RadioCSIRT - Edition Française

La CISA ajoute sept nouvelles entrées à son catalogue KEV le 13 avril 2026, confirmant l'exploitation active de failles couvrant Adobe, Microsoft et Fortinet — dont une CVE datant de 2012.

La CVE-2026-34621 dans Adobe Acrobat et Reader : prototype pollution de sévérité critique (CVSS 8.6), zero-day exploité dans la nature depuis novembre 2025 via des fichiers PDF malveillants, correctif d'urgence APSB26-43 publié par Adobe le 11 avril 2026 après détection par la plateforme EXPMON.

La CVE-2026-21643 dans Fortinet FortiClientEMS 7.4.4 : injection SQL exploitable sans authentification permettant l'exécution de code à distance, corrigée en février 2026, désormais activement exploitée moins de trois mois après la publication du patch.

La CVE-2025-60710 dans le Host Process for Windows Tasks (Windows 11 24H2/25H2, Windows Server 2025) : link following permettant une élévation de privilèges locale jusqu'au niveau SYSTEM (CVSS 7.8), corrigée lors du Patch Tuesday de novembre 2025, exploitation confirmée en avril 2026.

La CVE-2023-21529 dans Microsoft Exchange Server : désérialisation de données non fiables, vecteur d'exécution de code à distance, persistance de l'exploitation trois ans après la publication du correctif.

La CVE-2023-36424 dans Microsoft Windows : lecture hors limites (out-of-bounds read), exploitation continue sur des parcs non patchés depuis 2023.

La CVE-2020-9715 dans Adobe Acrobat : use-after-free datant de 2020, toujours activement exploité sur des instances non maintenues.

La CVE-2012-1854 dans Microsoft Visual Basic for Applications : insecure library loading vieille de quatorze ans, inscription au KEV en 2026 confirmant la persistance de systèmes non supportés dans des environnements réels.

Sources :

CISA Known Exploited Vulnerabilities — 7 nouvelles entrées du 13 avril 2026 : https://www.cisa.gov/news-events/alerts/2026/04/13/cisa-adds-seven-known-exploited-vulnerabilities-catalog
Adobe emergency fix for CVE-2026-34621 actively exploited — Help Net Security : https://www.helpnetsecurity.com/2026/04/13/adobe-acrobat-reader-cve-2026-34621-emergency-fix/
Adobe fixes actively exploited Acrobat Reader flaw CVE-2026-34621 — Security Affairs : https://securityaffairs.com/190697/security/adobe-fixes-actively-exploited-acrobat-reader-flaw-cve-2026-34621.html
CVE-2026-21643 : Critical SQL Injection in FortiClientEMS — Arctic Wolf : https://arcticwolf.com/resources/blog/cve-2026-21643/
CVE-2025-60710 — Host Process for Windows Tasks EoP — RedPacket Security : https://www.redpacketsecurity.com/cve-alert-cve-2025-60710-microsoft-windows-11-version-24h2/

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #Adobe #AcrobatReader #PrototypePollution #ZeroDay #EXPMON #Fortinet #FortiClientEMS #SQLInjection #Windows #LinkFollowing #ElevationOfPrivilege #Exchange #Deserialization #UseAfterFree #DLLHijacking #VBA #PatchTuesday #Infosec #CyberNews

Bienvenue dans ce numéro spécial de RadioCSIRT ⚡️
🤖 Famille Claude 4.6 — Analyse sous l'angle cyber Claude Opus 4.6, Sonnet 4.6 et Haiku 4.5 partagent une fenêtre de contexte allant jusqu'à un million de tokens, un support multimodal texte/image et des capacités d'extended thinking. Implications directes pour les équipes SOC : analyse complète de dépôts de code, corrélation massive d'IOC, reconstruction de chaînes d'attaque — mais aussi réduction de la barrière d'entrée pour la production d'artefacts offensifs de qualité.
🔓 Asymétrie économique de la menace À cinq dollars par million de tokens, claude opus 4.6 rend accessible à un large spectre d'acteurs un niveau de raisonnement analytique qui nécessitait jusqu'ici une expertise humaine coûteuse. Le délai entre publication d'une CVE et disponibilité d'un exploit se compresse. Les leurres de phishing générés par LLM ne présentent plus les marqueurs linguistiques traditionnellement détectables.
🔬 Projet Glasswing — Accès restreint Anthropic a lancé claude mythos preview dans un cadre d'accès limité à environ quarante organisations partenaires (Microsoft, Google, Amazon confirmés), sous invitation uniquement, après consultation préalable des autorités américaines. La Commission Européenne a soutenu publiquement cette restriction.
⚠️ Claude Mythos Preview — Capacités documentées Le modèle est capable d'identifier et d'exploiter de manière autonome des failles dans l'ensemble des systèmes d'exploitation majeurs et des navigateurs web, de construire des payloads et exploits sophistiqués en temps réel, à faible coût. Le 7 avril 2026, le Secrétaire au Trésor Scott Bessent et Jerome Powell ont convoqué en urgence les PDG des principales banques américaines (Bank of America, Citigroup, Goldman Sachs, Morgan Stanley, Wells Fargo) — première réunion de ce niveau motivée par les capacités d'un seul modèle IA.
🎯 Vecteurs de risque identifiés Six dimensions couvertes dans cet épisode : exploitation de zero-day, risque systémique SIFI, convergence algorithmique, exposition DeFi/smart contracts, exfiltration de données clients, impact sur les portefeuilles de cyber-assurance.
⚖️ Contexte réglementaire et juridique Anthropic est en contentieux actif avec le Pentagone, qui a classifié l'organisation comme risque de supply chain. Les quarante partenaires Glasswing constituent une nouvelle surface d'attaque indirecte. AI Act, DORA et lignes directrices ENISA créent un cadre de conformité qui s'applique dès maintenant aux déploiements LLM en contexte à risque élevé.
🛡️ Cas d'usage défensifs documentés Génération automatique de règles YARA/Sigma, enrichissement d'alertes, analyse forensique à grande échelle, modélisation de menace assistée, simulation d'adversaires — les mêmes capacités servent les deux côtés. Les LLM restent des outils d'augmentation analytique : la vérification humaine sur les outputs à fort impact opérationnel reste obligatoire.
🔗 Sources
Projet Glasswing — Anthropic : https://www.anthropic.com/glasswing
Modèles Claude — Vue d'ensemble et tarification : https://platform.claude.com/docs/en/about-claude/models/overview
⚡️ On ne réfléchit pas, on patch !
📩 Contact : [email protected]
🌐 radiocsirt.org — radiocsirt.substack.com
📞 Répondeur : 07 68 72 20 09
#RadioCSIRT #Cybersécurité #LLM #Claude #Anthropic #Glasswing #Mythos #ThreatIntelligence #SOC #CERT #RSSI #AI #CyberSecurity #ProjectGlasswing #ZeroDay #SIFI

Google déploie Device Bound Session Credentials en disponibilité générale dans Chrome 146 sur Windows : les cookies de session sont cryptographiquement ancrés au terminal via le TPM, rendant les tokens exfiltrés par les Infostealers comme Lumma, Atomic ou Vidar inutilisables sans la clé privée non exportable.

Une attaque supply chain compromet le système de mise à jour de Smart Slider 3 Pro pour WordPress : la version 3.5.1.35 a distribué pendant six heures un toolkit de persistance multi-couche via le canal officiel de Nextend, avec création de comptes administrateur fantômes, Backdoor via headers HTTP personnalisés et exfiltration vers le C2 wpjs1[.]com.

Un Zero-Day non patché dans Adobe Reader est activement exploité depuis au moins novembre 2025 : exfiltration de fichiers locaux via les APIs Acrobat util.readFileIntoStream et RSS.addFeed, avec un ciblage apparent du secteur pétrolier et gazier russophone. Aucun correctif disponible.

Le Ransomware Payload cible les environnements VMware ESXi avec un binaire ELF64 combinant Curve25519 ECDH, ChaCha20 adaptatif SIMD et chiffrement exclusif des fichiers de plus de 5 Go. Vingt-six victimes revendiquées depuis février 2026 aux États-Unis, au Royaume-Uni, aux Philippines, au Mexique et en Égypte.

Le FBI récupère des messages Signal supprimés depuis un iPhone sans compromettre le chiffrement de l'application, en exploitant la base de données des notifications push d'iOS — persistante après désinstallation et non contrôlée par Signal.

Sources :

Google rolls out DBSC in Chrome 146 to block session theft on Windows : https://thehackernews.com/2026/04/google-rolls-out-dbsc-in-chrome-146-to.html

Backdoored Smart Slider 3 Pro update distributed via compromised Nextend servers : https://thehackernews.com/2026/04/backdoored-smart-slider-3-pro-update.html

Malicious PDF reveals active Adobe Reader zero-day in the wild : https://securityaffairs.com/190558/hacking/malicious-pdf-reveals-active-adobe-reader-zero-day-in-the-wild.html

Deep technical analysis of Payload Ransomware : https://0x3obad.github.io/posts/payload-ransomware-writeup/

Comment le FBI a récupéré des messages de Signal effacés par un utilisateur : https://www.clubic.com/actualite-608410-comment-le-fbi-a-recupere-des-messages-de-signal-effaces-par-un-utilisateur.html

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Chrome #DBSC #SessionTheft #Infostealer #TPM #SupplyChain #WordPress #SmartSlider #Backdoor #AdobeReader #ZeroDay #PDF #ESXi #VMware #Ransomware #Payload #ChaCha20 #Signal #iOS #PushNotification #ForensicIntelligence #Infosec #CyberNews

La CISA ajoute CVE-2026-1340 à son catalogue KEV : une vulnérabilité de type Code Injection activement exploitée dans Ivanti Endpoint Manager Mobile, vecteur d'attaque fréquent contre les environnements d'entreprise et gouvernementaux.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0407 : plus de cinquante CVE corrigées dans Google Chrome, versions antérieures à 147.0.7727.55 sur Linux et 147.0.7727.55/56 sur Windows et macOS. L'éditeur ne précise pas la nature des impacts.

Gen Threat Labs publie l'analyse de Remus, une variante 64 bits de Lumma Stealer en campagne active depuis février 2026. Nouveauté technique majeure : résolution C2 via EtherHiding sur smart contracts Ethereum, et bypass de l'Application-Bound Encryption de Chrome par injection de shellcode dans le processus navigateur.

CVE-2025-59528 dans Flowise, plateforme open-source de construction d'agents IA, est activement exploitée. CVSS 10, injection JavaScript arbitraire via le nœud CustomMCP, entre 12 000 et 15 000 instances exposées sur Internet.

Le SANS ISC documente une chaîne d'infection Phishing complète : JavaScript obfusqué de 10 Mo aboutissant au déploiement de Formbook via injection dans MSBuild, avec patching mémoire d'AMSI et ETW en chemin.

Sources : 

CISA Known Exploited Vulnerabilities - CVE-2026-1340 : https://www.cisa.gov/news-events/alerts/2026/04/08/cisa-adds-one-known-exploited-vulnerability-catalog
CERTFR-2026-AVI-0407 - Multiples vulnérabilités dans Google Chrome : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0407/
Remus: Unmasking The 64-bit Variant of the Infamous Lumma Stealer : https://www.gendigital.com/blog/insights/research/remus-64bit-variant-of-lumma-stealer
Max severity Flowise RCE vulnerability now exploited in attacks : https://www.bleepingcomputer.com/news/security/max-severity-flowise-rce-vulnerability-now-exploited-in-attacks/
Obfuscated JavaScript or Nothing - SANS ISC : https://isc.sans.edu/diary/rss/32884

⚡️ On ne réfléchit pas, on patch ! 

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #IvantiEPMM #KEV #CISA #CVE #Chrome #CERTFR #LummaStealer #Remus #Infostealer #EtherHiding #AppBoundEncryption #Flowise #RCE #MCP #LLM #AIAgent #Formbook #Phishing #JavaScript #AMSI #ETW #MSBuild #Infosec #CyberNews

Des acteurs APT affiliés à l'Iran exploitent des automates industriels Rockwell Allen-Bradley exposés sur internet pour manipuler les fichiers projet et altérer les affichages HMI et SCADA dans les secteurs de l'eau, de l'énergie et des services gouvernementaux américains. Alerte conjointe FBI, CISA et NSA publiée ce 7 avril, avec IOCs STIX disponibles.

Le Centre canadien pour la cybersécurité, le FBI et la NSA publient un bulletin conjoint sur la campagne du GRU russe exploitant des routeurs vulnérables pour intercepter des informations sensibles d'organisations militaires et gouvernementales via détournement DNS. Des partenaires étrangers ont récemment démantelé le réseau de routeurs SOHO utilisé comme infrastructure de relais.

Le Centre canadien pour la cybersécurité publie le document ITSAP.10.071, un cadre de référence en sept axes pour l'évaluation des risques liés à l'intégrité de la chaîne d'approvisionnement TIC dans les infrastructures gouvernementales, applicable à toute organisation.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0403 : sept CVE affectant toutes les branches actives d'OpenSSL, dont CVE-2026-31790 avec condition d'exploitation spécifique sur modules FIPS et architectures x86-64 AVX-512. Mise à jour immédiate requise.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0404 : cinq CVE affectant Firefox et Thunderbird, couvrant l'exécution de code arbitraire à distance. Cinq bulletins Mozilla publiés simultanément hors cycle habituel le 7 avril 2026.

Le NCSC britannique expose les opérations de DNS hijacking d'APT28, unité 26165 du GRU, via exploitation de routeurs TP-Link et MikroTik. Le groupe déploie des serveurs DNS malveillants sur VPS pour conduire des attaques Adversary-in-the-Middle et voler credentials et tokens OAuth Microsoft 365.

Sources :

Alerte AA26-097A — Exploitation de PLCs par des acteurs affiliés à l'Iran : https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a
Bulletin conjoint — Campagne d'exploitation de routeurs vulnérables par le GRU russe : https://www.cyber.gc.ca/fr/nouvelles-evenements/bulletin-conjoint-campagne-dexploitation-routeurs-vulnerables-menee-gru-russe-afin-voler-linformation-sensible
ITSAP.10.071 — Évaluations des risques liés à l'intégrité de la chaîne d'approvisionnement : https://www.cyber.gc.ca/fr/orientation/evaluations-risques-lies-lintegrite-chaine-dapprovisionnement-criteres-devaluation-itsap10071
CERTFR-2026-AVI-0403 — Multiples vulnérabilités dans OpenSSL : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0403/
CERTFR-2026-AVI-0404 — Multiples vulnérabilités dans les produits Mozilla : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0404/
NCSC — Le Royaume-Uni expose les opérations de détournement de routeurs par le renseignement militaire russe : https://www.ncsc.gov.uk/news/uk-exposes-russian-military-intelligence-hijacking-vulnerable-routers-for-cyber-attacks
NCSC — APT28 exploite des routeurs pour des opérations de DNS hijacking : https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Iran #IRGC #PLC #OT #SCADA #HMI #RockwellAutomation #GRU #APT28 #FancyBear #DNSHijacking #RouterSOHO #ChaineDApprovisionnement #OpenSSL #CVE #Mozilla #Firefox #Thunderbird #CERTFR #MicrosoftOutlook #OAuthToken #AitM #NCSC #Infosec #CyberNews