Microsoft : Patch Tuesday 🛡️, Shai-Hulud: Attaque npm 🐍, Foxconn: Ransomware confirmé 🏭

Maxime Blanc

Maxime Blanc

5 min de lecture

Bonjour et bienvenue dans l'édition du vendredi 15 mai !

A la une aujourd'hui:

  • Patch Tuesday Mai 2026 : Microsoft corrige 120 failles dont 29 RCE critiques
  • Shai-Hulud : une attaque massive de la chaîne d'approvisionnement compromet des centaines de packages npm et PyPI
  • SAP corrige deux failles critiques dans Commerce Cloud et S/4HANA
  • Foxconn victime d'une cyberattaque : 8 To de données volées par le ransomware Nitrogen
  • La CNIL encadre l'utilisation de l'IA et des algorithmes dans les décisions de crédit

Patch Tuesday Mai 2026 : Microsoft corrige 120 failles dont 29 RCE critiques

Points Clés :

  • Microsoft publie 120 correctifs incluant 29 failles d'exécution de code à distance (RCE) critiques, sans zero-day exploité dans la nature.
  • Des composants sensibles comme Windows DNS Client, Netlogon, SharePoint et Hyper-V sont concernés, avec des risques de compromission totale.
  • Les outils IA (Copilot, GitHub Copilot, Azure ML) et de développement (VS Code, .NET) sont également touchés, élargissant la surface d'attaque.

Description :

Le Patch Tuesday de mai 2026 de Microsoft couvre 120 vulnérabilités sur Windows, Office, Azure et Microsoft 365, dont 29 RCE critiques. Aucun zero-day exploité n'est signalé, mais des failles dans DNS Client, Netlogon, Hyper-V, SharePoint et les outils IA représentent des risques majeurs.

Pourquoi c'est important :

L'absence de zero-day ne doit pas induire en erreur : la densité de failles RCE critiques sur des composants réseau fondamentaux comme Netlogon et DNS Client rappelle des précédents historiques graves (Zerologon, SigRed). L'inclusion d'outils IA et cloud dans le périmètre vulnérable signale une évolution structurelle de la surface d'attaque enterprise, rendant ce cycle de correctifs particulièrement stratégique pour les organisations hybrides.

Shai-Hulud : une attaque massive de la chaîne d'approvisionnement compromet des centaines de packages npm et PyPI

Points Clés :

  • Le groupe TeamPCP a compromis plus de 400 packages npm et PyPI en détournant des tokens OIDC légitimes
  • Le malware cible les secrets des développeurs (tokens GitHub, clés SSH, credentials AWS, Kubernetes, HashiCorp Vault) et utilise le réseau Session P2P pour exfiltrer les données discrètement.
  • Une logique de géofencing (géorepérage) évite les systèmes en langue russe, tandis qu'une routine destructrice efface aléatoirement les systèmes détectés en Israël ou en Iran.

Description :

La campagne Shai-Hulud, attribuée au groupe TeamPCP, a compromis plus de 400 packages npm et PyPI en exploitant des workflows GitHub Actions vulnérables, du cache poisoning et du vol de tokens OIDC. Les packages malveillants portaient des signatures cryptographiques légitimes, rendant la détection quasi impossible. Le malware vole des credentials cloud, IDE et CI/CD, persiste via des hooks Claude Code et VS Code, et se propage automatiquement via les comptes mainteneurs compromis.

Pourquoi c'est important :

Cette attaque démontre que même les mécanismes de confiance comme SLSA et Sigstore peuvent être contournés si la chaîne CI/CD est compromise. Des milliers de développeurs utilisant des packages populaires comme TanStack, Mistral AI, Bitwarden CLI, SAP, ont potentiellement exposé leurs credentials cloud et secrets d'infrastructure, avec des risques majeurs pour la sécurité des environnements de production.

SAP corrige deux failles critiques dans Commerce Cloud et S/4HANA

Points Clés :

  • CVE-2026-34263 (CSVV 9.6) permet à des attaquants non authentifiés d'exécuter du code arbitraire sur SAP Commerce Cloud via une mauvaise configuration Spring Security.
  • CVE-2026-34260 (CSVV 9.6) expose S/4HANA à des injections SQL permettant un accès non autorisé aux données sensibles et un potentiel crash applicatif.
  • SAP publie 15 correctifs en mai 2026, dont 2 critiques, 1 haute, et 11 de sévérité moyenne, sans exploitation active détectée à ce jour.

Description :

SAP a publié ses mises à jour de sécurité de mai 2026, corrigeant 15 vulnérabilités dont deux critiques. La première (CVE-2026-34263) affecte Commerce Cloud et permet l'exécution de code à distance sans authentification. La seconde (CVE-2026-34260) touche S/4HANA via une injection SQL. Ces correctifs s'accompagnent de fixes pour des failles XSS, CSRF et déni de service. Aucune exploitation active n'a été détectée, mais le contexte récent d'attaques sur des produits SAP renforce l'urgence des mises à jour.

Pourquoi c'est important :

SAP équipe 99 des 100 plus grandes entreprises mondiales. Des failles critiques dans ses plateformes ERP et e-commerce exposent des données financières et opérationnelles sensibles à grande échelle. La CISA a déjà référencé 14 vulnérabilités SAP dans son catalogue KEV, dont deux liées à des ransomwares. Appliquer ces correctifs rapidement est essentiel pour prévenir des compromissions majeures dans des environnements d'entreprise critiques.

Foxconn victime d'une cyberattaque : 8 To de données volées par le ransomware Nitrogen

Points Clés :

  • Le géant de l'électronique Foxconn confirme une cyberattaque ciblant ses usines nord-américaines, revendiquée par le groupe de ransomware Nitrogen.
  • Les attaquants affirment avoir dérobé 8 To de données et plus de 11 millions de documents, incluant des informations confidentielles d'Apple, Intel, Google et Nvidia.
  • Ce n'est pas la première attaque contre Foxconn : LockBit, DoppelPaymer et d'autres groupes l'ont déjà ciblé par le passé.

Description :

Foxconn, premier fabricant mondial d'électronique, a confirmé une cyberattaque contre plusieurs de ses usines en Amérique du Nord. Le groupe Nitrogen ransomware revendique le vol de 8 To de données et 11 millions de documents contenant des informations confidentielles de clients majeurs comme Apple, Intel et Nvidia. Les équipes de cybersécurité ont activé les protocoles d'urgence pour maintenir la continuité de production, et les usines concernées reprennent progressivement leurs activités normales.

Pourquoi c'est important :

Foxconn est un maillon critique de la chaîne d'approvisionnement mondiale en électronique, fournissant Apple, Nvidia, Google et Intel. Une fuite de 8 To de données confidentielles pourrait exposer des secrets industriels et des projets sensibles de ces géants technologiques. Cet incident illustre la vulnérabilité persistante des grands industriels face aux ransomwares et souligne l'urgence de renforcer la résilience cyber dans ces chaînes de production mondiales.

La CNIL encadre l'utilisation de l'IA et des algorithmes dans les décisions de crédit

Points Clés :

  • La CNIL publie des recommandations sur l'utilisation des données personnelles dans l'évaluation de solvabilité
  • Les décisions automatisées d'octroi de crédit doivent respecter des garanties de transparence et d'explicabilité
  • La recommandation clarifie les données pertinentes et les durées de conservation légitimes

Description :

La CNIL a publié une nouvelle recommandation concernant l'utilisation des données personnelles dans l'évaluation de la solvabilité pour l'octroi de crédits. Ce cadre actualisé répond à l'usage croissant d'algorithmes et d'IA dans les décisions financières, précisant quelles données peuvent être collectées, comment les incidents passés peuvent être considérés, et quelles garanties doivent entourer les décisions automatisées.

Pourquoi c'est important :

Cette recommandation arrive à un moment crucial où les technologies automatisées transforment les décisions financières. En établissant des règles claires sur la transparence et la minimisation des données, la CNIL protège les droits des consommateurs tout en guidant les établissements financiers vers une conformité RGPD. L'encadrement des algorithmes de scoring est essentiel pour éviter les discriminations et garantir des décisions explicables.

Avant de partir, j'ai 2 (petits) services à te demander :

  1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
  2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon vendredi à toi !