Akrites sécurise l’open source 🛡️, attaque supply chain via Klue 🔗, Windchill sous exploitation active ⚡

3 minutes de lecture

Bonjour, voici ta veille Cybere du 29 juin 2026 !

Une initiative pour mieux sécuriser l’open source, une attaque qui se propage par la chaîne d’approvisionnement, une faille critique déjà exploitée : la sécurité logicielle se joue sur tous les fronts.

Retrouve les trois articles à la une du jour :

  • La Linux Foundation lance Akrites pour harmoniser la gestion des vulnérabilités des logiciels open source
  • Klue subit une attaque en chaîne compromettant des clients via Salesforce
  • CISA ajoute une faille PTC Windchill activement exploitée à son catalogue

La Linux Foundation crée Akrites pour sécuriser les logiciels open source

La Linux Foundation a lancé Akrites, une initiative regroupant géants technologiques, institutions financières et éditeurs de sécurité pour harmoniser la gestion des vulnérabilités dans les projets open source critiques. Elle complète les efforts existants de la fondation (Alpha-Omega, OpenSSF) en ajoutant une capacité de réponse coordonnée avant divulgation publique.

Akrites établit une équipe de réponse aux incidents partagée et un processus de divulgation coordonnée des vulnérabilités. Les organisations participantes utiliseront des workflows communs et des outils normalisés pour échanger des informations, gérer les corrections et coordonner les divulgations publiques. L'initiative cible les logiciels utilisés dans les secteurs suivants : finance, santé, télécommunications, énergie, gouvernement et infrastructure IA.

Points d'attention

  • L'IA accélère la découverte des vulnérabilités et leur exploitation, mais donne aussi aux défenseurs une capacité inédite à les trouver et les corriger. Akrites vise à organiser ce versant défensif.
  • De nombreux projets open source critiques sont maintenus par de petites équipes malgré leur usage massif dans les infrastructures sensibles.
  • Parmi les 17 membres fondateurs figurent les deux grandes entreprises d'IA Anthropic et OpenAI, aux côtés d'Amazon, Google, Microsoft, IBM, mais aussi de banques (Citi, JPMorganChase) et de télécoms (Ericsson, Vodafone).

→ Lire la source


Klue subit une attaque en chaîne d'approvisionnement

Une attaque contre la plateforme Klue, survenue les 11 et 12 juin, a compromis environ deux douzaines de clients confirmés via leurs instances Salesforce. Les attaquants ont exploité des identifiants hérités pour accéder à Klue, obtenir des jetons OAuth et exfiltrer massivement des données professionnelles et de support. Seuls les clients utilisant l'intégration Salesforce sont concernés. D'autres, comme Autodesk, ne l'utilisent pas et n'ont pas été touchés.

L'incident affecterait 195 clients Klue selon les rapports. Le groupe Icarus a revendiqué l'attaque et menacé de divulguer les données contre rançon, avant que son site de fuite devienne indisponible, suggérant une possible négociation. Klue a ensuite informé ses clients que les pirates eux-mêmes auraient été compromis, leurs données tombant entre les mains d'un second acteur, qui n'aurait toutefois dérobé que des données d'échantillon à Icarus. À ce jour, aucun groupe autre qu'Icarus n'a publiquement revendiqué la possession des données.

Points d'attention

  • Salesforce a désactivé l'intégration le 17 juin sans l'avoir réactivée depuis. Gong l'a également désactivée.
  • Les sociétés AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 et Tines figurent parmi les organisations impactées.
  • L'ampleur réelle reste incertaine : Klue compte des centaines de clients et le rayon d'action pourrait s'étendre.

→ Lire la source


CISA inscrit une faille PTC Windchill activement exploitée

L’agence fédérale américaine CISA a ajouté la CVE-2026-12569 à son catalogue des failles exploitées, concernant les logiciels PTC Windchill PDMlink et PTC FlexPLM. Déjà signalée dans la newsletter du 27 juin, cette faille voit aujourd’hui son mode opératoire précisé.

Cette vulnérabilité critique de désérialisation de données non fiables (score CVSS 9.3) permet l’exécution de code arbitraire. Des attaquants inconnus déploient déjà des shells JSP contre les systèmes affectés, malgré la disponibilité de correctifs depuis une semaine. PTC confirme une activité menaçante accrue depuis le 25 juin.

Points d'attention

  • Les attaquants ciblent l’endpoint /Windchill/login/ pour implanter des web shells JSP nommés selon un motif de 16 caractères hexadécimaux.
  • CISA recommande de bloquer en priorité l’adresse de IP 5.180.41.35 et de scanner les fichiers JSP suspects ; la présence d’un fichier flst.txt dans /tmp signale une énumération par l’attaquant.
  • Il s’agit de la première vulnérabilité PTC inscrite au catalogue KEV, illustrant la rapidité avec laquelle les failles sont transformées en armes.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere