RadioCSIRT : Edition Française

Bienvenue sur votre podcast quotidien de cybersécurité.La CISA a intégré la vulnérabilité CVE-2023-52163 à son catalogue KEV en raison de preuves d'exploitation active. Cette faille d'autorisation manquante affecte les enregistreurs vidéo réseau Digiever DS-2105 Pro, permettant à des acteurs malveillants de contourner les contrôles d'accès. Bien que la directive BOD 22-01 cible les agences fédérales, la CISA exhorte toutes les organisations à appliquer immédiatement les mises à jour de firmware. Ce type de vulnérabilité est un vecteur fréquent pour l'accès initial et les mouvements latéraux au sein des réseaux IoT et des infrastructures de surveillance.Genians Security Center détaille la campagne « Artemis » menée par le groupe APT37 contre des cibles sud-coréennes via des documents HWP malveillants. L'attaque utilise des objets OLE pour déclencher une chaîne d'exécution exploitant la technique du DLL side-loading via l'utilitaire légitime VolumeId pour charger le module RoKRAT. La campagne se distingue par l'usage de la stéganographie dans des images pour masquer la charge utile et l'utilisation de services cloud légitimes comme Yandex Cloud et pCloud pour les communications C2. L'identification est rendue complexe par l'exécution du payload dans le contexte de processus système fiables.SoundCloud confirme une intrusion via un tableau de bord de service auxiliaire, exposant les données de 20 % de ses utilisateurs, soit environ 26 millions de comptes. Les informations compromises incluent les adresses e-mail et les données publiques des profils, sans impact sur les mots de passe ou données financières. L'incident a été suivi d'attaques DDoS perturbant la disponibilité du site. Les mesures de remédiation, incluant le renforcement des contrôles IAM, ont causé des problèmes de connectivité temporaires pour les utilisateurs sous VPN.Socket Security a découvert deux extensions Chrome malveillantes, Phantom Shuttle, détournant le trafic de plus de 170 domaines d'entreprise dont AWS, GitHub et Azure. Ces extensions injectent silencieusement des identifiants de proxy via l'écouteur chrome.webRequest.onAuthRequired pour capturer les flux de données en position de Man-in-the-Middle. Les attaquants utilisent des scripts PAC pour rediriger le trafic sensible et exfiltrer identifiants, cookies de session et clés API en texte clair vers le serveur C2 phantomshuttle[.]space.Le collectif Anna’s Archive a publié une base de données massive contenant 86 millions de titres et les métadonnées de 256 millions de morceaux extraits de Spotify. L'opération de scraping, totalisant 300 téraoctets, a été réalisée via l'automatisation de comptes tiers sur plusieurs mois par stream-ripping. Spotify a désactivé les comptes impliqués et déployé de nouveaux mécanismes de surveillance pour détecter les comportements de lecture automatisés. L'ampleur de cette exfiltration pose des risques majeurs pour la protection des droits des créateurs et la propriété intellectuelle.Sources :CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalogAPT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dllSoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.htmlSpotify Scraping : https://therecord.media/spotify-disables-scraping-annasOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Pornhub alerte ses abonnés Premium suite à une exposition de données le 8 novembre 2025 via le prestataire d'analytics Mixpanel. Les cybercriminels menacent de contacter directement les utilisateurs impactés par email. Mixpanel conteste que les données proviennent de son incident de sécurité du 8 novembre, indiquant aucune preuve d'exfiltration depuis ses systèmes. Pornhub confirme que les mots de passe, détails de paiement et informations financières ne sont pas compromis, l'exposition concernant un ensemble limité d'événements analytiques. Les attaquants exploitent ces données pour des campagnes de sextortion ciblant spécifiquement les utilisateurs Premium identifiés.Intezer documente une campagne du groupe Goffee ciblant le personnel militaire russe et les organisations de défense. L'attaque initiale identifiée en octobre utilise un fichier XLL malveillant uploadé depuis l'Ukraine puis la Russie sur VirusTotal, titré "enemy's planned targets". Le fichier déploie le backdoor EchoGather pour collecter des informations système, exécuter des commandes et exfiltrer des fichiers vers un serveur C2 déguisé en site de livraison de nourriture. Les leurres de phishing incluent une fausse invitation à un concert pour officiers supérieurs et une lettre imitant le Ministère de l'Industrie et du Commerce russe demandant des documents de justification tarifaire pour contrats de défense.CISA et NIST publient le draft de l'Interagency Report 8597 sur la protection des tokens et assertions d'identité contre falsification, vol et usage malveillant. Le document répond aux incidents récents chez les fournisseurs cloud majeurs ciblant le vol, la modification ou la falsification de tokens d'identité pour accéder aux ressources protégées. Le rapport couvre les contrôles IAM pour systèmes utilisant assertions et tokens signés numériquement dans les décisions d'accès. NIST demande aux CSPs d'appliquer les principes Secure by Design, priorisant transparence, configurabilité et interopérabilité. Les agences fédérales doivent comprendre l'architecture et modèles de déploiement de leurs CSPs pour aligner posture de risque et environnement de menace. Sources :Pornhub sextortion : https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposureGoffee APT : https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishingNIST/CISA tokens : https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-andOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Une majorité de domaines récemment enregistrés et stationnés diffusent désormais du contenu malveillant. L’analyse montre une bascule progressive des services de domain parking vers l’hébergement de pages de phishing, de fausses mises à jour logicielles et de redirections vers des kits de scams. Ces domaines sont fréquemment utilisés comme infrastructure éphémère pour contourner les mécanismes de réputation et accélérer les campagnes de fraude et de malware delivery.Le groupe APT iranien Infy refait surface avec une nouvelle campagne ciblée. Les attaques reposent sur des documents piégés diffusés par spear-phishing, utilisant des leurres politiques et diplomatiques. Les charges malveillantes intègrent des backdoors mises à jour, des mécanismes de persistance via le registre Windows et des canaux C2 HTTP(S) dissimulés, indiquant une reprise opérationnelle structurée après une période de faible activité.Le NIST publie de nouvelles recommandations de sécurité pour l’usage des smart speakers dans les environnements de télé-santé à domicile. Les risques identifiés incluent l’interception de flux vocaux non chiffrés, la compromission de données de santé et l’utilisation de ces appareils comme points de pivot vers les systèmes hospitaliers. Les mesures préconisées portent sur le chiffrement des communications, la segmentation réseau et le contrôle strict des accès aux dispositifs et aux plateformes cloud associées.Sources :Domain parking malveillant : https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/APT Infy : https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.htmlNIST smart speakers : https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelinesOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Amazon révèle avoir identifié une infiltration liée à la Corée du Nord lors d’un recrutement IT. Un administrateur système déclaré comme basé aux États-Unis a été détecté via une latence de frappe clavier supérieure à 110 millisecondes vers les serveurs de Seattle, indiquant un pilotage distant intercontinental. L’infrastructure de contrôle a été tracée jusqu’en Chine. Amazon indique avoir bloqué plus de 1 800 tentatives de recrutement frauduleux associées à la Corée du Nord depuis avril 2024, avec une hausse trimestrielle de 27 %.Un acteur APT russe mène une campagne de phishing ciblant des entités gouvernementales des Balkans et de la région baltique. Les attaques reposent sur des pièces jointes HTML déguisées en PDF, intégrant des leurres institutionnels et des formulaires d’authentification factices. Les identifiants sont exfiltrés via formcarry.com, avec réutilisation de code JavaScript et de regex observée depuis au moins 2023.Microsoft confirme une panne globale de Microsoft Teams ayant affecté l’envoi et la réception des messages sur l’ensemble des régions et des clients. L’incident débute à 14h30 heure de la côte Est et est entièrement résolu une heure plus tard. Aucun indicateur d’activité malveillante n’est communiqué.Une campagne malware exploite des documents Microsoft Office, des fichiers SVG et des archives compressées pour compromettre des systèmes Windows. Les attaquants exploitent CVE-2017-11882, utilisent la stéganographie PNG et du process hollowing via RegAsm.exe pour livrer RATs et stealers, dont AsyncRAT, Remcos et PureLog Stealer.Aux États-Unis, des attaques d’ATM jackpotting sont attribuées à un groupe criminel déployant le malware Ploutus via accès physique aux distributeurs automatiques. La compromission repose sur la modification ou le remplacement des disques durs des ATM, permettant le contrôle du module de distribution de billets. Les pertes sont estimées à plus de 40 millions de dollars depuis 2020.On ne réfléchit pas, on patch !Sources :Amazon : https://www.clubic.com/actualite-592366-amazon-infiltre-par-un-espion-nord-coreen-finalement-repere-a-cause-de-sa-frappe-clavier.htmlAPT russe : https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/Microsoft Teams : https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-teams-is-down-and-messages-are-delayed/SVG / Office : https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/ATM Ploutus : https://www.theregister.com/2025/12/19/tren_de_aragua_atm/Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Les autorités françaises ont arrêté un individu de 22 ans suite à la compromission du système du Ministère de l'Intérieur. L'intrusion a exposé des comptes de messagerie et documents confidentiels incluant casiers judiciaires et fichiers de personnes recherchées. L'attaque a été revendiquée sur BreachForums. Le suspect a maintenu une persistence réseau durant plusieurs jours. Le Parquet de Paris poursuit pour accès frauduleux aux systèmes de l'État en bande organisée, dix ans d'emprisonnement maximum.WatchGuard publie l'advisory WGSA-2025-00027 concernant CVE-2025-14733, Out-of-bounds Write critique dans le processus iked de Fireware OS, CVSS 9.3. Exploitation active confirmée permettant exécution de code à distance non authentifiée. Versions affectées 11.10.2 à 12.11.5 et 2025.1 à 2025.1.3. WatchGuard fournit quatre adresses IP d'acteurs malveillants. Versions corrigées disponibles.Riot Games révèle quatre CVE affectant l'UEFI de cartes mères ASUS, Gigabyte, MSI, ASRock. Défaillance d'initialisation IOMMU permet attaques DMA pré-boot. Dispositif PCIe malveillant avec accès physique peut modifier la mémoire système avant chargement OS. Carnegie Mellon CERT/CC confirme impact étendu. Mises à jour firmware disponibles.Cyderes documente CountLoader 3.2 via logiciels crackés, établit persistence mimant Google toutes les trente minutes pendant dix ans. Neuf capacités incluant propagation USB, déploie ACR Stealer. Check Point rapporte GachiLoader via YouTube Ghost Network, cent vidéos, 220.000 vues. Déploie Kidkadi avec injection PE via Vectored Exception Handling, Rhadamanthys stealer comme payload final.La CNIL sanctionne Mobius Solutions d'un million d'euros pour conservation illégale de 46 millions d'enregistrements Deezer post-rupture contractuelle. Données divulguées sur darknet depuis environnement de test non sécurisé. La CNIL confirme application extraterritoriale du RGPD.On ne réfléchit pas, on patch !Sources :Arrestation France :https://therecord.media/france-interior-ministry-hack-arrestWatchGuard :https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027UEFI :https://www.bleepingcomputer.com/news/security/new-uefi-flaw-enables-pre-boot-attacks-on-motherboards-from-gigabyte-msi-asus-asrock/Loaders :https://thehackernews.com/2025/12/cracked-software-and-youtube-videos.htmlCNIL :https://www.zdnet.fr/actualites/fuite-massive-sur-le-darknet-la-cnil-frappe-fort-contre-un-ancien-sous-traitant-de-deezer-487023.htmVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Bienvenue dans votre podcast quotidien de cybersécurité.Le groupe Clop, également suivi sous l’appellation Cl0p, mène une nouvelle campagne d’extorsion par vol de données ciblant des serveurs Gladinet CentreStack exposés sur Internet. Les investigations font état de scans actifs, de compromissions confirmées et de dépôts de notes d’extorsion. Le vecteur d’accès initial reste non identifié à ce stade, laissant ouverte l’hypothèse d’une vulnérabilité zero-day ou d’un correctif non appliqué. Cette campagne s’inscrit dans la continuité des opérations Clop contre des solutions de partage de fichiers et de transfert sécurisé.La CISA ajoute trois vulnérabilités activement exploitées à son catalogue KEV. La CVE-2025-20393 affecte plusieurs produits Cisco via une validation incorrecte des entrées. La CVE-2025-40602 concerne les appliances SonicWall SMA1000 et repose sur un défaut d’autorisation. La CVE-2025-59374 cible ASUS Live Update avec du code malveillant embarqué dans le mécanisme de mise à jour, illustrant un scénario de compromission de la supply chain.Le CERT-FR publie l’avis CERTFR-2025-AVI-1116 relatif à plusieurs vulnérabilités dans Google Chrome. Les versions antérieures à 143.0.7499.146 pour Linux et 143.0.7499.146 ou .147 pour Windows et macOS sont concernées. Les CVE CVE-2025-14765 et CVE-2025-14766 sont référencées, sans détails techniques publics sur l’impact exact.Une vulnérabilité critique FreeBSD, CVE-2025-14558, permet une exécution de code à distance via des Router Advertisement IPv6 forgés dans le cadre du mécanisme SLAAC. Le défaut de validation des messages RA conduit à une injection de commandes dans un script shell interne. L’exploitation nécessite un attaquant présent sur le même segment réseau. Le score CVSS est évalué à 9.8.Les activités cyber nord-coréennes atteignent un niveau record en 2025 avec plus de 2 milliards de dollars de cryptomonnaies dérobés selon Chainalysis. Les opérations combinent attaques sur services centralisés, compromission de wallets personnels et campagnes d’ingénierie sociale avancée, notamment via de faux recruteurs et investisseurs.FIRST met en lumière l’importance stratégique des communications en gestion d’incident, soulignant la nécessité de canaux alternatifs sécurisés, de mécanismes de coordination tierce et d’une délégation contrôlée de la communication publique afin de limiter les effets secondaires opérationnels lors d’une crise cyber.Enfin, une opération coordonnée avec le soutien d’Eurojust a permis le démantèlement de centres d’appels frauduleux en Ukraine. Le réseau, structuré et transnational, reposait sur des TTPs d’ingénierie sociale à grande échelle, avec plus de dix millions d’euros de préjudice identifié et quarante-cinq suspects au total.On ne réfléchit pas, on patch !Sources :Clop / Gladinet : https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/CISA KEV : https://www.cisa.gov/news-events/alerts/2025/12/17/cisa-adds-three-known-exploited-vulnerabilities-catalogCERT-FR Chrome : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1116/FreeBSD RCE : https://www.security.nl/posting/917946/Kritiek+beveiligingslek+in+FreeBSD+maakt+remote+code+execution+mogelijk?channel=rssDPRK Crypto : https://www.theregister.com/2025/12/18/north_korea_stole_2b_crypto_2025/FIRST Comms : https://www.first.org/blog/20251216-upskilling_communicationsEurojust fraude : https://www.eurojust.europa.eu/news/fraudulent-call-centres-ukraine-rolledFrance – arrestation : https://therecord.media/france-interior-ministry-hack-arrestVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue dans votre podcast quotidien de cybersécurité.La CISA ajoute la CVE-2025-59718 à son catalogue KEV le 16 décembre. La faille affecte FortiOS, FortiSwitchMaster, FortiProxy et FortiWeb via une vérification incorrecte de signature cryptographique dans l'authentification SAML FortiCloud SSO. Un attaquant non authentifié peut contourner l'authentification via un message SAML forgé. L'exploitation active est confirmée. La CVE-2025-59719 couvre le même problème sous-jacent. Les agences fédérales doivent appliquer les correctifs avant le 23 décembre. Aucun lien avec une campagne ransomware n'est confirmé à ce stade.Le CERT-FR publie l'avis CERTFR-2025-AVI-1117 concernant GLPI. Deux vulnérabilités identifiées, CVE-2025-59935 et CVE-2025-64520, affectent les versions GLPI 9.1.0 à antérieures à 10.0.21. Les risques incluent injection XSS et contournement de politique de sécurité. Les correctifs sont disponibles via les advisories GitHub GHSA-62p9-prpq-j62q et GHSA-j8vv-9f8m-r7jx publiés le 16 décembre.Cisco signale la CVE-2025-20393, zero-day critique dans AsyncOS affectant Secure Email Gateway et Secure Email and Web Manager avec Spam Quarantine exposé sur Internet dans des configurations non standard. Exploitation active depuis fin novembre attribuée au groupe chinois UAT-9686 déployant backdoors AquaShell, tunnels AquaTunnel et Chisel, et outil AquaPurge d'effacement de logs. Liens identifiés avec UNC5174 et APT41. Aucun patch disponible. Cisco recommande restriction d'accès, segmentation réseau, et reconstruction des appliances compromises comme seule option d'éradication.SonicWall corrige la CVE-2025-40602, escalade de privilèges locale dans Appliance Management Console SMA1000. Exploitée en chaîne avec CVE-2025-23006, faille de désérialisation critique score CVSS 9.8 déjà corrigée en janvier. La combinaison permet une exécution de code root non authentifiée à distance. Découverte par Google Threat Intelligence Group. Version fixe : build 12.4.3-02856 et supérieures. Plus de 950 appliances SMA1000 restent exposées selon Shadowserver.Enfin, Recorded Future documente une campagne de phishing soutenue menée par APT28 ciblant les utilisateurs UKR.net entre juin 2024 et avril 2025. Pages de login UKR.net hébergées sur Mocky distribuées via PDF dans des emails de phishing. Liens raccourcis via tiny.cc ou tinyurl.com avec certaines redirections via sous-domaines Blogger. Capture credentials et codes 2FA. Les attaquants ont migré vers les services proxy ngrok et Serveo suite aux takedowns d'infrastructure début 2024. Opération GRU ciblant la collecte de renseignement ukrainien dans le contexte du conflit en cours.On ne réfléchit pas, on patch !Sources :CISA KEV : https://www.cisa.gov/news-events/alerts/2025/12/16/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1117/ Cisco AsyncOS : https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/SonicWall : https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/APT28 : https://thehackernews.com/2025/12/apt28-targets-ukrainian-ukr-net-users.htmlVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue dans votre podcast quotidien de la cybersécurité.QNAP publie une vulnérabilité de contournement d’authentification de sévérité élevée référencée sous la CVE-2025-59385. Cette faille permet à un attaquant distant d’usurper les mécanismes d’authentification et d’accéder à des ressources protégées sans identifiants. Les systèmes QTS et QuTS hero sont affectés, avec une exploitation possible à distance sans interaction utilisateur. Les correctifs sont disponibles à partir de QTS 5.2.7.3297 et QuTS hero 5.2.7 et 5.3.1 build 20251024.Une seconde vulnérabilité QNAP, la CVE-2025-62848, expose les systèmes QTS et QuTS hero à des attaques par déni de service à distance. La faille repose sur une déréférence de pointeur NULL et peut être exploitée sans authentification. L’exploitation entraîne des arrêts système et des interruptions de service. Les versions corrigées sont identiques à celles publiées pour CVE-2025-59385.Trend Micro révèle l’existence d’un contrôleur jusqu’alors inconnu associé au malware BPFDoor, permettant l’ouverture de shells inversés chiffrés, des accès directs et des mouvements latéraux sur des serveurs Linux. Le backdoor exploite les mécanismes Berkeley Packet Filter pour rester furtif et contourner les contrôles réseau. Les activités sont attribuées avec un niveau de confiance moyen au groupe APT Earth Bluecrow et ciblent les secteurs des télécommunications, de la finance et du retail en Asie et au Moyen-Orient.La CISA ajoute deux vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities. CVE-2025-14611 affecte Gladinet CentreStack et Triofox via des secrets cryptographiques codés en dur, tandis que CVE-2025-43529 correspond à une vulnérabilité WebKit de type use-after-free impactant plusieurs produits Apple. Les agences fédérales doivent appliquer les correctifs conformément à la directive BOD 22-01, avec une recommandation forte étendue à l’ensemble des organisations.Avast documente une nouvelle escroquerie visant les comptes WhatsApp, exploitant la fonctionnalité légitime de liaison d’appareils. Les attaquants incitent les victimes à autoriser un appareil frauduleux via de fausses pages de vérification, permettant un accès persistant aux conversations sans vol de mot de passe ni alerte de sécurité.Enfin, The Record rapporte des fuites de données majeures chez Prosper Marketplace et 700Credit, affectant près de 20 millions de personnes. Les données exposées incluent des numéros de sécurité sociale, des informations financières et des documents d’identité, illustrant une nouvelle fois les risques systémiques pesant sur la chaîne de valeur des services financiers.On ne réféchit pas, on patch !Sources :CVE-2025-59385 : https://cvefeed.io/vuln/detail/CVE-2025-59385CVE-2025-62848 : https://cvefeed.io/vuln/detail/CVE-2025-62848BPFDoor : https://www.trendmicro.com/en_us/research/25/d/bpfdoor-hidden-controller.htmlCISA KEV : https://www.cisa.gov/news-events/alerts/2025/12/15/cisa-adds-two-known-exploited-vulnerabilities-catalogEscroquerie WhatsApp : https://blog.avast.com/blog/onlinescams/whatsapppairingscamViolations de données : https://therecord.media/data-breaches-affecting-20-million-prosper-700creditVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Horizon3.ai expose trois vulnérabilités critiques dans FreePBX. La plus sévère, CVE-2025-66039 scorée 9.3, permet un bypass d'authentification complet via un simple header Authorization forgé. Deux autres failles offrent injection SQL et upload de web shell PHP pour exécution de code à distance. Les patches sont disponibles mais nécessitent une configuration manuelle via CLI et un audit des instances exposées avant septembre.Le nouvel avatar de BreachForums revendique une intrusion majeure sur le ministère de l'Intérieur français. L'acteur "Indra" affirme avoir exfiltré les bases de données police TAJ et FPR avec une demande de rançon sous une semaine. Place Beauvau confirme une compromission de messageries et d'applicatifs métiers. Double authentification systématique et rotation des mots de passe déployées en urgence. Enquête confiée à l'Office anti-cybercriminalité.BleepingComputer révèle comment des scammers ont détourné l'infrastructure PayPal pour envoyer des emails légitimes depuis service@paypal.com. L'exploitation de la fonction "pause subscription" a permis de contourner tous les filtres antispam pour mener des campagnes de tech support scam à grande échelle. PayPal confirme la fermeture de la faille après l'enquête.Le CERT-FR émet l'avis CERTFR-2025-AVI-1111 pour Roundcube Webmail. De multiples vulnérabilités XSS touchent les versions antérieures à 1.5.12 et 1.6.12, permettant injection de code à distance et atteinte à la confidentialité. Correctifs disponibles depuis le 13 décembre avec recommandation d'application immédiate pour toutes les instances webmail exposées.On ne réfléchit pas, on patch !Sources :FreePBX :https://thehackernews.com/2025/12/freepbx-authentication-bypass-exposed.htmlMinistère Intérieur : https://www.zdnet.fr/actualites/lattaque-informatique-contre-le-ministere-de-linterieur-revendiquee-par-un-nouvel-avatar-de-breachforums-486636.htmPayPal : https://www.malwarebytes.com/blog/news/2025/12/paypal-closes-loophole-that-let-scammers-send-real-emails-with-fake-purchase-noticesRoundcube : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1111/Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Apple et Google corrigent en urgence des failles Zero-Day exploitées activement. La CISA a ajouté la CVE-2025-14174 à son catalogue KEV, signalant une corruption mémoire critique dans le moteur Chromium affectant Chrome, Edge et Brave. Simultanément, Apple a déployé des correctifs pour cette même faille ainsi que pour la CVE-2025-43529, un bug Use-After-Free dans WebKit. Ces vulnérabilités, découvertes par le Google Threat Analysis Group, sont utilisées dans des attaques "extrêmement sophistiquées" permettant l'exécution de code à distance (RCE) sur iPhone, iPad et macOS via du contenu web piégé. La mise à jour vers iOS 26.2 et les dernières versions des navigateurs est impérative pour stopper cette chaîne d'infection.Le CERT-FR émet une alerte massive concernant le noyau Linux d'Ubuntu. L'avis de sécurité couvre une série de vulnérabilités affectant l'intégralité des versions supportées, des LTS 18.04 jusqu'aux versions intermédiaires 25.10. Ces failles noyau permettent à des attaquants de provoquer des dénis de service à distance et de contourner les politiques de sécurité, menaçant gravement l'isolation des processus et des conteneurs. Les administrateurs système doivent non seulement appliquer les correctifs USN listés, mais impérativement planifier des redémarrages de production pour que le nouveau noyau soit chargé en mémoire.Une fuite de données historique expose 4,3 milliards d'enregistrements professionnels. Des chercheurs ont découvert une base de données MongoDB de 16 téraoctets laissée en accès libre, contenant des profils détaillés agrégés probablement depuis LinkedIn et Apollo.io. Le dataset inclut noms, emails, téléphones et historiques de carrière, constituant une arme absolue pour l'ingénierie sociale assistée par IA. Bien que sécurisée le 25 novembre, cette exposition offre aux cybercriminels de quoi automatiser des campagnes de Spear-Phishing et de Business Email Compromise (BEC) à très grande échelle contre les entreprises du Fortune 500.Le Président Trump signe un décret exécutif imposant un cadre national dérégulé pour l'IA. L'ordre interdit aux États fédérés de mettre en œuvre leurs propres régulations, menaçant de bloquer les financements fédéraux aux juridictions appliquant des lois jugées "onéreuses", comme celles du Colorado sur les biais algorithmiques. Pour les RSSI et équipes GRC, cela supprime les garde-fous légaux externes et déplace la responsabilité de la sécurité et de l'éthique des modèles exclusivement vers les contrôles internes, dans un climat favorisant l'innovation rapide au détriment de la sûreté.On ne réfléchit pas, on patch !Sources :Apple : https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/CISA https://www.cisa.gov/news-events/alerts/2025/12/12/cisa-adds-one-known-exploited-vulnerability-catalog-0CERT-FR :https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1106/Data Breach : https://securityaffairs.com/185661/data-breach/experts-found-an-unsecured-16tb-database-containing-4-3b-professional-records.htmlAI Regulation : https://therecord.media/trump-executive-order-ai-national-framework Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Unit 42 de Palo Alto Networks expose Ashen Lepus, un acteur APT affilié au Hamas actif depuis 2018. Le groupe déploie une nouvelle suite malware modulaire .NET baptisée AshTag, ciblant des entités gouvernementales et diplomatiques au Moyen-Orient avec une expansion géographique confirmée vers Oman et Maroc. La chaîne d'infection multi-étapes s'initie via des leurres PDF en langue arabe sur des thématiques géopolitiques palestiniennes. Les victimes téléchargent des archives RAR contenant un binaire qui side-load le loader AshenLoader. Le groupe a abandonné son infrastructure C2 propriétaire au profit de sous-domaines API et authentification sur des domaines légitimes comme api.healthylifefeed.com, ce qui permet de masquer le trafic malveillant. L'architecture C2 intègre maintenant du géofencing et des vérifications anti-sandbox avant délivrance des payloads. Les modules secondaires sont encodés en Base64 et cachés dans des balises HTML commentées avec encryption AES-CTR-256. Ashen Lepus utilise Rclone pour exfiltrer les documents diplomatiques ciblés.Malwarebytes publie une analyse technique sur la confidentialité réelle des VPN suite à la hausse mondiale d'utilisation post-règles britanniques sur la vérification de l'âge. Le document expose l'écart massif entre promesses marketing et implémentation concrète, particulièrement critique pour les déploiements professionnels protégeant des données sensibles. La propriété complète de l'infrastructure élimine les intermédiaires non contrôlés contrairement à la location cloud. Les serveurs RAM-only détruisent instantanément toute trace en cas de coupure, ce qui annule tout vecteur de saisie physique. Le protocole WireGuard réduit drastiquement la surface d'attaque grâce à son codebase minimaliste auditable, alors qu'OpenVPN et IPSec représentent désormais des technologies legacy. Le risque majeur pour les organisations vient des employés utilisant des VPN commerciaux non validés qui créent des tunnels chiffrés contournant les contrôles DLP et exfiltrant les données corporate via des infrastructures tierces jamais auditées.Kali Linux publie la version 2025.4, dernière mise à jour de l'année, intégrant trois nouveaux outils de test d'intrusion, des améliorations majeures des environnements desktop et le support complet de Wayland sur GNOME. Les trois nouveaux outils incluent bpf-linker pour la compilation statique BPF, evil-winrm-py permettant l'exécution de commandes sur machines Windows distantes via WinRM, et hexstrike-ai qui autorise les agents IA à exécuter des outils de manière autonome via serveur MCP. GNOME passe en version 49 et supprime définitivement le support X11, fonctionnant désormais exclusivement sur Wayland avec support VM complet pour VirtualBox, VMware et QEMU. NetHunter étend le support Android 16 sur Samsung Galaxy S10 et OnePlus Nord, restaure le terminal avec compatibilité Magisk interactive, et intègre Wifipumpkin3 en preview avec templates de phishing Facebook, Instagram, iCloud et Snapchat.La CISA ajoute la CVE-2018-4063 au catalogue KEV le 12 décembre 2025 suite à la détection d'exploitation active. Cette vulnérabilité affecte Sierra Wireless AirLink ALEOS et permet l'upload non restreint de fichiers dangereux sans validation de type ou d'extension, conduisant à l'exécution de code arbitraire sur les routeurs cellulaires déployés dans les flottes véhicules, infrastructures IoT industrielles et réseaux M2M. Point critique : la CVE date de 2018 mais son ajout tardif au KEV confirme une recrudescence d'exploitation ciblant spécifiquement les équipements legacy non patchés. Les dispositifs AirLink assurent la connectivité cellulaire de systèmes SCADA, terminaux de paiement mobiles et plateformes télématiques.On ne réfléchit pas, on patch !Sources :Unit 42 : https://unit42.paloaltonetworks.com/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag/Malwarebytes : https://www.malwarebytes.com/blog/inside-malwarebytes/2025/12/how-private-is-your-vpnBleepingComputer : https://www.bleepingcomputer.com/news/security/kali-linux-20254-released-with-3-new-tools-desktop-updates/CISA : https://www.cisa.gov/news-events/alerts/2025/12/12/cisa-adds-one-known-exploited-vulnerability-catalogVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Le MITRE publie l’édition 2025 du Top 25 des faiblesses CWE, fondée sur l’analyse de 31 770 vulnérabilités CVE observées dans des environnements réels. Ce classement identifie les faiblesses structurelles les plus fréquemment exploitées, indépendamment des produits ou éditeurs, et constitue un référentiel stratégique pour les équipes CERT, SOC et les directions SSI.Le classement confirme la persistance de faiblesses historiques telles que CWE-79 Cross-Site Scripting et CWE-89 Injection SQL, révélant des défaillances continues dans la gestion des entrées/sorties, la séparation des données et des commandes, et la sécurisation du cycle de développement applicatif. Malgré la maturité des frameworks modernes, ces faiblesses restent massivement exploitables, notamment dans les applications legacy, les portails métiers et les composants tiers.L’édition 2025 met également en évidence la montée des faiblesses liées aux contrôles d’autorisation, avec CWE-862 Missing Authorization parmi les premières positions. Cette catégorie reflète des erreurs de logique métier côté serveur, souvent invisibles pour les scans automatisés, mais critiques en termes d’accès non autorisé, de fraude et d’abus de privilèges.Les vulnérabilités mémoire demeurent fortement représentées, avec CWE-787 Out-of-Bounds Write, CWE-416 Use-After-Free et CWE-125 Out-of-Bounds Read. Ces faiblesses restent centrales dans les chaînes d’exploitation avancées, en particulier sur les composants natifs, navigateurs, bibliothèques système, firmware et appliances réseau, malgré les mécanismes modernes de protection mémoire.Les faiblesses de type injection de commandes et de code, notamment CWE-78 OS Command Injection et CWE-94 Code Injection, conservent un impact critique, conduisant fréquemment à des compromissions complètes des systèmes affectés. Elles sont encore observées dans des scripts d’administration, des outils internes et des environnements industriels.Enfin, le classement 2025 souligne une tendance structurelle forte : la majorité des vulnérabilités exploitées repose sur des erreurs fondamentales connues, documentées depuis plus de dix ans, traduisant une dette technique, organisationnelle et de gouvernance plutôt qu’un déficit d’outillage.Pour les équipes CERT et SOC, le Top 25 CWE 2025 constitue un outil de priorisation stratégique, à intégrer dans les audits applicatifs, les revues de conception, les analyses post-incident et la gouvernance SSI, afin d’agir sur les causes racines plutôt que sur les seuls symptômes.On ne réfléchit pas, on patch !Sources :Article d’analyse – Marc Frédéric Gomez :https://blog.marcfredericgomez.fr/top-25-des-failles-cwe-2025/MITRE – CWE Top 25 2025 :https://cwe.mitre.org/top25/Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : https://www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Le noyau Linux 5.4 atteint officiellement sa fin de vie. Après plusieurs années de support LTS, cette version massivement déployée dans Ubuntu, ChromeOS, Android et systèmes embarqués ne reçoit plus aucun correctif de sécurité upstream. Les équipements industriels, IoT et appliances réseau restent figés sur cette version sans voie de migration rapide. Techniquement, migrer vers les kernels 6.1 ou 6.6 LTS nécessite une validation des drivers propriétaires et modules personnalisés. L'exposition réglementaire concerne particulièrement les organisations sous contraintes RGPD ou sectorielles.Check Point publie une analyse complète du backdoor ValleyRAT incluant un rootkit kernel-mode. Le builder, leaked publiquement en mars 2025, révèle 19 plugins principaux dont le Driver Plugin embarquant un rootkit 64-bit signé. Basé sur le rootkit Hidden modifié, il implémente file hiding, registry filtering, process protection et injection APC user-mode. Capacité critique : suppression forcée de drivers EDR/AV et installation stealthy via technique MalSeclogon. Sept variantes de rootkit détectées en production avec certificats expirés mais signés avant 2015, donc chargeables via exceptions Windows Driver Signing Policy même sur Windows 11 fully patched. Statistique alarmante : 85% des 6000 samples ValleyRAT détectés apparaissent dans les six derniers mois, corrélés au leak public du builder.Google corrige la CVE-2025-13223, huitième zero-day Chrome activement exploité en 2025. Cette vulnérabilité de type type-confusion dans le moteur V8 JavaScript a été signalée par le Threat Analysis Group de Google. Les versions corrigées sont 144.0.7444.175 pour Windows et Linux, et 144.0.7444.176 pour macOS. L'année 2025 cumule déjà huit zero-days Chrome, majoritairement dans V8, exploités par des APTs et acteurs spyware avant déploiement des patches.Des hackers anonymes violent l'infrastructure de Mikord, développeur présumé du registre militaire russe unifié. Le groupe a contacté l'ONG russe anti-guerre Idite Lesom, transmettant documents internes incluant code source et dossiers techniques. Le site web Mikord est offline depuis plusieurs jours. Le média letton Important Stories a vérifié les matériaux volés confirmant la participation de Mikord au projet. Le Ministère de la Défense russe dément toute intrusion. Ce breach intervient dans un contexte d'escalade cyber bidirectionnelle, après les attaques russes présumées contre les registres d'État ukrainiens début décembre.Flare identifie 10456 images Docker Hub exposant des credentials actifs lors d'un scan en novembre 2025. Plus de 100 organisations sont affectées, incluant une Fortune 500 et une banque nationale majeure. 42% des containers exposent cinq secrets ou plus par image. La catégorie dominante : 4000 tokens API de modèles IA. Pattern critique : comptes personnels Docker Hub de développeurs ou contractors hors monitoring corporate. Statistique aggravante : 25% des développeurs suppriment le secret exposé sous 48 heures, mais 75% ne révoquent jamais la clé sous-jacente, laissant les credentials valides et exploitables.La CISA ajoute les CVE-2025-6218 et CVE-2025-62221 au catalogue KEV avec deadline au 30 décembre 2025. La CVE-2025-6218 est une vulnérabilité path traversal dans WinRAR avec score CVSS de 7.8, permettant l'exécution de code arbitraire. La CVE-2025-62221 est un use-after-free dans Windows Cloud Files Mini Filter Driver, également CVSS 7.8, permettant une élévation de privilèges vers SYSTEM. L'inclusion au KEV signale une exploitation active confirmée.On ne réfléchit pas, on patch !Sources :Linux Journal : https://www.linuxjournal.com/content/linux-kernel-54-reaches-end-life-time-retire-workhorseCheck Point Research : https://research.checkpoint.com/2025/cracking-valleyrat-from-builder-secrets-to-kernel-rootkits/Malwarebytes : https://www.malwarebytes.com/blog/news/2025/12/another-chrome-zero-day-under-attack-update-nowThe Record : https://therecord.media/hackers-reportedly-breach-developer-involved-in-russian-military-databaseBleepingComputer / Flare : https://flare.io/learn/resources/docker-hub-secrets-exposed/Security Affairs : https://securityaffairs.com/185523/security/u-s-cisa-adds-microsoft-windows-and-winrar-flaws-to-its-known-exploited-vulnerabilities-catalog.htmlVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Microsoft refuse de corriger une vulnérabilité RCE critique dans le framework .NET affectant la classe SoapHttpClientProtocol. Révélée lors de Black Hat Europe par le chercheur Piotr Bazydło de WatchTowr, la faille permet l'écriture arbitraire de fichiers via manipulation d'URLs SOAP. L'exploitation repose sur le support inattendu des protocoles FILE et FTP par une classe censée gérer uniquement HTTP. Les produits vulnérables confirmés incluent Ivanti Endpoint Manager, Umbraco 8 CMS et Barracuda Service Center, mais le nombre réel d'applications affectées est probablement massif.Le CERT-FR publie l'avis CERTFR-2025-AVI-1088 concernant quatre vulnérabilités critiques dans Ivanti Endpoint Manager 2024. Les CVE-2025-10573, CVE-2025-13659, CVE-2025-13661 et CVE-2025-13662 permettent l'exécution de code arbitraire à distance, le contournement de la politique de sécurité et l'injection XSS. Seules les versions antérieures à 2024 SU4 SR1 sont affectées. Le patch est disponible depuis le 9 décembre 2025.Le CERT-FR émet également l'avis CERTFR-2025-AVI-1084 concernant 17 bulletins de sécurité Fortinet couvrant 18 CVE. L'intégralité du portefeuille Fortinet est affecté : FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiWeb, FortiSandbox, FortiExtender, FortiAuthenticator, FortiVoice, FortiSOAR, FortiPAM, FortiSRA, FortiSASE, FortiSwitchManager et FortiPortal. Les vulnérabilités critiques incluent l'exécution de code à distance, l'élévation de privilèges et l'injection SQL.Enfin, la Police Nationale espagnole arrête un individu de 19 ans à Igualada pour vol et commercialisation de 64 millions d'enregistrements de données personnelles provenant de neuf entreprises. Les données exfiltrées incluent numéros DNI, adresses, téléphones, emails et codes IBAN. Le suspect utilisait six comptes en ligne et cinq pseudonymes pour vendre les bases de données sur des forums underground. Les autorités ont saisi du matériel électronique et gelé un portefeuille crypto.On ne réfléchit pas, on patch !Sources :The Register : https://www.theregister.com/2025/12/10/microsoft_wont_fix_net_rce/CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1088/CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1084/The Record : https://therecord.media/spain-arrests-teen-suspect-data-theft-and-saleVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

La CISA, le FBI et la NSA publient l'avis conjoint AA25-343A le 9 décembre 2025, alertant sur des campagnes actives de quatre groupes hacktivistes pro-russes exploitant des vulnérabilités VNC dans les systèmes OT/ICS à l'échelle mondiale.ACTEURS DE MENACE IDENTIFIÉS :Cyber Army of Russia Reborn (CARR) - Lien confirmé GRU unité 74455NoName057(16) - Création du CISM KremlinZ-Pentest - Fusion CARR/NoName, spécialisé OTSector16 - Émergence janvier 2025VECTEUR D'ATTAQUE :Exploitation massive de services VNC exposés (ports 5900-5910) avec identifiants par défaut/faibles sur dispositifs HMI. Accès direct SCADA causant modifications de paramètres, désactivation d'alarmes et perturbations opérationnelles dans les secteurs eau, énergie et agriculture.ACTIONS IMMÉDIATES :Scanner la surface d'attaque externe, éliminer les identifiants par défaut, implémenter la MFA, appliquer la segmentation IT/OT, déployer une surveillance continue des connexions VNC non autorisées.PUBLIC CIBLE :CERT, CSIRT, Équipes SOC, RSSI, Opérateurs d'Infrastructures CritiquesDURÉE : 12 minutes pour comprendre l'alerte#Cybersécurité #OT #ICS #SCADA #ThreatIntelligence #InfrastructuresCritiques #CISA #SecNum

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Microsoft Patch Tuesday de Décembre 2025, retrouvez mon analyse sur mon blog en sus du podcast !Le NCSC britannique publie une analyse technique majeure concernant la sécurité des IA génératives : traiter l'Injection de Prompt comme une simple Injection SQL est une erreur dangereuse. L'agence souligne que contrairement aux bases de données, les LLM ne possèdent pas de frontière stricte entre instructions et données ("Inherently Confusable Deputy"). Par conséquent, les filtres sont inefficaces et la seule mitigation réelle repose sur une architecture limitant les privilèges des outils accessibles par l'IA.Une vulnérabilité critique de contournement d'authentification frappe la librairie Ruby SAML. La faille, traquée sous la CVE-2025-25293, permet à des attaquants d'exploiter une différence de parsing XML pour forger des signatures valides (XML Signature Wrapping). Les organisations utilisant ce protocole pour leur SSO doivent impérativement passer à la version 1.18.0 pour éviter toute intrusion.La police polonaise a procédé à l'arrestation de trois ressortissants ukrainiens à Varsovie, interceptés avec un arsenal de piratage matériel sophistiqué. Les suspects étaient équipés de Flipper Zero, d'antennes radio et de dispositifs de contre-surveillance (K19), confirmant la persistance de la menace "Close Access" ciblant physiquement les infrastructures critiques et les réseaux de défense.L'acteur menaçant Storm-0249 fait évoluer ses tactiques pour préparer le terrain aux ransomwares. Délaissant le simple rôle de courtier, le groupe utilise désormais l'ingénierie sociale "ClickFix" et des techniques de DLL Side-loading (notamment via des agents SentinelOne compromis) pour voler les identifiants machines (MachineGuid) et assurer la persistance de l'attaque.L'hébergeur suisse Infomaniak lance Euria, une alternative souveraine aux IA américaines. Hébergée en Suisse et alimentée à l'énergie renouvelable, cette solution garantit que les données ne sont jamais utilisées pour l'entraînement des modèles, offrant une option viable pour le traitement de données d'entreprise sensibles (TLP:AMBER) sans risque juridique lié au Cloud Act.Enfin, l'agence australienne ASD alerte sur une recrudescence mondiale des Infostealers. Ces malwares ne se limitent plus aux mots de passe mais exfiltrent massivement les cookies de session pour contourner le MFA, devenant le vecteur d'entrée privilégié pour les réseaux d'entreprise.Et n'oubliez pas : ce soir, c'est le dernier Patch Tuesday de l'année !On ne réfléchit pas, on patch !Sources :NCSC UK : https://www.ncsc.gov.uk/blog-post/prompt-injection-is-not-sql-injectionCyberPress : https://cyberpress.org/critical-ruby-saml-flaw/Security Affairs : https://securityaffairs.com/185480/cyber-crime/polish-police-arrest-3-ukrainians-for-possessing-advanced-hacking-tools.htmlThe Hacker News : https://thehackernews.com/2025/12/storm-0249-escalates-ransomware-attacks.htmlGoodTech : https://goodtech.info/euria-ia-gratuite-suisse-alternative-chatgpt-chauffage/Cyber.gov.au (ASD) : https://www.cyber.gov.au/about-us/view-all-content/news/information-stealers-are-on-the-rise-are-you-at-riskPatch Tuesday Blog Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-decembre-2025/Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Le CERT-FR publie un avis concernant une vulnérabilité affectant la plateforme MISP. Cette faille, présente dans certaines configurations, permet à un attaquant non authentifié d’accéder à des informations ou fonctionnalités sans disposer des privilèges nécessaires. Le CERT-FR invite les organisations utilisant MISP à appliquer immédiatement les correctifs ou contournements fournis afin d’éviter toute exploitation.Le CERT-FR publie également une alerte à destination des détenteurs d’iPhone. Des campagnes actives de compromission ciblent les utilisateurs via des chaînes d’exploitation sophistiquées permettant l’exécution de code à distance. Les attaques s’appuient sur plusieurs vulnérabilités, visant en particulier des terminaux non mis à jour ou exposés sur des réseaux non maîtrisés. L’application rapide des mises à jour Apple est impérative pour contrer ces opérations.Google renforce la sécurité de Chrome en ajoutant une nouvelle couche de défense dédiée à la navigation « agentique » propulsée par Gemini. Cette protection supplémentaire vise à limiter les abus potentiels lors de l’exécution automatisée de tâches par l’IA, notamment en empêchant les sites malveillants d’influencer ou manipuler les décisions de l’agent Gemini lors des interactions complexes avec des pages web.Une panne affectant les services Porsche en Russie rappelle une nouvelle fois les risques structurels liés à la sécurité des véhicules connectés. L’incident souligne la dépendance croissante aux infrastructures numériques pour des fonctions critiques, et met en lumière les vecteurs potentiels permettant à des attaquants de perturber ou de manipuler les systèmes embarqués et les services associés.On ne réfléchit pas, on patch !Sources :CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1076/CERT-FR : https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-010/BleepingComputer : https://www.bleepingcomputer.com/news/security/google-chrome-adds-new-security-layer-for-gemini-ai-agentic-browsing/SecurityAffairs : https://securityaffairs.com/185398/security/porsche-outage-in-russia-serves-as-a-reminder-of-the-risks-in-connected-vehicle-security.htmlVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Le FBI émet une alerte concernant l'évolution inquiétante des escroqueries de "kidnapping virtuel". Les criminels utilisent désormais des images récupérées sur les réseaux sociaux et altérées par intelligence artificielle pour fabriquer de fausses preuves de vie, exerçant une pression psychologique extrême sur les familles pour obtenir des rançons alors qu'aucun enlèvement n'a eu lieu.Des acteurs menaçants exploitent activement une faille d'injection de commande dans les VPN Array Networks AG Series pour implanter des webshells. Point critique : bien que corrigée en mai dernier, cette vulnérabilité n'a reçu aucun identifiant CVE, rendant ce risque invisible pour la majorité des scanners automatiques de vulnérabilités qui ne détectent donc pas les équipements non corrigés.Une nouvelle souche de cheval de troie bancaire Android, baptisée "FvncBot", a été détectée en train de cibler les institutions financières. Ce malware se distingue par l'utilisation du streaming vidéo H.264 pour contourner la protection anti-capture d'écran native d'Android (FLAG_SECURE), permettant aux attaquants de visualiser et contrôler l'appareil en temps réel pour voler des identifiants.Une étude alarmante révèle que 97 % des médecins américains ont leurs adresses personnelles et détails familiaux exposés sur des sites de recherche de personnes. Cette fuite massive d'informations personnelles transforme la menace numérique en risque de sécurité physique immédiat, facilitant le harcèlement et le doxxing du personnel de santé par des patients hostiles.Mozilla met officiellement fin à son partenariat Monitor Plus avec le fournisseur Onerep suite à un échec majeur de gestion des risques tiers. L'enquête a révélé que le fondateur du service, censé protéger la vie privée des utilisateurs, opérait simultanément un courtier de données actif, créant un conflit d'intérêts structurel inacceptable.On ne réfléchit pas, on patch !Sources :BleepingComputer : https://www.bleepingcomputer.com/news/security/fbi-warns-of-virtual-kidnapping-ransom-scams-using-altered-social-media-photos/BleepingComputer : https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-arrayos-ag-vpn-flaw-to-plant-webshells/CyberPress : https://cyberpress.org/android-users-hit-by-fvncbot-malware/HelpNetSecurity : https://www.helpnetsecurity.com/2025/12/05/incogni-healthcare-staff-data-exposure-report/KrebsOnSecurity : https://krebsonsecurity.com/2025/11/mozilla-says-its-finally-done-with-two-faced-onerep/Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Épisode spécial consacré à InterCERT France, l’association qui fédère et accompagne les équipes de réponse à incident en France.Pendant 40 minutes, RadioCSIRT explore son rôle, ses missions et les dispositifs qui structurent aujourd’hui la coopération entre CERTs.Contenu de l’épisode :• Origine et gouvernance d’InterCERT France• Partage d’information et collaboration opérationnelle• Incubateur et accompagnement des nouvelles équipes• Fiches réflexes et pratiques communes• Étude sur les risques psychosociaux dans les CERTs• Analyse annuelle de la menace• Plateforme MISP mutualisée• Laboratoire d’analyse de malwares• Modalités d’adhésionUn épisode conçu pour offrir une vision claire et factuelle de la contribution d’InterCERT France à la réponse à incident en France.Source:Lien: https://intercert-france.fr/ Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com 

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.L'agence australienne de cybersécurité publie un nouveau guide pour l'intégration sécurisée de l'intelligence artificielle dans les environnements de technologies opérationnelles (OT). Ce cadre stratégique vise à aider les infrastructures critiques à anticiper les risques de sûreté physique induits par l'automatisation algorithmique dans les systèmes industriels.Le CERT-FR (ANSSI) a émis une série d'avis de sécurité (AVI-1062 à 1067) signalant plusieurs vulnérabilités critiques nécessitant une attention immédiate. Les administrateurs systèmes sont invités à consulter le flux officiel pour identifier les produits affectés au sein de leur parc et appliquer les mesures correctives sans délai.Barts Health NHS Trust confirme une fuite de données administratives suite à l'exploitation d'une faille zero-day d'Oracle E-Business Suite par le gang de ransomware Clop. Bien que les dossiers médicaux patients soient épargnés, cet incident souligne la persistance des attaques ciblant les composants ERP vitaux du secteur de la santé.Une vulnérabilité de sévérité maximale (CVSS 10.0) frappe Apache Tika, un outil d'analyse de contenu omniprésent dans les solutions comme Solr ou Elasticsearch. Cette faille de type XXE permet à des attaquants d'exécuter du code via des fichiers PDF malveillants, imposant une mise à jour d'urgence de la bibliothèque "tika-core".Asus reconnaît qu'une cyberattaque contre l'un de ses fournisseurs tiers a exposé le code source des modules caméras de ses smartphones. Le groupe Everest revendique le vol d'un téraoctet de données, illustrant une nouvelle fois comment la chaîne d'approvisionnement reste le vecteur privilégié pour atteindre la propriété intellectuelle des géants technologiques.On ne réfléchit pas, on patch !Sources :Australian Cyber Security Centre : https://www.cyber.gov.au/about-us/view-all-content/news/new-guidance-for-critical-infrastructure-on-integrating-ai-securely-into-operational-technology-environmentsCERT-FR (Avis 1062) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1062/CERT-FR (Avis 1063) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1063/CERT-FR (Avis 1064) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1064/CERT-FR (Avis 1067) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1067/BleepingComputer : https://www.bleepingcomputer.com/news/security/barts-health-nhs-discloses-data-breach-after-oracle-zero-day-hack/Security Affairs : https://securityaffairs.com/185363/security/maximum-severity-xxe-vulnerability-discovered-in-apache-tika.htmlThe Register : https://www.theregister.com/2025/12/05/asus_supplier_hack/Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com