qui produit des résultats à un rythme supérieur aux cadences de patching traditionnelles, les entreprises doivent s’assurer qu’elles disposent d’une Software Bill of Materials (SBOM) précise, d’une analyse automatisée des dépendances reliée aux flux d’avis à jour, ainsi que d’un processus de priorisation capable de distinguer les résultats graves du bruit de fond.

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.

Vous pourriez aussi être intéressé par