Cyberattaque chez Tata Electronics ☠️, ClickFix vole les identifiants macOS 🍎, Samsung corrige noyau KNOX 🔐

3 minutes de lecture

Bonjour, voici ta veille Cybere du 24 juin 2026 !

Les attaques ciblent infrastructures et terminaux, exploitant failles anciennes ou ingénierie sociale pour dérober données et identifiants.

Retrouve les trois articles à la une du jour :

  • Tata Electronics a subi une cyberattaque, avec une fuite de données Apple revendiquée
  • ClickFix exploite des CAPTCHA falsifiés pour déployer Atomic macOS Stealer
  • Samsung corrige une faille de sévérité élevée KNOX exposant des millions d'appareils

Tata Electronics subit une cyberattaque avec fuite de données

Tata Electronics a confirmé avoir été victime d'une cyberattaque touchant une partie de son infrastructure informatique, sans impact opérationnel selon l'entreprise.

Le groupe de criminalité informatique World Leaks revendique le vol de documents relatifs à la fabrication de produits Apple, notamment des schémas de composants et des plans de circuits imprimés. Apple n'a pas commenté à ce stade. World Leaks, considéré comme la nouvelle identité du groupe Hunters International, opère exclusivement en tant que groupe d'extorsion par données, sans recourir au chiffrement.

Points d'attention

  • World Leaks aurait exfiltré des données sensibles incluant schémas internes, conceptions PCB, spécifications matérielles et fichiers SDK liés à Apple.
  • Tata Electronics, fondée en 2020, fabrique et assemble des iPhones pour Apple, représentant une cible majeure pour les données propriétaires.
  • World Leaks a précédemment visé Dell en juillet 2025 et Nike en janvier 2026 (1,4 To de fichiers revendiqués), confirmant sa capacité à cibler de grandes organisations.

→ Lire la source


ClickFix cible macOS avec un voleur d'identifiants

Une nouvelle campagne ClickFix exploite des fausses pages CAPTCHA pour inciter les utilisateurs à exécuter des commandes Terminal qui téléchargent et lancent automatiquement des logiciels malveillants.

L'attaque utilise des commandes Terminal masquées pour télécharger un fichier DMG depuis un serveur contrôlé, le monter sans intervention utilisateur via hdiutil, puis exécuter le malware qu'il contient. Contrairement aux campagnes ClickFix antérieures, qui demandaient à la victime d'ouvrir elle-même le DMG, cette commande automatise toute la chaîne. La charge utile déployée est Atomic macOS Stealer (AMOS), qui affiche une fausse fenêtre d'authentification système pour dérober le mot de passe, puis vole les identifiants navigateur, données crypto, accès Keychain, historiques de messagerie et documents personnels.

Points d'attention

  • Le malware cible huit navigateurs Chromium ainsi que Firefox, Tor Browser et d'autres dérivés, volant cookies, bases de données de connexion et cartes bancaires.
  • AMOS remplace les installations légitimes de Ledger Live et Trezor Suite par des versions malveillantes pour voler des cryptomonnaies stockées.
  • Les utilisateurs doivent refuser tout ordre d'exécution de commandes Terminal via des sites web, particulièrement pour des vérifications CAPTCHA ou dépannage système.

→ Lire la source


Samsung corrige une faille de sévérité élevée du noyau KNOX

Une faille de huit ans affectant les appareils Galaxy de la génération S9 à S25 a exposé des millions de terminaux à des attaques au niveau du noyau. La CVE‑2026‑20971 (CVSS 7.8) exploitait une condition de course dans l'interaction entre PROCA et FIVE, deux sous-systèmes de sécurité du noyau Samsung.

LucidBit Labs a découvert qu'un attaquant local pouvait corrompre la mémoire du noyau en exploitant une fenêtre de vulnérabilité créée par l'ordonnanceur préemptif d'Android. L'exploitation n'était toutefois pas aisée, la protection KCFI la rendant très difficile. Bien que Samsung ait publié un correctif en janvier 2026, la vulnérabilité touchait Android 13, 14, 15 et 16 sur les modèles Exynos et Qualcomm.

Points d'attention

  • Exploitable localement par une application non fiable, mais nécessitant une interaction de l'utilisateur, avec un risque de pivot vers le réseau d'entreprise.
  • Une faille dormante durant huit ans démontre la nécessité d'auditer régulièrement sa propre pile de sécurité.
  • Correctif disponible depuis janvier 2026 sur les Galaxy S9 à S25 et les appareils de la série A.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 - Kilian de Cybere