Microsoft corrige les failles de Defender activement exploitées

Microsoft a commencé à déployer des mises à jour de sécurité urgentes pour deux vulnérabilités de Microsoft Defender qui sont déjà activement exploitées dans des attaques de type "zero-day". Les failles, identifiées comme CVE-2026-41091 et CVE-2026-45498, affectent le moteur de protection contre les logiciels malveillants de Microsoft et la plateforme antimalware Defender, permettant potentiellement aux attaquants d'obtenir des privilèges de niveau SYSTÈME ou de déclencher des conditions de déni de service sur des appareils Windows non corrigés.

L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté ces deux vulnérabilités à son catalogue de vulnérabilités connues et exploitées (KEV) et a ordonné aux agences fédérales de sécuriser les systèmes concernés dans un délai de deux semaines, en raison de la menace active que représente l'exploitation de ces vulnérabilités dans la nature.

Microsoft indique que les dernières mises à jour devraient s'installer automatiquement pour la plupart des utilisateurs, mais les organisations sont invitées à vérifier que les mises à jour de Defender et les définitions de logiciels malveillants sont appliquées correctement sur tous les terminaux et serveurs. Cet avertissement fait suite à des conseils distincts concernant le zero-day BitLocker de YellowKey récemment révélé, renforçant ainsi les inquiétudes concernant le ciblage continu des technologies de sécurité Windows essentielles par les acteurs de la menace.

La faille de GitHub liée à une extension malveillante de VS Code

GitHub a confirmé que la faille affectant environ 3 800 dépôts internes provenait d'une version malveillante de l'extension Visual Studio Code de Nx Console, distribuée lors de l'attaque de la chaîne d'approvisionnement npm de TanStack la semaine dernière. Cet incident met en évidence l'ampleur et la sophistication croissantes des menaces liées à la chaîne d'approvisionnement des logiciels qui ciblent les développeurs et les environnements CI/CD.

L'extension compromise aurait volé des identifiants et des secrets liés à des plateformes telles que GitHub, AWS, Kubernetes, Docker et npm. GitHub indique que l'attaque a commencé après qu'un employé a installé l'extension empoisonnée, permettant aux acteurs de la menace d'obtenir un accès non autorisé aux référentiels internes. L'entreprise a depuis procédé à la rotation des secrets critiques et sécurisé les systèmes affectés tout en poursuivant son enquête.

La campagne est liée au groupe de cybercriminels TeamPCP, qui a déjà été associé à des attaques visant des écosystèmes de développeurs tels que PyPI, npm, Docker et GitHub. Les chercheurs en sécurité avertissent que cet incident démontre que les outils et les extensions de développeurs fiables deviennent de plus en plus des vecteurs d'attaque de grande valeur. Les organisations sont invitées à renforcer la gouvernance des extensions, à examiner l'exposition des informations d'identification CI/CD et à renforcer la surveillance des environnements de développement et des dépendances logicielles tierces.

Augmentation des cyberincidents liés à l'IA dans les entreprises canadiennes

Une nouvelle étude a révélé qu'une entreprise canadienne sur trois a connu un cyberincident au cours de l'année écoulée qui, selon elle, impliquait l'intelligence artificielle, soulignant ainsi le rôle croissant de l'IA dans les cybermenaces modernes. Les attaques par hameçonnage figurent parmi les méthodes les plus fréquemment signalées, ce qui montre que les acteurs de la menace utilisent de plus en plus l'IA pour améliorer l'ampleur et la sophistication des campagnes d'ingénierie sociale.

L'enquête a révélé que l'adoption de l'IA par les entreprises canadiennes de taille moyenne a grimpé à 83 %, et que 14 % d'entre elles explorent activement cette technologie. Dans le même temps, 57 % des entreprises ont déclaré avoir subi au moins un cyberincident au cours des 12 derniers mois, tandis que les attaques liées aux fournisseurs et l'exposition des tiers ont également continué à augmenter.

Les chercheurs ont averti que les cyberrisques liés à l'IA ne se limitent plus aux systèmes internes, les faiblesses de la chaîne d'approvisionnement représentant désormais une préoccupation majeure pour les organisations comme pour les assureurs. Les résultats montrent également une augmentation des investissements dans la cybersécurité, la planification de la réponse aux incidents et la cyberassurance, alors que les entreprises tentent de renforcer leur résilience face à des menaces de plus en plus avancées basées sur l'IA.

Les cyberattaques mondiales se multiplient alors que les risques liés aux ransomwares et à la GenAI s'intensifient

Les cyberattaques ont continué à s'intensifier au niveau mondial tout au long du mois d'avril 2026, les organisations étant confrontées à une moyenne de 2 201 attaques par semaine, selon une nouvelle étude de Check Point Software Technologies. Le rapport souligne l'augmentation de l'activité des ransomwares, le ciblage accru des secteurs critiques et les préoccupations croissantes concernant l'exposition des données sensibles liées à l'utilisation de la GenAI dans les environnements d'entreprise.

L'Amérique latine reste la région la plus ciblée au niveau mondial, tandis que l'Afrique continue de subir une pression soutenue malgré une baisse du volume des attaques d'une année sur l'autre. Dans la région EMEA, l'Angola et le Nigeria ont enregistré le plus grand nombre d'attaques par organisation, l'Afrique du Sud enregistrant en moyenne 1 777 attaques par semaine. L'éducation reste le secteur le plus ciblé dans le monde, suivi par les administrations et les télécommunications.

Le rapport indique également que l'adoption de l'IA génère de nouveaux risques d'exposition, une invite d'IA d'entreprise sur 28 contenant des informations hautement sensibles. Parallèlement, les incidents liés aux ransomwares ont de nouveau augmenté en avril, sous l'impulsion de groupes tels que Qilin et DragonForce, ce qui renforce les inquiétudes concernant les perturbations opérationnelles, l'exposition de la chaîne d'approvisionnement et l'évolution des tactiques des cybercriminels.

Les chercheurs en sécurité préviennent que les organisations doivent renforcer la gouvernance, la visibilité et la gestion proactive des menaces, car les attaquants combinent de plus en plus l'automatisation, les ransomwares et les techniques basées sur l'IA pour étendre leurs opérations.

La faille de NYC Health + Hospitals affecte 1,8 million de patients

NYC Health + Hospitals a révélé qu'une cyberattaque majeure touchant ses systèmes a exposé des informations sensibles appartenant à au moins 1,8 million de personnes, ce qui en fait l'une des plus grandes violations de données de santé signalées cette année. Les attaquants auraient eu accès au réseau de l'organisation de novembre 2025 à février 2026 suite à la compromission d'un fournisseur tiers.

Selon le fournisseur de soins de santé, les données volées comprennent des dossiers médicaux, des détails d'assurance, des informations de facturation, des documents d'identification émis par le gouvernement et des données biométriques très sensibles telles que des scans d'empreintes digitales et palmaires. La faille aurait également révélé des informations de géolocalisation précises liées aux documents d'identité téléchargés, ce qui soulève des questions supplémentaires en matière de protection de la vie privée pour les personnes concernées.

Les organismes de santé restent des cibles privilégiées pour les cybercriminels en raison de la grande quantité d'informations personnelles et médicales sensibles qu'ils stockent. L'incident met également en évidence les risques croissants associés aux fournisseurs tiers et aux écosystèmes de soins de santé interconnectés, où la compromission d'un seul fournisseur peut entraîner une exposition étendue en aval.

Les experts en sécurité préviennent que les atteintes aux données biométriques sont particulièrement graves car, contrairement aux mots de passe ou aux données financières, les empreintes digitales et palmaires ne peuvent pas être simplement remplacées lorsqu'elles sont compromises.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.