RadioCSIRT - Edition Française

Nous ouvrons cet épisode avec le Government Cyber Action Plan du Royaume-Uni publié le 6 janvier 2026. Le gouvernement britannique investit 210 millions de livres sterling pour transformer la cybersécurité du secteur public. Le plan crée une nouvelle Government Cyber Unit au sein du Department for Science, Innovation and Technology pour centraliser la gestion des risques et la réponse aux incidents. Le National Cyber Security Centre rapporte une augmentation de 50 pourcent des incidents hautement significatifs en 2025. Un nouveau Software Security Ambassador Scheme inclut Cisco, Palo Alto Networks et Santander, répondant aux 59 pourcent d'organisations ayant subi des attaques de la chaîne d'approvisionnement logicielle.La Cybersecurity and Infrastructure Security Agency américaine a ajouté le 12 janvier 2026 la vulnérabilité CVE-2025-8110 à son catalogue Known Exploited Vulnerabilities. Cette faille de path traversal avec un score CVSS de 8.7 affecte Gogs, un service Git auto-hébergé. Elle permet à un utilisateur authentifié d'écrire des fichiers hors de l'arborescence prévue via des liens symboliques, conduisant potentiellement à l'exécution de code à distance. Les versions inférieures ou égales à 0.13.3 sont affectées. CISA confirme une exploitation active dans la nature. Les agences fédérales doivent corriger la vulnérabilité selon le Binding Operational Directive 22-01.Enfin, Endesa, le plus grand fournisseur d'électricité en Espagne avec 22 millions de clients, a divulgué une violation de données selon BleepingComputer. Un accès non autorisé à la plateforme commerciale a compromis les informations d'identification, coordonnées, numéros de carte d'identité nationale, détails de contrats et IBAN. Les mots de passe n'ont pas été exposés. L'acteur menaçant spain propose à la vente une base de données de plus de 20 millions d'enregistrements totalisant 1.05 téraoctets. Endesa indique qu'aucune preuve d'utilisation frauduleuse n'a été identifiée et a informé l'Institut National de Cybersécurité et l'Agence Espagnole de Protection des Données.Sources : NCSC UK – Government Cyber Action Plan : https://www.ncsc.gov.uk/blog-post/government-cyber-action-plan-strengthening-resilience-across-ukCISA – CVE-2025-8110 KEV : https://www.cisa.gov/news-events/alerts/2026/01/12/cisa-adds-one-known-exploited-vulnerability-catalogBleepingComputer – Endesa data breach : https://www.bleepingcomputer.com/news/security/spanish-energy-giant-endesa-discloses-data-breach-affecting-customers/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une nouvelle campagne d'escroquerie par courrier physique ciblant les usagers bancaires en France selon Planet.fr. Le mode opératoire débute par la réception d'une lettre à l'entête d'un établissement financier contenant une carte bancaire factice équipée d'une puce. Le document demande au destinataire de scanner un QR code pour activer la carte. Cette technique baptisée "quishing" redirige la victime vers un site malveillant conçu pour exfiltrer les données personnelles et coordonnées bancaires. Le phénomène, déjà observé chez les voisins européens, gagne du terrain en France. Les cartes présentent un niveau de contrefaçon élevé avec reproduction de l'identité graphique des banques. La vérification de l'URL affichée après scan constitue le premier indicateur de légitimité. En cas de saisie d'informations sur un site frauduleux, la procédure recommandée comprend l'opposition immédiate sur la carte bancaire, la modification de l'ensemble des mots de passe et le signalement via la plateforme Perceval du ministère de l'Intérieur.Microsoft a publié le CVE-2026-0628 dans son Security Update Guide concernant une vulnérabilité haute sévérité affectant le composant WebView tag de Chromium selon Neowin. La faille technique classifiée "Insufficient policy enforcement" permet à un attaquant ayant convaincu un utilisateur d'installer une extension malveillante d'injecter des scripts ou du HTML dans une page privilégiée. Le chercheur Gal Weizman a signalé la vulnérabilité à Google fin novembre. La version Chrome 143.0.7499.192 contient le correctif upstream intégré par Microsoft dans Edge le 10 janvier 2026. Microsoft enregistre le CVE dans son Security Update Guide pour fournir le statut downstream autoritatif aux clients Edge. Les trackers canoniques de vulnérabilités confirment que la limite de remédiation upstream a été placée dans la mise à jour stable Chrome 143. L'inventaire et la remédiation doivent couvrir tous les runtimes Chromium embarqués et applications Electron car une mise à jour du navigateur hôte ne protège pas ces applications.Le forum de hacking BreachForums a subi une fuite de données exposant sa table de base de données utilisateurs selon BleepingComputer. Le 9 janvier 2026, un site nommé d'après le gang d'extorsion ShinyHunters a publié une archive 7Zip nommée breachedforum.7z. L'archive contient le fichier databoose.sql, une table de base de données MyBB comprenant 323 988 enregistrements de membres incluant noms d'affichage, dates d'enregistrement, adresses IP et autres informations internes. L'analyse montre que la majorité des adresses IP renvoient vers une adresse IP loopback locale, mais 70 296 enregistrements contiennent des adresses IP publiques. La dernière date d'enregistrement correspond au 11 août 2025, jour de fermeture du précédent BreachForums suite à l'arrestation de certains opérateurs présumés. L'administrateur actuel connu sous le pseudonyme N/A a reconnu la fuite, indiquant qu'une sauvegarde de la table utilisateurs MyBB a été temporairement exposée dans un dossier non sécurisé et téléchargée une seule fois.Enfin, une fuite de données majeure a compromis les informations personnelles d'environ 17,5 millions d'utilisateurs Instagram selon CyberPress. La fuite, initialement signalée par les chercheurs en cybersécurité de Malwarebytes, expose des informations de contact rendant des millions d'utilisateurs vulnérables au vol d'identité et aux attaques de phishing ciblées. Le dataset est apparu cette semaine sur un forum de hacking, publié par l'acteur de menace "Solonik". Le listing intitulé "INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK" contient 17,5 millions d'enregistrements formatés en fichiers JSON et TXT. Les données ont été collectées fin 2024 via une API Leak contournant les mesures de sécurité standard. La base de données divulguée contient noms complets, pseudonymes, adresses email vérifiées, numéros de téléphone, identifiants utilisateurs et données de localisation partielle. La fuite est classifiée comme scraping, la collecte automatisée de données via des interfaces publiques. Au 10 janvier 2026, Meta n'a pas émis de déclaration formelle concernant cette fuite.Sources : Planet.fr – Arnaque carte bancaire : https://www.planet.fr/societe-arnaque-a-la-fausse-carte-bancaire-par-courrier-le-mecanisme-du-quishing-qui-vise-vos-coordonnees.2992374.29336.htmlMicrosoft Security Update Guide – CVE-2026-0628 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0628BleepingComputer – BreachForums : https://www.bleepingcomputer.com/news/security/breachforums-hacking-forum-database-leaked-exposing-324-000-accounts/CyberPress – Instagram leak : https://cyberpress.org/instagram-data-leak/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec les données Kaspersky Security Bulletin 2025 sur le secteur financier. L'année 2025 a enregistré 1,33 million d'attaques par chevaux de Troie bancaires bloquées, tandis que 12,8% des entreprises financières B2B ont subi une attaque par rançongiciel. Les systèmes de détection confirment une activité criminelle soutenue avec un déplacement stratégique du vecteur d'attaque vers les fournisseurs tiers. Le Forum Économique Mondial classe désormais les cyberattaques parmi les risques majeurs pesant sur la stabilité financière mondiale.SecurityScorecard publie son rapport sur les brèches impliquant des fournisseurs tiers dans le secteur bancaire. Les données 2024 indiquent que 97% des grandes banques américaines et 100% des groupes financiers européens majeurs ont déclaré au moins une brèche via un fournisseur. Seuls 6% des fournisseurs évalués étaient effectivement compromis, mais ces entités stratégiques desservent de multiples institutions simultanément. L'étude révèle également que pratiquement tous les établissements interrogés ont subi des incidents liés aux quatrièmes parties, avec seulement 2% des prestataires à l'origine de ces cascades.L'incident SitusAMC de novembre 2025 illustre le risque supply chain dans le secteur financier. Ce prestataire de services immobiliers aux banques a subi une intrusion le 12 novembre avec exfiltration de données confidentielles appartenant à plusieurs établissements bancaires clients : enregistrements comptables, accords légaux, informations de clients finaux. Le FBI a confirmé l'absence de perturbation opérationnelle directe des services bancaires. L'incident relevait de l'exfiltration massive de données sensibles sans composante destructrice de type ransomware.Les assureurs cyber constatent en 2025 une forte hausse des sinistres où les rançongiciels pénètrent chez la victime via un partenaire compromis. Cette technique baptisée "ransomware indirect" contourne les défenses périmétriques renforcées des banques en compromettant un prestataire disposant d'accès légitimes au réseau bancaire. Les criminels utilisent la connexion de confiance pour s'infiltrer sans déclencher d'alerte, permettant un temps de latence prolongé avec analyse de l'environnement avant activation de la charge malveillante.L'ENISA Threat Landscape 2025 documente l'intensification des attaques géopolitiques contre le secteur financier européen. Les groupes hacktivistes pro-russes ont concentré 69% de leurs attaques contre le sous-secteur bancaire européen, ciblant notamment l'Italie, l'Espagne et la France. Le groupe nord-coréen Lazarus reste la principale menace APT pour les institutions financières de l'Union Européenne selon l'ENISA, avec des opérations visant le financement du régime de Pyongyang via piratage bancaire et compromissions de plateformes d'échange de crypto-monnaies.Le règlement DORA (Digital Operational Resilience Act) est entré en application en 2025 pour adresser les risques systémiques liés aux fournisseurs tiers. Le cadre réglementaire impose aux banques et assurances d'identifier leurs prestataires critiques, d'évaluer régulièrement leur sécurité, et d'établir des plans de continuité en cas de défaillance. Le régulateur peut désigner certains fournisseurs d'importance critique, notamment les principaux acteurs cloud desservant de nombreuses institutions financières, et les soumettre à des audits et tests de résilience pilotés au niveau européen.Enfin, le rapport FS-ISAC Navigating Cyber 2025 projette plusieurs évolutions pour l'année en cours : intensification du risque supply chain avec compromission potentielle de fournisseurs cloud majeurs, sophistication des attaques via l'intelligence artificielle avec émergence de malwares adaptatifs, professionnalisation continue de la criminalité financière via des initial access brokers, et élargissement de la surface d'attaque avec les technologies financières émergentes incluant paiements NFC sans contact, super-apps financières et open banking via API.Sources : Kaspersky Security Bulletin 2025 : https://www.kasbersky.com/about/press-releases/2025_kaspersky-financial-sector-faced-ai-blockchain-and-organized-crime-threats-in-2025SecurityScorecard – Third-Party Breach Report : cité dans KnowBe4 Financial Sector Threats : https://www.knowbe4.com/hubfs/Financial-Sector-Threats-The-Shifting-Landscape.pdfCybersecurity Dive – SitusAMC : https://www.cybersecuritydive.com/news/hackers-steal-sensitive-data-major-banking-industry-vendor-situsamc/ENISA Threat Landscape 2025 : https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025RESCO Courtage – Guide DORA 2025 : https://www.resco-courtage.com/dora-reglementation-guide-complet-2025FS-ISAC – Navigating Cyber 2025 : https://www.fsisac.com/knowledge/annual-navigating-cyber-2025-report On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une analyse technique publiée par l'ISC SANS sur la manipulation du Process Environment Block. Cette technique exploitée par les malwares permet de masquer les paramètres de lancement des processus via l'API CreateProcess avec le flag CREATE_SUSPENDED. Le PEB, structure user-mode de Windows, peut être modifié en quatre étapes : localisation, lecture, réécriture des paramètres, puis reprise du processus. La technique présente une limitation majeure liée à la longueur des commandes et ne trompe pas les EDR qui journalisent les paramètres originaux à la création.Trend Micro a déployé le Critical Patch Build 7190 pour corriger le CVE-2025-69258, une vulnérabilité Remote Code Execution dans Apex Central. La faille de type LoadLibraryEX permet l'injection de DLL malveillante dans le processus MsgReceiver.exe sur le port TCP 20001, avec exécution de code sous le contexte SYSTEM. Tenable, qui a découvert la vulnérabilité, a publié les détails techniques et un proof-of-concept. Le patch corrige également deux failles Denial-of-Service.La CISA procède à sa plus importante clôture groupée avec le retrait de dix Emergency Directives émises entre 2019 et 2024. Les actions requises ont été complétées ou sont désormais couvertes par la Binding Operational Directive 22-01 qui s'appuie sur le catalogue Known Exploited Vulnerabilities. Parmi les directives fermées figurent ED 21-01 sur SolarWinds Orion, ED 21-02 concernant Microsoft Exchange, et ED 24-02 relative à la compromission nation-state du système email corporate de Microsoft.Une vulnérabilité critique affecte Undertow HTTP server core, composant déployé dans WildFly et JBoss EAP. Le CVE-2025-12543, classé CVSS 9.6, exploite une faiblesse d'Improper Input Validation dans le traitement des HTTP Host headers. Red Hat a publié les patches via RHSA-2026:0386 et RHSA-2026:0383, précisant qu'aucune mitigation alternative ne satisfait les critères de sécurité. Le patching immédiat constitue l'unique mesure recommandée.Enfin, Security Affairs rapporte qu'un blackout internet national a été imposé en Iran dans un contexte de répression violente des manifestations. NetBlocks confirme que la connectivité est tombée à 1% des niveaux ordinaires. Amnesty International et le groupe Hengaw documentent 42 décès incluant six enfants, avec usage d'armes à feu réelles et arrestations arbitraires massives. Les données Tor Metrics montrent une augmentation significative de l'usage du réseau anonyme par les citoyens iraniens.Sources :ISC SANS – PEB Manipulation : https://isc.sans.edu/diary/rss/32614BleepingComputer – Trend Micro Apex Central : https://www.bleepingcomputer.com/news/security/trend-micro-fixes-critical-rce-flaw-in-apex-central-console/BleepingComputer – CISA Emergency Directives : https://www.bleepingcomputer.com/news/security/cisa-retires-10-emergency-cyber-orders-in-rare-bulk-closure/CyberSecurityNews – Undertow : https://cybersecuritynews.com/undertow-http-server-vulnerability/Security Affairs – Iran blackout : https://securityaffairs.com/186718/intelligence/iran-cuts-internet-nationwide-amid-deadly-protest-crackdown.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec l'analyse de GoBruteforcer publiée par Check Point Research. Ce botnet modulaire écrit en Go cible les serveurs Linux via brute-force sur FTP, MySQL, PostgreSQL et phpMyAdmin. La variante 2025 introduit un bot IRC réécrit en Go avec obfuscation Garbler et des credentials dynamiques fournies par le Command and Control. Check Point estime que plus de 50 000 serveurs exposés seraient vulnérables. Les chercheurs ont observé une campagne crypto avec récupération d'outils token-sweep pour TRON et Binance Smart Chain sur un hôte compromis, accompagnés d'environ 23 000 adresses TRON. L'analyse on-chain confirme que certaines attaques financières ont réussi.The Record rapporte des changements à la NSA. David Imbordino assumera les fonctions de directeur par intérim de la cybersecurity directorate fin janvier, avec Holly Baroody comme deputy chief. La directorate est sans chef permanent depuis début 2024. Le lieutenant général Josh Rudd a été désigné pour diriger Cyber Command et la NSA.Cisco Talos révèle UAT-7290, un acteur China-nexus actif depuis 2022 ciblant les télécoms en Asie du Sud. L'arsenal comprend RushDrop, DriveSwitch, SilentRaid et Bulbature qui convertit les dispositifs en Operational Relay Boxes. Talos observe des chevauchements avec APT10 et Red Foxtrot lié à la PLA Unit 69010.Enfin, Unit 42 analyse les risques du vibe coding. Les chercheurs documentent plusieurs incidents catastrophiques : compromise d'application, indirect prompt injection avec exfiltration de données, et suppression de base production. Unit 42 propose le framework SHIELD incluant Separation of Duties, Human in the Loop, Input/Output Validation, Security-Focused Helper Models, Least Agency et Defensive Technical Controls.Sources : Check Point Research – GoBruteforcer : https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/The Record – NSA leadership : https://therecord.media/nsa-cyber-directorate-new-acting-leadershipCisco Talos – UAT-7290 : https://blog.talosintelligence.com/uat-7290/Unit 42 – Vibe coding : https://unit42.paloaltonetworks.com/securing-vibe-coding-tools/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec les prévisions de vulnérabilités publiées par FIRST pour 2026. L'organisation anticipe le franchissement du seuil des 50 000 CVE avec une estimation médiane à 59 000 vulnérabilités pour l'année. L'intervalle de confiance à 90% s'établit entre 30 000 et 118 000 CVE, les scénarios les plus probables évoquant une fourchette de 70 000 à 100 000 vulnérabilités. FIRST a revu sa méthodologie en adoptant un nouveau modèle qui intègre le changement structurel observé en 2017 dans les tendances de publication de CVE.BleepingComputer rapporte la publication de correctifs par Veeam pour trois vulnérabilités dans Backup & Replication. La CVE-2025-59470, initialement classée critique puis réévaluée en haute sévérité, permet à un utilisateur disposant des rôles Backup Operator ou Tape Operator d'exécuter du code distant en tant qu'utilisateur postgres. La version 13.0.1.1071 publiée le 6 janvier corrige également les CVE-2025-55125 et CVE-2025-59468. Les serveurs VBR constituent une cible privilégiée des opérateurs ransomware, plusieurs groupes ayant précédemment exploité des vulnérabilités similaires dans des campagnes documentées.VulnCheck signale une vulnérabilité critique d'injection de commandes affectant plusieurs modèles de routeurs DSL D-Link. La CVE-2026-0625, avec un score CVSS de 9.3, exploite le endpoint dnscfg.cgi et permet à un attaquant distant non authentifié d'exécuter des commandes shell arbitraires. Les modèles DSL-526B, DSL-2640B, DSL-2740R et DSL-2780B sont concernés. The Shadowserver Foundation a observé des preuves d'exploitation le 27 novembre 2025. D-Link a déclaré l'ensemble des équipements en statut End-of-Life début 2020.Le CERT-FR a publié l'avis CERTFR-2026-AVI-0010 concernant six vulnérabilités dans Curl. Les versions 7.17 à 8.x antérieures à 8.18.0 sont affectées. L'exploitation permet une atteinte à la confidentialité des données et un contournement de la politique de sécurité. La version 8.18.0 corrige l'ensemble des failles identifiées.Enfin, la CISA a ajouté deux vulnérabilités à son catalogue KEV le 7 janvier. La CVE-2009-0556 affecte Microsoft Office PowerPoint et la CVE-2025-37164 concerne HPE OneView, toutes deux permettant l'injection de code. L'agence confirme des preuves d'exploitation active dans les deux cas.Sources :FIRST – Prévisions vulnérabilités 2026 : https://www.first.org/blog/20260211-vulnerability-forecast-2026BleepingComputer – Vulnérabilités Veeam : https://www.bleepingcomputer.com/news/security/new-veeam-vulnerabilities-expose-backup-servers-to-rce-attacks/VulnCheck – D-Link DSL injection : https://www.vulncheck.com/advisories/dlink-dsl-command-injection-via-dns-configuration-endpointCERT-FR – Vulnérabilités Curl : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0010/CISA – KEV Catalog : https://www.cisa.gov/news-events/alerts/2026/01/07/cisa-adds-two-known-exploited-vulnerabilities-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une vulnérabilité critique dans n8n rapportée par Security Online. La CVE-2025-68668, avec un score CVSS de 9.9, permet à un utilisateur authentifié d'échapper au sandbox Python de la plateforme d'automatisation pour exécuter des commandes système arbitraires, transformant le Code Node en vecteur de compromission totale du système hôte.CVEfeed.io signale une faille de chargement de DLL non contrôlé dans AsusSoftwareManagerAgent. La CVE-2025-12793, évaluée à 8.5 en CVSS 4.0, exploite un chemin de recherche non fiable permettant à un attaquant local d'exécuter du code arbitraire via la manipulation de Namespaces de DLL.Clubic revient sur la disparition du domaine principal d'Anna's Archive. Le registre a placé annas-archive.org sous statut serverHold deux semaines après la mise en ligne de 300 téraoctets de données Spotify, suggérant une action légale du Public Interest Registry suite aux poursuites de l'OCLC pour extraction de 2,2 téraoctets de données WorldCat.Phoronix rapporte une situation critique pour le projet Debian : les trois membres délégués de la Data Protection Team ont démissionné simultanément, laissant le projet sans équipe active pour gérer les obligations RGPD. Le leader du projet Andreas Tille assure désormais ce rôle de manière ad-hoc en attendant de nouveaux volontaires.Enfin, le CERT-FR a émis l'avis CERTFR-2026-AVI-0004 concernant la CVE-2025-13699 affectant plusieurs branches de MariaDB. L'éditeur n'a pas spécifié la nature exacte du problème de sécurité, mais recommande une mise à jour vers les versions 10.11.15, 10.6.24, 11.4.9 ou 11.8.4.Sources :Security Online – n8n CVE-2025-68668 : https://securityonline.info/n8n-sandbox-escape-how-cve-2025-68668-turns-workflows-into-weapons/CVEfeed.io – CVE-2025-12793 ASUS : https://cvefeed.io/vuln/detail/CVE-2025-12793Clubic – Anna's Archive domaine : https://www.clubic.com/actualite-593797-le-site-qui-avait-pirate-spotify-perd-son-nom-de-domaine.htmlPhoronix – Debian Data Protection Team : https://www.phoronix.com/news/No-Debian-Data-Protection-TeamCERT-FR – Vulnérabilité MariaDB : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0004/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec l'évolution des tactiques du groupe UAC-0184 rapportée par The Hacker News. L'acteur aligné sur les intérêts russes exploite désormais Viber pour cibler les entités ukrainiennes et déployer le Hijack Loader, facilitant l'infection par Remcos RAT. Bruce Schneier relaie une enquête sur l'écosystème Telegram, devenu le plus grand Darknet Market pour les groupes criminels chinois. Ces plateformes facilitent désormais le Money-laundering et les opérations de Pig butchering à une échelle industrielle. BleepingComputer revient sur le démenti de NordVPN concernant une prétendue compromission. L'entreprise affirme que les données exfiltrées proviennent d'un environnement de test tiers isolé contenant uniquement des Dummy data et aucune donnée de production. Par ailleurs, une vulnérabilité de type Supply Chain affecte les IDE basés sur l'IA comme Cursor et Windsurf. Des chercheurs ont démontré que l'héritage de recommandations d'extensions inexistantes sur OpenVSX permettait à des attaquants d'enregistrer des Namespaces malveillants pour distribuer du code hostile. Enfin, le CERT-FR a émis un avis concernant de multiples vulnérabilités critiques dans les produits Qnap, incluant des risques d'Injection SQL (SQLi) et de Déni de service.Sources : The Hacker News – UAC-0184 / Viber : https://thehackernews.com/2026/01/russia-aligned-hackers-abuse-viber-to.htmlSchneier on Security – Telegram Darknet Markets : https://www.schneier.com/blog/archives/2026/01/telegram-hosting-worlds-largest-darknet-market.htmlBleepingComputer – NordVPN Breach Denial : https://www.bleepingcomputer.com/news/security/nordvpn-denies-breach-claims-says-attackers-have-dummy-data/BleepingComputer – VSCode IDE Forks : https://www.bleepingcomputer.com/news/security/vscode-ide-forks-expose-users-to-recommended-extension-attacks/CERT-FR – Vulnérabilités Qnap : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0003/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité. Nous ouvrons avec le conflit opposant Resecurity au groupe Scattered Lapsus$ Hunters, rapporté par BleepingComputer. Alors que les attaquants revendiquent une compromission de l'infrastructure, Resecurity affirme qu'il s'agissait d'un honeypot. L'équipe DFIR avait détecté la reconnaissance dès novembre et isolé les intrus dans un environnement contenant des synthetic datasets et de faux logs de transactions. Les tentatives d'exfiltration ont permis d'identifier les IP réelles des attaquants malgré l'usage de residential proxies.Cyber Security News revient sur les allégations du groupe Handala concernant le piratage de mobiles d'officiels israéliens. Une analyse forensique menée par KELA révèle que l'incident se limite à une compromission de comptes Telegram et non à un full device takeover. Les attaquants ont exploité du phishing et du vol d'OTP, la majorité des données fuitées n'étant que des fiches de contacts vides générées par la synchronisation de l'application.Enfin, Unit 42 a publié une analyse technique du VVS Stealer, un malware ciblant Discord qui utilise Pyarmor pour l'obfuscation. Distribué sous forme de package PyInstaller, le malware utilise le chiffrement AES-128 et le mode BCC pour entraver le reverse engineering. Il injecte des payloads JavaScript pour intercepter les sessions via le Chrome DevTools Protocol et exfiltrer les tokens et credentials via des webhooks avant de s'auto-terminer.SourcesBleepingComputer – Resecurity Honeypot : https://www.bleepingcomputer.com/news/security/hackers-claim-resecurity-hack-firm-says-it-was-a-honeypot/Cyber Security News – Handala Analysis : https://cyberpress.org/telegram-account-compromise/Unit 42 – VVS Stealer : https://unit42.paloaltonetworks.com/vvs-stealer/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Avant de commencer : la newsletter RadioCSIRT numéro 43 est disponible en quatre langues sur Substack — français, anglais, allemand, italien et espagnol. Tous les liens sur radiocsirt.org.Nous ouvrons avec un retour d'expérience de Johannes Ullrich, chercheur chez SANS, sur l'analyse de latences DNS avec tshark. L'outil a révélé que 50 pour cent du trafic DNS provenait de requêtes PTR générées par son serveur NTP. Après désactivation, la moyenne est passée à 33 millisecondes avec des pics à 8 secondes. Quatre DNS resolvers testés ont montré des performances quasi identiques. La méthodologie démontre l'efficacité de tshark pour le diagnostic réseau.Gavin Webb, coordinateur de l'Operation Cronos contre LockBit, a reçu le titre d'Officer of the Order of the British Empire. LockBit représentait 25 pour cent des attaques ransomware 2023-2024. Sept autres officiers du NCA ont été distingués. Jacob Riggs, chercheur britannique de 36 ans, a obtenu le visa australien Subclass 858 National Innovation après avoir signalé une vulnérabilité critique au Department of Foreign Affairs and Trade. Il figure parmi les 4 chercheurs ayant reporté avec succès un bug sous le programme DFAT.Benjamin Brundage a documenté le botnet Kimwolf : 2 millions de devices infectés via les réseaux proxy résidentiels IPIDEA. Les attaquants exploitent le DNS pour contourner les restrictions NAT et ciblent des Android TV boxes avec Android Debug Bridge activé sans authentification. IPIDEA a patché le 25 décembre. Kimwolf se monétise via DDoS-as-a-service, ad fraud et account takeover.SourcesSANS ISC : https://isc.sans.edu/diary/rss/32592The Register – LockBit honours : https://www.theregister.com/2026/01/02/nca_new_year_honours/The Register – Aussie visa : https://www.theregister.com/2026/01/02/brit_security_australia_visa/Krebs on Security : https://krebsonsecurity.com/2026/01/the-kimwolf-botnet-is-stalking-your-local-network/Newsletter FR : https://radiocsirt.substack.com/p/newsletter-n43?r=57c3yeNewsletter EN : https://radiocsirtenglishedition.substack.com/p/newsletter-radiocsirt-january-03?r=57c3yeNewsletter IT : https://radiocsirtitalianedition.substack.com/p/newsletter-radiocsirt-3-gennaio-2026?r=57c3yeNewsletter DE : https://radiocsirtgermanedition.substack.com/p/newsletter-radiocsirt-3-januar-2026?r=57c3yeNewsletter SP : https://radiocsirtspanishedition.substack.com/p/newsletter-radiocsirt-3-de-enero?r=57c3yeOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition avec un avis publié par le CERT-FR le 2 janvier 2026 concernant de multiples vulnérabilités affectant les produits IBM. Référencé CERTFR-2026-AVI-0002, cet avis indique que certaines vulnérabilités permettent un déni de service à distance, une atteinte à la confidentialité et à l'intégrité des données, une injection XSS ainsi qu'un contournement de la politique de sécurité. Les systèmes concernés incluent Sterling Partner Engagement Manager versions 6.2.3.x et 6.2.4.x, ainsi que WebSphere eXtreme Scale 8.6.1.x sans le correctif PH69398 iFix. Quatorze CVE sont référencées. IBM a publié les correctifs via les bulletins de sécurité 7255899 et 7256003 datés des 29 et 30 décembre 2025.Nous poursuivons avec une compromission d'infrastructures femtocells déployées par Korea Telecom. Selon The Register, plusieurs milliers de femtocells utilisaient un certificat unique partagé, valide dix ans, stocké en plaintext sans root password. Le service SSH était activé sans restriction. Cette configuration a permis l'extraction du certificat et le clonage de femtocells reconnues comme légitimes. Au moins vingt femtocells clonées ont été identifiées, exposant les subscriber numbers, le contenu des SMS et les numéros appelés. Le système de micropaiements a permis une fraude de 169 000 dollars touchant 368 clients. Treize individus ont été arrêtés. Les enquêteurs ont établi un lien potentiel avec une compromission antérieure par BPFDoor entre 2022 et 2025.Nous terminons cette édition avec de nouvelles campagnes APT36 ciblant des entités gouvernementales et académiques en Inde. Selon The Hacker News, le vecteur initial exploite un fichier LNK déguisé en PDF distribué via spear-phishing. L'exécution déclenche un script HTA via mshta.exe chargeant le RAT directement en mémoire. La persistance s'adapte selon l'antivirus détecté. Le RAT iinneldc.dll offre des capacités de contrôle distant, d'exfiltration de données et de capture d'écran. Une seconde campagne utilise un loader .NET récupérant l'installeur nikmights.msi depuis aeroclubofindia.co.in. Le payload communique avec dns.wmiprovider.com via des endpoints inversés.SourcesCERT-FR – Multiples vulnérabilités dans les produits IBM : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0002/The Register – Korean telco failed at femtocell security : https://www.theregister.com/2025/12/30/kt_telecom_femtocell_security_fail/The Hacker News – Transparent Tribe Launches New RAT Attacks : https://thehackernews.com/2026/01/transparent-tribe-launches-new-rat.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Avant d’entrer dans l’actualité, je vous adresse mes meilleurs vœux pour cette nouvelle année 2026. Merci à toutes celles et ceux qui suivent RadioCSIRT au quotidien. Le podcast a désormais dépassé les 800.000 écoutes , toutes plateformes confondues, depuis son lancement sans publicité juste grâce à vous. Merci à vous toutes et vous tous qui font de cette aventure un moment de folie dans notre univers impitoyable. Nous ouvrons cette édition avec un avis publié par le CERT-FR le 31 décembre 2025 concernant de multiples vulnérabilités affectant les serveurs de périphériques Moxa NPort. Référencé CERTFR-2025-AVI-1142, cet avis indique que certaines vulnérabilités permettent une élévation de privilèges, un déni de service à distance ainsi qu’une atteinte à l’intégrité et à la confidentialité des données. Les systèmes concernés incluent l’ensemble des équipements NPort série 5000 en l’absence de protection d’accès physique, ainsi que les NPort 6100 dans des versions antérieures à la 1.1.0. Ces vulnérabilités sont documentées dans plusieurs bulletins de sécurité publiés par l’éditeur Moxa et sont associées à plusieurs identifiants CVE.Nous poursuivons avec une information relayée par BleepingComputer concernant l’interdiction explicite de certains dispositifs matériels lors de l’inauguration du maire de New York prévue en 2026. Parmi les objets interdits figurent notamment le Flipper Zero et le Raspberry Pi. Ces dispositifs, capables d’interagir avec des protocoles RFID, NFC, Bluetooth, infrarouge ou radio, sont couramment utilisés pour l’analyse de protocoles et les tests de sécurité. Leur mention spécifique dans la liste des objets prohibés illustre la perception croissante de ces outils comme des dispositifs techniquement sensibles dans des environnements soumis à de fortes contraintes de sécurité.Nous terminons cette édition avec un incident affectant des infrastructures critiques de télécommunications en Europe du Nord. Selon The Record, les autorités finlandaises ont annoncé la saisie d’un navire soupçonné d’avoir endommagé un câble de télécommunications sous-marin en mer Baltique. Le défaut a été détecté sur un câble appartenant à l’opérateur Elisa, traversant la zone économique exclusive de l’Estonie, avec des dommages également signalés sur un câble exploité par l’opérateur suédois Arelion. Les premières constatations indiquent que le navire suspect circulait avec sa chaîne d’ancre immergée, un mécanisme déjà observé lors d’incidents similaires impliquant des câbles sous-marins dans la région.Sources:CERT-FR – Multiples vulnérabilités dans Moxa NPort : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1142/BleepingComputer – NYC mayoral inauguration bans Flipper Zero, Raspberry Pi devices : https://www.bleepingcomputer.com/news/security/nyc-mayoral-inauguration-bans-flipper-zero-raspberry-pi-devices/The Record – Finland seizes ship suspected of damaging undersea cable : https://therecord.media/finland-seizes-ship-suspected-damaging-undersea-cableOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition avec une alerte publiée par la CISA le 29 décembre 2025 concernant l’ajout d’une nouvelle vulnérabilité activement exploitée au catalogue Known Exploited Vulnerabilities. La vulnérabilité référencée CVE-2025-14847 affecte MongoDB et MongoDB Server et concerne une gestion incorrecte des incohérences liées aux paramètres de longueur. Ce type de vulnérabilité constitue un vecteur d’attaque fréquent et représente un risque significatif pour les systèmes exposés. Dans le cadre de la directive opérationnelle BOD 22-01, les agences fédérales américaines sont tenues de corriger cette vulnérabilité dans les délais impartis. La CISA recommande également à l’ensemble des organisations de prioriser la remédiation des vulnérabilités listées dans le catalogue KEV dans leurs processus de gestion des vulnérabilités.Nous poursuivons avec la découverte d’un nouveau service cybercriminel baptisé ErrTraffic, analysé par Hudson Rock et relayé par BleepingComputer. ErrTraffic permet d’automatiser les attaques de type ClickFix en générant de faux dysfonctionnements visuels sur des sites web compromis. Le service fonctionne comme un système de distribution de trafic auto-hébergé, vendu pour un paiement unique de 800 dollars et promu sur des forums russophones. Il repose sur la modification dynamique du DOM afin d’afficher des anomalies telles que du texte corrompu, de fausses mises à jour de navigateur ou des erreurs système. Les victimes sont incitées à exécuter des commandes copiées automatiquement dans le presse-papiers, conduisant au téléchargement de charges malveillantes comme Lumma, Vidar, Cerberus ou AMOS, selon le système ciblé.Nous terminons cette édition avec le seizième anniversaire de KrebsOnSecurity.com, publié le 29 décembre 2025. L’année 2025 a été marquée par des enquêtes approfondies sur les infrastructures facilitant le cybercrime à grande échelle, notamment les hébergeurs bulletproof, les services financiers complaisants et les réseaux de diffusion criminels. Le site revient sur plusieurs dossiers majeurs, dont les sanctions européennes contre Stark Industries Solutions Ltd., l’amende record infligée à Cryptomus par les autorités canadiennes, les conséquences de la fuite LastPass de 2022, ainsi que l’évolution des campagnes de phishing, de smishing et des botnets géants. Une attention particulière est portée aux botnets Aisuru et Kimwolf, ce dernier étant décrit comme le plus vaste botnet connu à ce jour avec environ 1,83 million d’appareils compromis.SourceCISA – CISA Adds One Known Exploited Vulnerability to Catalog :https://www.cisa.gov/news-events/alerts/2025/12/29/cisa-adds-one-known-exploited-vulnerability-catalogBleepingComputer – New ErrTraffic service enables ClickFix attacks via fake browser glitches :https://www.bleepingcomputer.com/news/security/new-errtraffic-service-enables-clickfix-attacks-via-fake-browser-glitches/KrebsOnSecurity – Happy 16th Birthday, KrebsOnSecurity.com! :https://krebsonsecurity.com/2025/12/happy-16th-birthday-krebsonsecurity-com/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition avec une analyse publiée par FIRST point org le 29 décembre 2025, présentant le bilan annuel des prévisions de vulnérabilités pour l'année 2025. L'article, rédigé par Éireann Leverett, confirme la validation des prévisions du projet Vuln4Cast avec 49 183 CVEs publiées au 29 décembre, se situant dans l'intervalle de confiance de 41 142 à 49 868 CVEs établi en février 2025. La MAPE de 1 virgule 39 pour cent par rapport à la borne supérieure démontre une excellente précision des modèles de prévision.Les prévisions trimestrielles pour Q4 2025 sont également validées avec 12 359 CVEs publiées, dans l'intervalle de confiance de 11 815 à 14 129 CVEs. Cette précision inférieure à 5% démontre que les prévisions trimestrielles sont suffisamment fiables pour la planification opérationnelle des équipes de patch management, SOC et CERT.L'article souligne l'expansion de l'écosystème de prévision des vulnérabilités avec CVEForecast point org développé par Jerry Gamblin chez Cisco utilisant XGBoost, et la plateforme Vulnerability-Lookup de CIRCL Luxembourg qui ajoute le suivi des observations et des statistiques complètes. Les développements futurs porteront sur la prévision des distributions par fournisseur, des vecteurs CVSS, des CWEs et de l'exploitabilité des vulnérabilités. Des améliorations sont en cours dans six domaines : analyse des causes racines CWE, prédiction d'exploits, prédiction d'exploitation, prévision par CNA, prévision des vecteurs CVSS et prédiction des scores CVSS.FIRST annonce la conférence VulnOptiCon 2026 au Luxembourg, hébergée par CIRCL, pour permettre à la communauté de partager les méthodologies et faire progresser collectivement la science de l'exposition et la sécurité prédictive.SourceFIRST – Bilan annuel des prévisions de vulnérabilités 2025 : https://www.first.org/blog/20251229-Vulnerability-Forecast-ReviewOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par plusieurs avis de sécurité publiés par le CERT-FR concernant des vulnérabilités critiques affectant des composants majeurs de l’écosystème Linux et des environnements d’entreprise. Les bulletins portent notamment sur Ubuntu, Red Hat et des produits IBM, exposés à des failles permettant des élévations de privilèges, des exécutions de code arbitraire ou des atteintes à la confidentialité. Ces vulnérabilités concernent des composants largement déployés dans les infrastructures serveurs et cloud, soulignant l’importance d’une gestion rigoureuse des correctifs dans les environnements critiques.Nous analysons ensuite une vulnérabilité affectant le webmail Roundcube, référencée CVE-2025-68461. Cette faille permet à un attaquant distant d’exploiter des mécanismes de traitement des entrées utilisateur afin de compromettre la sécurité des sessions ou d’exécuter du code malveillant dans le contexte de l’utilisateur ciblé. Compte tenu de la large adoption de Roundcube dans les infrastructures de messagerie, cette vulnérabilité représente un risque significatif pour les organisations exposées sur Internet.Enfin, nous revenons sur une vulnérabilité de sécurité corrigée par Microsoft, identifiée sous la référence CVE-2025-13699. Cette faille affecte un composant du système Windows et peut être exploitée pour contourner des mécanismes de sécurité ou obtenir des privilèges élevés. Microsoft a publié des correctifs dans le cadre de son guide de mises à jour, et recommande une application rapide afin de réduire les risques d’exploitation active.SourcesCERT-FR – Vulnérabilités Ubuntu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/CERT-FR – Vulnérabilités Red Hat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/CERT-FR – Vulnérabilités produits IBM : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/Vulnérabilité Roundcube – CVE-2025-68461 : https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26Microsoft – CVE-2025-13699 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par une affaire mêlant cybercriminalité et renseignement en Europe de l’Est. En Géorgie, l’ancien chef du contre-espionnage a été arrêté dans le cadre d’une enquête portant sur des centres d’escroquerie opérant à grande échelle. Les autorités le soupçonnent d’avoir facilité ou couvert des activités frauduleuses structurées, notamment des opérations de type scam centers visant des victimes internationales, illustrant une nouvelle fois l’imbrication entre criminalité organisée, corruption et cyberfraude.Nous analysons ensuite une campagne de phishing ciblant les utilisateurs de cryptomonnaies via de faux courriels se faisant passer pour Grubhub. Les messages promettent un rendement multiplié par dix sur des cryptomonnaies envoyées par les victimes. Les fonds transférés sont immédiatement redirigés vers des portefeuilles contrôlés par les attaquants, sans possibilité de récupération, démontrant une exploitation classique mais toujours efficace de l’ingénierie sociale appliquée aux actifs numériques.Enfin, nous revenons sur une opération attribuée à Evasive Panda, un groupe lié à la Chine, qui a mené des activités d’espionnage via une infrastructure DNS détournée. Les attaquants ont utilisé des techniques avancées de résolution DNS et de redirection de trafic afin de déployer des charges malveillantes furtives, tout en contournant plusieurs mécanismes de détection réseau. Cette campagne illustre l’évolution continue des TTP des groupes APT dans le domaine du cyberespionnage étatique.SourcesArrestation en Géorgie – centres d’escroquerie :https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centersCampagne de phishing crypto – faux emails Grubhub :https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/APT Evasive Panda – infrastructure DNS malveillante :https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par une séquence géopolitique marquant une nouvelle étape dans les tensions transatlantiques autour de la régulation numérique. Les États-Unis ont imposé des restrictions de visa à plusieurs personnalités européennes impliquées dans la régulation des plateformes technologiques, dont Thierry Breton, ancien commissaire européen. Washington justifie cette décision par des accusations de censure extraterritoriale visant les plateformes américaines, notamment dans le cadre de l’application du Digital Services Act. L’Union européenne a condamné la mesure et demandé des explications formelles, évoquant une atteinte à sa souveraineté réglementaire.Nous analysons ensuite CVE-2018-25154, une vulnérabilité critique de buffer overflow affectant GNU Barcode version 0.99. La faille, liée au mécanisme d’encodage Code 93, permet une corruption mémoire menant à une exécution de code arbitraire via des fichiers d’entrée spécialement construits. Le score CVSS 3.1 est critique à 9.8, avec un impact élevé sur la confidentialité, l’intégrité et la disponibilité des systèmes exposés.Nous revenons également sur CVE-2023-36525, une Blind SQL Injection non authentifiée touchant le plugin WordPress WPJobBoard jusqu’à la version 5.9.0. La vulnérabilité est exploitable à distance sans privilèges ni interaction utilisateur et expose les sites affectés à des risques de fuite de données, de modification persistante et de dégradation du service.Dans le volet cybercriminalité, le FBI a saisi l’infrastructure web3adspanels.org, utilisée comme backend pour centraliser des identifiants bancaires volés issus de campagnes de phishing. Cette infrastructure servait à stocker et exploiter les credentials compromis afin de réaliser des attaques de type account takeover contre des établissements financiers, l’activité étant confirmée jusqu’à fin 2025.Nous faisons ensuite le point sur Urban VPN Proxy, une extension VPN gratuite pour navigateurs Chromium, dont les versions récentes intègrent des mécanismes d’interception et d’exfiltration des conversations avec des plateformes d’intelligence artificielle. Les données collectées incluent prompts, réponses, métadonnées de session et plateformes utilisées, la collecte étant activée par défaut et sans possibilité de désactivation.Enfin, nous abordons l’exploitation active de CVE-2020-12812 sur les pare-feux FortiGate, une vulnérabilité ancienne mais toujours utilisée permettant le contournement de la 2FA. Le mécanisme repose sur une incohérence de gestion de la casse des identifiants entre FortiGate et les annuaires LDAP, entraînant un fallback d’authentification sans enforcement de la double authentification dans certaines configurations.SourcesRégulation tech et tensions USA–UE :https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.htmlCVE-2018-25154 – GNU Barcode buffer overflow :https://cvefeed.io/vuln/detail/CVE-2018-25154CVE-2023-36525 – WPJobBoard Blind SQL Injection :https://cvefeed.io/vuln/detail/CVE-2023-36525Saisie FBI – web3adspanels.org :https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.htmlUrban VPN Proxy data harvesting :https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.htmlFortiGate 2FA bypass exploitation :https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Une nouvelle initiative allie des experts bénévoles de la cybersécurité pour renforcer la défense des systèmes informatiques des services d’eau face à des menaces croissantes. Des groupes de volontaires chevronnés issus de la communauté DEF CON Franklin ont été jumelés avec des services publics de distribution d’eau à travers plusieurs états américains pour effectuer des évaluations, cartographier les technologies opérationnelles (OT) et mettre en place des mesures de sécurité adaptées aux contraintes des infrastructures critiques. Ce modèle communautaire vise à compenser le manque de ressources internes et à améliorer la résilience face aux attaques industrielles ciblant ces systèmes essentiels. Une vulnérabilité d’exécution de code à distance au cœur des frameworks React et Next.js, baptisée « React2Shell », affecte les composants serveur utilisés dans des millions d’applications web. Cette faille permet à des attaquants non authentifiés d’exécuter du code arbitraire sur des serveurs exposés sans nécessiter de privilèges, exposant l’écosystème web à un risque maximal si elle n’est pas corrigée immédiatement.Une campagne de compromission massive, associée au malware PCPcat, a exploité des vulnérabilités critiques dans Next.js et React pour compromettre plus de 59 000 serveurs en moins de 48 heures. L’opération exploite des failles d’exécution de code à distance pour extraire des identifiants, des clés SSH, des variables d’environnement et établir des accès persistants via des tunnels et processus dissimulés, signifiant une industrialisation des attaques contre les piles JavaScript modernes.En France, les services en ligne de La Poste et sa branche bancaire La Banque Postale ont été perturbés par une attaque par déni de service distribué (DDoS) au plus fort de la période des fêtes, rendant indisponibles plusieurs services de suivi et de paiement. Les interruptions ont entraîné des retards significatifs dans les livraisons de colis et des perturbations des opérations bancaires en ligne, bien que les données clients n’aient pas été compromises selon les premières évaluations des autorités. Enfin, la société MongoDB met en garde les administrateurs à propos de vulnérabilités critiques dans des bibliothèques de l’écosystème (notamment Mongoose) qui pourraient permettre l’exécution de code à distance sur des serveurs Node.js. Des exploits de preuve de concept ont été publiés, et il est recommandé de mettre à jour les versions concernées immédiatement pour réduire la surface d’attaque dans les applications dépendantes de ces composants. Sources :Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-msspMongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/La Poste – Outage After a Cyber Attack :https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.htmlhttps://x.com/LaBanquePostale/status/2003001246698131494On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.La CISA a intégré la vulnérabilité CVE-2023-52163 à son catalogue KEV en raison de preuves d'exploitation active. Cette faille d'autorisation manquante affecte les enregistreurs vidéo réseau Digiever DS-2105 Pro, permettant à des acteurs malveillants de contourner les contrôles d'accès. Bien que la directive BOD 22-01 cible les agences fédérales, la CISA exhorte toutes les organisations à appliquer immédiatement les mises à jour de firmware. Ce type de vulnérabilité est un vecteur fréquent pour l'accès initial et les mouvements latéraux au sein des réseaux IoT et des infrastructures de surveillance.Genians Security Center détaille la campagne « Artemis » menée par le groupe APT37 contre des cibles sud-coréennes via des documents HWP malveillants. L'attaque utilise des objets OLE pour déclencher une chaîne d'exécution exploitant la technique du DLL side-loading via l'utilitaire légitime VolumeId pour charger le module RoKRAT. La campagne se distingue par l'usage de la stéganographie dans des images pour masquer la charge utile et l'utilisation de services cloud légitimes comme Yandex Cloud et pCloud pour les communications C2. L'identification est rendue complexe par l'exécution du payload dans le contexte de processus système fiables.SoundCloud confirme une intrusion via un tableau de bord de service auxiliaire, exposant les données de 20 % de ses utilisateurs, soit environ 26 millions de comptes. Les informations compromises incluent les adresses e-mail et les données publiques des profils, sans impact sur les mots de passe ou données financières. L'incident a été suivi d'attaques DDoS perturbant la disponibilité du site. Les mesures de remédiation, incluant le renforcement des contrôles IAM, ont causé des problèmes de connectivité temporaires pour les utilisateurs sous VPN.Socket Security a découvert deux extensions Chrome malveillantes, Phantom Shuttle, détournant le trafic de plus de 170 domaines d'entreprise dont AWS, GitHub et Azure. Ces extensions injectent silencieusement des identifiants de proxy via l'écouteur chrome.webRequest.onAuthRequired pour capturer les flux de données en position de Man-in-the-Middle. Les attaquants utilisent des scripts PAC pour rediriger le trafic sensible et exfiltrer identifiants, cookies de session et clés API en texte clair vers le serveur C2 phantomshuttle[.]space.Le collectif Anna’s Archive a publié une base de données massive contenant 86 millions de titres et les métadonnées de 256 millions de morceaux extraits de Spotify. L'opération de scraping, totalisant 300 téraoctets, a été réalisée via l'automatisation de comptes tiers sur plusieurs mois par stream-ripping. Spotify a désactivé les comptes impliqués et déployé de nouveaux mécanismes de surveillance pour détecter les comportements de lecture automatisés. L'ampleur de cette exfiltration pose des risques majeurs pour la protection des droits des créateurs et la propriété intellectuelle.Sources :CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalogAPT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dllSoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.htmlSpotify Scraping : https://therecord.media/spotify-disables-scraping-annasOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Pornhub alerte ses abonnés Premium suite à une exposition de données le 8 novembre 2025 via le prestataire d'analytics Mixpanel. Les cybercriminels menacent de contacter directement les utilisateurs impactés par email. Mixpanel conteste que les données proviennent de son incident de sécurité du 8 novembre, indiquant aucune preuve d'exfiltration depuis ses systèmes. Pornhub confirme que les mots de passe, détails de paiement et informations financières ne sont pas compromis, l'exposition concernant un ensemble limité d'événements analytiques. Les attaquants exploitent ces données pour des campagnes de sextortion ciblant spécifiquement les utilisateurs Premium identifiés.Intezer documente une campagne du groupe Goffee ciblant le personnel militaire russe et les organisations de défense. L'attaque initiale identifiée en octobre utilise un fichier XLL malveillant uploadé depuis l'Ukraine puis la Russie sur VirusTotal, titré "enemy's planned targets". Le fichier déploie le backdoor EchoGather pour collecter des informations système, exécuter des commandes et exfiltrer des fichiers vers un serveur C2 déguisé en site de livraison de nourriture. Les leurres de phishing incluent une fausse invitation à un concert pour officiers supérieurs et une lettre imitant le Ministère de l'Industrie et du Commerce russe demandant des documents de justification tarifaire pour contrats de défense.CISA et NIST publient le draft de l'Interagency Report 8597 sur la protection des tokens et assertions d'identité contre falsification, vol et usage malveillant. Le document répond aux incidents récents chez les fournisseurs cloud majeurs ciblant le vol, la modification ou la falsification de tokens d'identité pour accéder aux ressources protégées. Le rapport couvre les contrôles IAM pour systèmes utilisant assertions et tokens signés numériquement dans les décisions d'accès. NIST demande aux CSPs d'appliquer les principes Secure by Design, priorisant transparence, configurabilité et interopérabilité. Les agences fédérales doivent comprendre l'architecture et modèles de déploiement de leurs CSPs pour aligner posture de risque et environnement de menace. Sources :Pornhub sextortion : https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposureGoffee APT : https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishingNIST/CISA tokens : https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-andOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com