RCE critique sur Splunk Enterprise 💻, Anthropic bloqué par Washington 🤖, identité notariale visée 📜

3 minutes de lecture

Bonjour, voici ta veille Cybere du 14 juin 2026 !

Au programme aujourd'hui : une faille critique à patcher d'urgence, un bras de fer entre Washington et Anthropic, et une revendication de fuite de l'identité notariale à manier avec prudence.

Retrouve les trois articles à la une du jour :

  • Splunk Enterprise contient une faille critique permettant l'exécution de code à distance
  • Anthropic désactive Fable 5 et Mythos 5 après une décision fédérale américaine
  • Un pirate revendique l'extraction de données liées à 7 729 utilisateurs de l'identité notariale

Splunk Enterprise : faille critique permet l'exécution de code

Splunk Enterprise contient une faille critique (CVE-2026-20253, CVSS 9.8) permettant à un attaquant non authentifié d'exécuter du code à distance sur les systèmes vulnérables.

La vulnérabilité réside dans le service sidecar PostgreSQL qui manque de contrôles d'authentification. Un attaquant peut exploiter les endpoints /v1/postgres/recovery/backup et /v1/postgres/recovery/restore pour charger une base de données malveillante, exécuter des requêtes SQL arbitraires et écrire un fichier Python contrôlé sur le système de fichiers, menant à l'exécution de code.

Points d'attention

  • Les versions Splunk Enterprise 10.0.0 à 10.0.6 et 10.2.0 à 10.2.3 sont affectées ; mettre à jour vers 10.0.7 ou 10.2.4.
  • Splunk Cloud n'est pas concerné, car les sidecars PostgreSQL ne sont pas utilisés dans le produit.
  • Aucune exploitation confirmée en conditions réelles actuellement, mais la publication par watchTowr d'une chaîne d'exploitation complète augmente le risque d'attaques opportunistes.

→ Lire la source


Anthropic désactive Fable 5 et Mythos 5 sur ordre de Washington

Le secrétaire du Commerce a ordonné vendredi à Anthropic de suspendre immédiatement l'accès étranger à Fable 5 et Mythos 5, ses deux modèles d'intelligence artificielle les plus avancés, invoquant des préoccupations de sécurité nationale. La restriction visant aussi les employés étrangers de l'entreprise, Anthropic a préféré désactiver complètement les deux modèles pour rester en conformité. Les autres modèles de l'entreprise ne sont pas concernés.

L'interdiction s'appuie sur la découverte d'une technique de contournement des garde-fous de sécurité des modèles, décrite comme une méthode de "jailbreak" ciblée et non universelle. Anthropic a contesté la gravité du problème, affirmant que des capacités similaires existent déjà dans d'autres modèles accessibles publiquement, notamment GPT-5.5 d'OpenAI, et sont utilisées régulièrement par les professionnels de la cybersécurité.

Points d'attention

  • Parmi les deux modèles visés, Mythos 5 était utilisé par des entreprises de cybersécurité via Project Glasswing pour identifier des failles.
  • La mesure a suscité des réactions partagées : scepticisme de plusieurs chercheurs et analystes, qui la jugent excessive, mais soutien d'officiels du Département de la Défense au nom de la sécurité nationale.
  • Cette action intervient dans un contexte de tensions prolongées entre Anthropic et l'administration Trump depuis février 2026.

→ Lire la source


Identité notariale : une fuite de données revendiquée

Un cybercriminel affirme avoir extrait des données liées à 7 729 utilisateurs de l'identité numérique notariale, plateforme fédérée gérée par le Conseil supérieur du notariat. Ce décompte reste une revendication non vérifiée.

Les données décrivent principalement des structures professionnelles, contacts et organisations, sans qu'aucun mot de passe ni secret d'authentification n'apparaisse dans la liste divulguée. Selon ZATAZ, le pirate attribue l'incident à une erreur humaine, sans élément vérifiable sur son origine. Le principal risque réside moins dans un accès direct aux services que dans la préparation d'attaques ciblées crédibles.

Points d'attention

  • Les données facilitent l'hameçonnage ciblé et l'usurpation professionnelle contre le réseau notarial.
  • L'accès à un compte unique pourrait ouvrir plusieurs services compatibles sans nouvelle authentification.
  • Le Conseil supérieur du notariat doit vérifier l'origine, la date d'extraction et la sensibilité réelle des enregistrements concernés.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere