Les patchs de sécurité de juin 2026 pour Android corrigent 124 vulnérabilités, dont une faille de sécurité zero-day patchée par Google (CVE-2025-48595).
Le post Android : le patch de juin 2026 corrige une faille zero-day déjà exploitée a été publié sur IT-Connect.
Canonical a récemment dévoilé Ubuntu Core 26, la nouvelle version de ce système d'exploitation immuable : voici les nouveautés principales.
Le post Ubuntu Core 26 LTS : ce système immuable continue de s’améliorer a été publié sur IT-Connect.
Le gestionnaire de mots de passe Dashlane a été la cible d'une vaste campagne d'attaques par brute force au cours du week-end du 31 mai 2026.
Le post Dashlane : des vagues de connexions suspectes font paniquer les utilisateurs a été publié sur IT-Connect.
Le CCB a publié une alerte à propos de la CVE-2026-41089, une faille présente dans le service Netlogon de Windows Server : elle est exploitée par les pirates.
Le post Windows Server – CVE-2026-41089 : cette faille critique dans Netlogon est exploitée ! a été publié sur IT-Connect.
Microsoft et Nightmare Eclipse continuent de s'affronter : l'éditeur américain s'est exprimé et a décidé de supprimer le compte GitHub du chercheur.
Le post Microsoft rappelle à l’ordre Nightmare Eclipse et supprime son GitHub a été publié sur IT-Connect.
Face à la puissance du modèle IA Claude Mythos d'Anthropic, l'administration américaine est opposée à ce que l'Union européenne puisse y avoir accès.
Le post La Maison Blanche veut garder le contrôle de Claude Mythos : l’UE toujours écartée a été publié sur IT-Connect.
Une faille de sécurité découverte dans le service VPN GlobalProtect de Palo Alto Networks est actuellement exploitée par les cybercriminels : CVE-2026-0257.
Le post Palo Alto – CVE-2026-0257 : cette faille dans le VPN est activement exploitée ! a été publié sur IT-Connect.
Un bug vieux de 19 ans vient d'être découvert dans le noyau Linux. Baptisé CIFSwitch, il permet à n'importe quel utilisateur sans privilèges d'obtenir un accès root complet — et l'exploit est déjà public.
Un bug vieux de 19 ans vient d'être découvert dans le noyau Linux. Baptisé CIFSwitch, il permet à n'importe quel utilisateur sans privilèges d'obtenir un accès root complet — et l'exploit est déjà public.
CIFSwitch, c'est le nom de la nouvelle vulnérabilité permettant une élévation de privilèges en local sur Linux et présente dans le code du noyau depuis 19 ans.
Le post CIFSwitch : cette faille Linux présente depuis 19 ans offre un accès root a été publié sur IT-Connect.
La popularité de la Formule 1 ne profite pas qu'aux écuries et aux diffuseurs. Dans l'ombre, une autre industrie tourne à plein régime : la cybercriminalité. Rencontre avec Bogdan Botezatu, directeur de la recherche sur les menaces chez Bitdefender, qui a cartographié les risques cyber auxquels s'exposent les fans du sport automobile.
La popularité de la Formule 1 ne profite pas qu'aux écuries et aux diffuseurs. Dans l'ombre, une autre industrie tourne à plein régime : la cybercriminalité. Rencontre avec Bogdan Botezatu, directeur de la recherche sur les menaces chez Bitdefender, qui a cartographié les risques cyber auxquels s'exposent les fans du sport automobile.
Anthropic va rendre accessible Claude Mythos au grand public dans les prochaines semaines. Il est plus puissant que le modèle actuel, Claude Opus 4.8.
Le post Anthropic confirme l’arrivée de Claude Mythos dans les prochaines semaines a été publié sur IT-Connect.
La Coupe du Monde de la FIFA 2026 arrive et les cybercriminels sont déjà prêts ! La preuve avec plusieurs campagnes, dont GHOST STADIUM.
Le post GHOST STADIUM : 4 300 faux sites FIFA menacent la Coupe du Monde 2026 a été publié sur IT-Connect.
Une faille dans Starlette, un framework Python que la plupart des développeurs n'ont jamais installé consciemment, a exposé des millions de serveurs d'agents IA à des accès non autorisés. Des boîtes mail, des bases de données médicales et des équipements industriels étaient accessibles sans mot de passe.
Les chercheurs de X41 D-Sec viennent de divulguer une faille critique baptisée BadHost (CVE-2026-48710) dans Starlette, le framework Python qui sert de fondation à FastAPI, vLLM , LiteLLM et une grande partie des serveurs MCP basés sur FastAPI.
325 millions de téléchargements par semaine, et il suffit d'injecter un seul caractère dans le header HTTP "Host" pour contourner les contrôles d'accès path-based qui lisent "request.url.path" dont autant dire que beaucoup de déploiements d'agents IA en production tournent en ce moment avec une porte d'entrée très mal verrouillée.
Le proof of concept publié par OSTIF donne ceci :
Connexioncurl -i -H 'Host: foo' http://target/admin # 403, bloqué
curl -i -H 'Host: foo?' http://target/admin # 200, ça passe !!
Et c'est tout ! Un simple point d'interrogation collé au Host header, et l'endpoint "/admin" qui jusqu'alors filtrait les non-authentifiés s'ouvre alors aussi facilement que le claque-merde de mes haters ^^.
Donc si votre infra utilise FastAPI, vLLM ou LiteLLM exposés directement en ASGI (uvicorn, hypercorn, granian) sans reverse proxy strict devant, vous pouvez tester votre exposition immédiatement grâce au scanner de BadHost développé par Nemesis et X41 D-Sec.
Niveau mécanique, Starlette reconstruit l'objet "request.url" en concaténant la valeur du header "Host" avec le path de la requête, puis re-parse le tout. Sauf que la valeur de "Host" n'est jamais validée donc si vous y injectez un "/", un "?" ou un "#", vous décalez la frontière entre path, query et fragment au moment du re-parse.
Du coup, le routeur Starlette dispatche sur le vrai path de la requête HTTP (donc votre endpoint sensible s'exécute bien), mais les middlewares qui lisent "request.url.path" voient simplement un path empoisonné qui ne correspond plus à rien d'interdit.
Donc le contrôle d'accès saute et le code derrière tourne quand même. On est sur un score CVSS de 7/10 et la boite de sécu Secwest estime même que cette note est largement sous-estimée... En gros c'est super grave !
Car la portée réelle ce sont surtout les serveurs MCP qui peuvent stocker ou manipuler des tokens et identifiants pour accéder aux ressources externes auxquelles les agents IA se connectent : bases de données, comptes mail, calendriers, S3, webhooks...etc
Bref, le genre de "coffre-fort" que vous ne voulez pas voir ouvert via un header HTTP à la con malformé. Markus Vervier de X41 D-Sec a même publié un petit échantillon de ce que leurs scanners ont déjà trouvé en production : Des bases de données d'essais cliniques chez des biopharmas, des données de vérification d'identité avec PII en temps réel, des accès SSH à des équipements industriels via bastion, des boites mails complètes en lecture/écriture, des listes de souscripteurs CMS, des topologies AWS complètes avec metric queries.
Bref, l'écosystème agents IA vient de passer en mode naturiste !
Pour régler ce problème, vous devez donc mettre à jour vers Starlette 1.0.1 ou supérieur, dans tous vos déploiements LLM qui l'intègrent... Et là c'est le bordel parce qu'il y en a partout : Dans les images Docker, les virtualenvs et les artefacts "vendorisés" un peu partout... Donc faut tout rebuilder.
Et si vous avez du code custom, l'OSTIF recommande aussi de remplacer request.url.path par request.scope["path"] partout où une décision de sécurité est prise.
En gros, lire la valeur non reconstruite est le "fix" qui survivra aux prochaines versions du bug, parce que croyez-moi, ça reviendra à coup sûr !
Maintenant, côté infra, X41 D-Sec et OSTIF indiquent que nginx, Apache httpd et Cloudflare rejettent le PoC par défaut, mais ça ne doit pas vous empêcher de vérifier votre config. Donc ne traitez votre reverse proxy comme une mitigation qu'après l'avoir testé explicitement avec le scanner Nemesis.
Au-delà du correctif technique, BadHost rappelle une mécanique qu'on a déjà vue avec la faille RCE de llama-cpp-python à savoir que la chaîne d'approvisionnement de l'IA ne tient que sur quelques mainteneurs bénévoles qui prennent des risques personnels énormes pour patcher proprement.
Kludex, le mainteneur de Starlette, est actuellement sous une avalanche de reports depuis des mois. L'audit qui a permis de trouver le bug a par ailleurs été financé par OSTIF et AWS et sans ça, BadHost serait encore probablement dans la nature pour un an voire plus avant d'être découvert plus naturellement.
Donc si votre boîte fait tourner du LLM en prod via FastAPI, vLLM ou LiteLLM, vous avez aujourd'hui 2 choses urgentes à faire : 1/ passer votre infra dans le scanner Nemesis, et 2/ envoyer un petit don à Kludex pour le soutenir !
Sources : Ars Technica , OSTIF
Une faille dans Starlette, un framework Python que la plupart des développeurs n'ont jamais installé consciemment, a exposé des millions de serveurs d'agents IA à des accès non autorisés. Des boîtes mail, des bases de données médicales et des équipements industriels étaient accessibles sans mot de passe.
L'infrastructure du botnet Glassworm a été démantelée grâce à une action menée conjointement par CrowdStrike, Google et The Shadowserver Foundation.
Le post Supply Chain : le botnet Glassworm ciblant GitHub et VS Code a été démantelé ! a été publié sur IT-Connect.
MDASH, c'est le nom système IA spécialisé dans la découverte de vulnérabilités mis au point par Microsoft. Il serait plus performant que Claude Mythos.
Le post MDASH : l’IA de Microsoft plus efficace que Claude Mythos pour trouver des failles a été publié sur IT-Connect.
