Cisco corrige nouvelle faille SD-WAN ⚠️, GitHub piégé par Pyongyang ☠️, Copilot détourné pour voler des données 🔍
• 3 minutes de lectureBonjour, voici ta veille Cybere du 16 juin 2026 !
Les attaquants exploitent sans relâche les failles logicielles et les outils du quotidien pour s'infiltrer, tandis que les correctifs peinent à suivre le rythme.
Retrouve les trois articles à la une du jour :
- Cisco corrige une faille zero-day dans SD-WAN Manager exploitable à distance
- Des pirates nord-coréens ciblent des développeurs via des scripts GitHub malveillants
- Une chaîne de failles dans Copilot permet l'exfiltration de données en un clic
Cisco corrige une nouvelle faille zero-day dans SD-WAN Manager
Cisco a publié des correctifs pour la CVE-2026-20262, une énième vulnérabilité dans Catalyst SD-WAN Manager exploitée en attaques pour escalader en privilèges root.
La faille, liée à une validation insuffisante lors du téléversement de fichiers, permet à des attaquants authentifiés à distance de créer ou écraser des fichiers arbitraires via des requêtes HTTP malveillantes, pouvant ensuite servir à une élévation root. Elle affecte tous les modes de déploiement, y compris les instances cloud et on-premise. Cisco recommande vivement de patcher les systèmes et indique avoir eu connaissance de l'exploitation plus tôt ce mois-ci.
Points d'attention
- La
CVE-2026-20262permet la création ou l'écrasement de fichiers pour élévation root sur SD-WAN Manager. - Cisco a publié des correctifs pour les versions
20.9,20.12,20.15,20.18et26.1du Catalyst SD-WAN. - Plusieurs autres failles Catalyst SD-WAN ont été exploitées en conditions réelles cette année (
CVE-2026-20133,CVE-2026-20128,CVE-2026-20122,CVE-2026-20182,CVE-2026-20245), dont au moins deux zéro-days (CVE-2026-20182etCVE-2026-20245).
Des pirates nord-coréens exploitent les outils des développeurs
Des chercheurs de Proofpoint ont identifié une campagne de phishing, baptisée UNK_DeadDrop, alignée sur la Corée du Nord et présentant des similitudes avec le cluster Contagious Interview, que Proofpoint suit toutefois comme un ensemble distinct. Elle a ciblé près de cent organisations via des emails de recrutement factices.
L'attaque débute par des liens GitHub hébergeant des scripts malveillants exécutant des logiciels malveillants multiplateforme incluant le framework Overlord. Les pirates exploitent la fonction VS Code « runOn: folderOpen » pour déclencher du code malveillant à l'ouverture de l'éditeur, sans interaction utilisateur requise.
Points d'attention
- Plus de 250 emails envoyés sur six semaines, vers des cibles aux États-Unis (plus de 75 %), mais aussi au Royaume-Uni, en Australie, en France et dans d'autres pays.
- Les malwares visent le vol de données d'authentification, d'extensions portefeuille et d'applications de cryptomonnaies.
- Selon Expel, l'activité plus large du cluster Contagious Interview a généré le vol de 26 584 portefeuilles cryptographiques et 12 millions de dollars sur les trois premiers mois de 2026.
Une chaîne de failles expose Microsoft 365 Copilot au vol de données
Une vulnérabilité critique identifiée CVE-2026-42824 permet aux attaquants de dérober des données sensibles depuis les boîtes aux lettres, OneDrive ou SharePoint via un lien malveillant.
L'attaque, nommée SearchLeak et documentée par Varonis, combine trois failles distinctes : une injection de paramètre-à-requête, une condition de concurrence lors du rendu HTML, et un contournement de politique de sécurité via une vulnérabilité de requête côté serveur chez Bing. La victime n'a qu'à cliquer sur un lien pour que Copilot exfiltre les données automatiquement.
Points d'attention
- SearchLeak chaîne trois failles, inoffensives isolément, mais redoutables combinées, pour exfiltrer les données de Copilot Enterprise Search.
- Les données volées incluent contenus d'emails, mots de passe et codes d'accès, événements de calendrier, réunions et documents.
- Microsoft a corrigé la
CVE-2026-42824début juin. Aucune action utilisateur n'est requise, la menace étant écartée par le correctif.
Autres actus importantes
- Google expose un groupe d'espionnage chinois présent dans les réseaux depuis 2023 sans être détecté
- Un bug dans SimpleHelp permet aux pirates de créer des comptes de support à distance frauduleux
- Le Conseil de l'Europe enquête sur les allégations de fuite de données de ShinyHunters
- Une chaîne de vulnérabilités dans LiteLLM permet à des utilisateurs peu privilégiés de prendre le contrôle des serveurs de passerelle IA
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere