RadioCSIRT - Edition Française

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition avec une alerte publiée par la CISA le 29 décembre 2025 concernant l’ajout d’une nouvelle vulnérabilité activement exploitée au catalogue Known Exploited Vulnerabilities. La vulnérabilité référencée CVE-2025-14847 affecte MongoDB et MongoDB Server et concerne une gestion incorrecte des incohérences liées aux paramètres de longueur. Ce type de vulnérabilité constitue un vecteur d’attaque fréquent et représente un risque significatif pour les systèmes exposés. Dans le cadre de la directive opérationnelle BOD 22-01, les agences fédérales américaines sont tenues de corriger cette vulnérabilité dans les délais impartis. La CISA recommande également à l’ensemble des organisations de prioriser la remédiation des vulnérabilités listées dans le catalogue KEV dans leurs processus de gestion des vulnérabilités.Nous poursuivons avec la découverte d’un nouveau service cybercriminel baptisé ErrTraffic, analysé par Hudson Rock et relayé par BleepingComputer. ErrTraffic permet d’automatiser les attaques de type ClickFix en générant de faux dysfonctionnements visuels sur des sites web compromis. Le service fonctionne comme un système de distribution de trafic auto-hébergé, vendu pour un paiement unique de 800 dollars et promu sur des forums russophones. Il repose sur la modification dynamique du DOM afin d’afficher des anomalies telles que du texte corrompu, de fausses mises à jour de navigateur ou des erreurs système. Les victimes sont incitées à exécuter des commandes copiées automatiquement dans le presse-papiers, conduisant au téléchargement de charges malveillantes comme Lumma, Vidar, Cerberus ou AMOS, selon le système ciblé.Nous terminons cette édition avec le seizième anniversaire de KrebsOnSecurity.com, publié le 29 décembre 2025. L’année 2025 a été marquée par des enquêtes approfondies sur les infrastructures facilitant le cybercrime à grande échelle, notamment les hébergeurs bulletproof, les services financiers complaisants et les réseaux de diffusion criminels. Le site revient sur plusieurs dossiers majeurs, dont les sanctions européennes contre Stark Industries Solutions Ltd., l’amende record infligée à Cryptomus par les autorités canadiennes, les conséquences de la fuite LastPass de 2022, ainsi que l’évolution des campagnes de phishing, de smishing et des botnets géants. Une attention particulière est portée aux botnets Aisuru et Kimwolf, ce dernier étant décrit comme le plus vaste botnet connu à ce jour avec environ 1,83 million d’appareils compromis.SourceCISA – CISA Adds One Known Exploited Vulnerability to Catalog :https://www.cisa.gov/news-events/alerts/2025/12/29/cisa-adds-one-known-exploited-vulnerability-catalogBleepingComputer – New ErrTraffic service enables ClickFix attacks via fake browser glitches :https://www.bleepingcomputer.com/news/security/new-errtraffic-service-enables-clickfix-attacks-via-fake-browser-glitches/KrebsOnSecurity – Happy 16th Birthday, KrebsOnSecurity.com! :https://krebsonsecurity.com/2025/12/happy-16th-birthday-krebsonsecurity-com/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition avec une analyse publiée par FIRST point org le 29 décembre 2025, présentant le bilan annuel des prévisions de vulnérabilités pour l'année 2025. L'article, rédigé par Éireann Leverett, confirme la validation des prévisions du projet Vuln4Cast avec 49 183 CVEs publiées au 29 décembre, se situant dans l'intervalle de confiance de 41 142 à 49 868 CVEs établi en février 2025. La MAPE de 1 virgule 39 pour cent par rapport à la borne supérieure démontre une excellente précision des modèles de prévision.Les prévisions trimestrielles pour Q4 2025 sont également validées avec 12 359 CVEs publiées, dans l'intervalle de confiance de 11 815 à 14 129 CVEs. Cette précision inférieure à 5% démontre que les prévisions trimestrielles sont suffisamment fiables pour la planification opérationnelle des équipes de patch management, SOC et CERT.L'article souligne l'expansion de l'écosystème de prévision des vulnérabilités avec CVEForecast point org développé par Jerry Gamblin chez Cisco utilisant XGBoost, et la plateforme Vulnerability-Lookup de CIRCL Luxembourg qui ajoute le suivi des observations et des statistiques complètes. Les développements futurs porteront sur la prévision des distributions par fournisseur, des vecteurs CVSS, des CWEs et de l'exploitabilité des vulnérabilités. Des améliorations sont en cours dans six domaines : analyse des causes racines CWE, prédiction d'exploits, prédiction d'exploitation, prévision par CNA, prévision des vecteurs CVSS et prédiction des scores CVSS.FIRST annonce la conférence VulnOptiCon 2026 au Luxembourg, hébergée par CIRCL, pour permettre à la communauté de partager les méthodologies et faire progresser collectivement la science de l'exposition et la sécurité prédictive.SourceFIRST – Bilan annuel des prévisions de vulnérabilités 2025 : https://www.first.org/blog/20251229-Vulnerability-Forecast-ReviewOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par plusieurs avis de sécurité publiés par le CERT-FR concernant des vulnérabilités critiques affectant des composants majeurs de l’écosystème Linux et des environnements d’entreprise. Les bulletins portent notamment sur Ubuntu, Red Hat et des produits IBM, exposés à des failles permettant des élévations de privilèges, des exécutions de code arbitraire ou des atteintes à la confidentialité. Ces vulnérabilités concernent des composants largement déployés dans les infrastructures serveurs et cloud, soulignant l’importance d’une gestion rigoureuse des correctifs dans les environnements critiques.Nous analysons ensuite une vulnérabilité affectant le webmail Roundcube, référencée CVE-2025-68461. Cette faille permet à un attaquant distant d’exploiter des mécanismes de traitement des entrées utilisateur afin de compromettre la sécurité des sessions ou d’exécuter du code malveillant dans le contexte de l’utilisateur ciblé. Compte tenu de la large adoption de Roundcube dans les infrastructures de messagerie, cette vulnérabilité représente un risque significatif pour les organisations exposées sur Internet.Enfin, nous revenons sur une vulnérabilité de sécurité corrigée par Microsoft, identifiée sous la référence CVE-2025-13699. Cette faille affecte un composant du système Windows et peut être exploitée pour contourner des mécanismes de sécurité ou obtenir des privilèges élevés. Microsoft a publié des correctifs dans le cadre de son guide de mises à jour, et recommande une application rapide afin de réduire les risques d’exploitation active.SourcesCERT-FR – Vulnérabilités Ubuntu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/CERT-FR – Vulnérabilités Red Hat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/CERT-FR – Vulnérabilités produits IBM : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/Vulnérabilité Roundcube – CVE-2025-68461 : https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26Microsoft – CVE-2025-13699 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par une affaire mêlant cybercriminalité et renseignement en Europe de l’Est. En Géorgie, l’ancien chef du contre-espionnage a été arrêté dans le cadre d’une enquête portant sur des centres d’escroquerie opérant à grande échelle. Les autorités le soupçonnent d’avoir facilité ou couvert des activités frauduleuses structurées, notamment des opérations de type scam centers visant des victimes internationales, illustrant une nouvelle fois l’imbrication entre criminalité organisée, corruption et cyberfraude.Nous analysons ensuite une campagne de phishing ciblant les utilisateurs de cryptomonnaies via de faux courriels se faisant passer pour Grubhub. Les messages promettent un rendement multiplié par dix sur des cryptomonnaies envoyées par les victimes. Les fonds transférés sont immédiatement redirigés vers des portefeuilles contrôlés par les attaquants, sans possibilité de récupération, démontrant une exploitation classique mais toujours efficace de l’ingénierie sociale appliquée aux actifs numériques.Enfin, nous revenons sur une opération attribuée à Evasive Panda, un groupe lié à la Chine, qui a mené des activités d’espionnage via une infrastructure DNS détournée. Les attaquants ont utilisé des techniques avancées de résolution DNS et de redirection de trafic afin de déployer des charges malveillantes furtives, tout en contournant plusieurs mécanismes de détection réseau. Cette campagne illustre l’évolution continue des TTP des groupes APT dans le domaine du cyberespionnage étatique.SourcesArrestation en Géorgie – centres d’escroquerie :https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centersCampagne de phishing crypto – faux emails Grubhub :https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/APT Evasive Panda – infrastructure DNS malveillante :https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par une séquence géopolitique marquant une nouvelle étape dans les tensions transatlantiques autour de la régulation numérique. Les États-Unis ont imposé des restrictions de visa à plusieurs personnalités européennes impliquées dans la régulation des plateformes technologiques, dont Thierry Breton, ancien commissaire européen. Washington justifie cette décision par des accusations de censure extraterritoriale visant les plateformes américaines, notamment dans le cadre de l’application du Digital Services Act. L’Union européenne a condamné la mesure et demandé des explications formelles, évoquant une atteinte à sa souveraineté réglementaire.Nous analysons ensuite CVE-2018-25154, une vulnérabilité critique de buffer overflow affectant GNU Barcode version 0.99. La faille, liée au mécanisme d’encodage Code 93, permet une corruption mémoire menant à une exécution de code arbitraire via des fichiers d’entrée spécialement construits. Le score CVSS 3.1 est critique à 9.8, avec un impact élevé sur la confidentialité, l’intégrité et la disponibilité des systèmes exposés.Nous revenons également sur CVE-2023-36525, une Blind SQL Injection non authentifiée touchant le plugin WordPress WPJobBoard jusqu’à la version 5.9.0. La vulnérabilité est exploitable à distance sans privilèges ni interaction utilisateur et expose les sites affectés à des risques de fuite de données, de modification persistante et de dégradation du service.Dans le volet cybercriminalité, le FBI a saisi l’infrastructure web3adspanels.org, utilisée comme backend pour centraliser des identifiants bancaires volés issus de campagnes de phishing. Cette infrastructure servait à stocker et exploiter les credentials compromis afin de réaliser des attaques de type account takeover contre des établissements financiers, l’activité étant confirmée jusqu’à fin 2025.Nous faisons ensuite le point sur Urban VPN Proxy, une extension VPN gratuite pour navigateurs Chromium, dont les versions récentes intègrent des mécanismes d’interception et d’exfiltration des conversations avec des plateformes d’intelligence artificielle. Les données collectées incluent prompts, réponses, métadonnées de session et plateformes utilisées, la collecte étant activée par défaut et sans possibilité de désactivation.Enfin, nous abordons l’exploitation active de CVE-2020-12812 sur les pare-feux FortiGate, une vulnérabilité ancienne mais toujours utilisée permettant le contournement de la 2FA. Le mécanisme repose sur une incohérence de gestion de la casse des identifiants entre FortiGate et les annuaires LDAP, entraînant un fallback d’authentification sans enforcement de la double authentification dans certaines configurations.SourcesRégulation tech et tensions USA–UE :https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.htmlCVE-2018-25154 – GNU Barcode buffer overflow :https://cvefeed.io/vuln/detail/CVE-2018-25154CVE-2023-36525 – WPJobBoard Blind SQL Injection :https://cvefeed.io/vuln/detail/CVE-2023-36525Saisie FBI – web3adspanels.org :https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.htmlUrban VPN Proxy data harvesting :https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.htmlFortiGate 2FA bypass exploitation :https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com