Veille Cyber #1 : Exchange, GitHub, IA • Lenaick Sorimoutou

Scène classique : vous êtes en entretien cyber. Le recruteur sourit, regarde votre CV, puis lâche : “Vous avez suivi l’actualité ?” Et là, trou noir. Pas parce que vous êtes mauvais. Entre les CVE, les communiqués éditeurs et les acronymes, c’est facile de décrocher.

🔍 Exchange encore dans le viseur : pourquoi les vieux serveurs font toujours peur#

Schéma expliquant comment une faille OWA sur un serveur Exchange exposé devient un point d'appui

Microsoft a publié une alerte autour de CVE-2026-42897, une vulnérabilité qui touche Outlook Web Access sur Exchange Server. La CISA l’a ajoutée à son catalogue des failles exploitées , avec une correction attendue avant le 29 mai 2026 pour les agences fédérales américaines. Traduction : ce n’est pas juste une faille théorique vue dans un laboratoire.

Pourquoi c’est important ? Exchange, c’est souvent la porte d’entrée mail d’une organisation. En entreprise, le mail transporte identifiants, pièces jointes, conversations internes et demandes urgentes. Si un serveur exposé est mal corrigé, l’attaquant trouve un point d’appui.

Honnêtement, ça rappelle un truc frustrant du terrain : les systèmes critiques ne sont pas toujours les plus modernes, ni les plus faciles à patcher. Parfois, le vrai sujet, c’est mettre à jour une brique historique sans casser la production.

Source : Microsoft Exchange Team ↗, NVD ↗.

Note (Le mot à retenir)

KEV : le catalogue Known Exploited Vulnerabilities de la CISA liste des failles déjà exploitées dans la vraie vie. Si une CVE arrive dedans, ce n’est plus un “à regarder un jour” : c’est une priorité.

🔍 Une extension VS Code malveillante : le piège qui ressemble à un outil pratique#

Schéma expliquant comment une extension VS Code malveillante peut compromettre des dépôts GitHub

GitHub a confirmé une compromission d’environ 3 800 dépôts internes après l’installation d’une extension VS Code malveillante sur le poste d’un employé. L’incident est relié à une attaque de chaîne d’approvisionnement visant l’écosystème développeur, notamment autour de npm et d’extensions d’environnement de développement.

La leçon est simple : les développeurs installent beaucoup d’outils. Extensions, paquets, plugins, assistants, thèmes. Chacun peut devenir une porte d’entrée. Comme ces outils accèdent parfois au code source et aux jetons d’accès, l’impact dépasse vite “un poste compromis”.

Ce qui me marque, c’est le côté banal. Une extension utile en apparence, un clic, et derrière ça peut lire des fichiers, interagir avec l’environnement, récupérer des secrets. Pas idéal si votre dépôt contient des clés API oubliées depuis 2022.

Source : BleepingComputer ↗.

Note (Le mot à retenir)

Chaîne d’approvisionnement : en cyber, cela désigne tout ce dont votre projet dépend : librairies, extensions, outils, prestataires. Attaquer un maillon faible permet parfois de toucher beaucoup de monde d’un coup.

🔍 ChromaDB exposé : quand une brique IA devient une porte d’entrée#

Schéma expliquant comment une API ChromaDB exposée peut mener à une exécution de code

Une vulnérabilité critique, CVE-2026-45829, touche le serveur Python FastAPI de ChromaDB. D’après les informations publiées, un attaquant non authentifié peut forcer le chargement d’un modèle malveillant et obtenir une exécution de code si l’API est exposée en HTTP.

Pourquoi ça compte ? Parce que beaucoup de projets IA sont montés vite. On teste un outil, on branche une base vectorielle, on expose une API “juste pour voir”, puis le prototype reste en ligne. C’est humain. Mais côté sécurité, un prototype exposé devient vite une surface d’attaque.

Je dois dire que c’est l’actualité la plus intéressante côté IA. La sécurité IA, ce n’est pas seulement “est-ce que le modèle hallucine ?”. C’est aussi de l’infrastructure classique : authentification, exposition réseau, mises à jour.

1
curl -I http://localhost:8000/api/v1/heartbeat
2
curl -I https://votre-domaine.example/api/v1/heartbeat

Ici, curl -I interroge une URL. L’option -I demande seulement les en-têtes, pas toute la page. La ligne 1 teste un service local. La ligne 2, mise en évidence, représente le vrai risque : une API accessible depuis Internet .

Source : BleepingComputer ↗.

Note (Le mot à retenir)

RCE : Remote Code Execution, ou exécution de code à distance. En clair : quelqu’un peut faire exécuter ses instructions sur votre serveur, comme s’il avait trouvé une télécommande cachée.

Conseil et note finale#

Conseil (💬 La question qu'on pourrait vous poser en entretien)

“Parmi ces trois actualités, laquelle vous semble la plus inquiétante et pourquoi ?”

Pourquoi on vous la pose : le recruteur veut voir si vous savez prioriser, pas si vous connaissez toutes les CVE par cœur.

Comment y répondre : choisissez un angle : impact métier, facilité d’exploitation ou exposition publique. Exchange est critique parce qu’il touche une brique centrale. GitHub montre le risque des outils développeur. ChromaDB rappelle que les projets IA doivent suivre les mêmes règles que le reste.

Note (📌 Pour aller plus loin)

CISA Known Exploited Vulnerabilities Catalog : consulter le catalogue ↗
Utile pour comprendre quelles failles sont exploitées dans le monde réel. Pour compléter la partie IA, regardez aussi la documentation Chroma ↗ et gardez une question simple : est-ce accessible depuis Internet ?

À vendredi prochain. En attendant, gardez une idée en tête : demandez “qu’est-ce qui est exposé ?” avant de demander “quel outil on achète ?”. Lénaïck