Selon les chercheurs en sécurité, les attaquants utilisent des documents PDF spécialement conçus pour exploiter une faiblesse dans le moteur de traitement du logiciel. Une simple ouverture du fichier peut suffire à compromettre le système de la victime.

Une attaque silencieuse et difficile à détecter

Le vecteur d’attaque repose sur des fichiers PDF envoyés via :

• campagnes de phishing
• pièces jointes d’emails
• téléchargements depuis des sites compromis

Une fois ouvert, le document déclenche l’exploitation de la faille et permet aux attaquants de :

• exécuter du code arbitraire
• installer des malwares
• prendre le contrôle du système
• voler des données sensibles

Ce type d’attaque est particulièrement dangereux car les PDF sont considérés comme des fichiers fiables dans de nombreux environnements professionnels.

Des cibles variées et à fort impact

Les attaques observées ciblent principalement :

• entreprises
• institutions gouvernementales
• utilisateurs professionnels

L’objectif est souvent l’espionnage, le vol d’informations ou l’accès initial à un réseau d’entreprise avant une attaque plus large comme un ransomware.

Une vulnérabilité zero-day exploitée activement

Le fait que cette faille soit une zero-day signifie qu’elle est exploitée avant même qu’un correctif ne soit disponible, ce qui augmente considérablement le niveau de risque.

Les attaquants profitent de cette fenêtre pour lancer des campagnes ciblées et maximiser leur impact avant la publication d’un patch.

Mesures de protection recommandées

En attendant un correctif officiel, les experts recommandent :

• éviter d’ouvrir des fichiers PDF provenant de sources inconnues
• utiliser des solutions de sécurité capables de détecter les comportements suspects
• activer les modes de lecture sécurisée dans Adobe Reader
• isoler les fichiers dans des environnements sandbox
• maintenir les logiciels à jour dès qu’un patch est disponible

Source : The Hackers News

The post Une faille zero-day critique dans Adobe Reader exploitée via des fichiers PDF piégés appeared first on cyberc4st.

À travers une investigation internationale mobilisant plus de 18 experts, le documentaire décrypte les mécanismes des cyberattaques, depuis une simple intrusion locale jusqu’à des impacts globaux sur des centaines de milliers d’entreprises.

Une cyberattaque réelle aux conséquences massives

Le film s’appuie sur un cas concret survenu en France en 2023. Une attaque ransomware a paralysé une entreprise et provoqué un effet domino impactant jusqu’à 350 000 clients.

Cet exemple illustre une réalité critique de la cybersécurité moderne : une seule faille peut entraîner une perturbation massive d’un écosystème entier, notamment lorsque les victimes sont des prestataires ou hébergeurs.

Le ransomware, une menace devenue industrielle

Le documentaire met en lumière la montée en puissance de la cyber extorsion. Aujourd’hui, les attaques par ransomware reposent sur :

• le chiffrement des données
• l’exfiltration d’informations sensibles
• la demande de rançon souvent en cryptomonnaie

Entre 2020 et 2025, près de 19 000 entreprises ont été touchées dans le monde, avec une forte augmentation récente des attaques.

L’IA et le facteur humain au cœur des attaques

L’un des messages clés du documentaire est que la majorité des cyberattaques exploitent des erreurs humaines. Selon les experts, 95 % des vulnérabilités proviennent du facteur humain, souvent via le phishing ou des mauvaises pratiques de sécurité.

Avec l’intégration de l’intelligence artificielle, ces attaques deviennent encore plus efficaces, notamment pour :

• automatiser les campagnes de phishing
• créer des messages frauduleux crédibles
• accélérer les intrusions

Une menace globale qui dépasse la technologie

Le documentaire insiste sur un point essentiel : la cybersécurité n’est plus uniquement un sujet technique. Elle touche désormais :

• l’économie mondiale
• les entreprises de toutes tailles
• les institutions publiques
• les citoyens

Les cyberattaques sont présentées comme une véritable industrie criminelle organisée, comparable à d’autres formes de criminalité structurée.

Un message fort : la cybersécurité est l’affaire de tous

À travers ce projet, Orange Cyberdefense cherche à sensibiliser un public large, bien au-delà des experts.

L’objectif est clair :

• démocratiser la compréhension des cybermenaces
• encourager les bonnes pratiques de sécurité
• renforcer la résilience collective face aux attaques

Le message central est simple mais puissant : la cybersécurité est une responsabilité partagée.

Source : Orange Cyber Defense

The post “Don’t Go to the Police” : un documentaire choc qui révèle les coulisses du cybercrime mondial appeared first on cyberc4st.

Cette approche marque une évolution majeure dans les attaques ransomware, où la priorité n’est plus seulement l’infection, mais la neutralisation complète des mécanismes de détection.

Une attaque en plusieurs étapes pour contourner les EDR

Dans le cas de Qilin, les attaquants utilisent une DLL malveillante via une technique de DLL side-loading pour initier une chaîne d’infection sophistiquée.

Le malware :

• désactive les logs système comme Event Tracing for Windows
• contourne les mécanismes de surveillance
• exécute le payload directement en mémoire
• termine les processus liés aux solutions EDR

Cette méthode permet d’opérer sans être détecté, rendant l’attaque particulièrement difficile à stopper.

BYOVD : l’arme principale des attaquants

La technique BYOVD consiste à utiliser des pilotes légitimes mais vulnérables pour obtenir un accès au niveau noyau du système.

Dans ces attaques :

• des drivers vulnérables sont chargés pour accéder à la mémoire système
• ils permettent de désactiver les protections de sécurité au niveau kernel
• les solutions antivirus et EDR deviennent inefficaces

Cette approche est de plus en plus utilisée dans les attaques modernes, notamment par des groupes ransomware avancés.

Warlock cible les infrastructures critiques

De son côté, le ransomware Warlock exploite notamment des serveurs Microsoft SharePoint non corrigés pour pénétrer les réseaux.

Les attaquants utilisent ensuite plusieurs outils légitimes pour se déplacer latéralement et maintenir leur accès :

• PsExec pour l’exécution à distance
• RDP Patcher pour multiplier les connexions
• Rclone pour l’exfiltration de données
• Cloudflare Tunnel pour masquer le trafic

Cette combinaison rend les attaques très discrètes et difficiles à détecter.

Une stratégie d’attaque lente mais efficace

Un élément particulièrement préoccupant est le délai observé entre l’intrusion initiale et le déploiement du ransomware.

En moyenne, les attaquants attendent près de six jours avant de lancer le chiffrement, le temps de :

• désactiver les défenses
• étendre leur accès au réseau
• maximiser l’impact de l’attaque

Cette stratégie montre une évolution vers des attaques plus méthodiques et destructrices.

Comment se protéger contre ces nouvelles techniques

Face à ces menaces avancées, les recommandations incluent :

• contrôler strictement les pilotes autorisés sur les systèmes
• surveiller les activités au niveau kernel
• maintenir les systèmes et logiciels à jour
• détecter les comportements anormaux plutôt que les signatures
• segmenter les réseaux pour limiter la propagation

Source : The Hacker News

The post Qilin et Warlock : des ransomwares capables de désactiver plus de 300 solutions de sécurité appeared first on cyberc4st.

Les attaquants exploitent notamment des automates programmables industriels (PLC), essentiels au fonctionnement de secteurs stratégiques comme l’énergie, l’eau et les services publics. Ces systèmes sont au cœur des environnements industriels et leur compromission peut avoir des conséquences directes sur le monde physique.

Des systèmes industriels directement visés

Les cybercriminels se concentrent sur des équipements connectés à Internet et mal sécurisés. Leur objectif est de:

• manipuler les données affichées sur les interfaces de contrôle
• perturber le fonctionnement des systèmes industriels
• accéder aux configurations critiques des équipements
• provoquer des interruptions opérationnelles

Dans certains cas, ces attaques ont déjà entraîné des perturbations réelles et des pertes financières, ce qui confirme leur impact concret.

Une attaque au cœur des systèmes OT et SCADA

Les infrastructures ciblées reposent sur des technologies spécifiques comme :

• les systèmes SCADA
• les interfaces homme machine
• les automates industriels

Ces environnements, appelés OT (Operational Technology), sont souvent moins sécurisés que les systèmes informatiques classiques, ce qui en fait des cibles privilégiées.

Les attaquants ont notamment manipulé les données affichées sur ces systèmes, créant un risque important pour la sécurité des opérations et la fiabilité des infrastructures.

Une escalade liée aux tensions géopolitiques

Ces cyberattaques s’inscrivent dans un contexte de tensions croissantes entre les États-Unis, l’Iran et leurs alliés. Les autorités américaines estiment que ces opérations visent à perturber les infrastructures nationales et à exercer une pression stratégique.

Plusieurs agences, dont le FBI, la NSA et la CISA, ont publié des alertes conjointes pour avertir les organisations du risque accru et appeler à un renforcement immédiat des mesures de sécurité.

Des infrastructures critiques en première ligne

Les secteurs les plus touchés incluent :

• énergie
• eau et assainissement
• services publics
• installations gouvernementales

Ces cibles sont stratégiques car leur perturbation peut affecter directement la population et l’économie.

Comment se protéger contre ce type d’attaque

Face à cette menace, les experts recommandent :

• déconnecter les équipements industriels exposés à Internet
• renforcer l’authentification et les accès distants
• appliquer les correctifs de sécurité sur les systèmes OT
• surveiller les comportements anormaux sur les réseaux industriels
• segmenter les environnements IT et OT

Source : The Hacker News

The post Géopolitique : Des hackers liés à l’Iran ciblent et perturbent les infrastructures critiques américaines appeared first on cyberc4st.

Identifiée sous le nom CVE-2026-34197, cette faille affecte plusieurs versions d’ActiveMQ Classic, un logiciel largement utilisé dans les environnements d’entreprise pour gérer les communications entre applications via des files de messages. Elle a reçu un score de gravité élevé de 8,8 sur 10, ce qui en fait une menace sérieuse pour les infrastructures concernées.

Une combinaison de composants à l’origine de la faille

La vulnérabilité repose sur une interaction complexe entre plusieurs composants internes, notamment Jolokia, JMX et les connecteurs réseau. Pris individuellement, ces éléments fonctionnent correctement, mais leur combinaison ouvre une porte à l’exploitation.

Concrètement, un attaquant peut envoyer une requête spécialement conçue pour forcer le serveur à charger un fichier de configuration distant malveillant. Ce fichier permet ensuite d’exécuter des commandes arbitraires sur le système cible, compromettant totalement le serveur.

Une découverte facilitée par l’intelligence artificielle

Fait marquant, cette faille a été identifiée avec l’aide d’un assistant basé sur l’intelligence artificielle. L’outil a permis de détecter un chemin d’exploitation en analysant les interactions entre différents modules du système, ce qui explique pourquoi la vulnérabilité est restée invisible pendant si longtemps.

Cette découverte souligne le rôle croissant de l’IA dans la recherche de vulnérabilités, mais aussi le risque que ces technologies puissent être utilisées par des acteurs malveillants pour identifier plus rapidement des failles complexes.

Un risque important pour les entreprises et infrastructures critiques

ActiveMQ Classic est largement déployé dans :

• les systèmes d’entreprise
• les applications web backend
• les environnements gouvernementaux

Cela signifie que cette faille pourrait être exploitée pour :

• prendre le contrôle de serveurs critiques
• exécuter des commandes malveillantes
• pivoter vers d’autres systèmes internes

Même si certaines exploitations nécessitent des conditions spécifiques, l’impact potentiel reste élevé compte tenu de la surface d’exposition.

Correctifs et recommandations

La vulnérabilité a été corrigée dans les versions récentes d’ActiveMQ Classic, notamment :

• version 5.19.4
• version 6.2.3

Pour se protéger efficacement, il est recommandé de :

• mettre à jour immédiatement les instances ActiveMQ
• restreindre l’accès aux interfaces d’administration
• surveiller les requêtes suspectes vers les API de gestion
• segmenter les systèmes critiques pour limiter l’impact

Source : bleepingcomputer.com

The post Une faille vieille de 13 ans dans Apache ActiveMQ permet l’exécution de commandes à distance appeared first on cyberc4st.

Cette décision marque une première en France : elle valide le principe du blocage DNS imposé à des résolveurs publics, souvent utilisés pour contourner les restrictions des fournisseurs d’accès à Internet.

Une décision judiciaire qui change les règles du jeu

À l’origine de cette affaire, des ayants droit, notamment dans le domaine du sport comme Canal+, ont demandé le blocage de plateformes de streaming illégal et d’IPTV pirate.

Les entreprises visées avaient contesté ces décisions en avançant plusieurs arguments :

• leur rôle technique neutre dans l’écosystème Internet
• la facilité de contournement via VPN ou autres DNS
• le coût et la complexité de mise en œuvre

La justice française a rejeté ces arguments en considérant que la capacité technique à bloquer suffit à engager la responsabilité, même si ces mesures peuvent être contournées.

Le DNS devient un nouveau champ de bataille cyber

Traditionnellement, les blocages de sites pirates étaient appliqués au niveau des fournisseurs d’accès Internet. Mais les utilisateurs pouvaient facilement contourner ces restrictions en utilisant des DNS alternatifs comme :

• Google Public DNS
• Cloudflare 1.1.1.1
• Cisco OpenDNS

Avec cette décision, ces alternatives ne garantissent plus l’accès aux contenus bloqués, ce qui réduit considérablement les possibilités de contournement.

Un tournant pour la cybersécurité et la gouvernance d’Internet

Au-delà de la lutte contre le piratage, cette décision soulève des enjeux majeurs en cybersécurité et en gouvernance numérique :

• Responsabilisation accrue des intermédiaires techniques
• Risque de précédent pour d’autres types de contenus (désinformation, cybercriminalité, etc.)
• Impact potentiel sur la neutralité du Net
• Extension du contrôle étatique sur les infrastructures Internet

Elle confirme également une tendance globale : les États cherchent à reprendre le contrôle sur les couches fondamentales d’Internet, y compris les services DNS.

Limites et contournements possibles

Malgré cette avancée, le blocage DNS reste imparfait. Les utilisateurs avancés peuvent encore contourner ces restrictions via :

• VPN
• DNS chiffré ou privé
• réseaux alternatifs

Cependant, la décision vise avant tout à réduire l’accès grand public au piratage, plutôt qu’à l’éliminer totalement.

Source : korben.info

The post Streaming illégal en France : Google, Cloudflare et Cisco contraints de bloquer des sites pirates via DNS appeared first on cyberc4st.

La formation Kaspersky AFRIPOL contre la cybercriminalité marque une étape significative pour les capacités de cybersécurité des forces de l’ordre africaines. De novembre 2025 à mars 2026, une quarantaine d’officiers africains issus de 23 pays ont reçu une formation intitulée « Security Operations and Threat Hunting », dispensée dans le cadre de l’accord de coopération signé entre Kaspersky et AFRIPOL en 2024. ONU Femmes En effet, cette formation couvre les fondamentaux des Centres d’Opérations de Sécurité et les techniques avancées de détection des menaces. Par conséquent, les forces de l’ordre africaines se dotent de compétences pratiques pour enquêter sur les cybercriminalités les plus sophistiquées. Ainsi, cette initiative illustre le rôle central que le partenariat public-privé doit jouer dans la construction d’une Afrique numérique plus sûre.

Formation Kaspersky AFRIPOL cybercriminalité : 23 pays, une vision commune

Les officiers participant à cette formation sont originaires de 23 pays : l’Algérie, le Bénin, le Cameroun, les Comores, l’Éthiopie, le Gabon, la Gambie, le Ghana, le Kenya, le Liberia, la Libye, le Malawi, le Mali, le Mozambique, la Namibie, le Nigeria, l’Ouganda, le Rwanda, l’Afrique du Sud, le Soudan du Sud, l’Eswatini, la Zambie et le Zimbabwe. Journees

En effet, cette répartition géographique couvre toutes les grandes sous-régions du continent. L’Afrique de l’Ouest, l’Afrique centrale, l’Afrique de l’Est, l’Afrique australe et l’Afrique du Nord participent toutes à ce programme. Par conséquent, la formation ne renforce pas les capacités d’un seul pays ou d’une seule région. Elle construit une communauté de praticiens capables de partager leurs connaissances et de coopérer sur les enquêtes transfrontalières. De ce fait, cette diversité géographique amplifie directement l’impact de la formation au-delà des 40 officiers formés.

Un accord de coopération de cinq ans comme fondement

En 2024, Kaspersky et AFRIPOL ont signé un accord de coopération d’une durée de cinq ans pour prévenir et lutter contre la cybercriminalité. Cet accord formalise le partage de données de renseignement sur les menaces et prévoit la fourniture d’une assistance technique continue. Conseil de l’Europe En outre, depuis le lancement de son programme de formation en ligne, Kaspersky Expert Training a formé plus de 3 000 spécialistes issus de 50 pays à travers le monde. UNESCO Par conséquent, les officiers africains bénéficient d’un programme éprouvé et reconnu à l’échelle internationale. De ce fait, cette formation n’est pas un projet pilote. C’est l’application africaine d’un programme mondial de renforcement des capacités cyber.

Formation Kaspersky AFRIPOL cybercriminalité : le contenu détaillé du programme

Le programme a couvert les aspects clés de la détection des menaces et des enquêtes sur les incidents. Les officiers ont appris à identifier les activités malveillantes dans les environnements Windows et Linux, à analyser les tactiques, techniques et procédures des attaquants — les TTP — et à utiliser le renseignement sur les menaces pour découvrir les menaces avancées. Conseil de l’Europe

SOC — Centres d’Opérations de Sécurité

Les SOC constituent le cœur de la cyberdéfense moderne. En effet, ce sont les équipes qui surveillent en permanence les systèmes d’information, détectent les anomalies et coordonnent la réponse aux incidents. Par conséquent, former des officiers de police aux principes du SOC leur donne une compréhension directe de comment les cyberattaques se déroulent et comment les détecter en temps réel. De ce fait, ces officiers peuvent mieux collaborer avec les équipes techniques des entreprises et des administrations lors des enquêtes criminelles.

Threat Hunting — Chasse aux menaces

La chasse aux menaces est une discipline proactive. En effet, elle consiste à rechercher activement des intrusions dans les systèmes avant même que des alertes automatiques ne se déclenchent. Par conséquent, les officiers formés à cette technique peuvent identifier des attaquants qui ont contourné les défenses classiques et restent cachés dans les réseaux des victimes. En outre, analyser les TTP des attaquants permet de comprendre leurs méthodes et de construire des profils criminels numériques utiles pour les poursuites judiciaires.

Sessions Q&A avec les experts Kaspersky

Dans le cadre de la formation, une série de sessions de questions-réponses en ligne a été organisée, permettant aux participants d’interagir directement avec les experts et les auteurs du cours, membres de l’équipe des services de sécurité de Kaspersky. Ces sessions ont permis aux participants d’approfondir des sujets complexes, de discuter de cas pratiques et de recevoir des conseils supplémentaires. Journees

En effet, ce format interactif distingue ce programme d’une simple formation théorique. Par conséquent, les officiers repartent avec des réponses à leurs questions concrètes, directement issues des enquêtes réelles menées par les équipes Kaspersky. De ce fait, le lien entre la théorie apprise et la pratique terrain est immédiat et opérationnel.

Les voix des deux partenaires

Yuliya Shlychkova, Vice-Présidente des Affaires Publiques chez Kaspersky, a déclaré : « La cybercriminalité est aujourd’hui très sophistiquée, sans frontières et en constante évolution. Aucune organisation ne peut la combattre seule. C’est pourquoi la coopération et le partage de connaissances entre le secteur privé de la cybersécurité et les forces de l’ordre sont si essentiels. Notre collaboration de longue date avec AFRIPOL démontre la valeur de cette approche. » Conseil de l’Europe

Le Dr Mohammed Benaired, Directeur de la Division Formation et Renforcement des Capacités d’AFRIPOL, a ajouté : « Renforcer les capacités des forces de l’ordre est essentiel pour répondre efficacement à la complexité croissante de la cybercriminalité sur le continent africain. Ce programme joue un rôle important en dotant les officiers des compétences pratiques nécessaires pour enquêter sur les incidents cybernétiques, analyser les preuves numériques et faire face aux menaces émergentes. » Conseil de l’Europe

Ces deux déclarations convergent sur un point central. En effet, ni le secteur privé ni les forces de l’ordre ne peuvent seuls faire face à la cybercriminalité africaine. Par conséquent, leur coopération structurée et durable constitue le modèle le plus efficace pour répondre à des menaces qui ne connaissent ni frontières ni horaires d’ouverture.

Un programme qui s’inscrit dans une coopération plus large

Cette formation Kaspersky AFRIPOL s’inscrit dans un historique de coopération qui dépasse les seuls programmes de formation. Dans le cadre du Projet Stadia d’INTERPOL, Kaspersky a coopéré avec INTERPOL pour assurer la cybersécurité de la Coupe d’Afrique des Nations 2025, qui s’est terminée au Maroc en janvier 2026. WILDAF-AO

En effet, sécuriser un événement sportif continental comme la CAN nécessite une coordination complexe entre les forces de l’ordre, les organisateurs et les experts en cybersécurité. Par conséquent, l’implication de Kaspersky dans la protection de cet événement démontre la profondeur du partenariat avec les institutions africaines de sécurité. De ce fait, la collaboration Kaspersky-AFRIPOL n’est pas symbolique. Elle produit des résultats opérationnels concrets sur le terrain africain.

Pourquoi ce modèle de formation est crucial pour l’Afrique

La cybercriminalité africaine progresse à une vitesse alarmante. En effet, les pertes financières liées aux cyberattaques se comptent en milliards de dollars chaque année sur le continent. Or, les forces de l’ordre africaines manquent souvent des compétences techniques nécessaires pour enquêter sur des crimes numériques complexes — ransomware, escroqueries en ligne, fraudes financières, espionnage industriel.

Par ailleurs, la formation d’officiers de police aux techniques SOC et threat hunting crée un pont indispensable entre le monde technique et le monde judiciaire. En effet, un officier formé peut mieux comprendre les preuves numériques présentées par les experts cyber, formuler les bonnes questions lors des enquêtes et construire des dossiers solides pour les poursuites judiciaires. Par conséquent, chaque officier formé représente un multiplicateur de force pour tout son pays et toute sa région.

En outre, AFRIPOL empuissante les services de police de ses 55 États membres en renforçant leurs capacités opérationnelles, en promouvant le partage de ressources et d’expertises critiques, et en coordonnant les efforts conjoints pour démanteler les réseaux criminels organisés sur tout le continent. Ministère de l’Europe et des Affaires étrangères De ce fait, chaque officier formé par Kaspersky rentre dans son pays avec des compétences immédiatement applicables et partageables avec ses collègues.

Conclusion

La formation Kaspersky AFRIPOL contre la cybercriminalité confirme que le renforcement des capacités cyber africaines passe inévitablement par la coopération entre le secteur privé et les forces de l’ordre publiques. En effet, former 40 officiers de 23 pays sur des techniques SOC et threat hunting, c’est construire simultanément 23 maillons plus solides dans la chaîne de défense cyber africaine. Par conséquent, étendre ce programme à davantage de pays et d’officiers doit devenir une priorité pour AFRIPOL, Kaspersky et tous les partenaires qui souhaitent une Afrique numérique plus résiliente. Ainsi, la cybersécurité africaine ne se construira pas seulement avec des outils. Elle se construira surtout avec des femmes et des hommes formés, outillés et connectés à un réseau continental de compétences.

The post Formation Kaspersky AFRIPOL cybercriminalité : 40 officiers de 23 pays africains formés aux techniques SOC et threat hunting appeared first on cyberc4st.

La vulnérabilité Ubuntu Desktop permettant un accès root complet expose des millions de postes dans le monde entier. L’unité de recherche sur les menaces de Qualys a découvert CVE-2026-3888, une faille d’élévation de privilèges locale dans Ubuntu Desktop 24.04 et versions ultérieures. En effet, cette vulnérabilité permet à un attaquant local non privilégié d’obtenir un accès root complet sur le système ciblé. Elle exploite une interaction non prévue entre deux composants système standards — snap-confine et systemd-tmpfiles. Par conséquent, pour toutes les organisations africaines et mondiales qui utilisent Ubuntu comme système d’exploitation de bureau ou de serveur, la mise à jour immédiate de snapd s’impose comme une urgence absolue.

Vulnérabilité Ubuntu Desktop root : deux composants standards au cœur de la faille

Pour comprendre CVE-2026-3888, il faut d’abord comprendre les deux composants qu’elle exploite. En effet, aucun des deux n’est défaillant isolément. C’est leur interaction qui crée la vulnérabilité.

Snapd et snap-confine. Snapd est le service d’arrière-plan d’Ubuntu qui gère les paquets snap. Ces paquets regroupent des applications autonomes avec leurs propres dépendances. En outre, snapd applique le modèle d’autorisation qui définit ce à quoi chaque snap peut accéder sur le système hôte. Il joue donc à la fois le rôle de gestionnaire de paquets et de moteur de politique de sécurité. Snap-confine est l’exécutable setuid root qui crée les environnements sandbox Snap avant l’exécution de chaque application. Il gère l’isolation des espaces de noms, les cgroups, les politiques AppArmor et le filtrage seccomp — l’ensemble des mécanismes qui maintiennent les applications Snap dans leurs limites.

Systemd-tmpfiles. Cet utilitaire gère les répertoires temporaires comme /tmp au démarrage du système. Il supprime aussi les fichiers obsolètes à intervalles réguliers. Par défaut sur Ubuntu 24.04, il nettoie /tmp après 30 jours. Sur les versions ultérieures, ce délai descend à 10 jours. De ce fait, ce cycle de nettoyage prévisible constitue le point de départ de l’exploitation.

Comment l’attaque se déroule en trois étapes

La vulnérabilité Ubuntu Desktop root CVE-2026-3888 suit une chaîne d’exploitation précise. En effet, le score CVSS v3.1 de 7.8 reflète une complexité d’attaque élevée liée au timing nécessaire. Cependant, cette complexité ne rend pas l’exploitation impossible pour un attaquant patient et déterminé.

Étape 1 — L’attaquant attend le nettoyage automatique. Systemd-tmpfiles supprime régulièrement les fichiers obsolètes dans /tmp. Parmi ces fichiers figure /tmp/.snap — un répertoire critique utilisé par snap-confine lors de l’initialisation du sandbox. L’attaquant attend que ce répertoire disparaisse lors d’un cycle de nettoyage automatique.

Étape 2 — L’attaquant recrée le répertoire avec des charges utiles malveillantes. Dès que /tmp/.snap disparaît, l’attaquant le recrée immédiatement. Il remplit ce répertoire de fichiers malveillants. En effet, cette fenêtre d’opportunité existe entre le moment où systemd-tmpfiles supprime le répertoire et celui où le système le recrée légitimement.

Étape 3 — Snap-confine monte les fichiers malveillants en tant que root. Lors de la prochaine initialisation d’un sandbox Snap, snap-confine monte les fichiers présents dans /tmp/.snap avec les droits root. De ce fait, les charges utiles malveillantes placées par l’attaquant s’exécutent dans un contexte privilégié. Par conséquent, l’attaquant obtient un accès root complet sur le système — soit une compromission totale de l’hôte.

Les versions d’Ubuntu concernées

Cette vulnérabilité Ubuntu Desktop root touche les installations récentes du système. En effet, les versions concernées sont les suivantes.

Ubuntu 24.04 LTS nécessite une mise à jour de snapd vers la version 2.73+ubuntu24.04.1. Ubuntu 25.10 nécessite la version 2.73+ubuntu25.10.1. Ubuntu 26.04 LTS en développement nécessite la version 2.74.1+ubuntu26.04.1. La version snapd en amont nécessite la version 2.75 minimum.

En outre, les anciennes versions d’Ubuntu — de 16.04 à 22.04 LTS — ne sont pas vulnérables dans leurs configurations par défaut. Cependant, Qualys recommande d’appliquer le correctif par précaution sur les configurations non standard qui peuvent reproduire le comportement des versions plus récentes. Par conséquent, aucun système Ubuntu ne doit être considéré comme immunisé sans vérification préalable de sa version de snapd.

Une seconde faille découverte en parallèle dans uutils coreutils

Lors du même examen de sécurité, l’équipe Qualys TRU a identifié une seconde vulnérabilité. En effet, lors d’un audit proactif avant la sortie d’Ubuntu 25.10, les chercheurs ont découvert une condition de concurrence dans uutils coreutils — une réécriture en Rust des utilitaires GNU standards.

La faille résidait dans l’utilitaire rm. En effet, un attaquant local non privilégié pouvait remplacer des entrées de répertoire par des liens symboliques lors de tâches cron appartenant à l’utilisateur root. Cela ciblait spécifiquement le répertoire racine via /etc/cron.daily/apt. Par conséquent, l’exploitation pouvait mener à la suppression arbitraire de fichiers en tant que root ou à une élévation de privilèges ciblant les répertoires sandbox de snap. Heureusement, l’équipe de sécurité d’Ubuntu a atténué ce risque avant toute publication publique. La commande rm par défaut d’Ubuntu 25.10 revient à GNU coreutils. Des correctifs ont également été intégrés dans le dépôt uutils.

Pourquoi cette faille est critique pour les organisations africaines

Ubuntu est l’une des distributions Linux les plus utilisées dans les entreprises, les universités, les administrations publiques et les startups africaines. En effet, son accessibilité, sa gratuité et sa communauté active en font le système d’exploitation de référence pour de nombreuses équipes IT sur le continent. Par conséquent, CVE-2026-3888 touche potentiellement des centaines de milliers de postes de travail et de serveurs Ubuntu en Afrique.

Par ailleurs, le vecteur d’attaque local de cette vulnérabilité la rend particulièrement pertinente dans les environnements partagés. En effet, dans les cybercafés, les universités, les espaces de coworking et les open spaces d’entreprise, plusieurs utilisateurs accèdent au même système ou au même réseau. De ce fait, un attaquant qui dispose d’un accès utilisateur basique sur un système Ubuntu vulnérable peut obtenir les droits root en attendant simplement le prochain cycle de nettoyage de systemd-tmpfiles. Par conséquent, cette vulnérabilité est accessible même à des attaquants aux compétences techniques limitées, ce qui élargit considérablement le cercle des personnes susceptibles de l’exploiter.

En outre, de nombreuses équipes IT africaines gèrent des parcs de postes sans politique centralisée de mise à jour automatique. De ce fait, des systèmes Ubuntu 24.04 avec des versions de snapd non corrigées peuvent rester exposés pendant des semaines ou des mois après la publication du correctif.

Les actions à mettre en œuvre immédiatement

Face à cette vulnérabilité Ubuntu Desktop root, les équipes IT doivent agir selon trois priorités claires.

Mettre à jour snapd immédiatement. La commande à exécuter sur tous les systèmes Ubuntu concernés est simple. Sur un terminal, taper sudo apt update && sudo apt upgrade snapd suffit à récupérer et installer la version corrigée. En effet, cette mise à jour ne nécessite pas de redémarrage complet du système dans la plupart des configurations. Par conséquent, elle peut se déployer rapidement sur un grand parc de machines via des outils de gestion centralisée comme Ansible ou Puppet.

Vérifier la version de snapd installée. La commande snap version affiche la version actuelle de snapd sur le système. En outre, comparer ce numéro aux versions corrigées listées ci-dessus permet d’identifier immédiatement les systèmes encore vulnérables. De ce fait, un audit rapide du parc informatique s’impose avant toute autre action.

Surveiller les accès locaux suspects. En outre, les équipes SOC doivent surveiller les activités inhabituelles liées au répertoire /tmp/.snap sur les systèmes Ubuntu concernés. Par conséquent, toute recréation manuelle de ce répertoire par un utilisateur non privilégié doit déclencher une alerte immédiate.

Conclusion

La vulnérabilité Ubuntu Desktop root CVE-2026-3888 démontre qu’une combinaison de deux composants système parfaitement légitimes peut créer une faille d’une gravité élevée. En effet, ni snapd ni systemd-tmpfiles ne sont défaillants individuellement. C’est leur interaction dans un timing précis qui ouvre la porte à un accès root complet. Par conséquent, les organisations qui utilisent Ubuntu 24.04 et versions ultérieures doivent traiter cette mise à jour de snapd comme une urgence opérationnelle. Ainsi, une seule commande — sudo apt upgrade snapd — peut aujourd’hui protéger des milliers de postes de travail africains contre une compromission totale de leur système.

The post Vulnérabilité Ubuntu Desktop root CVE-2026-3888 : un attaquant local peut prendre le contrôle total du système appeared first on cyberc4st.

Metasploit Pro 5.0.0 marque un tournant dans l’outillage des équipes de sécurité offensive. Rapid7 a publié cette mise à jour majeure pour répondre à une réalité incontournable : les tests d’intrusion annuels ne suffisent plus à sécuriser les environnements modernes. En effet, les cybercriminels exploitent les nouvelles vulnérabilités en quelques heures après leur publication. Par conséquent, les équipes de sécurité doivent tester leurs défenses en continu, avec des outils capables de simuler les attaques les plus sophistiquées. Ainsi, Metasploit Pro 5.0.0 propose une approche fondamentalement nouvelle du red teaming — plus rapide, plus visuelle et mieux adaptée aux grandes infrastructures d’entreprise.

Metasploit Pro 5.0.0 : un flux de travail entièrement repensé

L’une des évolutions les plus visibles de Metasploit Pro 5.0.0 concerne l’interface utilisateur. En effet, le flux de travail de test a été entièrement redessiné. L’objectif est clair : permettre aux testeurs d’intrusion de se concentrer sur la validation des vulnérabilités à forte valeur ajoutée plutôt que sur la configuration de l’outil. Ainsi, les analystes passent moins de temps sur la mécanique de l’outil et plus de temps sur l’analyse des résultats.

Par ailleurs, la nouvelle prise en charge de la topologie réseau constitue l’un des atouts majeurs de cette refonte. En effet, cette fonctionnalité offre une visibilité instantanée sur les hôtes compromis, les identifiants capturés et les données collectées lors d’un test. De ce fait, les équipes peuvent naviguer parmi des centaines d’hôtes sans délai. La cartographie réseau transforme des données complexes en stratégies de défense directement exploitables. Par conséquent, cette fonctionnalité est particulièrement précieuse pour les grandes organisations africaines qui gèrent des infrastructures réseau distribuées sur plusieurs sites.

Active Directory : neuf vulnérabilités AD CS couvertes dont ESC9, ESC10 et ESC16

Les services de certificats Active Directory — AD CS — constituent aujourd’hui l’un des vecteurs d’attaque les plus critiques dans les réseaux d’entreprise. En effet, une mauvaise configuration des AD CS ouvre la voie à des escalades de privilèges massives et difficiles à détecter. Metasploit Pro 5.0.0 apporte une réponse directe à ce risque grâce au nouveau métamodule AD CS Workflows.

Ce module fournit une approche automatisée pour identifier neuf vulnérabilités courantes des AD CS. En outre, il intègre désormais la prise en charge active des failles d’escalade les plus récentes et les plus dangereuses. Les nouvelles failles couvertes incluent ESC9, ESC10 et ESC16. Ainsi, les professionnels de la sécurité peuvent tester et neutraliser ces menaces avec une précision chirurgicale. Par conséquent, les équipes red team disposent d’un outil complet pour évaluer la résistance de leur infrastructure Active Directory face aux attaques réelles les plus avancées.

Détection des vulnérabilités avant exploitation

Metasploit Pro 5.0.0 introduit également une amélioration importante dans le processus de détection. En effet, les modules dotés d’une logique de pré-vérification évaluent désormais la cible avant toute tentative d’exploitation. Le système fournit un tableau complet des informations collectées. Ainsi, les analystes disposent d’une vision claire avant de décider de lancer une exploitation. De ce fait, le risque d’effets secondaires indésirables diminue significativement. Par conséquent, les tests d’intrusion en environnement de production deviennent plus sûrs et plus contrôlés.

Les améliorations techniques clés de Metasploit Pro 5.0.0

Outre les évolutions majeures sur l’interface et Active Directory, Metasploit Pro 5.0.0 apporte plusieurs améliorations techniques importantes pour les utilisateurs avancés.

Configuration manuelle des charges utiles. Les professionnels de la sécurité peuvent désormais choisir et configurer manuellement les charges utiles individuelles. Cela offre un contrôle précis sur chaque test. En effet, le système privilégie toujours l’option la plus courante par défaut, mais laisse la main à l’analyste pour des scénarios spécifiques.

Étiquetage des sessions. Les analystes peuvent attribuer des étiquettes personnalisées aux sessions ouvertes — priorité, rôle, environnement. En outre, cette fonctionnalité facilite la collaboration au sein des équipes. De ce fait, le contexte ne se perd plus lors d’opérations rapides impliquant plusieurs analystes sur le même projet.

Authentification SSO SAML. Les organisations peuvent intégrer Metasploit Pro à leur fournisseur d’identité centralisé. Ainsi, la connexion devient fluide et sans mot de passe. Par ailleurs, cette intégration exploite les services d’authentification multifacteurs déjà en place dans l’organisation. Par conséquent, la sécurité de l’accès à l’outil de pentest lui-même est renforcée.

Relecture en un clic. Vérifier qu’une correction a bien éliminé une vulnérabilité est désormais simple et rapide. En effet, la relecture d’un module pour réexploiter une cible corrigée ne nécessite plus de reconfigurer l’intégralité du module. De ce fait, les cycles de test et de validation des correctifs s’accélèrent considérablement.

Suggestions intelligentes de valeurs. Au lieu de configurer manuellement chaque option, les utilisateurs reçoivent des suggestions automatiques pour les valeurs applicables. Ces suggestions couvrent notamment les cibles réseau et les caches d’informations d’identification Kerberos. Ainsi, même les analystes moins expérimentés peuvent configurer des tests complexes plus rapidement.

Pourquoi Metasploit Pro 5.0.0 est stratégique pour les équipes sécurité africaines

Les équipes de sécurité africaines font face à des défis spécifiques. En effet, elles gèrent des infrastructures hétérogènes souvent héritées, des ressources humaines limitées et des environnements Active Directory parfois peu documentés. Par conséquent, un outil qui automatise la détection des vulnérabilités complexes comme celles des AD CS représente un avantage considérable.

Par ailleurs, la montée en puissance des attaques ciblant les infrastructures critiques africaines — banques, télécoms, administrations — impose des évaluations de sécurité plus fréquentes et plus approfondies. Cependant, le manque d’experts certifiés en tests d’intrusion reste un frein majeur sur le continent. Ainsi, un outil comme Metasploit Pro 5.0.0, avec son interface simplifiée et ses modules automatisés, réduit la barrière à l’entrée pour les équipes moins expérimentées. De ce fait, des organisations qui ne pouvaient pas se permettre des tests d’intrusion complexes peuvent désormais en réaliser davantage en interne.

En outre, la fonctionnalité de topologie réseau est particulièrement adaptée aux environnements africains où les infrastructures réseau combinent des sites locaux, des connexions VSAT et des services cloud. En effet, visualiser en temps réel l’ensemble des hôtes compromis et des chemins d’attaque disponibles accélère considérablement la prise de décision lors d’un test.

Conclusion

Metasploit Pro 5.0.0 représente une évolution significative pour toutes les équipes de sécurité offensive. En effet, la combinaison d’un flux de travail repensé, de modules AD CS avancés couvrant ESC9, ESC10 et ESC16, d’une cartographie réseau en temps réel et d’une authentification SSO SAML place cette version bien au-dessus d’une simple mise à jour incrémentale. Par conséquent, les équipes red team, les RSSI et les responsables SOC ont tout intérêt à déployer cette nouvelle version rapidement. Ainsi, dans un contexte où les cybermenaces évoluent plus vite que les défenses, disposer des meilleurs outils d’évaluation offensifs n’est plus un avantage compétitif. C’est une nécessité opérationnelle.

The post Metasploit Pro 5.0.0 : une refonte majeure pour les équipes de sécurité offensive appeared first on cyberc4st.