Cisco corrige nouvelle faille SD-WAN ⚠️, GitHub piégé par Pyongyang ☠️, Copilot détourné pour voler des données 🔍

3 minutes de lecture

Bonjour, voici ta veille Cybere du 16 juin 2026 !

Les attaquants exploitent sans relâche les failles logicielles et les outils du quotidien pour s'infiltrer, tandis que les correctifs peinent à suivre le rythme.

Retrouve les trois articles à la une du jour :

  • Cisco corrige une faille zero-day dans SD-WAN Manager exploitable à distance
  • Des pirates nord-coréens ciblent des développeurs via des scripts GitHub malveillants
  • Une chaîne de failles dans Copilot permet l'exfiltration de données en un clic

Cisco corrige une nouvelle faille zero-day dans SD-WAN Manager

Cisco a publié des correctifs pour la CVE-2026-20262, une énième vulnérabilité dans Catalyst SD-WAN Manager exploitée en attaques pour escalader en privilèges root.

La faille, liée à une validation insuffisante lors du téléversement de fichiers, permet à des attaquants authentifiés à distance de créer ou écraser des fichiers arbitraires via des requêtes HTTP malveillantes, pouvant ensuite servir à une élévation root. Elle affecte tous les modes de déploiement, y compris les instances cloud et on-premise. Cisco recommande vivement de patcher les systèmes et indique avoir eu connaissance de l'exploitation plus tôt ce mois-ci.

Points d'attention

  • La CVE-2026-20262 permet la création ou l'écrasement de fichiers pour élévation root sur SD-WAN Manager.
  • Cisco a publié des correctifs pour les versions 20.9, 20.12, 20.15, 20.18 et 26.1 du Catalyst SD-WAN.
  • Plusieurs autres failles Catalyst SD-WAN ont été exploitées en conditions réelles cette année (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122, CVE-2026-20182, CVE-2026-20245), dont au moins deux zéro-days (CVE-2026-20182 et CVE-2026-20245).

→ Lire la source


Des pirates nord-coréens exploitent les outils des développeurs

Des chercheurs de Proofpoint ont identifié une campagne de phishing, baptisée UNK_DeadDrop, alignée sur la Corée du Nord et présentant des similitudes avec le cluster Contagious Interview, que Proofpoint suit toutefois comme un ensemble distinct. Elle a ciblé près de cent organisations via des emails de recrutement factices.

L'attaque débute par des liens GitHub hébergeant des scripts malveillants exécutant des logiciels malveillants multiplateforme incluant le framework Overlord. Les pirates exploitent la fonction VS Code « runOn: folderOpen » pour déclencher du code malveillant à l'ouverture de l'éditeur, sans interaction utilisateur requise.

Points d'attention

  • Plus de 250 emails envoyés sur six semaines, vers des cibles aux États-Unis (plus de 75 %), mais aussi au Royaume-Uni, en Australie, en France et dans d'autres pays.
  • Les malwares visent le vol de données d'authentification, d'extensions portefeuille et d'applications de cryptomonnaies.
  • Selon Expel, l'activité plus large du cluster Contagious Interview a généré le vol de 26 584 portefeuilles cryptographiques et 12 millions de dollars sur les trois premiers mois de 2026.

→ Lire la source


Une chaîne de failles expose Microsoft 365 Copilot au vol de données

Une vulnérabilité critique identifiée CVE-2026-42824 permet aux attaquants de dérober des données sensibles depuis les boîtes aux lettres, OneDrive ou SharePoint via un lien malveillant.

L'attaque, nommée SearchLeak et documentée par Varonis, combine trois failles distinctes : une injection de paramètre-à-requête, une condition de concurrence lors du rendu HTML, et un contournement de politique de sécurité via une vulnérabilité de requête côté serveur chez Bing. La victime n'a qu'à cliquer sur un lien pour que Copilot exfiltre les données automatiquement.

Points d'attention

  • SearchLeak chaîne trois failles, inoffensives isolément, mais redoutables combinées, pour exfiltrer les données de Copilot Enterprise Search.
  • Les données volées incluent contenus d'emails, mots de passe et codes d'accès, événements de calendrier, réunions et documents.
  • Microsoft a corrigé la CVE-2026-42824 début juin. Aucune action utilisateur n'est requise, la menace étant écartée par le correctif.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere