Web PKI réinventé : Google lance les Merkle Tree Certificates pour l'ère post-quantique
📅 Source : Feisty Duck Cryptography & Security Newsletter, numéro 135, publié le 31 mars 2026.
🔐 Contexte général Cet article de newsletter spécialisée couvre plusieurs développements majeurs en cryptographie et PKI. Le sujet central est la refonte du Web PKI par Google via les Merkle Tree Certificates (MTCs), en réponse aux contraintes imposées par la cryptographie post-quantique (PQC) et les limites actuelles de Certificate Transparency (CT).
🌳 Merkle Tree Certificates : la refonte du Web PKI Google travaille depuis début 2023 sur une nouvelle architecture PKI. Fin 2025, ce travail a été transféré au groupe de travail IETF PLANTS, en collaboration avec Cloudflare. Les grandes étapes annoncées :
📢 WinDbg MCP : serveur exposant 55 outils de débogage Windows via le Model Context Protocol
📝 ## 🔧 Contexte
Publié le 02/04/2026 sur GitHub, **WinDbg MCP** est un projet open source qui expose l'intégralité des fonctions du débogueur Windows **pybag/WinDbg**...
📖 cyberveille : https://cyberveille.ch/posts/2026-02-04-windbg-mcp-serveur-exposant-55-outils-de-debogage-windows-via-le-model-context-protocol/
🌐 source : https://github.com/gengstah/windbg-mcp
#IOC #MCP #Cyberveille
WinDbg MCP : serveur exposant 55 outils de débogage Windows via le Model Context Protocol
🔧 Contexte Publié le 02/04/2026 sur GitHub, WinDbg MCP est un projet open source qui expose l’intégralité des fonctions du débogueur Windows pybag/WinDbg sous forme d’outils natifs MCP (Model Context Protocol). Il s’adresse aux développeurs, chercheurs et agents IA souhaitant automatiser l’analyse de processus, de sessions kernel ou de crash dumps.
⚙️ Fonctionnement technique Le serveur s’exécute comme un processus stdio local et communique via JSON-RPC 2.0. Il expose 55 outils couvrant :
📢 80% des fabricants britanniques victimes de cyberattaques, des pertes dépassant £250 000
📝 ## 🗞️ Contexte
Article publié le 1er avril 2026 par *The Register*, basé sur une étude de la société de cybersécurité *...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-03-80-des-fabricants-britanniques-victimes-de-cyberattaques-des-pertes-depassant-ps250-000/
🌐 source : https://www.theregister.com/2026/04/01/uk_manufacturer_cyberattacks/
#AI_assisted_attacks #TTP #Cyberveille
80% des fabricants britanniques victimes de cyberattaques, des pertes dépassant £250 000
🗞️ Contexte Article publié le 1er avril 2026 par The Register, basé sur une étude de la société de cybersécurité ESET portant sur le secteur manufacturier britannique.
📊 Chiffres clés de l’étude ESET 78% des fabricants britanniques déclarent avoir subi au moins un incident cyber au cours des 12 derniers mois Plus de la moitié signalent des pertes de revenus directes Dans plus de la moitié des incidents les plus graves, les pertes ont dépassé £250 000 Presque tous les répondants ont constaté un impact opérationnel direct La majorité des interruptions durent plusieurs jours, parfois près d’une semaine 1 fabricant sur 5 dispose d’une visibilité limitée ou nulle sur les menaces cyber Près de la moitié des répondants identifient les attaques assistées par IA comme la principale menace pour l’année à venir, devant le phishing et les ransomwares Seulement 22% des entreprises placent la cybersécurité au niveau exécutif Plus d’un cinquième des entreprises adoptent encore une posture réactive plutôt que préventive 🏭 Incident de référence : Jaguar Land Rover L’article cite l’attaque contre Jaguar Land Rover comme exemple emblématique : l’entreprise a été contrainte d’arrêter sa production, avec des perturbations s’étendant sur plusieurs semaines et un impact économique global estimé à £1,9 milliard, en incluant les fournisseurs, les retards et la perte de production.
Analyse technique : fonctionnement des exit nodes Tailscale et modèle de confiance réseau
📅 Source : tech.stonecharioteer.com, publié le 31 mars 2026. Article technique personnel décrivant une expérimentation approfondie des exit nodes Tailscale sur une infrastructure domestique (Proxmox LXC).
🔧 Architecture technique Tailscale repose sur WireGuard comme plan de données, auquel il ajoute un plan de contrôle gérant : l’identité/SSO, la découverte de pairs, la traversée NAT, la distribution des ACL et routes, MagicDNS, et la révocation rapide de dispositifs.
Le flux de connexion entre pairs :
📢 BadAML : exécution de code arbitraire dans des VMs confidentielles via les tables ACPI
📝 ## 🔍 Contexte
Article technique publié le 26 mars 2026 par Paul Meyer (Edgeless Systems) sur le blog katexochen.aro.bz.
📖 cyberveille : https://cyberveille.ch/posts/2026-04-03-badaml-execution-de-code-arbitraire-dans-des-vms-confidentielles-via-les-tables-acpi/
🌐 source : https://katexochen.aro.bz/posts/badaml/
#ACPI_injection #AML_bytecode #Cyberveille
BadAML : exécution de code arbitraire dans des VMs confidentielles via les tables ACPI
🔍 Contexte Article technique publié le 26 mars 2026 par Paul Meyer (Edgeless Systems) sur le blog katexochen.aro.bz. L’auteur décrit la reproduction complète de l’attaque BadAML contre la plateforme Contrast (runtime Kubernetes basé sur des CVMs) et la mise en place d’une mitigation.
🎯 Description de l’attaque BadAML BadAML est une attaque exploitant les tables ACPI fournies par l’hôte pour obtenir une exécution de code arbitraire à l’intérieur de VMs confidentielles (CVMs), contournant leurs garanties d’isolation mémoire.
BPFDoor : Rapid7 identifie 7 nouveaux variants furtifs avec balises actives et ciblage HPE ProLiant
🔍 Contexte Publié le 2 avril 2026 par Rapid7, cet article accompagne la sortie d’un whitepaper technique dédié à de nouveaux variants du backdoor BPFDoor, un implant Linux furtif utilisé dans des campagnes d’espionnage attribuées à des acteurs chinois. L’analyse couvre sept variants inédits (désignés F à L) identifiés lors de recherches en cours.
🧬 Variants identifiés Variant F :
Se dissimule sous /var/run/user/0 pour éviter les logs auditd liés à chmod Effectue un wipe complet des file descriptors et du timestomping Utilise un filtre BPF de 26 instructions avec de nouveaux magic bytes Deux ensembles de magic bytes distincts selon les samples Variant G :
ChatGPT : exfiltration silencieuse de données via un canal DNS caché dans le runtime d'exécution
🔍 Contexte Publié le 30 mars 2026 par Check Point Research, cet article détaille la découverte d’une vulnérabilité d’exfiltration de données dans l’environnement d’exécution de code de ChatGPT (OpenAI). La faille a été corrigée par OpenAI le 20 février 2026 après signalement par CPR.
🧩 Mécanisme de la vulnérabilité L’environnement d’exécution Python de ChatGPT (Data Analysis / Code Execution) est censé être isolé d’internet. Cependant, CPR a découvert que la résolution DNS restait disponible malgré le blocage des connexions sortantes directes. Cette caractéristique a permis de construire un tunnel DNS entre le runtime isolé et un serveur contrôlé par l’attaquant :
Cisco victime d'une violation via l'attaque supply chain Trivy : code source et clés AWS volés
🗓️ Contexte Source : BleepingComputer, article de Lawrence Abrams publié le 31 mars 2026. L’article rapporte une violation de l’environnement de développement interne de Cisco, directement liée à l’attaque supply chain ayant compromis le scanner de vulnérabilités Trivy.
🔓 Vecteur d’intrusion Les attaquants ont exploité un plugin GitHub Action malveillant introduit lors de la compromission de Trivy pour dérober des identifiants CI/CD de Cisco. Ces credentials ont ensuite permis l’accès à l’environnement de build et de développement de l’entreprise, impactant des dizaines d’appareils, dont des postes de travail de développeurs et des machines de laboratoire.
France : Google, Cloudflare et Cisco contraints de bloquer des domaines pirates par la justice
📰 Contexte Source : korben.info (via TorrentFreak), publié le 2 avril 2026. La cour d’appel de Paris a rendu une décision confirmant les ordonnances de première instance du tribunal judiciaire de Paris dans cinq affaires distinctes opposant Canal+ à des fournisseurs de DNS alternatifs.
⚖️ Décision judiciaire La cour d’appel de Paris a rejeté cinq appels simultanés formés par Google (Google Public DNS), Cloudflare (1.1.1.1) et Cisco (OpenDNS). Ces entreprises sont désormais contraintes de bloquer des centaines de noms de domaine liés au streaming illégal et à l’IPTV pirate.
Hack de Drift Protocol : 285 M$ volés par des hackers nord-coréens via manipulation d'oracle et ingénierie sociale
🗓️ Contexte Source : TRM Labs, publiée le 3 avril 2026. Cet article couvre l’attaque survenue le 1er avril 2026 contre Drift Protocol, le plus grand exchange décentralisé de contrats perpétuels sur la blockchain Solana. TRM Labs qualifie cet incident de plus grand hack DeFi de 2026 et attribue l’attaque à des hackers nord-coréens.
🎯 Nature de l’attaque L’attaque repose sur une combinaison de trois vecteurs :
Ingénierie sociale : manipulation des signataires du multisig du Security Council de Drift pour leur faire pré-signer des transactions apparemment routinières mais contenant des autorisations administratives cachées Manipulation d’oracle : création d’un token fictif — CarbonVote Token (CVT) — avec 750 millions d’unités mintées, quelques milliers de dollars de liquidité sur Raydium, et du wash trading pour simuler un prix proche de 1 USD, trompant les oracles de Drift Exploit de gouvernance : exploitation d’une migration du Security Council vers une configuration 2/5 sans timelock, réalisée le 27 mars 2026, supprimant la dernière ligne de défense du protocole 📅 Chronologie 11 mars 2026 : début du staging on-chain ; retrait de 10 ETH depuis Tornado Cash 12 mars 2026 (~00h00 GMT / 09h00 heure de Pyongyang) : déplacement des ETH et déploiement du token CVT 23-30 mars 2026 : création de comptes « durable nonce » sur Solana pour pré-signer des transactions 27 mars 2026 : migration du Security Council vers une configuration zero-timelock 1er avril 2026 : exécution de l’exploit en 12 minutes via 31 transactions de retrait drainant USDC et JLP 2 avril 2026 : confirmation officielle par Drift Protocol ; la majorité des fonds bridgés vers Ethereum en quelques heures 💰 Impact 285 millions USD de fonds utilisateurs dérobés Plus grand hack DeFi de 2026 Deuxième plus grand exploit de l’histoire de Solana (derrière le hack Wormhole de 2022 : 326 M$) Le token DRIFT a chuté de plus de 40% Dépôts et retraits suspendus par le protocole Vitesse et volume de blanchiment supérieurs à ceux de l’exploit Bybit de 2025 🔍 Attribution TRM Labs attribue l’attaque à des hackers nord-coréens sur la base d’indicateurs on-chain, notamment l’heure d’activité initiale (09h00 heure de Pyongyang) et les méthodes employées. L’enquête est en cours.
CyberVeille.ch