DGSI remplace Palantir 🕵️, Microsoft 365 : Copilot vulnérable 💻, Fortinet : failles critiques 🛡️

Maxime Blanc

Maxime Blanc

4 min de lecture

Bonjour et bienvenue dans l'édition du jeudi 18 juin !

A la une aujourd'hui:

  • La DGSI choisit Chapsvision pour remplacer Palantir dans ses opérations de surveillance
  • Vulnérabilité critique dans Microsoft 365 Copilot : un simple clic suffit pour voler des données sensibles
  • Trois failles critiques de Fortinet exploitées activement
  • Le Backdoor SprySOCKS lié à la Chine étend ses capacités avec des variantes Windows
  • Cisco corrige une faille de sécurité activement exploitée dans Catalyst SD-WAN Manager

La DGSI choisit Chapsvision pour remplacer Palantir dans ses opérations de surveillance

Points Clés :

  • La DGSI a sélectionné l'éditeur français Chapsvision pour succéder à l'américain Palantir dans ses opérations de surveillance à grande échelle
  • Chapsvision a remporté deux lots d'appels d'offres pour sa solution Argonos, capable de traiter des données hétérogènes
  • La solution intègre des capacités d'IA générative et d'analyse avancée pour le traitement de données massives

Description :

La Direction générale de la sécurité intérieure (DGSI) a choisi l'éditeur français Chapsvision pour remplacer Palantir, utilisé depuis 2016 pour ses opérations de surveillance. Chapsvision a remporté deux lots d'appels d'offres: un premier fin 2024 pour la préparation des données et un second en juin pour la modélisation, sécurisation et visualisation. La solution Argonos permet de collecter, traiter et analyser des quantités massives de données hétérogènes, tout en établissant des liens entre les informations.

Pourquoi c'est important :

Cette décision marque une étape importante dans la reconquête de la souveraineté numérique française, particulièrement dans le domaine sensible du renseignement. Le remplacement d'une solution américaine par une technologie française pour des opérations de surveillance nationale représente un enjeu stratégique majeur. Cette transition, qui prendra du temps, illustre la volonté des institutions françaises de maîtriser leurs outils technologiques critiques tout en développant des capacités d'analyse avancées intégrant l'intelligence artificielle.

Vulnérabilité critique dans Microsoft 365 Copilot : un simple clic suffit pour voler des données sensibles

Points Clés :

  • Une chaîne de vulnérabilités nommée 'SearchLeak' (CVE-2026-42824, CVSS 7.5) permet de voler des données sensibles via Microsoft 365 Copilot Enterprise
  • L'attaque combine trois faiblesses : une injection Parameter-to-Prompt, une condition de course de rendu HTML et une falsification de requête côté serveur
  • L'exploitation ne nécessite qu'un clic sur un lien pointant vers un domaine Microsoft légitime

Description :

SearchLeak est une chaîne d'exploitation qui transforme Microsoft 365 Copilot Enterprise Search en un moteur d'exfiltration silencieuse de données. L'attaque combine trois vulnérabilités distinctes qui, ensemble, permettent de voler pratiquement toutes les données auxquelles la victime a accès dans son environnement Microsoft 365, sans nécessiter de privilèges spéciaux. Microsoft a attribué à cette faille sa note de gravité maximale avant qu'elle ne soit corrigée.

Pourquoi c'est important :

Cette vulnérabilité illustre comment les assistants IA créent de nouvelles surfaces d'attaque en réactivant des vulnérabilités classiques dans de nouveaux contextes. Elle démontre que même les domaines de confiance peuvent être exploités pour des attaques sophistiquées. La facilité d'exploitation (un simple clic) et l'étendue des données potentiellement compromises (emails, codes MFA, fichiers confidentiels) soulignent l'importance d'une vigilance accrue face aux liens, même provenant de domaines Microsoft légitimes.

Trois failles critiques de Fortinet exploitées activement

Points Clés :

  • Trois vulnérabilités critiques dans FortiSandbox sont exploitées activement
  • Les CVE ont toutes reçu une note CVSS de 9.1
  • Les failles permettent contournement d'authentification et exécution de code

Description :

Trois vulnérabilités critiques dans le bac à sable de Fortinet sont activement exploitées selon la société Defused. Ces failles (CVE-2026-39813, CVE-2026-39808 et CVE-2026-25089) permettent à des attaquants distants de contourner l'authentification, d'élever leurs privilèges et d'exécuter du code malveillant. Fortinet a corrigé deux des failles en avril et la troisième la semaine dernière.

Pourquoi c'est important :

Ces vulnérabilités représentent une menace sérieuse car elles sont déjà exploitées activement et affectent un produit de sécurité largement déployé. Les attaquants peuvent compromettre entièrement les systèmes FortiSandbox sans authentification. Les organisations utilisant ces produits doivent appliquer immédiatement les correctifs pour éviter des compromissions potentiellement dévastatrices de leur infrastructure.

Le Backdoor SprySOCKS lié à la Chine étend ses capacités avec des variantes Windows

Points Clés :

  • Deux variantes Windows du malware SprySOCKS, précédemment connu uniquement sous Linux, ont été découvertes
  • Les variantes WIN_DRV et WIN_PLUS utilisent des pilotes kernel et des techniques sophistiquées pour dissimuler leurs activités
  • Le malware est attribué au groupe de cyberespionnage chinois FishMonger (Earth Lusca)

Description :

Des chercheurs d'ESET ont identifié deux variantes Windows du backdoor SprySOCKS, auparavant considéré comme exclusif à Linux. Ces variantes, nommées WIN_DRV et WIN_PLUS, supportent plus de 30 commandes pour la collecte d'informations système, l'énumération de processus et diverses opérations sur les fichiers. WIN_DRV utilise des pilotes kernel pour masquer les connexions réseau, processus et fichiers du malware, tandis que WIN_PLUS exploite le service Windows Print Spooler.

Pourquoi c'est important :

Cette découverte révèle l'expansion multiplateforme des capacités du groupe FishMonger, lié à la Chine. L'utilisation de techniques avancées comme les pilotes kernel et le détournement du trafic TCP démontre une sophistication croissante dans leurs opérations de cyberespionnage. Les cibles identifiées dans plusieurs pays, dont la France, soulignent la portée mondiale de cette menace et l'importance de surveiller l'évolution des tactiques des acteurs étatiques chinois.

Cisco corrige une faille de sécurité activement exploitée dans Catalyst SD-WAN Manager

Points Clés :

  • La vulnérabilité CVE-2026-20262 permet à un attaquant authentifié de créer ou modifier des fichiers sur le système
  • Des exploitations actives ont été détectées en juin 2026
  • C'est la huitième faille de Cisco SD-WAN exploitée cette année

Description :

Cisco a publié des correctifs pour une vulnérabilité de gravité moyenne (CVE-2026-20262, score CVSS 6.5) dans Catalyst SD-WAN Manager. Cette faille dans l'interface web permet à un attaquant authentifié avec des droits d'écriture d'envoyer des requêtes HTTP malveillantes pour créer ou modifier n'importe quel fichier sur le système d'exploitation sous-jacent, potentiellement pour obtenir des privilèges root.

Pourquoi c'est important :

Cette vulnérabilité s'ajoute à une série préoccupante de failles exploitées dans les produits Cisco SD-WAN cette année. Son exploitation active a conduit la CISA américaine à l'ajouter à son catalogue des vulnérabilités connues exploitées (KEV), obligeant les agences fédérales à appliquer les correctifs rapidement. Les organisations utilisant ces produits doivent mettre à jour immédiatement leurs systèmes pour éviter des compromissions.

Avant de partir, j'ai 2 (petits) services à te demander :

  1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
  2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon jeudi à toi !