Un virus Mac conçu pour manipuler l'IA chargée de le traquer
SentinelOne a documenté une nouvelle backdoor macOS qu'elle nomme Gaslight, attribuée avec un haut niveau de confiance à un groupe lié à la Corée du Nord. Il s'agit d'un infostealer écrit en Rust, mais la nouveauté réside dans l'anti-analyse : le binaire embarque 38 faux messages d'erreur, des rapports de crash fabriqués, des dumps mémoire et des alertes de sécurité, rédigés comme des injections de prompt pour amener les outils d'analyse assistés par IA à douter de leur propre session et à abandonner, tronquer ou refuser le travail. SentinelOne n'a pas démontré que cela met en échec une plateforme spécifique, mais cela montre que les attaquants visent désormais l'analyste IA, pas seulement le sandbox.
Source: BleepingComputer · SentinelOne, 25 Jun 2026
Mon analyse
Deux constats s'imposent simultanément. Premier constat : le malware rédige maintenant de faux messages d'erreur pour que l'analyste IA doute de lui-même et se retire. La cible n'est pas le sandbox. C'est la confiance du relecteur. Une injection de prompt, dirigée contre vos outils.
Deuxième constat, et c'est celui que j'ai vécu cette semaine. J'ai audité une organisation à Bruxelles qui m'a affirmé, sans sourciller, n'avoir jamais entendu parler d'un virus sur Apple, et ne déploie donc ni antivirus ni centralisation de logs sur ces machines. Il s'agit ici d'une backdoor nord-coréenne pour macOS. Le mythe selon lequel les Mac sont sûrs est exactement ce qui vous rend aveugle sur les appareils qu'un attaquant convoite le plus.
La protection des endpoints et la centralisation des logs ne sont pas des sujets Windows. Ce sont des sujets valables partout où vous avez des endpoints. Si vous ne pouvez pas voir, vous ne pouvez pas défendre, quel que soit le logo sur le couvercle.
Un bloqueur de publicités à 10 millions d'installations, à un interrupteur du détournement de votre navigateur
Des chercheurs d'Island ont constaté qu'Adblock for YouTube, une extension Chrome avec plus de 10 millions d'installations et un badge Featured, embarque les mécanismes nécessaires à l'exécution arbitraire de JavaScript sur n'importe quel site, activables par un simple changement côté serveur, sans mise à jour de l'extension et sans revue du store. Malgré son nom, elle s'exécute sur chaque page visitée, et son contrôle de sécurité sur youtube.com est trivialement contournable en plaçant cette chaîne n'importe où dans une URL. Aucune preuve qu'une charge malveillante ait été déployée, mais la capacité est dormante, pas absente, et l'extension partage une filiation avec d'autres déjà retirées pour malware.
Source: The Hacker News · Island research, 25 Jun 2026
Mon analyse
Dix millions d'installations. Un badge Featured. Le type d'extension sur laquelle personne ne s'interroge deux fois. Et à un interrupteur côté serveur près de lire chaque page que vous ouvrez et d'agir en votre nom dans vos panneaux d'administration.
Personne n'est trop gros pour échouer, et aucun compteur d'installations ne vaut une revue de sécurité. La popularité n'est pas de la confiance. Un badge n'est pas un audit. La capacité était là, dormante, ce qui signifie que la version sûre et la version dangereuse sont le même téléchargement.
Traitez les extensions navigateur comme les logiciels privilégiés qu'elles sont. Elles voient tout ce que vous voyez. Inventoriez-les, justifiez chacune d'elles, et supprimez celles que personne ne peut expliquer. Le bloqueur de publicités qui tourne sur votre onglet bancaire n'a jamais été gratuit.
Un code d'éthique pour les CISO, et ça ne devrait pas s'arrêter là
Dans le podcast Dark Reading Confidential, le vétéran de la sécurité Robert "RSnake" Hansen a remis sur la table son plaidoyer pour un code d'éthique des CISO. Les cibles visées : les rétro-commissions, les contrats de conseil sans prestation réelle, et les shelfwares achetés pour des raisons sans rapport avec la sécurité. Son argument : le pouvoir d'achat d'un CISO, non déclaré, peut discrètement servir des intérêts autres que ceux de l'entreprise, et qu'en matière de sécurité les conséquences dépassent un seul budget pour toucher la sécurité nationale. Le remède auquel il revient sans cesse est sans glamour : tout déclarer à sa direction, et la laisser juger du conflit.
Source: Dark Reading · Dark Reading Confidential, 24 Jun 2026
Mon analyse
Oui. Et cela ne devrait pas s'arrêter aux CISO. Étendez-le à toute personne travaillant dans la sécurité, et à toute personne cherchant à y entrer.
Voici ce autour de quoi tourne la conversation, et je vais le dire clairement. Je peux vous enseigner les techniques. Les frameworks, les audits, les chaînes d'exploitation, les contrôles, tout. Je ne peux pas vous enseigner l'intégrité. Ça, vous l'apportez, ou vous ne l'apportez pas.
L'ensemble du code d'éthique, réduit à l'essentiel, c'est une seule habitude : déclarer. Dites à votre direction ce que vous recevez et de qui, et laissez-la juger. Ceux qui refusent de le faire vous disent quelque chose. Croyez-les.
Le marché vient d'admettre que l'IA ne remplacera pas votre pentester
Un nouveau rapport de la société de pentest Cobalt révèle un net changement de perception. En 2025, près de trois professionnels de la sécurité sur dix estimaient qu'une IA totalement autonome pouvait répondre à leurs besoins en tests de sécurité. En 2026, après un an d'usage réel, ce chiffre est tombé à neuf pourcent. Les outils ont des angles morts, génèrent des faux positifs, et 78 % des entreprises déclarent que l'automatisation a manqué des vulnérabilités significatives. Le modèle auquel les praticiens font désormais confiance est le human-in-the-loop : laisser l'agent couvrir une large surface et effectuer un premier passage, puis laisser un humain expérimenté assurer la profondeur et le jugement. À long terme, davantage d'autonomie est attendue. Aujourd'hui, l'humain fait encore la différence.
Source: Dark Reading · Cobalt report, 26 Jun 2026
Mon analyse
D'accord, et j'ai un reçu récent. J'ai demandé à une société de pentest de s'attaquer à ma propre application développée en vibe-coding. Bonjour Cresco.be et Waked. J'avais déjà effectué de nombreux passages avec des LLM et des outils assistés par IA au préalable.
Ils ont trouvé des choses que l'IA et le LLM n'ont pas trouvées. De vrais problèmes, manqués par la machine. Bon travail, et bravo. Le battage médiatique nous annonçait qu'une IA autonome remplacerait le pentester cette année. Le marché vient de revoir ce chiffre de vingt-neuf pourcent à neuf.
J'utilise l'IA tous les jours et elle me rend plus rapide. Mais plus rapide ne signifie pas terminé. La couverture en largeur appartient à la machine. Le jugement reste celui d'une personne. Quiconque vous vend une autonomie totale aujourd'hui vous vend les faux négatifs dont vous n'entendrez parler que trop tard.
Washington a coupé l'accès à l'IA la plus puissante, puis a choisi qui le récupère
Deux décisions, une même image. À la suite d'une directive américaine sur le contrôle des exportations invoquant la sécurité nationale et un jailbreak revendiqué, Anthropic a brusquement désactivé ses modèles les plus capables, Fable 5 et Mythos 5, pour tous les ressortissants étrangers ; puis, environ deux semaines plus tard, a été autorisée à rétablir un accès limité à une centaine d'organisations d'infrastructure critique vérifiées. Anthropic conteste le fondement de la décision, qualifiant la technique citée de jailbreak étroit disponible dans d'autres modèles également. Quelques jours plus tard, OpenAI a présenté GPT-5.6 Sol, son modèle cyber le plus capable, à un petit groupe de partenaires agréés par le gouvernement. Un nouveau décret exécutif américain met en place un cadre pour désigner les « covered frontier models » dotés de capacités cyber avancées.
Source: The Hacker News · US directive; plus OpenAI GPT-5.6 Sol, Jun 2026
Mon analyse
Prenez du recul par rapport aux détails cybersécurité et regardez la forme que ça prend. L'IA la plus puissante de la planète est désormais quelque chose qu'un gouvernement allume et éteint. Coupée pour les ressortissants étrangers du jour au lendemain. Rétablie, deux semaines plus tard, pour une centaine de sélectionnés. Présentée uniquement à des partenaires agréés.
Voici ma lecture, et c'est une opinion, pas un fait. Pour ceux d'entre nous qui sont hors des États-Unis, l'accès à l'IA de frontière est discrètement devenu une licence que Washington octroie et peut révoquer. C'est une question de souveraineté, pas une question technologique. Si votre feuille de route, vos outils ou votre programme de sécurité supposent qu'un modèle américain spécifique sera toujours disponible, vous construisez sur un terrain loué.
Je ne vous dis pas quel modèle utiliser. Je vous dis de savoir de quelle permission dépend votre stack, et de conserver une deuxième option qui n'en a pas besoin. La souveraineté numérique a cessé d'être un sujet de conférence ce mois-ci. Elle est devenue une décision d'achat.