Silent Ransom vise avocats ☠️, 21 zéro-days dans FFmpeg 🤖, faille JPG dans Windows 🖼️
• 3 minutes de lectureBonjour, voici ta veille Cybere du 8 juin 2026 !
Les attaques ciblent désormais les maillons humains et les couches logicielles les plus anciennes, exploitant à la fois la confiance et des failles dormantes depuis des décennies.
Retrouve les trois articles à la une du jour :
- Silent Ransom usurpe des appels IT pour compromettre des cabinets juridiques en moins de 30 minutes.
- Un agent IA révèle 21 vulnérabilités dans FFmpeg, certaines présentes dans le code depuis 2003.
- Windows Imaging contient une faille critique dans le traitement des JPG 12/16 bits, difficile à exploiter.
Silent Ransom cible les cabinets juridiques par usurpation
Le groupe d'extorsion Silent Ransom (UNC3753) mène des attaques d'ingénierie sociale contre les cabinets juridiques américains, visant leurs données sensibles pour les extorquer. Les assaillants envoient d'abord des emails de phishing sans charge malveillante, puis appellent en se faisant passer pour des agents IT : la victime rejoint une session de support (Teams, Zoom) avant d'installer un outil de prise en main type AnyDesk ou Zoho Assist qui ouvre l'accès au réseau.
Mandiant a documenté des dizaines d'organisations visées (juridique, finance, services professionnels) entre janvier et mai 2026. Une fois connectés au réseau, les attaquants volent rapidement contrats, dossiers fiscaux et documents de fusion-acquisition via WinSCP ou Rclone. Les demandes de rançon arrivent dans les 30 minutes, avec un délai de trois jours et menaces de divulgation directe auprès des employés et clients externes.
Points d'attention
- Les attaquants utilisent privnote.com pour transférer des commandes en sessions distantes, minimisant les traces forensiques.
- Des domaines de phishing imitent les portails IT internes :-itdesk[.]com,-helpdesk[.]com.
- Selon Resecurity, le groupe opère une infrastructure fast-flux sur des adresses IP résidentielles en Amérique latine, Europe de l'Est et Asie.
Un agent IA découvre 21 zéro-days dans FFmpeg
La startup depthfirst a identifié 21 vulnérabilités inédites dans FFmpeg via un agent de sécurité autonome, dont neuf portent les identifiants CVE-2026-39210 à CVE-2026-39218.
Ces failles, majoritairement des débordements de pile et de tas dans les parseurs et démultiplexeurs, dormaient pour certaines depuis 15 à 20 ans. La plus ancienne, un débordement de pile dans le code de description de service, date de 2003 et est restée 23 ans non détectée. Parallèlement, Chrome 149 corrige 429 vulnérabilités, un record. La plus critique est la CVE-2026-10881 (CVSS 9.6) qui permet à une page piégée de s’évader du bac à sable et d’exécuter du code sur la machine hôte, via une faille du moteur graphique ANGLE.
Points d'attention
- FFmpeg est largement intégré dans les pipelines vidéo ; les copies embarquées nécessitent des correctifs distincts des paquets système.
- Le volume croissant de rapports générés par l’IA force à adapter les processus de triage et de déploiement.
- L’infrastructure de correction doit s’accélérer : cycles plus courts, mises à jour automatiques et dépendances traitées comme priorités de sécurité.
Une faille critique mais peu exploitable dans le traitement JPG de Windows
ESET a analysé en profondeur la CVE-2025-50165, une faille critique du composant Windows Imaging affectant le traitement des fichiers JPG. Le défaut réside dans WindowsCodecs.dll et résulte de la déréférence d’un pointeur de fonction non initialisé lors du réencodage d’images 12 ou 16 bits.
L’exploitation nécessite des conditions très spécifiques : la vulnérabilité ne s’active que lors de la sauvegarde ou de la création de miniatures, non à la simple ouverture du fichier. Microsoft et les chercheurs concluent que l’exploitabilité réelle reste limitée, exigeant fuites d’adresse et contrôle du tas mémoire.
Points d'attention
- La faille affecte uniquement le réencodage JPG, non le simple affichage d'images.
- WindowsCodecs.dll version
10.0.26100.4946et ultérieures corrigent le problème. - La vulnérabilité provient d'une version obsolète de libjpeg-turbo non synchronisée avec les correctifs de sécurité.
Autres actus importantes
- Le botnet C0XMO se propage via une faille des routeurs DD-WRT et neutralise des malwares concurrents
- Les attaquants utilisent l'IA pour automatiser les tests d'évasion des solutions EDR
- Des applications gratuites transforment discrètement les téléviseurs intelligents en proxys de scraping web pour l'IA
- Emphere lève 2,1 millions de dollars pour une remédiation des vulnérabilités alimentée par l'IA
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere