🏆 Top news du mois de mai
GitHub bannit le chercheur de l'exploit YellowKey, qui menace Microsoft de représaillesBanni de GitHub par Microsoft, « Nightmare-Eclipse » a migré vers GitLab et menace de divulguer de nouvelles failles 0-day le 14 juillet.
En lire plus...
Copy.fail – test de mémorisation des IACopy.fail est un outil expérimental qui permet d’évaluer si un modèle d’IA peut reproduire des contenus ou en révéler des fragments, afin de mieux comprendre ses limites de mémorisation.
En lire plus...
Cyberattaque : le sous-traitant au centre de la criseLa CNIL publie régulièrement des cas réels de violations de données afin d’aider les professionnels à prévenir les risques liés aux données confiées à leurs sous-traitants.
En lire plus...📰 News
04/05/2026 OpenAI lance un mode de sécurité renforcé basé sur les YubiKeys
OpenAI vient de lancer Advanced Account Security, un mode de protection inédit pour les comptes ChatGPT en s’associant à Yubico.
04/05/2026 Plus d'un million de sites web exposés à la faille cPanel
Une vulnérabilité critique dans les panneaux de contrôle Linux cPanel et WHM utilisés par les hébergeurs web est activement exploitée. Mettant à risque plus d'un million de sites web dans le monde, elle nécessite d'installer dès que possible des mises à jour correctives.
11/05/2026 Les usages malveillants de l'IA
Publication d'une revue sur l'utilisation de l'IA par les acteurs malveillants menée par les chercheurs de Google.
18/05/2026 Tourisme : le réseau d'hébergements Gites de France a son tour victime d'un vol de données
Après les groupes Pierre et Vacances-Center Parcs et Belambra, le réseau d'hébergements Gites de France a annoncé dimanche avoir été victime d'une fuite de données de ses clients, mais "aucune donnée bancaire n'a pu être collectée". Tous trois ont annoncé porter plainte.
18/05/2026 Pwn2Own Berlin 2026 : 47 failles zero-day découvertes
Le concours de cybersécurité Pwn2Own Berlin 2026 a révélé 47 failles zero-day critiques dans des logiciels majeurs comme VMware, Windows et des outils d’IA, avec près de 1,3 million de dollars versés aux chercheurs en sécurité.
26/05/2026 GitHub bannit le chercheur de l'exploit YellowKey, qui menace Microsoft de représailles
À la suite du bannissement de son compte GitHub par Microsoft pour violation des protocoles de divulgation, le chercheur "Nightmare-Eclipse" a migré ses exploits sur GitLab, tout en menaçant de déverser de nouvelles failles 0-day le 14 juillet pour "faire voler en éclats" l'entreprise.
28/05/2026 Quelles qualifications pour les acteurs de l’informatique en nuage (cloud) ?
Avant de traiter des données personnelles, il est essentiel que les acteurs identifient leurs rôles. La CNIL fournit des orientations pour aider ceux du secteur de l’informatique en nuage (cloud) à identifier leurs responsabilités avec des exemples concrets.
🛑 Vulnérabilité
12/05/2026 ectorSmuggle: What Embedding Stores Trust, and Why That's a Problem
Faille de sécurité dans les bases de données vectorielles utilisées pour le RAG
13/05/2026 YellowKey - Bypass le chiffrement de disque Bitlocker sur Windows 11+
La vulnérabilité "YellowKey" permet à un attaquant disposant d'un accès physique à une machine sous Windows 11 (ou Server 2022/2025) de contourner totalement le chiffrement BitLocker.
15/05/2026 CERTFR-2026-ALE-005
Vulnérabilité dans Microsoft Exchange Server
15/05/2026 Une faille présente depuis 18 ans découverte dans nginx, le serveur qui fait tourner un tiers du web
L’article explique qu’une faille critique baptisée « NGINX Rift », présente depuis 18 ans dans le serveur web NGINX, permet potentiellement à un attaquant non authentifié d’exécuter du code à distance ou de faire tomber des serveurs via de simples requêtes HTTP malveillantes, ce qui pousse les administrateurs à appliquer les correctifs en urgence
21/05/2026 Claude Mythos a audité Symfony et a trouvé 19 vulnérabilités
Une IA de sécurité nommée « Claude Mythos » a audité le framework Symfony et y a détecté 19 vulnérabilités, illustrant le potentiel croissant de l’IA pour trouver automatiquement des failles complexes
22/05/2026 Une zero-day RCE non corrigée sur NGINX « nginx-poolslip »
Zero-day RCE non corrigé affectant la dernière version de NGINX (1.31.0)
🔒 Protection des données
27/05/2026 Bonnes pratiques OSINT - utilisation de service externe
Rappel sur les bonnes pratiques d'OSINT en matière d'utilisation de service externe.
🔨 Outil
01/05/2026 Copy.fail – test de mémorisation des IA
Copy.fail est un outil expérimental qui permet d’évaluer si un modèle d’IA peut reproduire des contenus ou en révéler des fragments, afin de mieux comprendre ses limites de mémorisation.
♻️ Numérique Responsable
11/05/2026 Les lunettes connectées : la CNIL appelle à la vigilance
L’essor des lunettes connectées constitue un nouveau défi pour la vie privée et soulève des enjeux éthiques et sociétaux forts. La CNIL alerte sur ces risques, qui nécessitent une vigilance collective, et lance son plan d’action.
27/05/2026 Cyberattaque : le sous-traitant au centre de la crise
Régulièrement, la CNIL communique sur des violations de données typiques inspirées d’incidents réels qui lui sont notifiés. Cette publication a pour objectif de permettre à tous les professionnels de comprendre et de prévenir les risques d’accès à des données détenues par les sous-traitants.
⚛️ IA
27/05/2026 Loi RIPOST : le Sénat prolonge les caméras de surveillance par IA jusqu’en 2030
Le Sénat a adopté la loi RIPOST, prolongeant jusqu’en 2030 la vidéosurveillance algorithmique utilisant l’intelligence artificielle pour analyser les images des caméras.
