RadioCSIRT - Edition Française

Nous ouvrons cette édition avec plusieurs avis publiés par le CERT-FR concernant des vulnérabilités affectant des composants largement déployés en environnement professionnel. Splunk Enterprise est concerné par une faille référencée CVE-2025-14847 impactant plusieurs branches majeures, tandis que Node.js est affecté par des vulnérabilités liées à l’intégration d’OpenSSL sur les versions v20 à v25. Une alerte distincte vise également Qnap QTS, avec un risque de contournement de la politique de sécurité sur un large périmètre de versions.L’analyse de la menace informationnelle se poursuit avec le dernier bulletin du Threat Analysis Group de Google. Le rapport Q4 2025 détaille le démantèlement de vastes opérations d’influence coordonnées impliquant plusieurs milliers de YouTube channels, des domaines et des comptes publicitaires, attribués notamment à des acteurs russes, chinois et indonésiens, ciblant des narratifs géopolitiques à l’échelle mondiale.Sur le volet cybercriminel, Mandiant documente des attaques de data theft menées par le groupe d’extorsion ShinyHunters. Ces campagnes reposent sur des opérations de voice phishing ciblées, l’abus du Single Sign-On et la compromission de mécanismes MFA, permettant un accès massif aux environnements SaaS et aux données cloud.Enfin, une campagne de cyber espionnage attribuée à un acteur iranien, suivie sous le nom RedKitten, cible des ONG et des militants des droits humains via des documents Excel piégés, des implants modulaires et une infrastructure de command-and-control reposant sur GitHub, Google Drive et Telegram, avec des indices d’usage de large language models dans la génération des outils malveillants.SourcesGoogle Threat Analysis Group – TAG Bulletin Q4 2025 : https://blog.google/threat-analysis-group/tag-bulletin-q4-2025/CERT-FR – Splunk Enterprise : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0102/CERT-FR – Node.js : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0103/CERT-FR – Qnap QTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0104/BleepingComputer – ShinyHunters SSO abuse : https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/The Hacker News – RedKitten campaign : https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la stratégie numérique française rapportée par Clubic. Une réunion à Bercy a confirmé l'identification de soixante-trois sites destinés à accueillir de nouveaux Data Centers, renforçant la souveraineté Cloud et IA nationale. Sur le front judiciaire, The Record signale un coup majeur contre le piratage : le département de la justice américain a saisi trois domaines majeurs opérés depuis la Bulgarie, neutralisant une source massive de contenus illégaux.L'analyse de la menace se tourne vers les Jeux Olympiques d'hiver 2026. Unit 42 anticipe des opérations de sabotage ciblées sur les infrastructures critiques de la part d'acteurs étatiques russes, marquant un basculement vers la disruption physique. Côté vulnérabilités, une alerte critique concerne la plateforme Grafana avec la CVE-2026-21720, une faille de type Denial of Service affectant la gestion des avatars et nécessitant une mitigation immédiate.Nous terminons avec une technique de Phishing ingénieuse repérée par le SANS Internet Storm Center : des attaquants abusent de la fonction de publication publique de Google Slides pour masquer les avertissements de sécurité et déployer des pages de Login frauduleuses.Sources Clubic – Data Centers France : https://www.clubic.com/actualite-598390-data-centers-ce-que-revele-la-premiere-reunion-a-bercy-sur-les-projets-en-cours-et-a-venir-en-france.htmlThe Record – Saisie domaines pirates : https://therecord.media/bulgaria-piracy-sites-streaming-gaming-seized-usUnit 42 – Menace JO 2026 : https://unit42.paloaltonetworks.com/russian-cyberthreat-2026-winter-olympics/CERT Santé – Grafana CVE-2026-21720 : https://cyberveille.esante.gouv.fr/alertes/grafana-cve-2026-21720-2026-01-29SANS ISC – Google Slides Phishing : https://isc.sans.edu/diary/rss/32668On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une avancée technique majeure du côté de Linux. Le Linux Journal détaille l'implémentation du Linux Kernel Runtime Guard (LKRG), une nouvelle couche de protection surveillant l'intégrité du noyau en temps réel pour bloquer les modifications non autorisées. En matière de gestion des vulnérabilités, la CISA a mis à jour ce 29 janvier son catalogue des failles exploitées (KEV). L'ajout d'une nouvelle vulnérabilité activement utilisée impose une obligation de correction immédiate pour les agences fédérales américaines.Une alerte critique touche également les infrastructures réseau utilisant WatchGuard. L'éditeur a publié l'avis WGSA-2026-00001 signalant une faille sévère sur ses appliances, nécessitant une mise à jour urgente des firmwares. Sur le plan de la menace, le groupe UAT-8099, lié à la Chine, cible spécifiquement les serveurs Microsoft IIS en y implantant des extensions malveillantes pour assurer leur persistance.Nous terminons avec l'aspect juridique et la menace interne rapportés par Help Net Security : un ancien ingénieur de Google est poursuivi pour espionnage industriel après avoir exfiltré des secrets commerciaux, rappelant l'importance critique de la surveillance des accès privilégiés.SourcesLinux Journal – Analyse LKRG : https://www.linuxjournal.com/content/inside-linux-kernel-runtime-guard-lkrg-new-layer-kernel-integrity-protectionCISA – Mise à jour KEV : https://www.cisa.gov/news-events/alerts/2026/01/29/cisa-adds-one-known-exploited-vulnerability-catalogWatchGuard – Avis WGSA-2026-00001 : https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2026-00001The Hacker News – Campagne UAT-8099 : https://thehackernews.com/2026/01/china-linked-uat-8099-targets-iis.htmlHelp Net Security – Espionnage Google : https://www.helpnetsecurity.com/2026/01/30/ex-google-engineer-espionage/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une double actualité pour l'écosystème Mozilla. D'une part, l'éditeur propose désormais des paquets RPM natifs pour Firefox, facilitant l'intégration sur les distributions de type Fedora et Red Hat. D'autre part, le CERT-FR a publié l'avis CERTFR-2026-AVI-0095 signalant de multiples vulnérabilités dans Firefox et Thunderbird, pouvant mener à des contournements de politique de sécurité.Une vague de correctifs critiques touche l'infrastructure et les bibliothèques cryptographiques. Le CERT-FR a émis l'avis CERTFR-2026-AVI-0096 concernant OpenSSL. Des failles affectant les branches 1.0.2 à 3.6 permettent l'exécution de code arbitraire et le déni de service. En parallèle, HPE Aruba Networking (AVI-0094) et Tenable Network Monitor (AVI-0093) font l'objet d'alertes pour des risques similaires d'exécution de code à distance et d'atteinte à la confidentialité. Google a également corrigé une faille non spécifiée dans Chrome (AVI-0092).Nous terminons avec l'incident de sécurité opérationnelle révélé par Ars Technica : le directeur par intérim de la CISA a involontairement exfiltré des documents classifiés en utilisant une instance standard de ChatGPT, soulevant la question de la gestion du "Shadow AI" au niveau gouvernemental.SourcesLinux Journal – Firefox RPM : https://www.linuxjournal.com/content/official-firefox-rpm-package-now-available-fedora-style-linux-distributionsCERT-FR – Avis OpenSSL : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0096/CERT-FR – Avis Mozilla : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0095/CERT-FR – Avis HPE Aruba : http://cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0094/CERT-FR – Avis Tenable : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0093/CERT-FR – Avis Google Chrome : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0092/Ars Technica – CISA AI Leak : https://arstechnica.com/tech-policy/2026/01/us-cyber-defense-chief-accidentally-uploaded-secret-government-info-to-chatgpt/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Nous revenons dans cet épisode sur le déploiement par la France de sa plateforme de visioconférence souveraine Visio dans l'ensemble des services gouvernementaux d'ici 2027. Cette initiative remplace Microsoft Teams et Zoom au sein de l'administration publique française et s'inscrit dans le plan Suite Numérique visant à garantir la souveraineté numérique. La plateforme Visio intègre des fonctionnalités d'intelligence artificielle développées par Pyannote et est hébergée sur l'infrastructure cloud souveraine Outscale de Dassault Systèmes.La CISA a ajouté le 27 janvier 2026 la CVE-2026-24858 à son catalogue KEV. Cette vulnérabilité de contournement d'authentification affecte plusieurs produits Fortinet incluant FortiAnalyzer, FortiManager, FortiOS et FortiProxy. L'exploitation permet à un attaquant disposant d'un compte FortiCloud et d'un appareil enregistré de se connecter à d'autres appareils enregistrés sur d'autres comptes lorsque l'authentification SSO FortiCloud est activée. Les organisations doivent suivre les directives de Fortinet pour évaluer leur exposition et appliquer les correctifs disponibles.Le CERT-FR a publié l'avis CERTFR-2026-AVI-0088 concernant la CVE-2026-21968 dans MariaDB. Cette vulnérabilité permet un déni de service à distance et affecte les versions 10.11.x antérieures à 10.11.16, 11.4.x antérieures à 11.4.10, 11.8.x antérieures à 11.8.6 et 12.2.x antérieures à 12.2.2. Les administrateurs doivent appliquer les correctifs fournis par MariaDB dans le bulletin de sécurité du 26 janvier 2026.Nous terminons avec SolarWinds qui a publié un avis de sécurité concernant six vulnérabilités dans Web Help Desk dont quatre critiques. Les CVE-2025-40551 et CVE-2025-40553 permettent l'exécution de code à distance non authentifiée via désérialisation de données. Les CVE-2025-40552 et CVE-2025-40554 constituent des contournements d'authentification avec un impact équivalent. Les versions 12.8.8 Hotfix 1 et antérieures sont affectées. La mise à jour vers Web Help Desk 2026.1 corrige l'ensemble de ces vulnérabilités.SourcesEuronews – France Visio souverain : https://www.euronews.com/next/2026/01/27/france-to-ditch-us-platforms-microsoft-teams-zoom-for-sovereign-platform-amid-security-conCISA – CVE-2026-24858 Fortinet KEV : https://www.cisa.gov/news-events/alerts/2026/01/27/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR – Avis MariaDB : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0088/BleepingComputer – SolarWinds Web Help Desk : https://www.bleepingcomputer.com/news/security/solarwinds-warns-of-critical-web-help-desk-rce-auth-bypass-flaws/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous revenons dans cet épisode sur la CVE-2026-21509, une vulnérabilité zero-day de contournement de fonctionnalité de sécurité affectant la suite Microsoft Office. Microsoft a publié un avis de sécurité le 26 janvier indiquant une exploitation active dans la nature. La CISA a ajouté cette CVE à son catalogue KEV le même jour, confirmant le niveau de menace critique. Cette vulnérabilité fait partie des cinq nouvelles entrées KEV incluant également CVE-2025-52691 et CVE-2026-23760 affectant SmarterTools SmarterMail, La CVE-2026-24061 pour GNU InetUtils et CVE-2018-14634 pour le noyau Linux.Les opérateurs de Kimwolf, botnet perturbateur ayant infecté plus de 2 millions d'appareils, ont partagé une capture d'écran indiquant qu'ils auraient compromis le panneau de contrôle de Badbox 2.0. Badbox 2.0 constitue un vaste botnet basé en Chine alimenté par des logiciels malveillants préinstallés sur de nombreux boîtiers de streaming Android TV. Cette interconnexion potentielle donnerait aux opérateurs de Kimwolf un contrôle sur plusieurs millions d'appareils Android supplémentaires, illustrant une consolidation préoccupante des infrastructures malveillantes.Plus de 6000 serveurs SmarterTools SmarterMail à travers le monde restent exposés à une vulnérabilité critique d'exécution de code à distance actuellement exploitée. Cette situation concerne directement les CVE-2025-52691 et CVE-2026-23760 ajoutées au catalogue KEV. La compromission de ces serveurs de messagerie d'entreprise pourrait donner accès à des communications sensibles et servir de point d'entrée pour des mouvements latéraux dans les réseaux.Nous terminons avec Stanley, nouveau service de malware-as-a-service proposant des extensions Chrome malveillantes garantissant leur publication sur le Chrome Web Store officiel. Ce service contourne le processus de révision de Google et cible les activités de phishing. Le modèle as-a-service abaisse significativement la barrière d'entrée pour les cybercriminels, leur permettant d'accéder à des capacités techniques sophistiquées sans expertise préalable.SourcesKrebs on Security – Badbox 2.0 Botnet : https://krebsonsecurity.com/2026/01/who-operates-the-badbox-2-0-botnet/Cyberpress – SmarterMail RCE : https://cyberpress.org/6000-smartermail-servers-exposed-to-actively-exploited-rce-vulnerability/BleepingComputer – Stanley MaaS Chrome : https://www.bleepingcomputer.com/news/security/new-malware-service-guarantees-phishing-extensions-on-chrome-web-store/CISA – Catalogue KEV : https://www.cisa.gov/news-events/alerts/2026/01/26/cisa-adds-five-known-exploited-vulnerabilities-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous revenons dans cet épisode sur la CVE-2026-24061, vulnérabilité critique vieille de onze ans affectant le serveur telnetd de GNU InetUtils versions 1.9.3 à 2.7. Cette faille permet un contournement d'authentification donnant un accès root en définissant USER sur -f root. GreyNoise détecte des exploitations actives depuis le 21 janvier par 18 adresses IP. Shadowserver recense près de 800000 serveurs Telnet exposés globalement. Le correctif est disponible dans GNU InetUtils version 2.8 publiée le 20 janvier.L'Irlande propose le Communications Interception and Lawful Access Bill pour remplacer la législation de 1993. Le projet autorise l'interception de toutes communications incluant IoT, email et messageries chiffrées, sans préciser la méthode technique. Il établit une base légale pour l'utilisation de spywares avec approbation judiciaire et l'usage d'IMSI catchers. Le Recording Devices Bill de décembre 2025 ajoute la reconnaissance faciale en temps réel. L'Irish Council for Civil Liberties exprime de sérieuses préoccupations sur la normalisation des mesures exceptionnelles.Une étude Stanford révèle une chute de 20% des postes d'ingénieurs logiciels juniors entre 2022 et 2025 aux États-Unis. Cinq dirigeants identifient les compétences clés face à l'IA : traduction de la valeur tech en enjeux business, hybridation des profils, esprit critique, curiosité et désapprentissage constant. Diana Schildhouse de Colgate-Palmolive souligne que l'IA accélère l'accès à l'information mais ne fournit pas de stratégie.Nous terminons avec Microsoft qui stocke les clés de chiffrement BitLocker sans protection sur ses serveurs et les transmet au FBI sur demande judiciaire. Matt Green de Johns Hopkins University précise que contrairement à Apple et Google, Microsoft ne chiffre pas les clés de récupération côté client, annulant la protection du chiffrement de disque.SourcesBleepingComputer – CVE-2026-24061 Telnet GNU InetUtils : https://www.bleepingcomputer.com/news/security/nearly-800-000-telnet-servers-exposed-to-remote-attacks/The Register – Communications Interception Bill Irlande : https://www.theregister.com/2026/01/21/ireland_wants_to_give_police/ZDNet – Compétences IT face à l'IA : https://www.zdnet.fr/pratique/emploi-it-voici-les-5-competences-cles-pour-rester-indispensable-face-a-lia-selon-5-patrons-du-secteur-488843.htmOSnews – Microsoft BitLocker clés FBI : https://www.osnews.com/story/144265/microsoft-gave-fbi-bitlocker-keys-to-unlock-encrypted-data-because-of-course-they-did/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec cette information de Clubic sur l'alerte de la CISA américaine qui à ajoutée la CVE-2024-37079 à son catalogue KEV. Cette vulnérabilité critique de VMware vCenter Server obtient un score CVSS de 9.8 et affecte l'implémentation du protocole DCERPC. Broadcom avait publié le correctif en juin 2024. VulnCheck confirme l'exploitation active par trois groupes APT chinois : Fire Ant, Warp Panda et UNC3886. Les agences fédérales américaines disposent jusqu'au 13 février pour déployer le patch. (Complément par rapport à l'épisode 558 de RadioCSIRT)Microsoft publie une mise à jour d'urgence hors-bande KB5078127 le 24 janvier pour corriger les blocages d'Outlook Classic. Le Patch Tuesday KB5074109 du 13 janvier provoquait des freezes pour les profils POP et les fichiers PST stockés sur OneDrive et Dropbox. Les symptômes incluent l'impossibilité de rouvrir Outlook sans terminer le processus et le retéléchargement des emails. Il s'agit de la deuxième mise à jour d'urgence Microsoft en une semaine.ESET révèle DynoWiper, nouveau malware wiper utilisé par Sandworm dans une tentative d'attaque contre le secteur énergétique polonais les 29 et 30 décembre 2025. Les cibles incluent deux centrales de cogénération et un système de gestion d'électricité renouvelable. L'attaque a échoué. Elle coïncide avec le dixième anniversaire de la cyberattaque de décembre 2015 contre le réseau électrique ukrainien ayant déployé BlackEnergy et KillDisk.Nous terminons avec Symantec et Carbon Black qui identifient Osiris, nouveau ransomware déployé en novembre 2025 contre un opérateur de restauration en Asie du Sud-Est. Le malware utilise la technique BYOVD avec le driver POORTRY pour neutraliser les solutions de sécurité. Le ransomware utilise un chiffrement hybride ECC et AES-128-CTR, ajoute l'extension .Osiris et présente des similitudes avec INC ransomware.SourcesClubic – CVE-2024-37079 VMware vCenter Server : https://www.clubic.com/actualite-596959-piratage-d-etat-quand-la-chine-et-la-russie-s-engouffrent-dans-les-serveurs-vmware-non-mis-a-jour.htmlBleepingComputer – Microsoft KB5078127 Outlook : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-oob-update-to-fix-outlook-freezes/The Hacker News – DynoWiper Sandworm Pologne : https://thehackernews.com/2026/01/new-dynowiper-malware-used-in-attempted.htmlSecurity Affairs – Osiris ransomware BYOVD : https://securityaffairs.com/187279/security/osiris-ransomware-emerges-leveraging-byovd-technique-to-kill-security-tools.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Nous ouvrons cet épisode avec Oracle, qui publie son Critical Patch Update trimestriel de janvier 2026. CVE-2026-21962 affecte Oracle HTTP Server, WebLogic Server Proxy Plug-in et Fusion Middleware, permettant l'accès non autorisé à distance. Un proof of concept a été publié dès le lendemain, réduisant drastiquement la fenêtre de remédiation pour les organisations.La CISA ajoute CVE-2024-37079 au catalogue Known Exploited Vulnerabilities suite à des preuves d'exploitation active. Cette faille Out-of-bounds Write dans Broadcom VMware vCenter Server permet l'exécution de code à distance via des paquets DCERPC spécialement conçus. Les agences fédérales américaines ont jusqu'au 13 février 2026 pour appliquer les correctifs.ISC publie un bulletin pour CVE-2025-13878 affectant BIND 9 versions 9.18.40 à 9.21.16. Les enregistrements BRID ou HHIT malformés provoquent l'arrêt inattendu du daemon named, créant une condition de denial of service pour les infrastructures DNS critiques reposant sur BIND comme serveur authoritative ou récursif.Patchstack divulgue CVE-2026-24572, une SQL Injection de type Blind dans le plugin WordPress Nelio Content versions jusqu'à 4.1.0. Avec un score CVSS de 8.8 HIGH, la faille est exploitable à distance par un attaquant authentifié avec privilèges low, permettant la compromission complète de la base de données WordPress.Fortinet FortiGuard Labs documente une campagne phishing multi-stage ciblant la Russie avec Amnesia RAT et ransomware. L'infrastructure abuse de GitHub pour les scripts et Dropbox pour les payloads binaires, utilise defendnot pour désactiver Microsoft Defender, et déploie un ransomware dérivé de Hakuna Matata avec capacités de clipboard hijacking pour rediriger les transactions cryptocurrency.Nous terminons avec le botnet Kimwolf, qui infecte plus de 2 millions de dispositifs IoT. Infoblox révèle que 25 pourcent de ses clients corporate ont interrogé des domaines Kimwolf depuis octobre 2025. Synthient identifie 33000 adresses dans les universités et 8000 proxies IPIDEA dans les réseaux gouvernementaux, avec présence significative au département de la Défense américain.SourcesCyber.gc.ca – Oracle CPU janvier 2026 (AV26-042) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-oracle-correctif-cumulatif-trimestriel-janvier-2026-av26-042CISA – KEV CVE-2024-37079 VMware vCenter : https://www.cisa.gov/news-events/alerts/2026/01/23/cisa-adds-one-known-exploited-vulnerability-catalogCyber.gc.ca – ISC BIND CVE-2025-13878 (AV26-049) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-isc-bind-av26-049CVEFeed.io – CVE-2026-24572 WordPress Nelio Content : https://cvefeed.io/vuln/detail/CVE-2026-24572The Hacker News – Multi-stage phishing Russie Amnesia RAT : https://thehackernews.com/2026/01/multi-stage-phishing-campaign-targets.htmlKrebs on Security – Kimwolf botnet réseaux corporate : https://krebsonsecurity.com/2026/01/kimwolf-botnet-lurking-in-corporate-govt-networks/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec Under Armour, qui confirme une compromission majeure impliquant 72 millions de clients. Le groupe Everest ransomware publie un dataset de 343 gigaoctets contenant noms, emails, téléphones, localisations et historiques d'achat après l'échec des négociations. L'ensemble des données a été dupliqué sur les forums underground, représentant un risque élevé de phishing ciblé et d'attaques par ingénierie sociale.Unit 42 de Palo Alto Networks documente une technique d'attaque exploitant les Large Language Models pour générer du JavaScript malveillant directement dans le navigateur. Le proof of concept utilise des API publiques comme DeepSeek et Gemini pour assembler dynamiquement des payloads de phishing via prompt engineering, contournant les guardrails LLM et l'analyse réseau. Le polymorphisme élevé et l'exécution runtime compliquent significativement la détection.Le SANS ISC publie une analyse de sécurité sur du code Python généré à 99 pourcent par intelligence artificielle. Le scan Bandit révèle 14 vulnérabilités incluant parsing XML non sécurisé, appels subprocess sans validation, et générateurs pseudo-aléatoires inadaptés. L'étude souligne l'importance d'inclure des exigences de sécurité explicites dans les prompts IA pour éviter eval, exec, command injection et path traversal.Le National Cyber Security Centre britannique émet une alerte ciblant les autorités locales et infrastructures critiques face aux hacktivistes pro-russes. Le groupe NoName057(16) se distingue par sa persistance, ciblant les mêmes organisations pendant plusieurs jours avec des attaques DDoS techniquement simples mais financièrement coûteuses. Le NCSC recommande l'adoption de services tiers de mitigation DDoS et l'utilisation de Content Delivery Networks.Nous terminons avec le Centre canadien pour la cybersécurité, qui publie son guide ITSAP.00.009 détaillant les mesures critiques suivant la détection d'une compromission. Le document insiste sur le maintien des systèmes en marche pour préserver les preuves forensics éphémères résidant en mémoire vive, l'isolation réseau immédiate, et le respect du cadre légal canadien imposant notification au commissaire à la protection de la vie privée. SourcesMalwarebytes – Under Armour / Everest / 72M : https://www.malwarebytes.com/blog/news/2026/01/under-armour-ransomware-breach-data-of-72-million-customers-appears-on-the-dark-webHave I Been Pwned – Under Armour breach : https://haveibeenpwned.com/Breach/UnderArmourUnit 42 – Runtime assembly + LLM phishing JS (22 Jan 2026) : https://unit42.paloaltonetworks.com/real-time-malicious-javascript-through-llms/SANS ISC – Diary 32648 : https://isc.sans.edu/diary/rss/32648NCSC UK – Pro-Russia hacktivist activity : https://www.ncsc.gov.uk/news/pro-russia-hacktivist-activity-continues-to-target-uk-organisationsCyber.gc.ca – ITSAP.00.009 : https://www.cyber.gc.ca/fr/orientation/que-faire-cas-compromission-cyberattaque-itsap00009On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la CISA, qui annonce l’ajout de quatre vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities (KEV). Les failles concernent Vite.js, Versa Concerto, Prettier (eslint-config-prettier) et Zimbra Collaboration Suite. Ces vulnérabilités couvrent des scénarios de contrôle d’accès défaillant, d’authentification incorrecte, de code malveillant embarqué et d’inclusion de fichiers distants en PHP. Leur exploitation active représente un risque élevé pour les organisations n’ayant pas encore appliqué les correctifs disponibles.La CISA a également ajouté une vulnérabilité supplémentaire au catalogue KEV, identifiée comme CVE-2026-20045, affectant les produits Cisco Unified Communications. Cette faille permet une injection de code, et s’inscrit dans une catégorie de vulnérabilités fréquemment exploitées par des acteurs malveillants pour compromettre des infrastructures critiques. La directive BOD 22-01 impose aux agences fédérales américaines une remédiation rapide, mais la CISA recommande à l’ensemble des organisations de prioriser également ces corrections.Troisième sujet, le CERT-FR publie un bulletin d’actualité alertant sur une vulnérabilité critique dans telnetd, référencée CVE-2026-24061. Cette faille permet à un attaquant distant de contourner l’authentification et d’obtenir un accès root sur les systèmes vulnérables. Elle affecte GNU InetUtils versions 1.9.3 à 2.7, est triviale à exploiter, et dispose déjà d’un code d’exploitation public. Aucun correctif officiel n’est disponible à ce stade. Le CERT-FR recommande le décommissionnement immédiat des services telnet, ou à défaut leur isolement strict et leur retrait de toute exposition Internet.Nous poursuivons avec un avis du CERT-FR concernant une vulnérabilité dans Python, identifiée sous le CVE-2025-12781. La faille affecte les versions de CPython antérieures à 3.15 et permet un contournement de la politique de sécurité. Bien que les détails techniques restent limités, le risque est jugé significatif. Les administrateurs et développeurs sont invités à se référer au bulletin de sécurité officiel de Python pour appliquer les correctifs fournis par l’éditeur.Sources :CISA – Four KEV : https://www.cisa.gov/news-events/alerts/2026/01/22/cisa-adds-four-known-exploited-vulnerabilities-catalogCISA – One KEV : https://www.cisa.gov/news-events/alerts/2026/01/21/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR – Telnetd : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-003/CERT-FR – Python : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0079/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec Microsoft qui publie un workaround officiel suite à des freezes critiques d’Outlook Classic observés après l’installation de la mise à jour Windows KB5074109. Le dysfonctionnement impacte les comptes POP, provoque des blocages applicatifs, des redémarrages forcés et des anomalies sur les messages envoyés. Les environnements concernés incluent Windows 10, Windows 11 24H2/25H2 et plusieurs versions de Windows Server.GitLab alerte ensuite sur plusieurs vulnérabilités de haute sévérité affectant ses éditions Community et Enterprise. La faille la plus critique permet un 2FA bypass via une mauvaise gestion de la valeur de retour du service d’authentification. D’autres vulnérabilités permettent des attaques Denial of Service à distance via des requêtes API et SSH malformées. Des correctifs sont disponibles dans les versions 18.8.2, 18.7.2 et 18.6.4.Troisième sujet, une vulnérabilité critique touche le plugin WordPress ACF Extended, largement utilisé pour la gestion avancée de formulaires. La faille permet une privilege escalation en administrateur via l’injection d’un champ role non filtré dans les formulaires Insert/Update User. En présence d’un formulaire exposé, un attaquant non authentifié peut obtenir un contrôle total du site.Nous poursuivons avec PixelCode, une nouvelle technique d’attaque démontrant la capacité à dissimuler un malware payload directement dans les pixels d’images ou de vidéos. Le binaire est encodé visuellement, hébergé sur une plateforme légitime comme YouTube, puis reconstruit en mémoire sur la machine victime. Cette approche permet de contourner de nombreux mécanismes de détection EDR et de filtrage réseau traditionnels.Enfin, LastPass confirme une campagne active de phishing dans laquelle des attaquants usurpent l’identité de l’éditeur pour voler les master passwords des utilisateurs. Les e-mails frauduleux exploitent un faux scénario de maintenance et redirigent vers des pages d’authentification hébergées sur des infrastructures cloud légitimes. Cette campagne s’inscrit dans un contexte de menace persistante autour des coffres-forts LastPass précédemment compromis.Sources :Microsoft Outlook : https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-workaround-for-outlook-freezes-after-windows-update/GitLab 2FA & DoS : https://www.bleepingcomputer.com/news/security/gitlab-warns-of-high-severity-2fa-bypass-denial-of-service-flaws/WordPress ACF Extended : https://thecyberexpress.com/acf-add-on-vulnerability-wordpress/PixelCode : https://cyberpress.org/new-pixelcode-attack-smuggles-malware-using-image-pixel-encoding-technique/LastPass Phishing : https://securityaffairs.com/187145/cyber-crime/crooks-impersonate-lastpass-in-campaign-to-harvest-master-passwords.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec l'ETSI publie la norme EN 304 223 définissant les exigences de cybersécurité baseline pour les systèmes IA en production. Le standard couvre les vecteurs d'attaque spécifiques : data poisoning, model obfuscation, et indirect prompt injection. La norme impose des contrôles sur les environnements de déploiement et la validation des données d'entraînement.Bytebase, outil DevOps open-source, permet de sécuriser les modifications database via un workflow d'approbation centralisé. La solution implémente des revues de code pour les requêtes SQL et trace les exécutions à travers les environnements, réduisant les risques d'injection SQL et de modifications non autorisées.Huntress documente une nouvelle campagne du groupe KongTuke. L'extension malveillante NexShield imite uBlock Origin Lite. La technique CrashFix crash intentionnellement le navigateur puis incite la victime à exécuter des commandes PowerShell malveillantes. La charge finale déploie ModeloRAT, un Python RAT réservé aux machines jointes au domaine Active Directory.Resecurity analyse PDFSIDER, malware APT exploitant le DLL side-loading via un faux cryptbase.dll pour contourner EDR et antivirus. La backdoor implémente vérifications anti-VM, chiffrement des communications C2, et exécution en user-space. PDFSIDER privilégie la persistance long-terme sur des cibles Fortune 100.Le NCSC britannique émet une alerte concernant l'intensification des attaques DDoS menées par des groupes hacktivistes pro-russes contre les infrastructures britanniques. Les cibles prioritaires incluent les collectivités locales et les opérateurs CNI. Le NCSC recommande la mise en œuvre de protections DDoS layer 3/4 et layer 7.Miggo révèle une vulnérabilité d'indirect prompt injection dans Google Gemini exploitant les invitations Google Calendar. L'attaque injecte des instructions malveillantes dans les métadonnées d'invitations, permettant un authorization bypass exposant les données de réunions privées. Google a déployé des mitigations après disclosure responsable.Cyfirma analyse SolyxImmortal, infostealer Windows en Python combinant vol de credentials, keylogging, capture d'écran, harvesting de documents et exfiltration via webhooks Discord. Le malware implémente une persistance via registre et scheduled tasks. L'utilisation de Discord pour C2 complique la détection réseau.Trend Micro analyse la campagne Evelyn distribuée via extensions Visual Studio Code weaponisées ciblant les développeurs. Le malware implémente techniques anti-sandbox, injecte des DLLs dans les processus browsers pour harvester credentials, et exfiltre via FTP incluant clipboard, configurations WiFi et wallets crypto.Ingram Micro confirme qu'une attaque ransomware de juillet 2025 a compromis les données personnelles de 42 000 individus, incluant des numéros de sécurité sociale. L'entreprise, distributeur technologique avec 48 milliards de dollars de ventes annuelles, illustre la persistance des attaques contre la supply chain IT.Palo Alto Networks publie une analyse des menaces cyber ciblant les Jeux Olympiques d'hiver Milan Cortina 2026. L'étude identifie plusieurs vecteurs : compromission des plateformes de billetterie, attaques DDoS contre l'infrastructure broadcast, et ciblage des systèmes de chronométrage. Les événements globaux créent une surface d'attaque étendue.L'enquête Allianz Risk Barometer positionne le cyber risk en tête pour la cinquième année consécutive. Le threat landscape évolue : ransomware avec double/triple extortion, attaques supply chain, et compromission cloud. L'IA émerge comme risque dual : vecteur d'attaque pour le social engineering mais aussi outil défensif.Nicholas Moore plaide coupable d'avoir compromis le système de dépôt électronique de la Cour Suprême américaine. Entre août et octobre 2023, il a accédé 25 fois au système restreint utilisant des identifiants volés, exfiltrant des documents confidentiels diffusés sur Instagram. L'incident révèle l'absence de MFA et une détection insuffisante.Des sources américaines confirment l'utilisation de cyberattaques contre les systèmes OT lors de l'extraction de Nicolas Maduro le 3 janvier. Les attaquants ont ciblé les systèmes de contrôle industriel du réseau électrique et les radars de défense aérienne vénézuéliens, démontrant les capacités offensives américaines contre les infrastructures critiques SCADA et ICS.Feras Albashiti, alias r1z, plaide coupable d'avoir opéré comme Initial Access Broker vendant l'accès à 50 réseaux corporate. Les IABs fournissent les accès initiaux aux opérateurs ransomware et APT via l'exploitation de VPNs, RDP exposés et credentials compromis. Condamnation prévue le 11 mai 2026.L'analyse géopolitique du cyber domain révèle l'utilisation croissante des opérations cyber comme outil de coercition étatique. Les États exploitent le cyberspace pour l'espionnage économique, l'influence informationnelle, et la disruption d'infrastructures critiques. Les grey-zone operations permettent le déni plausible.L'étude Nardello révèle que 58% des dirigeants britanniques identifient les cyber breaches comme risque principal, mais 75% doutent de leur capacité à les gérer. 20% ont subi une breach dans les 24 derniers mois. Les priorités incluent compliance avec NIS2 et protection de la réputation post-incident.Enfin, Security Week analyse l'efficacité du threat intelligence sharing comme force multiplicatrice défensive. Lorsqu'une organisation détecte et partage des IOCs et TTPs, des centaines d'organisations peuvent implémenter des détections proactives. Les challenges incluent la standardisation via STIX/TAXII et le timing de disclosure.Sources :ETSI IA : https://www.helpnetsecurity.com/2026/01/19/etsi-european-standard-ai-security/Bytebase : https://www.helpnetsecurity.com/2026/01/19/bytebase-open-source-database-devops-tool/KongTuke CrashFix : https://www.huntress.com/blog/malicious-browser-extention-crashfix-kongtukePDFSIDER : https://www.resecurity.com/es/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasionNCSC DDoS : https://www.ncsc.gov.uk/news/ncsc-issues-warning-over-hacktivist-groups-disrupting-uk-organisations-online-servicesGoogle Gemini : https://www.miggo.io/post/weaponizing-calendar-invites-a-semantic-attack-on-google-geminiSolyxImmortal : https://www.cyfirma.com/research/solyximmortal-python-malware-analysis/Evelyn Stealer : https://www.trendmicro.com/en_us/research/26/a/analysis-of-the-evelyn-stealer-campaign.htmlIngram Micro : https://www.bleepingcomputer.com/news/security/ingram-micro-says-ransomware-attack-affected-42-000-people/Jeux Olympiques : https://www.helpnetsecurity.com/2026/01/19/palo-alto-networks-olympic-cybersecurity-risks-report/Allianz Risk : https://www.helpnetsecurity.com/2026/01/19/allianz-ai-cyber-risk-report/Supreme Court : https://www.bleepingcomputer.com/news/security/hacker-admits-to-leaking-stolen-supreme-court-data-on-instagram/Maduro : https://www.securityweek.com/new-reports-reinforce-cyberattacks-role-in-maduro-capture-blackout/Access Broker : https://www.bleepingcomputer.com/news/security/jordanian-pleads-guilty-to-selling-access-to-50-corporate-networks/Géopolitique : https://www.helpnetsecurity.com/2026/01/19/cybersecurity-geopolitical-tensions/UK Corporate : https://www.infosecurity-magazine.com/news/cyber-breaches-compliance/Information Sharing : https://www.securityweek.com/cyber-insights-2026-information-sharing/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec le rapport trimestriel de Sonatype révélant une escalade sans précédent du malware open source. Sonatype a identifié 394 877 nouveaux packages malveillants au Q4 2025, soit une augmentation de 476% par rapport aux trois trimestres précédents combinés. 99,8% de ce malware provient de npm. L'automatisation à grande échelle domine avec des outils scriptés et assistés par IA. L'abus de référentiels a bondi de 53 000%, alimenté par des campagnes auto-réplicantes. Les attaquants ont priorisé la propagation rapide plutôt que la furtivité, modifiant packages existants, chaînes de dépendances et processus de publication. Sonatype a observé une augmentation de 833% des événements de corruption de données et 564% de packages contenant des backdoors pour la persistance. PhantomRaven a démontré comment publier et recycler rapidement des packages malveillants. La campagne IndonesianFoods a doublé le volume total de malware sur npm en quelques jours, générant plus de 100 000 packages en créant un nouveau package toutes les sept secondes via l'abus du protocole TEA. Le retour de Sha1-Hulud The Second Coming avec plus de 2 100 packages malveillants montre que les attaquants itèrent sur des méthodes éprouvées. Sonatype Repository Firewall a bloqué 120 612 attaques durant le trimestre. Le CERT-FR a publié l'avis CERTFR-2026-AVI-0062 concernant une vulnérabilité dans Mattermost Desktop App. La faille affecte toutes les versions antérieures à 5.13.3.0. Elle permet à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur. Le risque n'est pas caractérisé dans le bulletin. Le bulletin de sécurité Mattermost MMSA-2026-00577 du 16 janvier 2026 fournit les correctifs. La solution consiste en une mise à jour vers la version 5.13.3.0 ou ultérieure.Enfin, le tribunal correctionnel de Bayonne a condamné le 15 janvier un ancien agent municipal à cinq ans de prison dont deux ferme pour détournement de 3 millions d'euros à la ville d'Anglet. Pendant dix ans, de 2019 à 2025, l'employé de 53 ans affecté aux services financiers a exploité ses attributions pour détourner des fonds publics. Le mode opératoire révèle une exploitation astucieuse des failles de sécurité physique. L'agent profitait des pauses déjeuner lorsque les ordinateurs restaient ouverts et déverrouillés pendant une dizaine de minutes pour utiliser les adresses mail et le parapheur électronique. Il a mis en place un stratagème complexe faisant intervenir l'association Anglet Omnisport, la mairie et le Trésor public avec de fausses factures. L'accusé a indiqué avoir dépensé l'argent dans des services de voyance et des plateformes d'investissement. La peine de deux ans ferme et trois ans sursis est assortie d'obligations de soins, de travail et de remboursement intégral des sommes détournées.Sources :Sonatype – Open Source Malware Index Q4 2025 : https://www.sonatype.com/blog/open-source-malware-index-q4-2025-automation-overwhelms-ecosystemsCERT-FR – Mattermost Desktop App : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0062/France 3 Nouvelle-Aquitaine – Détournement 3 millions Anglet : https://france3-regions.franceinfo.fr/nouvelle-aquitaine/pyrenees-atlantiques/bayonne/il-profitait-que-l-ordinateur-reste-ouvert-l-employe-municipal-qui-a-detourne-3-millions-d-euros-condamne-a-deux-ans-de-prison-ferme-3282797.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la révélation de la CIRO concernant une brèche massive affectant 750 000 investisseurs canadiens. L'organisation canadienne de réglementation des placements confirme que l'incident résulte d'une attaque phishing sophistiquée survenue en août 2025. Plus de 9 000 heures d'investigation forensique ont été nécessaires pour déterminer l'ampleur complète. Les données compromises incluent dates de naissance, numéros d'assurance sociale, numéros de compte de placement et relevés. La CIRO offre deux ans de surveillance du crédit et de protection contre le vol d'identité. Aucune preuve d'utilisation malveillante n'a été détectée sur le dark web. Une action collective a été déposée au Québec.Microsoft a publié des correctifs out-of-band d'urgence le 17 janvier 2026 pour adresser deux régressions critiques introduites par le Patch Tuesday du 13 janvier. Le premier problème bloque l'accès aux sessions Microsoft 365 Cloud PC avec des échecs d'authentification Remote Desktop sur Windows 11, Windows 10 et Windows Server. Le second empêche certains PC Windows 11 version 23H2 avec Secure Launch activé de s'éteindre ou d'entrer en hibernation, provoquant des redémarrages intempestifs. Les packages KB5077744 et KB5077797 ont été publiés pour restaurer les flux d'authentification et corriger la régression d'extinction. Microsoft recommande la commande shutdown /s /t 0 comme solution temporaire.Check Point rapporte une exploitation massive de la CVE-2025-37164 affectant HPE OneView, attribuée au botnet RondoDox. La vulnérabilité obtient un score CVSS de 10 sur 10 et permet l'exécution de code à distance sur cette plateforme de gestion de data center. Entre 5h45 et 9h20 UTC le 7 janvier, plus de 40 000 tentatives d'attaque ont été enregistrées. L'activité provient principalement d'une adresse IP néerlandaise connue. Les cibles incluent organisations gouvernementales, services financiers et fabricants industriels aux États-Unis, Australie, France, Allemagne et Autriche. RondoDox utilise une approche exploit shotgun pour construire des réseaux de botnets destinés au DDoS et au cryptomining.Enfin, des chercheurs de l'Université de Louvain révèlent WhisperPair, un ensemble d'attaques ciblant les accessoires audio Bluetooth utilisant Google Fast Pair. La CVE-2025-36911, classée critique, affecte des centaines de millions d'appareils de 10 fabricants incluant Sony, JBL, Google, Jabra et Marshall. Fast Pair omet de vérifier si un appareil est en mode appairage, permettant un hijacking silencieux même lorsque les écouteurs sont portés. L'attaquant peut diffuser du bruit, enregistrer l'audio via microphone, et dans certains cas suivre la localisation via le réseau Find Hub de Google. Sur 25 appareils testés, 68% ont été compromis avec succès. Le correctif nécessite une mise à jour firmware du fabricant.Sources :CIRO – Brèche 750 000 investisseurs : https://www.ciro.ca/newsroom/publications/canadian-investment-regulatory-organization-update-regarding-unauthorized-access-some-canadianThe Globe and Mail – CIRO data breach : https://www.theglobeandmail.com/business/article-securities-regulator-says-data-breach-last-summer-affected-750000/BleepingComputer – Microsoft OOB updates : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-oob-windows-updates-to-fix-shutdown-cloud-pc-bugs/The Register – RondoDox botnet HPE OneView : https://www.theregister.com/2026/01/16/rondodox_botnet_hpe_oneviewMalwarebytes – WhisperPair Bluetooth : https://www.malwarebytes.com/blog/news/2026/01/whisperpair-exposes-bluetooth-earbuds-and-headphones-to-tracking-and-eavesdroppingOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Nous ouvrons cet épisode avec le CERT-FR qui a publié quatre avis de sécurité. L'avis CERTFR-2026-AVI-0047 concerne une vulnérabilité dans F5 NGINX Ingress Controller. La CVE-2025-14727 permet un contournement de la politique de sécurité sur les versions 5.x antérieures à 5.3.1. F5 a publié le bulletin K000158176 avec les correctifs disponibles. L'avis CERTFR-2026-AVI-0048 signale de multiples vulnérabilités dans Wireshark permettant un déni de service à distance. Quatre bulletins wnpa-sec-2026-01 à 04 ont été publiés le 15 janvier pour les versions 4.4.x antérieures à 4.4.13 et 4.6.x antérieures à 4.6.3. L'avis CERTFR-2026-AVI-0054 adresse deux vulnérabilités dans Centreon Infra Monitoring. La CVE-2025-43864 et la CVE-2025-43865 permettent un contournement de la politique de sécurité et un déni de service à distance sur les versions 25.10.x. Enfin, l'avis CERTFR-2026-AVI-0057 concerne de multiples vulnérabilités dans le noyau Linux de Debian LTS. Le bulletin DLA-4436-1 adresse 120 CVE distinctes pour Debian bullseye versions antérieures à 6.1.159-1, incluant la CVE-2024-47666 et les CVE-2025-37899 à CVE-2025-68734.CVEFeed.io référence la CVE-2025-10484, une vulnérabilité d'authentication bypass affectant le plugin WordPress Registration & Login with Mobile Phone Number for WooCommerce. Le score CVSS 3.1 atteint 9.8, classant cette faille comme critique. Toutes les versions jusqu'à 1.3.1 sont vulnérables. Le plugin ne vérifie pas correctement l'identité des utilisateurs avant de les authentifier via la fonction fma_lwp_set_session_php_fun. Un attaquant non authentifié peut ainsi s'authentifier comme n'importe quel utilisateur du site, y compris les administrateurs, sans mot de passe valide. La vulnérabilité est classée CWE-288, authentication bypass using an alternate path or channel.Enfin, Linux Journal annonce le lancement de Loss32, une distribution Linux légère développée pour redonner vie au matériel ancien et aux systèmes à ressources limitées. La distribution supporte les CPU 32 bits et 64 bits avec un minimum de 512 Mo de RAM et 4 Go d'espace disque. Loss32 embarque un environnement de bureau customisé basé sur un hybride Xfce/XF-Lite, offrant une empreinte mémoire réduite. L'installateur utilise une interface guidée facilitant la migration depuis Windows ou macOS. La roadmap inclut l'amélioration du support des adaptateurs wireless, des optimisations pour le gaming sur hardware legacy, et la localisation multilingue.Sources : CERT-FR – Noyau Linux Debian LTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0057/CVEFeed.io – CVE-2025-10484 : https://cvefeed.io/vuln/detail/CVE-2025-10484Linux Journal – Loss32 : https://www.linuxjournal.com/content/introducing-loss32-new-lightweight-linux-distro-focus-legacy-hardwareCERT-FR – F5 NGINX Ingress Controller : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0047/CERT-FR – Wireshark : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0048/CERT-FR – Centreon Infra Monitoring : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0054/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une sanction de la California Privacy Protection Agency contre Datamasters, courtier en données texan condamné à 45 000 dollars d'amende pour avoir commercialisé des informations de 435 245 patients Alzheimer ainsi que des millions de profils sensibles incluant personnes malvoyantes, personnes souffrant d'addiction et indicateurs de vulnérabilité financière. L'entreprise n'était pas enregistrée comme courtier en données comme l'exige le Delete Act californien depuis janvier 2025.L'Allemagne et Israël ont signé un accord de coopération cybersécurité pour construire une version allemande du cyber dome israélien, système semi-automatisé de détection et réponse aux cyberattaques en temps réel. Le pacte signé à Jérusalem par le ministre de l'Intérieur allemand Dobrindt et le Premier ministre israélien Netanyahu prévoit l'échange d'expertise, le développement conjoint d'outils de cyberdéfense et la création d'un centre d'innovation en IA et cybersécurité. L'accord intervient dans un contexte de menaces croissantes contre l'Allemagne, notamment des acteurs alignés sur la Russie.Cisco a publié des correctifs pour CVE-2025-20393, vulnérabilité zero-day de sévérité maximale dans AsyncOS exploitée depuis novembre 2025 par le groupe APT chinois UAT-9686. La faille affecte les appliances Secure Email Gateway et Secure Email and Web Manager avec configurations non standard exposant la fonctionnalité Spam Quarantine sur Internet. Les attaquants ont déployé des outils de tunneling ReverseSSH et Chisel, l'utilitaire de nettoyage AquaPurge et le backdoor Python AquaShell. Les correctifs sont disponibles pour toutes les versions affectées.Enfin, des chercheurs ont découvert CodeBreach, vulnérabilité critique dans la chaîne d'approvisionnement AWS Console exploitant une mauvaise configuration dans les pipelines CI AWS CodeBuild. Deux caractères manquants dans un filtre regex ont permis le contournement de l'authentification via manipulation des ID utilisateur GitHub, donnant accès administrateur au dépôt aws-sdk-js-v3 et aux identifiants du compte aws-sdk-js-automation. AWS a remédié aux problèmes et introduit un portail d'approbation manuelle pour les builds de pull requests non fiables.Sources : Malwarebytes – Amende Datamasters : https://www.malwarebytes.com/blog/news/2026/01/data-broker-fined-after-selling-alzheimers-patient-info-and-millions-of-sensitive-profilesThe Record – Accord Allemagne-Israël : https://therecord.media/germany-cyber-dome-israelBleepingComputer – Cisco AsyncOS CVE-2025-20393 : https://www.bleepingcomputer.com/news/security/cisco-finally-fixes-asyncos-zero-day-exploited-since-november/CyberPress – Vulnérabilité CodeBreach AWS : https://cyberpress.org/aws-console-supply-chain-attack-github-hijackingcyber/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une analyse de Cisco Talos Intelligence sur UAT-8837, un acteur APT lié à la Chine ciblant les infrastructures critiques nord-américaines depuis 2025. Le groupe exploite des vulnérabilités zero-day, notamment CVE-2025-53690 dans SiteCore, et utilise des outils open-source pour la post-compromission : DWAgent, SharpHound, Earthworm et Certipy. Talos évalue qu'UAT-8837 fonctionne comme courtier d'accès initial pour des opérations ultérieures.Malwarebytes a identifié une campagne de phishing sur LinkedIn utilisant de faux commentaires de restriction de compte. Les attaquants créent des profils imitant LinkedIn pour publier des réponses affirmant une non-conformité et rediriger vers des pages de phishing volant les identifiants. LinkedIn a confirmé être au courant et travailler sur des contre-mesures.Le département de police d'Anchorage a mis ses serveurs hors ligne suite à une cyberattaque chez Whitebox Technologies, son prestataire de migration de données, alerté le 7 janvier. Le département informatique a désactivé tous les accès tiers et supervisé la suppression des données. Aucune compromission des systèmes APD n'a été détectée à ce stade.Enfin, le CERT Santé a publié une alerte sur CVE-2026-0227, une vulnérabilité de déni de service dans GlobalProtect et Portal de Palo Alto Networks avec un score CVSS de 7.5. L'exploitation ne nécessite aucun privilège ni interaction utilisateur. Les versions 10.1, 10.2, 11.1, 11.2, 12.1 et Prisma Access sont affectées. Des correctifs sont disponibles.Sources : Cisco Talos Intelligence – UAT-8837 : https://blog.talosintelligence.com/uat-8837/Malwarebytes – Phishing LinkedIn : https://www.malwarebytes.com/blog/news/2026/01/phishing-scammers-are-posting-fake-account-restricted-comments-on-linkedinThe Record – Anchorage Police : https://therecord.media/anchorage-police-takes-servers-offline-after-third-party-attackCERT Santé – CVE-2026-0227 : https://cyberveille.esante.gouv.fr/alertes/palo-alto-cve-2026-0227-2026-01-15On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Cette année marque une étape symbolique pour la cybersécurité en Principauté : l’Agence Monégasque de Sécurité Numérique (AMSN) a été créée le 23 décembre 2015 et fête donc 10 ans d’action au service de la sécurité numérique de Monaco. L’AMSN est l’autorité nationale en charge de la sécurité des systèmes d’information, et un centre d’expertise, de réponse et de traitement des attaques numériques pour l’État et les Opérateurs d’Importance Vitale (OIV).🛡️ Ce que met en œuvre l’AMSN, concrètement :Prévenir, détecter et traiter les cyberattaques (détection, alerte, traitement des incidents)Réagir en situation de crise et coordonner la réponse opérationnelleEncadrer et contrôler le niveau de sécurité des OIVÉvaluer / certifier produits, systèmes et prestataires, et contribuer à la confiance numérique (liste de confiance, services qualifiés)Représenter Monaco dans les instances et coopérations internationales de sécurité numérique🚨 Zoom opérationnel : le CERT-MCLe CERT-MC est l’équipe de réponse à incident de l’AMSN. Sa doctrine et ses missions sont décrites selon le standard RFC 2350, et il s’inscrit dans les pratiques internationales des CSIRT/CERT.🌍 Coopération et écosystèmePartenariat structurant avec l’ANSSI (France) via un programme de coopération en cybersécurité.Participation à la communauté internationale : présence de l’AMSN et du CERT-MC à la conférence annuelle FIRST (Forum of Incident Response and Security Teams) et à la TF-CSIRT.🔗 Sources (liens complets) :AMSN – Présentation : https://amsn.gouv.mc/decouvrir-l-amsn/presentationCERT-MC – Présentation / RFC 2350 : https://amsn.gouv.mc/cert-mcGouvernement Princier – Missions AMSN (annuaire) : https://www.gouv.mc/Gouvernement-et-Institutions/Le-Gouvernement/Ministere-d-Etat/Agence-Monegasque-de-Securite-NumeriqueLégimonaco – Ordonnance Souveraine n° 5.664 du 23/12/2015 (création AMSN) : https://legimonaco.mc/tnc/ordonnance/2015/12-23-5.664/ANSSI / cyber.gouv.fr – Programme de coopération AMSN–ANSSI : https://cyber.gouv.fr/actualites/signature-dun-nouveau-programme-de-cooperation-entre-lagence-monegasque-de-securiteGouvernement Princier – Participation AMSN à la conférence FIRST : https://www.gouv.mc/Action-Gouvernementale/La-Securite/Actualites/L-Agence-Monegasque-de-Securite-Numerique-participe-a-la-36eme-conference-annuelle-du-Forum-of-Incident-Response-and-Security-Teams

Microsoft ouvre l'année 2026 avec un Patch Tuesday substantiel, corrigeant 114 vulnérabilités dont trois zero-days. Parmi ces failles, la CVE-2026-20805 fait l'objet d'une exploitation active en conditions réelles et a été ajoutée au catalogue KEV de la CISA avec une date limite de correction fixée au 3 février 2026.Cette faille de type Information Disclosure affecte Desktop Window Manager et permet à un attaquant authentifié de lire des adresses mémoire associées au port ALPC distant. Microsoft attribue la découverte de cette vulnérabilité au Microsoft Threat Intelligence Center et au Microsoft Security Response Center, mais ne précise pas les détails de son exploitation.Sur les 114 vulnérabilités corrigées, huit sont classées critiques, incluant six failles d'exécution de code à distance et deux d'élévation de privilèges. Les applications Microsoft Office présentent plusieurs vulnérabilités critiques, notamment dans Word et Excel, exploitables via documents malveillants dans le cadre de campagnes de phishing.Microsoft procède à la suppression des drivers Agere Soft Modem vulnérables, agrsm64.sys et agrsm.sys, qui sont livrés nativement avec les systèmes Windows supportés. L'éditeur avertit également que les certificats Windows Secure Boot émis en 2011 approchent de leur date d'expiration. Les systèmes non mis à jour présentent un risque accru de contournement du Secure Boot par des acteurs malveillants.Les 57 vulnérabilités d'élévation de privilèges corrigées ce mois-ci concernent principalement les drivers kernel Windows et les services de gestion. Windows Server Update Services fait l'objet d'une attention particulière avec la CVE-2026-20856, permettant l'exécution de code à distance sur les systèmes exposés.Les équipes de sécurité doivent prioriser les systèmes exposés sur internet, en commençant par WSUS, suivi des serveurs SMB et des endpoints Office. Les mises à jour Windows 11 sont disponibles via KB5074109 et KB5073455, tandis que Windows 10 reçoit la mise à jour étendue KB5073724.Sources :Krebs on Security – Patch Tuesday janvier 2026 : https://krebsonsecurity.com/2026/01/patch-tuesday-january-2026-edition/Cisco Talos Intelligence – Microsoft Patch Tuesday janvier 2026 : https://blog.talosintelligence.com/microsoft-patch-tuesday-january-2026/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com