phpBB corrige une faille oubliée 🔐, un membre de Conti plaide coupable ⚖️, Dumpsec démantelé en France 🚔
• 3 minutes de lectureBonjour, voici ta veille Cybere du 13 juin 2026 !
Pendant que les vieilles failles refont surface, la justice resserre son étau sur les opérateurs de rançongiciels et les collectifs de revente de données.
Retrouve les trois articles à la une du jour :
- phpBB corrige une faille d'authentification exploitable depuis dix ans
- Un membre de Conti reconnaît sa participation à des attaques par rançongiciel
- Sept suspects de Dumpsec sont arrêtés pour exfiltration de données sensibles
phpBB corrige une faille d'authentification dix ans après
Une faille de contournement d'authentification vieille d'une décennie dans phpBB permet à un attaquant de se connecter en tant que n'importe quel utilisateur, y compris les administrateurs. La faille n'a pas encore reçu d'identifiant CVE.
Découverte le 2 juin par Aikido, cette vulnérabilité affecte les versions 3.3.16 et antérieures, ainsi que la version 4.0.0-a2. Un correctif a été déployé le 6 juin en version 3.3.17, bien qu'aucun correctif sécurisé ne soit encore disponible pour la branche 4.x. La faille est exploitable en configuration par défaut avec une simple requête HTTP, mais l'exécution de code à distance reste impossible, le panneau d'administration étant protégé par un contrôle séparé.
Points d'attention
- Un accès administrateur permettrait de consulter les messages privés, modifier les contenus et comptes utilisateurs, ou usurper l'identité du personnel.
- L'exploitation n'exige aucune configuration particulière ni connaissances spécialisées, les listes de membres étant publiques par défaut.
- Les mises à jour risquent de casser l'authentification OAuth, un réglage généralement simple à corriger ; Aikido conseille une montée de version immédiate vers la
3.3.17.
Un membre de Conti reconnaît sa culpabilité aux États-Unis
Oleksii Oleksiyovych Lytvynenko, un ressortissant ukrainien extradé d'Irlande, a plaidé coupable de conspiration pour fraude électronique liée aux attaques Conti entre 2021 et 2022.
Lytvynenko a reconnu avoir rejoint le groupe criminel en septembre 2021 et participé au développement d'un logiciel malveillant appelé loader, chargé d'installer les autres outils de l'attaque. Il possédait également des données volées auprès de douze victimes, huit américaines et quatre étrangères. L'opération Conti a ciblé plus de mille victimes et collecté plus de 150 millions de dollars en rançons avant sa fermeture en 2022.
Points d'attention
- Lytvynenko encourt une peine maximale de 20 ans de prison pour son rôle dans les attaques.
- Conti s'est dissous suite à une fuite de messages internes et à la pression accrue des forces de l'ordre.
- Les anciens membres ont créé d'autres groupes rançongiciels comme BlackCat, Black Basta et ZEON.
Sept suspects du collectif Dumpsec arrêtés en France
Le 9 juin 2026, une opération nationale coordonnée a mené à l'interpellation de sept suspects liés au collectif Dumpsec, accusé d'avoir exfiltré plusieurs dizaines de millions de données sensibles.
L'enquête, lancée en novembre 2025 par le parquet de Paris suite à une cyberattaque contre une entreprise rennaise, a identifié plus de 500 organismes directement affectés ou ciblés via des prestataires compromis. Selon ZATAZ, Dumpsec aurait visé des entités publiques, des entreprises nationales, des fédérations sportives et des plateformes médicales, revendiquant publiquement ses opérations dans les médias et sur les réseaux sociaux, et proposant les données volées sur des forums spécialisés comme BreachForums.
Points d'attention
- L'analyse des indices de compromission a permis de rapprocher les incidents et d'établir des liens entre différentes intrusions attribuées au collectif.
- Selon l'OFAC, les profils identifiés seraient jeunes, parfois mineurs, autodidactes, motivés par la reconnaissance médiatique et le sentiment d'impunité.
- Le démantèlement illustre l'intérêt d'une centralisation territoriale des signalements, transformant des incidents locaux en enquête nationale.
Autres actus importantes
- Chaîne de vulnérabilités dans LangGraph expose les agents IA auto-hébergés à l'exécution de code à distance
- Plus de 400 paquets Arch Linux AUR détournés pour déployer un voleur d'informations et un rootkit eBPF
- Creative acquiert le spécialiste en bug bounty Yogosha
- GitHub verrouille l'exécution des scripts d'installation pour npm
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere