Cryptolab.re

Homebrew 6.0.0 renforce la sécurité des taps et déploie le sandboxing Linux. Zcash Orchard : une vulnérabilité de 4 ans découverte par IA, impossible à savoir si exploitée. Let’s Encrypt, trop seul au monde ?

Freebox 4.11.1 déploie le DNS local .home après 15 ans d’attente, zeropod v0.12.0 corrige les probes K8s, et les outils auto-hébergés Keeper, Euro-Office passent au crible.

En bref # Instructure (Canvas) rançonnée : ShinyHunters revendique 3.65 To de données, rançon payée. Exchange Server zero-day (CVE-2026-42897) : XSS dans OWA, pas de patch, exploitation active. BitLocker YellowKey (CVE-2026-45585) : contournement du chiffrement disque avec accès physique. Gitea/Forgejo (CVE-2026-27771) : 30 000+ instances exposent leurs images privées depuis 4 ans. Verizon DBIR 2026 : 48 % des brèches impliquent un tiers, +60 % sur un an. Chrome 148 : 2 correctifs critiques sur Linux (WebRTC UAF, UI spoofing).

Le 19 mars 2026, un groupe identifié comme TeamPCP a publié une version malveillante de Trivy, le scanner de vulnérabilités le plus utilisé du monde conteneurisé. L’attaque est exemplaire dans sa mécanique. TeamPCP a compromis le compte aqua-bot qui gère les releases de Trivy. Avec ce token, ils ont poussé un commit qui remplaçait actions/checkout par un fork malveillant, téléchargeant du code depuis un domaine typosquatté. Le flag --skip=validate de goreleaser était activé pour contourner la validation. En quelques minutes, 76 des 77 tags de version de trivy-action étaient force-pushés vers des commits infectés. Les 7 tags de setup-trivy étaient tous remplacés. Le payload était un credential stealer : dump de la mémoire du runner GitHub via /proc/<pid>/mem, sweep de 50+ chemins pour SSH keys, tokens AWS/GCP/Azure, secrets Kubernetes, Docker configs, fichiers .env, identifiants de base de données, wallets crypto. Les données étaient chiffrées en AES-256-CBC avec RSA-4096 et exfiltrées vers un serveur C2. Trois jours plus tard, des images Docker Hub v0.69.5 et v0.69.6 arrivaient avec le même payload. Et un ver npm, CanisterWorm, se propageait via le paquet containers-check. Aqua Security a détecté l’intrusion initiale fin février 2026 et avait rotationné des credentials. Mais la rotation n’était pas atomique. TeamPCP a gardé un accès résiduel via des tokens non révoqués. Le plus frappant n’est pas la sophistication. C’est la banalité du point d’entrée : un token CI mal rotationné. Et la confiance qu’on accorde à un outil qui est censé améliorer la sécurité.

En bref # Proxmox VE 9.2 avec Load Balancer natif, SDN BGP/WireGuard, et Debian 13. Microsoft Azure Linux 4.0 : leur première distro grand public, immutable, orientée AI/K8s. Plex Lifetime à 750 $ le 1er juillet. Oui, vous avez bien lu. 3 800 repos GitHub compromis par une extension VS Code malveillante installée par un employé. Jellyfin profite de la panique Plex en « quadruplant » son prix (4 × 0 $ = 0 $).

La cryptographie post-quantique n’est pas de la science-fiction. L’attaque Harvest Now, Decrypt Later invite à préparer les usages crypto dès maintenant. Guide pratique pour auditer les usages, prioriser les risques et préparer une migration progressive vers l’hybridation.