RadioCSIRT - Edition Française

🇺🇸 Le gouvernement américain coupe l'accès à Mythos
Édition spéciale. Le 12 juin 2026, le gouvernement des États-Unis a ordonné à Anthropic de suspendre immédiatement l'accès à ses modèles Fable 5 et Mythos 5, pour l'ensemble de ses clients dans le monde, sur le fondement d'un dispositif de contrôle à l'exportation et de ses autorités de sécurité nationale.
Dans cet épisode, nous établissons les faits, puis nous développons deux enjeux de fond : la capacité d'une autorité nationale à couper, de façon unilatérale et immédiate, l'accès à une ressource d'intelligence artificielle ; et la question de la découverte de vulnérabilités logicielles assistée par l'IA. Nous terminons sur la localisation et la souveraineté des modèles.
📌 Sources :
Statement on the US government directive to suspend access to Fable 5 and Mythos 5 — Source : https://www.anthropic.com/news/fable-mythos-access 
📞 Répondeur : 07 68 72 20 09
 ✉️ radiocsirt@gmail.com
 🌐 radiocsirt.org
 📰 radiocsirt.substack.com
On ne réfléchit pas,
 on patch !
#RadioCSIRT #Cybersecurite #IA #AI #Anthropic #Fable5 #Mythos5 #ExportControl #SouveraineteNumerique #SecuriteIA #CTI #Cybersecurity

🐛 GreatXML, code de démonstration publié le 10 juin par le chercheur Nightmare Eclipse, revendique un contournement de BitLocker via l'environnement de récupération WinRE, l'analyse hors ligne de Defender et le traitement des fichiers unattend.xml. Le résultat revendiqué est un shell avec accès au volume chiffré, alors que BitLocker l'affiche comme protégé. Le modèle de menace repose sur un accès physique et vise les configurations TPM seul. La fiabilité est débattue et aucun CVE ni correctif n'existe à ce jour.
🚨 La CISA ajoute CVE-2026-35273, faille d'absence d'authentification pour une fonction critique dans Oracle PeopleSoft Enterprise PeopleTools, à son catalogue des vulnérabilités activement exploitées, sous la nouvelle directive BOD 26-04.
🔓 La CISA inscrit également CVE-2026-10520, injection de commandes système dans Ivanti Sentry permettant une exécution de code à distance non authentifiée en root, première vulnérabilité traitée sous la BOD 26-04 avec remédiation sous trois jours.
🔐 Brian Krebs identifie l'administrateur du ransomware The Gentlemen, deuxième groupe le plus actif par nombre de victimes, qui attire ses affiliés avec un partage de rançon de 90/10. L'enquête OSINT remonte des pseudonymes Zeta88 et Hastalamuerte jusqu'à un homme de 36 ans d'Ijevsk, en Russie.
Sources :
GreatXML : analyse technique et défensive d'un contournement BitLocker via WinRE — Blog de Marc-Frédéric Gomez : https://blog.marcfredericgomez.fr/greatxml-analyse-technique-et-defensive-dun-contournement-bitlocker-via-winre/
CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-35273) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/12/cisa-adds-one-known-exploited-vulnerability-catalog
CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-10520) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/11/cisa-adds-one-known-exploited-vulnerability-catalog
Who Runs the Ransomware Group 'The Gentlemen?' — KrebsOnSecurity : https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
 
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #GreatXML #BitLocker #WinRE #Microsoft #Windows #ZeroDay #CISA #KEV #BOD2604 #Oracle #PeopleSoft #Ivanti #Sentry #RCE #Ransomware #TheGentlemen #RaaS #CheckPoint #PRODAFT #OSINT #CVE-2026-35273 #CVE-2026-10520 #CVE-2026-45585 #RadioCSIRT

🐛 Check Point Research dévoile une chaîne d'attaque dans LangGraph, framework d'agents IA aux 50 millions de téléchargements mensuels. Une injection SQL dans le checkpointer SQLite (CVE-2025-67644) couplée à une désérialisation msgpack non sécurisée (CVE-2026-28277) mène à une exécution de code à distance. La même classe d'injection touche le checkpointer Redis (CVE-2026-27022). Le service managé LangSmith sur PostgreSQL n'est pas affecté.
🤖 Unit 42 (Palo Alto Networks) présente Behavioral Integrity Verification, une méthode comparant ce qu'un skill d'agent IA déclare faire à ce qu'il fait réellement. Sur près de 50 000 skills du registre OpenClaw, 80 % présentent au moins un écart. 18,9 % traduisent une intention malveillante, dominée par le vol d'identifiants et le détournement de l'agent. Recommandation : vérifier l'intégrité avant installation.
🕵️ Selon Cyberpress relayant une recherche d'ESET, le groupe OceanLotus (APT32) réoriente son activité vers l'espionnage domestique. Sa backdoor SPECTRALVIPER a été déployée via une attaque sur la chaîne d'approvisionnement de la plateforme boursière FireAnt MetaKit, dont les mises à jour ne validaient ni TLS ni signature numérique. Ciblage très sélectif des investisseurs.
📡 The Hacker News rapporte, d'après Black Lotus Labs (Lumen), l'expansion du botnet de reconnaissance JDY, lié à la Chine, passé à plus de 1 500 équipements SOHO et IoT. Issu du KV-botnet utilisé par Volt Typhoon, il exploite des failles fraîchement divulguées sur des équipements de bordure (CVE-2026-35616) pour cartographier les infrastructures exposées.
🇫🇷 ZDNET annonce que la région Auvergne-Rhône-Alpes dispose enfin de son CSIRT territorial, baptisé Aura. Porté par la CCI de Lyon métropole, financé par 400 000 euros de l'ANSSI sur deux ans et opéré par Orange Cyberdéfense, il offre un premier niveau d'assistance gratuit aux collectivités, PME, ETI et associations.
🔐 Sur son blog, l'acteur Nightmare Eclipse publie une divulgation non coordonnée décrivant un contournement de BitLocker baptisé GreatXML, qui ne fonctionnerait que sur les systèmes ayant utilisé l'analyse hors ligne de Windows Defender. Sans CVE ni correctif éditeur à ce stade. Portée réelle à confirmer. Rapporté à titre de veille.
🧰 Six vulnérabilités affectant Ghidra (NSA), divulguées via VulnCheck et corrigées en version 12.1 : contournement d'authentification par signature nulle (CVE-2026-52754), RCE par désérialisation RMI (CVE-2026-52751), injection SQL PostgreSQL avec escalade superutilisateur (CVE-2026-49498), deux traversées de répertoire via ZIP (CVE-2026-52755, CVE-2026-52752) et une injection de commande Windows (CVE-2026-52750).
🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0734 sur de multiples vulnérabilités dans les produits Palo Alto Networks (Cortex XSIAM/XSOAR, GlobalProtect, PAN-OS 10.2 à 12.1, Prisma Access Agent, Prisma Browser). Risques : RCE, élévation de privilèges, déni de service, XSS. Références CVE-2026-0266 à CVE-2026-0274 et PAN-SA-2026-0008.
Sources :
From SQLi to RCE – Exploiting LangGraph's Checkpointer — Check Point Research : https://research.checkpoint.com/2026/from-sqli-to-rce-exploiting-langgraphs-checkpointer/
Trust No Skill: Integrity Verification for AI Agent Supply Chains — Unit 42 (Palo Alto Networks) : https://unit42.paloaltonetworks.com/ai-agent-supply-chain-risks/
OceanLotus APT Targets Stock Investors in FireAnt MetaKit Supply-Chain Attack — Cyber Press : https://cyberpress.org/oceanlotus-hits-stock-investors/
China-Linked JDY Botnet Expands to 1,500+ Devices for Cyber Reconnaissance — The Hacker News : https://thehackernews.com/2026/06/china-linked-jdy-botnet-expands-to-1500.html
La région Auvergne-Rhône-Alpes compte (enfin) son CSIRT territorial — ZDNET : https://www.zdnet.fr/actualites/la-region-auvergne-rhone-alpes-compte-enfin-son-csirt-territorial-496378.htm
GreatXML, a BitLocker bypass — Nightmare Eclipse (blog) : https://deadeclipse666.blogspot.com/2026/06/greatxml-bitlocker-that-seems-to-only.html
CVE-2026-52755 — Ghidra Path Traversal via Zip Slip in Theme Import — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-52755
CVE-2026-52754 — Ghidra Authentication Bypass via Null Signature — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-52754
CVE-2026-52752 — Ghidra Path Traversal in Extension Installer — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-52752
CVE-2026-52751 — Ghidra RCE via Unfiltered RMI Deserialization — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-52751
CVE-2026-52750 — Ghidra Command Injection via URL Annotation Click — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-52750
CVE-2026-49498 — Ghidra SQL Injection in PostgreSQL Password Change — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-49498
Multiples vulnérabilités dans les produits Palo Alto Networks — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0734/
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #LangGraph #LangChain #CheckPoint #Unit42 #PaloAltoNetworks #AIAgents #OpenClaw #OceanLotus #APT32 #SPECTRALVIPER #ESET #JDY #Botnet #VoltTyphoon #Lumen #ANSSI #Ghidra #VulnCheck #BitLocker #CERTFR #CVE-2025-67644 #CVE-2026-28277 #CVE-2026-27022 #CVE-2026-35616 #CVE-2026-52755 #CVE-2026-52754 #CVE-2026-52752 #CVE-2026-52751 #CVE-2026-52750 #CVE-2026-49498 #CVE-2026-0266 #CVE-2026-0274 #RadioCSIRT

📡 Selon Recorded Future News, le Royaume-Uni allège les mesures de sécurité prévues pour ses réseaux télécoms face à la campagne chinoise Salt Typhoon, après le lobbying des opérateurs sur les coûts. Sont abandonnés ou repoussés la détection d'intrusion indépendante sur la signalisation, le traitement de la signalisation entrante comme non fiable, et le redémarrage mensuel des équipements. La sécurisation des comptes de service glisse de fin 2028 à fin 2029. Le code allégé entre en vigueur mi-juillet sauf opposition du Parlement.
🪟 Selon BleepingComputer, Microsoft corrige à son Patch Tuesday de juin trois zero-days divulgués par le chercheur Nightmare Eclipse. GreenPlasma et MiniPlasma, référencés CVE-2026-45586 et CVE-2020-17103, offrent un shell SYSTEM sur Windows pourtant à jour, via CTFMON et le Cloud Files Mini Filter Driver. YellowKey, référencé CVE-2026-45585, agit comme une backdoor dans WinRE et permet, avec accès physique, de contourner BitLocker sur Windows 11 et Server 2022/2025 non corrigés.
🐛 Quelques heures après les correctifs, Nightmare Eclipse divulgue un nouveau zero-day Defender, RoguePlanet, ouvrant une invite SYSTEM. D'abord une exécution de code à distance via un fichier .vhd(x) sur partage SMB, la faille a été partiellement neutralisée par un correctif Defender de mi-mai. Le chercheur, déjà à l'origine de BlueHammer, CVE-2026-33825, et de RedSun désormais exploités, indique renoncer à la divulgation massive évoquée pour le 14 juillet.
🚨 La CISA ajoute le 8 juin deux vulnérabilités activement exploitées à son catalogue KEV : CVE-2026-42271, une injection de commande dans BerriAI LiteLLM, et CVE-2026-50751, un défaut d'authentification dans Check Point Security Gateway. La directive BOD 22-01 impose leur remédiation aux agences fédérales américaines.
📌 La CISA ajoute le 9 juin trois autres failles exploitées : CVE-2026-7473 dans Arista EOS, CVE-2026-11645 dans le moteur V8 de Google Chromium, et CVE-2026-20245 dans Cisco Catalyst SD-WAN Manager. Toutes relèvent de la BOD 22-01 pour les agences fédérales civiles.
🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0725 sur de multiples vulnérabilités Fortinet permettant une exécution de code à distance et une atteinte à la confidentialité. Sont visés FortiOS, FortiProxy, FortiPortal et FortiSandbox, via les CVE-2025-67862, CVE-2026-25089 et CVE-2026-49938.
🖥️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0716 sur une élévation de privilèges dans FreeBSD, référencée CVE-2026-49413. Les branches 14, 14.3, 14.4, 15, 15.0 et 15.1 sont concernées, en deçà des révisions correctives du projet.
🔐 Le CERT-FR publie l'avis CERTFR-2026-AVI-0717 sur de multiples vulnérabilités OpenSSL, dont des exécutions de code à distance et des dénis de service. Dix-sept CVE sont recensées, de CVE-2026-34180 à CVE-2026-34183 et CVE-2026-42764 à CVE-2026-42771, touchant les branches 1.0.x à 4.x.
Sources :
UK weakens proposed telecoms defenses against Chinese hackers after industry pushback — The Record (Recorded Future News) : https://therecord.media/uk-weakens-telecoms-defenses-after-industry-lobbying
Microsoft patches YellowKey, GreenPlasma, MiniPlasma zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-yellowkey-greenplasma-miniplasma-zero-days/
RoguePlanet, nouveau zero-day Defender divulgué par Nightmare Eclipse — couverture BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-yellowkey-greenplasma-miniplasma-zero-days/
CISA Adds Two Known Exploited Vulnerabilities to Catalog (08/06/2026) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/08/cisa-adds-two-known-exploited-vulnerabilities-catalog
CISA Adds Three Known Exploited Vulnerabilities to Catalog (09/06/2026) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/09/cisa-adds-three-known-exploited-vulnerabilities-catalog
CERTFR-2026-AVI-0725 Multiples vulnérabilités dans les produits Fortinet — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0725/
CERTFR-2026-AVI-0716 Vulnérabilité dans FreeBSD — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0716/
CERTFR-2026-AVI-0717 Multiples vulnérabilités dans OpenSSL — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0717/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
 
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #Windows #ZeroDay #YellowKey #GreenPlasma #MiniPlasma #CVE202645585 #CVE202645586 #CVE202017103 #BitLocker #WinRE #NightmareEclipse #RoguePlanet #Defender #CVE202633825 #CISA #KEV #BOD2201 #LiteLLM #CVE202642271 #CheckPoint #CVE202650751 #Arista #CVE20267473 #Chromium #V8 #CVE202611645 #Cisco #SDWAN #CVE202620245 #CERTFR #Fortinet #FortiOS #CVE202567862 #CVE202625089 #CVE202649938 #FreeBSD #CVE202649413 #OpenSSL #SaltTyphoon #Telecoms #NCSC #RadioCSIRT

🪟 Microsoft publie un Patch Tuesday massif pour juin 2026 : 200 vulnérabilités corrigées sur son seul périmètre, dont 33 critiques. La ventilation fait ressortir 65 élévations de privilèges, 55 exécutions de code à distance, 30 divulgations d'information, 27 Spoofing, 19 contournements de sécurité et 7 dénis de service. Le décompte exclut les 360 failles Edge et Chromium traitées par Google ce mois-ci.
🔓 Première Zero-Day divulguée, la CVE-2026-45586 vise le Windows Collaborative Translation Framework, alias CTFMON. Un défaut de résolution de lien, le link following, permet à un attaquant authentifié d'élever localement ses privilèges jusqu'au niveau SYSTEM. Microsoft attribue la découverte à un chercheur anonyme et n'a relevé aucune exploitation active.
💥 Deuxième Zero-Day, la CVE-2026-49160, baptisée HTTP/2 Bomb par les chercheurs de Calif, est un déni de service dans HTTP.sys. En détournant la compression des en-têtes HTTP/2, un attaquant non authentifié force le serveur à allouer une mémoire disproportionnée, puis la maintient mobilisée via le contrôle de flux. Microsoft introduit le paramètre de registre MaxHeadersCount pour limiter le nombre d'en-têtes acceptés.
🔑 Troisième Zero-Day, la CVE-2026-50507 contourne BitLocker par attaque physique. Il s'agit du correctif de la faille YellowKey, divulguée par le chercheur Nightmare Eclipse : des fichiers déposés sur une clé USB ou la partition EFI, puis un démarrage en environnement WinRE avec la touche CTRL maintenue, ouvraient un shell donnant accès aux disques chiffrés. Sont visés les systèmes en protection TPM seul sous Windows 11 et Server 2022/2025.
🖥️ Le Remote Desktop Client concentre une douzaine d'exécutions de code à distance, dont sept critiques, parmi lesquelles les CVE-2026-42985, 2026-47289 et 2026-44801. Le scénario type vise le poste client lors d'une connexion vers un serveur RDP malveillant ou compromis.
📄 La suite Office aligne une longue série de RCE critiques, notamment sur le couple Outlook et Word, avec les CVE-2026-45458, 2026-47635 et 2026-45456. Le vecteur reste le document piégé, le risque du volet de prévisualisation d'Outlook en ligne de mire.
🧩 L'infrastructure critique n'est pas épargnée : Hyper-V écope de RCE critiques pouvant mener à une évasion de machine virtuelle, le KDC Kerberos est touché par la CVE-2026-47288, et les Active Directory Domain Services par la CVE-2026-45648, deux failles au cœur des contrôleurs de domaine. Secure Boot et UEFI cumulent par ailleurs une dizaine de contournements de la chaîne de confiance au démarrage.
Sources :
Blog Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-juin-2026/
Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/ 
CVE-2026-45586 (Windows CTFMON Elevation of Privilege) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45586 
CVE-2026-49160 (HTTP.sys Denial of Service) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-49160 
CVE-2026-50507 (Windows BitLocker Security Feature Bypass) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50507 
CVE-2026-41108 (Windows DNS Client Elevation of Privilege) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41108 
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #ZeroDay #CVE202645586 #CTFMON #ElevationOfPrivilege #CVE202649160 #HTTP2Bomb #DenialOfService #HTTPsys #CVE202650507 #BitLocker #YellowKey #NightmareEclipse #SecureBoot #UEFI #RemoteDesktop #RDP #RCE #Office #Outlook #HyperV #Kerberos #KDC #ActiveDirectory #CVE202641108 #WindowsDNS #PatchManagement #RadioCSIRT