Extorsion sans chiffrement coûte un million 💸, Bad Epoll donne root sur Linux 🐧, Cursor vulnérable à l'exécution distante 💻

3 minutes de lecture

Bonjour, voici ta veille Cybere du 5 juillet 2026 !

Les cybercriminels innovent en extorsion comme en exploitation technique, tandis que les outils du quotidien deviennent des portes dérobées.

Retrouve les trois articles à la une du jour :

  • Un comté de l'Ohio paie un million pour éviter la fuite de données volées
  • Une faille Linux permet à un utilisateur standard d’obtenir des droits root
  • Deux vulnérabilités critiques dans Cursor autorisent l’exécution de code à distance

Extorsion sans chiffrement : un comté de l'Ohio paie un million

Une entité gouvernementale américaine a versé environ un million de dollars au groupe Kairos pour éviter la publication de données volées, selon une analyse de Ransom-ISAC basée sur des échanges de négociation et la trace blockchain du paiement.

Contrairement aux attaques traditionnelles, Kairos n'a déployé aucun logiciel de chiffrement. Le groupe a simplement volé les fichiers, notamment des registres de procureurs contenant des données d'identité sensibles, puis les a monnayés sous la menace de les divulguer publiquement. La négociation a duré un mois, passant d'une demande initiale de trois millions à un ultimatum final d'un million de dollars.

Points d'attention

  • Kairos a pénétré le réseau en devinant simplement un mot de passe, mettant en évidence l'importance de l'authentification multifacteurs.
  • Le paiement en bitcoin a été rapidement fragmenté et acheminé via des portefeuilles vers des plateformes d'échange, compliquant la traçabilité.
  • La suppression promise des données volées n'offre aucune garantie, le groupe restant maître du processus de vérification.

→ Lire la source


Une faille Linux permet aux utilisateurs ordinaires d'accéder à root

La faille CVE-2026-46242, surnommée Bad Epoll, est une vulnérabilité use-after-free dans le noyau Linux qui permet à un utilisateur sans privilèges de prendre le contrôle complet d'une machine.

Le chercheur Jaeyoung Chung a découvert ce défaut dans le code epoll, une fonctionnalité standard permettant à un programme de surveiller plusieurs fichiers ou connexions réseau simultanément. La faille résulte d'une collision temporelle où deux parties du noyau tentent de libérer le même objet interne, créant une fenêtre d'exploitation d'environ six instructions machine. L'exploit de Chung élargit cette fenêtre et atteint root dans 99 % des cas sur les systèmes testés. La vulnérabilité affecte les noyaux version 6.4 et plus récents, ainsi qu'Android, et peut être déclenchée depuis le bac à sable du navigateur Chrome.

Points d'attention

  • Bad Epoll rejoint une famille connue de failles Linux exploités pour compromettre Android, incluant Bad Binder et Bad IO_uring.
  • Le modèle d'IA Mythos d'Anthropic a identifié une première faille associée (CVE-2026-43074) mais a manqué celle-ci, illustrant la difficulté à détecter les conditions de concurrence.
  • Aucun workaround n'existe car epoll ne peut pas être désactivé. L'application du correctif upstream est requise.

→ Lire la source


Deux failles critiques compromettent l'éditeur Cursor

Selon Cato Networks, deux vulnérabilités critiques dans l'éditeur de code IA Cursor permettent l'exécution de code à distance au niveau du système d'exploitation.

Les failles CVE-2026-50548 et CVE-2026-50549 (CVSS 9.8), nommées DuneSlide, exploitent l'exécution automatique de commandes terminales sans validation utilisateur. La première abuse du paramètre working_directory pour placer un chemin malveillant dans la liste autorisée, permettant de contourner la restriction de répertoire et de réécrire l'exécutable cursorsandbox. La seconde exploite une faille de résolution de chemins par liens symboliques pour contourner les protections d'écriture hors limites.

Points d'attention

  • Cato a signalé les failles en février. Les correctifs ont été inclus dans Cursor 3.0 publié le 2 avril.
  • Les identifiants CVE ont été assignés début juin, longtemps après le déploiement des correctifs.
  • Les deux vulnérabilités peuvent être déclenchées par injection de contenu malveillant dans l'IDE.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere