Résumé des Actualités Cybersécurité

(Semaine #8, 2026)

Les clés API Google « publiques » peuvent désormais exposer des données via Gemini

Un changement de périmètre fait que certaines clés Google Cloud/Maps historiquement considérées comme « non secrètes » peuvent être réutilisées comme identifiants pour l’API Gemini, ouvrant la porte à de l’accès non autorisé à des données et/ou à une facture cloud qui explose si ces clés traînent dans du code public. Faites l’inventaire, restreignez, puis faites une rotation des clés concernées.
[Article Original]

Plus de 900 instances FreePBX compromises via des web shells (attaque en cours)

Des serveurs téléphoniques Sangoma FreePBX seraient compromis à grande échelle avec dépôt de web shells, ce qui permet aux attaquants de conserver l’accès et de rebondir vers d’autres systèmes (risque fort pour les PME). Priorité: vérifier l’exposition Internet, corriger, chasser les web shells et renouveler les secrets.
[Article Original]

La CISA alerte: le malware RESURGE peut rester dormant sur des équipements Ivanti

Alerte opérationnelle: une implantation (RESURGE) peut rester en sommeil sur des appliances Ivanti, ce qui complique la détection “à l’instant t” et favorise les réinfections. Il faut combiner correctifs, inspection de l’intégrité, et recherche d’IOC sur les équipements concernés.
[Article Original]

APT37 (Corée du Nord) étend ses techniques pour atteindre des réseaux « air-gapped »

Des rapports décrivent une évolution de l’outillage d’APT37/ScarCruft, avec des scénarios d’infection qui visent les environnements isolés (ex: usage de supports amovibles/chaînes de transfert). Message clé: “air-gapped” ne veut pas dire “immunisé” si les flux humains/USB ne sont pas strictement maîtrisés.
[Article Original]

Faux « contrôle de sécurité Google » transformé en RAT de navigateur (PWA + abus de permissions)

Une fausse page de “Security Check” imite Google et abuse de fonctionnalités légitimes du navigateur (installation en PWA, notifications push, accès contacts/GPS/presse-papiers) pour créer un poste espion sans application classique. Le risque est surtout l’ingénierie sociale: l’utilisateur accorde lui-même les permissions.
[Article Original]

Key Cybersecurity Threats

• Vol/abus de secrets “oubliés” dans le code (clés API, tokens, identifiants CI/CD) : avec l’exemple des clés Google réinterprétées côté Gemini, la menace est la même partout: un secret exposé “hier” peut devenir critique “aujourd’hui”. Priorité: détection de secrets, rotation, et limitation stricte des API par service, IP et quotas.
• Compromission d’équipements en bordure (VoIP/FreePBX, appliances VPN/accès distant type Ivanti) : ce sont des cibles idéales car exposées, souvent mal supervisées, et utiles pour pivoter. Cette semaine illustre le duo classique: exploitation puis persistance (web shells/dormance).
• Ingénierie sociale “moderne” (PWA, fausses pages de sécurité, demandes de permissions) : au lieu de “hacker” un navigateur, on convainc l’utilisateur d’installer une web-app et d’ouvrir des droits. Résultat: exfiltration, suivi, et parfois proxying de trafic via le navigateur de la victime.

« En sécurité, le danger n’est pas seulement ce que vous ne voyez pas, mais ce que vous avez autorisé sans le comprendre. »

Conseil de la semaine (actionnable en 30 minutes):

1. Faites un scan “secrets” sur vos dépôts (publics et privés) + vos bundles front (JavaScript) pour repérer clés API exposées.
2. Dans Google Cloud, vérifiez si l’API “Generative Language / Gemini” est activée, puis restreignez et tournez toutes les clés pouvant l’utiliser.
3. Côté utilisateurs: rappelez la règle simple: aucun “contrôle de sécurité” ne demande d’installer une PWA ou d’accorder Contacts/GPS via un pop-up.