Akrites sécurise l’open source 🛡️, attaque supply chain via Klue 🔗, Windchill sous exploitation active ⚡
• 3 minutes de lectureBonjour, voici ta veille Cybere du 29 juin 2026 !
Une initiative pour mieux sécuriser l’open source, une attaque qui se propage par la chaîne d’approvisionnement, une faille critique déjà exploitée : la sécurité logicielle se joue sur tous les fronts.
Retrouve les trois articles à la une du jour :
- La Linux Foundation lance Akrites pour harmoniser la gestion des vulnérabilités des logiciels open source
- Klue subit une attaque en chaîne compromettant des clients via Salesforce
- CISA ajoute une faille PTC Windchill activement exploitée à son catalogue
La Linux Foundation crée Akrites pour sécuriser les logiciels open source
La Linux Foundation a lancé Akrites, une initiative regroupant géants technologiques, institutions financières et éditeurs de sécurité pour harmoniser la gestion des vulnérabilités dans les projets open source critiques. Elle complète les efforts existants de la fondation (Alpha-Omega, OpenSSF) en ajoutant une capacité de réponse coordonnée avant divulgation publique.
Akrites établit une équipe de réponse aux incidents partagée et un processus de divulgation coordonnée des vulnérabilités. Les organisations participantes utiliseront des workflows communs et des outils normalisés pour échanger des informations, gérer les corrections et coordonner les divulgations publiques. L'initiative cible les logiciels utilisés dans les secteurs suivants : finance, santé, télécommunications, énergie, gouvernement et infrastructure IA.
Points d'attention
- L'IA accélère la découverte des vulnérabilités et leur exploitation, mais donne aussi aux défenseurs une capacité inédite à les trouver et les corriger. Akrites vise à organiser ce versant défensif.
- De nombreux projets open source critiques sont maintenus par de petites équipes malgré leur usage massif dans les infrastructures sensibles.
- Parmi les 17 membres fondateurs figurent les deux grandes entreprises d'IA Anthropic et OpenAI, aux côtés d'Amazon, Google, Microsoft, IBM, mais aussi de banques (Citi, JPMorganChase) et de télécoms (Ericsson, Vodafone).
Klue subit une attaque en chaîne d'approvisionnement
Une attaque contre la plateforme Klue, survenue les 11 et 12 juin, a compromis environ deux douzaines de clients confirmés via leurs instances Salesforce. Les attaquants ont exploité des identifiants hérités pour accéder à Klue, obtenir des jetons OAuth et exfiltrer massivement des données professionnelles et de support. Seuls les clients utilisant l'intégration Salesforce sont concernés. D'autres, comme Autodesk, ne l'utilisent pas et n'ont pas été touchés.
L'incident affecterait 195 clients Klue selon les rapports. Le groupe Icarus a revendiqué l'attaque et menacé de divulguer les données contre rançon, avant que son site de fuite devienne indisponible, suggérant une possible négociation. Klue a ensuite informé ses clients que les pirates eux-mêmes auraient été compromis, leurs données tombant entre les mains d'un second acteur, qui n'aurait toutefois dérobé que des données d'échantillon à Icarus. À ce jour, aucun groupe autre qu'Icarus n'a publiquement revendiqué la possession des données.
Points d'attention
- Salesforce a désactivé l'intégration le 17 juin sans l'avoir réactivée depuis. Gong l'a également désactivée.
- Les sociétés AlertMedia, Blackbaud, Camunda, Cresta, Deel, Lucanet, Link11 et Tines figurent parmi les organisations impactées.
- L'ampleur réelle reste incertaine : Klue compte des centaines de clients et le rayon d'action pourrait s'étendre.
CISA inscrit une faille PTC Windchill activement exploitée
L’agence fédérale américaine CISA a ajouté la CVE-2026-12569 à son catalogue des failles exploitées, concernant les logiciels PTC Windchill PDMlink et PTC FlexPLM. Déjà signalée dans la newsletter du 27 juin, cette faille voit aujourd’hui son mode opératoire précisé.
Cette vulnérabilité critique de désérialisation de données non fiables (score CVSS 9.3) permet l’exécution de code arbitraire. Des attaquants inconnus déploient déjà des shells JSP contre les systèmes affectés, malgré la disponibilité de correctifs depuis une semaine. PTC confirme une activité menaçante accrue depuis le 25 juin.
Points d'attention
- Les attaquants ciblent l’endpoint
/Windchill/login/pour implanter des web shells JSP nommés selon un motif de 16 caractères hexadécimaux. - CISA recommande de bloquer en priorité l’adresse de IP 5.180.41.35 et de scanner les fichiers JSP suspects ; la présence d’un fichier
flst.txtdans/tmpsignale une énumération par l’attaquant. - Il s’agit de la première vulnérabilité PTC inscrite au catalogue KEV, illustrant la rapidité avec laquelle les failles sont transformées en armes.
Autres actus importantes
- Les violations par des tiers enseignent au secteur de l'éducation une leçon coûteuse sur le risque lié aux fournisseurs
- Multiples vulnérabilités dans GitLab (25 juin 2026)
- Le cheval de Troie Android Rokarolla passe à la vitesse supérieure avec un contrôle total de l'appareil et la persistance
- Cisco renforce sa pile de sécurité avec l'acquisition d'Astrix et de WideField dans le cadre du NHI
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere