Faux reçus piégés dans l'appli Shop 📱, Gaslight trompe l'IA sur macOS 🤖, Curl corrigé après 25 ans 🔄
• 3 minutes de lectureBonjour, voici ta veille Cybere du 26 juin 2026 !
L'IA s'invite des deux côtés de la barrière : un malware macOS cherche à tromper les analystes assistés par IA, tandis que des failles comme celle de curl, vieille de 25 ans, sont désormais débusquées par l'IA. En parallèle, les attaquants continuent d'exploiter la confiance dans les applications légitimes comme Shop.
Retrouve les trois articles à la une du jour :
- Des criminels exploitent l'appli Shop pour des attaques par rappel téléphonique frauduleux
- Un malware macOS perturbe les outils d'analyse IA avec de faux messages
- Curl corrige 18 failles dont une vieille de 25 ans
L'appli Shop exploitée pour des attaques par rappel téléphonique frauduleux
Des criminels injectent de fausses commandes dans l'application Shop de Shopify pour tromper les utilisateurs. Les faux reçus imitent des marques réputées comme Norton, Apple ou PayPal, avec un numéro de téléphone invitant à contacter un faux service client. C'est une variante de l'hameçonnage par rappel : au bout du fil, les escrocs usent d'ingénierie sociale pour voler identifiants, données bancaires et codes d'authentification, voire installer des logiciels d'accès distant.
Cette technique surpasse les emails frauduleux traditionnels, car l'application légitime inspire confiance aux utilisateurs. Bien que certains reçus contiennent des erreurs grammaticales évidentes, les victimes les négligent face à des factures de montants importants. Gen Digital confirme qu'aucune compromission de Shop, Shopify ou des marques imitées n'a été détectée.
Points d'attention
- Vérifier directement auprès de sa banque tout débit suspect au lieu d'appeler le numéro inscrit. En cas d'information déjà divulguée, réinitialiser ses mots de passe et contacter l'émetteur de sa carte.
- Les faux reçus sont plus efficaces que les notifications par courriel grâce à la crédibilité de l'appli, surtout en Amérique du Nord où Shop est très populaire.
- Le vecteur d'injection des fausses commandes dans Shop reste indéterminé à ce stade.
macOS : un malware cible les outils d'analyse IA
Un nouveau malware macOS baptisé "Gaslight" contient des messages d'erreur fictifs destinés à perturber les outils d'analyse de malware assistés par IA. L'idée est de glisser dans son propre code de faux messages système pour tromper l'IA chargée de l'analyser et la pousser à abandonner.
Le malware, attribué par SentinelOne avec un haut niveau de confiance à un groupe nord-coréen, est un binaire Rust doté de fonctionnalités de porte dérobée et de vol d'informations. Sa particularité réside dans une charge de 3,5 Ko contenant 38 faux messages système prétendant être des logs de développeur, rapports de crash et alertes de débogage, formatés en Markdown pour sembler authentiques. Ces chaînes de texte sont des injections de requête conçues pour amener les systèmes d'analyse assistés par IA à douter de leur session ou à refuser de poursuivre l'analyse. La nouveauté tient au fait que l'attaque vise l'analyste IA, et non le bac à sable où s'exécute le malware.
Points d'attention
- Le malware cible la perception des agents IA plutôt que les bacs à sable, exploitant ainsi une nouvelle surface d'attaque.
- Les messages fictifs simulent des erreurs de token, de mémoire, d'espace disque et de sécurité pour induire en erreur l'analyse.
- Les chercheurs n'ont pas démontré l'efficacité de cette technique contre les plateformes réelles d'analyse IA.
Curl corrige 18 failles dont une vieille de 25 ans
Le projet curl a publié des correctifs pour 18 vulnérabilités (4 de sévérité moyenne, 14 faibles), dont la CVE-2026-8932 introduite en version 7.7 en 2001, permettant une réutilisation de connexion mTLS contournant l'authentification. Ces failles ont été mises au jour grâce à la plateforme IA de la société Aisle, après que le modèle Mythos d'Anthropic eut repéré un premier bug curl début mai.
Outre cette faille de sévérité moyenne affectant libcurl, les chercheurs ont identifié des vulnérabilités de confusion d'identifiants (CVE-2026-8926), double-free (CVE-2026-8925), use-after-free (CVE-2026-9080 et CVE-2026-10536) et validation d'hôte défaillante (CVE-2026-9547). Aucune exploitation en conditions réelles n'a été rapportée à ce jour.
Points d'attention
- Plus de 30 milliards d'appareils utilisent
curlpour les transferts de données, ce qui amplifie la portée de ses vulnérabilités. - Les failles faciles sont épuisées ; les bugs restants concernent des chemins de protocoles obsolètes, la réutilisation d'état et les configurations d'identifiants.
- Cette mise à jour représente le plus grand nombre de CVE corrigés dans une seule version de
curl.
Autres actus importantes
- Microsoft prolonge discrètement le support ESU gratuit de Windows 10 jusqu'en octobre 2027
- Trois opérations de 'cybercriminalité en tant que service' démantelées par Microsoft et les forces de l'ordre
- GLPI 11.0.8 et 10.0.26 : 16 vulnérabilités corrigées, dont 2 critiques
- Le kit de phishing Bluekit adopte la technique du navigateur intermédiaire pour voler les identifiants
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere