Cisco: Faille 0-day critique 🔥, ANSSI: Guide NIS2 🛡️, iPhone: Menace DarkSword 📱

Maxime Blanc

Maxime Blanc

4 min de lecture

Bonjour et bienvenue dans l'édition du vendredi 20 mars !

A la une aujourd'hui:

  • Faille zero-day de Cisco activement exploitée par le ransomware Interlock
  • La CISA appelle à sécuriser Microsoft Intune après l'effacement massif des appareils Stryker
  • NIS2 : L'ANSSI renforce son accompagnement face aux menaces cyber croissantes
  • Des centaines de millions d'iPhones vulnérables à un nouvel outil de piratage 'DarkSword'
  • Ubuntu : Une faille critique permet aux attaquants d'obtenir les privilèges root

Faille zero-day de Cisco activement exploitée par le ransomware Interlock

Points Clés :

  • Une vulnérabilité critique (CVE-2026-20131 10/10) permet l'exécution de code à distance sur Cisco Secure Firewall Management Centre
  • Les opérateurs du ransomware Interlock ont exploité cette faille durant 36 jours avant sa divulgation publique
  • Aucune solution de contournement n'existe, nécessitant une mise à jour immédiate des logiciels concernés

Description :

Une campagne active du ransomware Interlock exploite une vulnérabilité zero-day dans Cisco Secure Firewall Management Centre. Cette faille critique de désérialisation Java permet aux attaquants non authentifiés d'exécuter du code arbitraire avec privilèges root. L'activité malveillante a débuté le 26 janvier 2026, offrant aux cybercriminels un avantage de 36 jours avant la divulgation.

Pourquoi c'est important :

Cette vulnérabilité représente une menace exceptionnelle pour les infrastructures critiques en raison de son score CVSS maximum (10.0) et de l'absence de solutions de contournement. Les attaques ciblent particulièrement les secteurs où les perturbations opérationnelles maximisent l'effet de levier pour les rançons.

La CISA appelle à sécuriser Microsoft Intune après l'effacement massif des appareils Stryker

Points Clés :

  • Des hackers pro-iraniens ont exploité Microsoft Intune pour effacer à distance des milliers d'appareils Stryker
  • La CISA recommande d'exiger une double approbation pour les actions sensibles comme l'effacement des appareils
  • Le groupe hacktivist Handala revendique l'attaque comme représailles à des frappes américaines

Description :

La CISA alerte les entreprises sur la nécessité de sécuriser leurs systèmes de gestion d'appareils après qu'un groupe pro-iranien ait piraté Stryker, géant des technologies médicales, en exploitant Microsoft Intune pour effacer à distance des milliers de téléphones, tablettes et ordinateurs, causant des perturbations mondiales de ses opérations.

Pourquoi c'est important :

Cette attaque révèle une vulnérabilité critique dans les systèmes de gestion d'appareils utilisés par de nombreuses organisations. Elle démontre comment des outils légitimes peuvent être détournés pour causer des dommages considérables sans malware traditionnel, tout en soulignant les risques croissants d'attaques motivées par des tensions géopolitiques.

NIS2 : L'ANSSI renforce son accompagnement face aux menaces cyber croissantes

Points Clés :

  • L'ANSSI a dévoilé le Référentiel Cyber France (ReCyF) pour guider les organisations vers les objectifs de sécurité fixés par la directive NIS 2.
  • Un outil de comparaison permet aux entités de cartographier le ReCyF avec d'autres normes et réglementations existantes au niveau sectoriel, national et international.
  • Un service de pré-enregistrement volontaire est disponible pour faciliter la future mise en conformité des entreprises concernées.

Description :

L'ANSSI a organisé un événement au Campus Cyber réunissant les acteurs concernés par la directive NIS 2. À cette occasion, l'agence a présenté le Référentiel Cyber France, document de travail listant les mesures recommandées pour atteindre les objectifs de sécurité fixés par la directive. L'ANSSI a également annoncé un référentiel de mesures basiques pour les entités moins matures.

Pourquoi c'est important :

Dans un contexte d'intensification des menaces cyber, la mise en œuvre efficace de NIS 2 est cruciale pour renforcer la résilience collective. Les outils et ressources mis à disposition permettent aux organisations de toutes tailles d'anticiper les exigences réglementaires à venir. Cette approche proactive et proportionnée favorise l'élévation globale du niveau de cybersécurité en France, conformément à la Stratégie nationale.

Des centaines de millions d'iPhones vulnérables à un nouvel outil 'DarkSword'

Points Clés :

  • Des centaines de millions d'iPhones sous iOS 18 sont vulnérables à "DarkSword", un outil de piratage sophistiqué
  • Déjà utilisé par des pirates russes et d'autres groupes contre des cibles en Ukraine, Arabie Saoudite, Turquie et Malaisie
  • La simple visite d'un site web infecté suffit pour compromettre l'appareil, sans aucune interaction de l'utilisateur
  • L'outil vole mots de passe, photos, messages, historique web, données de santé et informations de portefeuilles crypto

Description :

Des chercheurs de Google, iVerify et Lookout ont découvert 'DarkSword', une technique sophistiquée de piratage d'iPhone qui compromet silencieusement les appareils sous iOS 18. Utilisée par des pirates russes et d'autres groupes, cette technique laisse peu de traces, n'installe pas de logiciel persistant, et utilise une approche "smash-and-grab" pour extraire rapidement les données avant le redémarrage de l'appareil.

Pourquoi c'est important :

Environ un quart des utilisateurs d'iPhone utilisent encore iOS 18, laissant des centaines de millions d'appareils vulnérables. Plus inquiétant encore, le code complet de DarkSword a été laissé accessible sur des sites compromis, permettant à d'autres pirates de facilement l'exploiter. Cette prolifération d'outils de piratage sophistiqués signale un marché noir croissant d'exploits iOS auparavant rares, rendant cruciale la mise à jour vers iOS 26.

Ubuntu : Une faille critique permet aux attaquants d'obtenir les privilèges root

Points Clés :

  • Une vulnérabilité (CVE-2026-3888) affecte les installations par défaut d'Ubuntu Desktop 24.04 et versions ultérieures
  • La faille permet l'escalade de privilèges via l'interaction entre snap-confine et systemd-tmpfiles
  • L'exploitation nécessite une fenêtre temporelle spécifique (10-30 jours) mais peut conduire à une compromission complète

Description :

Une vulnérabilité de haute gravité (CVE-2026-3888, score CVSS 7.8) affecte les installations par défaut d'Ubuntu Desktop 24.04 et versions ultérieures. Découverte par Qualys, cette faille permet à un attaquant local non privilégié d'obtenir un accès root complet en exploitant l'interaction entre deux composants système : snap-confine et systemd-tmpfiles.

Pourquoi c'est important :

Cette vulnérabilité représente une menace sérieuse pour les environnements Ubuntu récents, permettant une compromission complète des systèmes affectés. Bien que complexe à exploiter en raison du délai nécessaire, elle ne requiert que de faibles privilèges et aucune interaction utilisateur. Les administrateurs doivent appliquer rapidement les correctifs disponibles.

Avant de partir, j'ai 2 (petits) services à te demander :

  1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
  2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon vendredi à toi !