RadioCSIRT - Edition Française

Le CERT-FR publie l'avis CERTFR-2026-AVI-0230 concernant de multiples vulnérabilités dans Docker Desktop. Les versions antérieures à 4.62.0 sont affectées. Deux CVE sont référencées : CVE-2026-2664 et CVE-2026-28400. L'éditeur n'a pas précisé la nature exacte des risques. La mise à jour vers Docker Desktop 4.62.0 corrige les deux failles.
Free Mobile annonce des mesures exceptionnelles pour ses abonnés français bloqués aux Émirats arabes unis, à Oman et au Qatar dans le contexte du conflit au Moyen-Orient. L'opérateur accorde automatiquement 15 Go de data supplémentaires et un tarif d'appel réduit à 0,22 euro par minute. La mesure couvre les forfaits Forfait 2 euros, Série Free et Forfait Free 5G+, et reste valable jusqu'au 31 mars 2026.
Le général Dan Caine, chairman du Joint Chiefs of Staff, confirme le rôle du U.S. Cyber Command dans l'opération Epic Fury. Les opérations coordonnées du Cyber Command et du U.S. Space Command ont perturbé les réseaux de communications et les systèmes de capteurs iraniens, privant l'adversaire de sa capacité à détecter, coordonner et riposter. Washington et Jérusalem se préparent à d'éventuelles représailles cyber de groupes proxy iraniens. La Jordanie a annoncé avoir contré une cyberattaque iranienne ciblant ses systèmes de stockage de blé.
Cisco Talos publie une analyse de la situation cyber liée au conflit au Moyen-Orient. À ce stade, aucune augmentation significative d'activité cyber émanant de groupes étatiques n'est observée. Les incidents relevés restent limités à des Web Defacements et des attaques DDoS de faible envergure. Talos alerte sur l'exploitation opportuniste du conflit par des cybercriminels utilisant des lures géopolitiques et du Social Engineering pour propager des Infostealers et des Backdoors. Les groupes iraniens historiquement actifs dans l'espionnage, les attaques destructives et le Hack-and-Leak sont identifiés comme les menaces principales à court terme.
Le régulateur russe de l'internet Roskomnadzor et le ministère russe de la Défense confirment avoir été frappés par une attaque DDoS qualifiée de multi-vecteurs, avec un trafic malveillant provenant de Botnets localisés principalement en Russie, ainsi qu'aux États-Unis, en Chine, au Royaume-Uni et aux Pays-Bas. Les infrastructures du Main Radio Frequency Center ont également été affectées. Aucun groupe n'a revendiqué l'opération.
Enfin, Check Point Research dévoile Silver Dragon, un groupe APT Chinese-nexus opérant sous l'ombrelle d'APT41, actif depuis mi-2024 contre des organisations gouvernementales en Asie du Sud-Est et en Europe. Le groupe déploie trois chaînes d'infection aboutissant au déploiement de Cobalt Strike via DNS Tunneling, utilisant deux Loaders personnalisés : MonikerLoader et BamboLoader. L'élément central est GearDoor, un Backdoor .NET inédit utilisant Google Drive comme canal C2. Le toolkit inclut également SilverScreen pour la capture d'écran et SSHcmd pour l'exécution de commandes à distance.
Sources :
CERT-FR – Multiples vulnérabilités dans Docker Desktop (CERTFR-2026-AVI-0230) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0230/
Clubic – Free accompagne ses abonnés bloqués dans le Golfe : https://www.clubic.com/actualite-603094-bloques-dans-le-golfe-a-cause-de-la-guerre-les-abonnes-free-recoivent-une-bonne-nouvelle.html
The Record – Cyber Command disrupted Iranian comms, sensors : https://therecord.media/iran-cyber-us-command-attack
Talos Intelligence – Talos on the developing situation in the Middle East : https://blog.talosintelligence.com/talos-developing-situation-in-the-middle-east/
The Record – Cyberattack briefly disrupts Russian internet regulator and defense ministry websites : https://therecord.media/cyberattack-briefly-takes-down-russian-government-websites
Check Point Research – Silver Dragon Targets Organizations in Southeast Asia and Europe : https://research.checkpoint.com/2026/silver-dragon-targets-organizations-in-southeast-asia-and-europe/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le NCSC britannique publie un avis à destination des organisations du Royaume-Uni dans le contexte de l'escalade militaire au Moyen-Orient. L'agence estime qu'il n'y a pas de changement significatif de la menace cyber directe de l'Iran envers le Royaume-Uni à ce stade, mais juge quasi certain le risque indirect pour les organisations disposant d'une présence ou de chaînes d'approvisionnement dans la région. Le NCSC recommande de se préparer à des effets de débordement liés aux hacktivistes affiliés à l'Iran, notamment des attaques DDoS et des opérations de défiguration.
Le Centre canadien pour la cybersécurité publie un bulletin dédié aux cybermenaces iraniennes consécutives aux frappes américano-israéliennes du 28 février 2026. Quatre axes de riposte cyber sont identifiés : cyberattaques contre les infrastructures essentielles, opérations d'information, harcèlement en ligne du personnel militaire et répression de la diaspora. Le Centre indique que les hacktivistes pro-iraniens cibleront probablement le Canada en raison de son appui public aux opérations militaires des États-Unis et d'Israël.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0229 concernant des vulnérabilités multiples dans MISP. Les versions affectées sont MISP antérieures à 2.5.33 et MISP modules antérieures à 3.0.5. Les risques identifiés couvrent le contournement de la politique de sécurité, la falsification de requêtes côté serveur (SSRF) et l'injection de code indirecte à distance (XSS). La mise à jour est recommandée sans délai, en particulier dans le contexte actuel de diffusion massive d'IOC via MISP.
Le CERT-UA documente l'exploitation active par APT28 de la vulnérabilité CVE-2026-21509 dans Microsoft Office, score CVSS 7.8. La chaîne d'attaque exploite des fichiers RTF spécialement conçus déclenchant une connexion WebDAV vers un serveur externe, suivie du déploiement de MiniDoor pour le vol d'emails et de PixyNetLoader pour l'accès persistant via le framework COVENANT Grunt. Plus de 60 adresses email associées aux autorités exécutives ukrainiennes ont été ciblées. Un document leurre a été créé un jour après la divulgation par Microsoft.
Enfin, Malwarebytes identifie un faux site imitant le projet FileZilla, hébergé sur le domaine filezilla-project[.]live, distribuant une copie trojanisée de FileZilla 3.69.5. L'attaque repose sur l'ajout d'une DLL malveillante version.dll exploitant le mécanisme de DLL search order hijacking de Windows. Le malware accède aux identifiants FTP sauvegardés et contacte un serveur C2. Cette technique s'inscrit dans une tendance croissante d'empoisonnement de logiciels open-source de confiance, après les cas récents impliquant 7-Zip et Notepad++.
Sources :
Security Affairs – Middle East Crisis Prompts UK NCSC Warning on Potential Iranian Cyber Activity : https://securityaffairs.com/188800/apt/middle-east-crisis-prompts-uk-warning-on-potential-iranian-cyber-activity.html
Centre canadien pour la cybersécurité – Bulletin sur les cybermenaces iraniennes : https://www.cyber.gc.ca/fr/orientation/bulletin-cybermenaces-intervention-cas-cybermenaces-iraniennes-emanant-frappes-etats-unis-disrael-fevrier-2026
CERT-FR – Multiples vulnérabilités dans MISP (CERTFR-2026-AVI-0229) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0229/
CERT-UA – APT28 exploite CVE-2026-21509 : https://cert.gov.ua/article/6287707
Malwarebytes – A Fake FileZilla Site Hosts a Malicious Download : https://www.malwarebytes.com/blog/threat-intel/2026/03/a-fake-filezilla-site-hosts-a-malicious-download
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le Pentagone désigne Anthropic comme un « Supply Chain Risk » pour la sécurité nationale après l'échec des négociations sur l'utilisation militaire du modèle Claude. L'entreprise refuse toute utilisation de son IA pour la surveillance domestique de masse et les systèmes d'armes pleinement autonomes. Le président Trump ordonne à l'ensemble des agences fédérales de cesser l'utilisation des technologies Anthropic sous six mois.
Une brèche de données chez le détaillant canadien Canadian Tire expose plus de 38 millions de comptes issus d'une base de données e-commerce. Les données compromises incluent des noms, adresses, emails, numéros de téléphone, mots de passe hashés en PBKDF2 et des numéros de cartes de crédit tronqués. Have I Been Pwned évalue le volume total à 42 millions d'enregistrements.
Rapid7 publie une mise à jour majeure de Metasploit intégrant des exploits RCE non authentifiés ciblant Ollama via une Path Traversal CVE-2024-37032, BeyondTrust PRA et RS via une Command Injection CVE-2026-1731 au score CVSS 9.9, et les téléphones VoIP Grandstream GXP1600 via un Stack Overflow CVE-2026-2329. La release introduit également le premier module d'evasion Linux pour architectures ARM64 utilisant le chiffrement RC4 en mémoire.
En Corée du Sud, le National Tax Service expose accidentellement la seed phrase d'un cold wallet Ledger saisi lors d'opérations contre des fraudeurs fiscaux. L'analyse on-chain révèle le vol de 4 millions de tokens Pre-Retogeum d'une valeur de 4,8 millions de dollars en trois transactions.
Enfin, SentinelOne publie un intelligence brief évaluant avec un haut niveau de confiance l'intensification probable des opérations cyber iraniennes à la suite des frappes américaines et israéliennes. Les cibles anticipées couvrent les secteurs défense, infrastructures critiques, finance, médias et académique aux États-Unis, en Israël et dans les nations alliées. Quatre axes de réponse sont identifiés : espionnage de précision via APT34 et APT42, déploiement de wiper malware, campagnes de désinformation coordonnées et probing d'infrastructures ICS/OT.
Sources :
The Hacker News – Pentagon Designates Anthropic Supply Chain Risk : https://thehackernews.com/2026/02/pentagon-designates-anthropic-supply.html
Security Affairs – Canadian Tire 2025 Data Breach Impacts 38 Million Users : https://securityaffairs.com/188659/data-breach/canadian-tire-2025-data-breach-impacts-38-million-users.html
Cyber Security News – Metasploit Adds New Modules Targeting Linux RC4 : https://cybersecuritynews.com/metasploit-adds-new-modules-targeting-linux-rc4/
BleepingComputer – $4.8M in Crypto Stolen After Korean Tax Agency Exposes Wallet Seed : https://www.bleepingcomputer.com/news/security/48m-in-crypto-stolen-after-korean-tax-agency-exposes-wallet-seed/
SentinelOne – Intelligence Brief Iranian Cyber Activity Outlook : https://www.sentinelone.com/blog/sentinelone-intelligence-brief-iranian-cyber-activity-outlook/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Une vulnérabilité référencée CVE-2026-0542 affecte la ServiceNow AI Platform. Classée CWE-653 Improper Isolation or Compartmentalization, la faille permet à un attaquant non authentifié d'obtenir une exécution de code arbitraire à distance via un contournement du mécanisme de Sandbox. L'impact porte sur la confidentialité, l'intégrité et la disponibilité de l'instance. Les correctifs sont disponibles pour les branches Zurich, Yokohama et Xanadu, celui de la branche Australia est attendu au deuxième trimestre 2026. Aucune mesure de contournement n'a été communiquée.
La Shadowserver Foundation révèle que plus de 900 instances Sangoma FreePBX restent compromises par des Web Shells exploitant la CVE-2025-64328, une injection de commandes post-authentification au score CVSS de 8.6. La CISA a intégré cette CVE à son catalogue Known Exploited Vulnerabilities. Selon Fortinet FortiGuard Labs, l'acteur INJ3CTOR3 exploite cette faille depuis décembre 2025 pour déployer le Web Shell EncystPHP, permettant l'exécution de commandes arbitraires et l'initiation d'appels sortants via l'environnement PBX compromis.
L'Iran a subi un blackout Internet quasi total ce samedi, avec une connectivité nationale tombée à 4 % de son niveau habituel selon NetBlocks, dans le contexte de frappes militaires menées par Israël et les États-Unis. Cloudflare a confirmé un trafic tombé à zéro effectif à 18h45 UTC. Des cyberattaques de grande ampleur ont simultanément visé des agences de presse majeures dont IRNA et ISNA.
Zscaler documente la campagne Ruby Jumper, attribuée avec un niveau de confiance élevé au groupe nord-coréen APT37. Le toolkit déployé comprend cinq composants, RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK et FOOTWINE, conçus pour infiltrer les réseaux Air-Gapped. THUMBSBD transforme les supports USB en relais C2 bidirectionnels. FOOTWINE assure le Keylogging, la capture d'écran, l'enregistrement audio et vidéo. La chaîne d'infection débute par un fichier LNK malveillant et s'appuie sur l'environnement Ruby 3.3.0 déguisé en utilitaire USB légitime.
Dix-sept paquets npm malveillants publiés entre le 25 et le 26 février 2026 ont été attribués au groupe FAMOUS CHOLLIMA. Selon le chercheur à l'origine de l'analyse, ces paquets intègrent une technique inédite combinant Pastebin et stéganographie textuelle comme Dead-Drop Resolver pour extraire 31 domaines C2 hébergés sur Vercel. Le malware détecte la plateforme cible et télécharge un stager spécifique pour macOS, Linux ou Windows. Deux techniques de loader distinctes observées en une seule semaine signalent un rythme de développement inhabituellement rapide.
Enfin, le rapport OSSRA 2026 de Black Duck, basé sur l'analyse de 947 bases de code commerciales, révèle une hausse de 107 % du nombre moyen de vulnérabilités open source par base de code, atteignant 581. Le facteur identifié est l'adoption massive des assistants de codage IA, utilisés par 85 % des organisations. 87 % des bases de code contiennent au moins une vulnérabilité, 93 % intègrent des composants sans activité depuis deux ans, et 68 % présentent des conflits de licence en hausse record.
Sources disponibles sur : https://www.radiocsirt.org/podcast/ep-588-votre-actualite-cybersecurite-du-samedi-28-fevrier-2026/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la découverte par Check Point Research de vulnérabilités critiques dans Claude Code d'Anthropic, référencées CVE-2025-59536 et CVE-2026-21852. Trois vecteurs d'attaque distincts ont été identifiés : l'exécution de commandes arbitraires via les Hooks définis dans le fichier .claude/settings.json du repository, le contournement du dialogue de consentement utilisateur pour les serveurs MCP en combinant le paramètre enableAllProjectMcpServers dans la configuration projet, et l'exfiltration de clés API Anthropic en clair via la redirection de la variable ANTHROPIC_BASE_URL vers un serveur contrôlé par l'attaquant. Ces trois vecteurs constituent un risque de Supply Chain Attack exploitable via des Pull Requests malveillantes ou des repositories piégés. Anthropic a corrigé l'ensemble des failles entre août 2025 et janvier 2026.
Cisco Talos documente une campagne active depuis décembre 2025 menée par l'acteur UAT-10027, ciblant les secteurs de l'éducation et de la santé aux États-Unis. La campagne déploie un Backdoor inédit baptisé Dohdoor, utilisant le DNS-over-HTTPS via Cloudflare pour résoudre ses domaines C2. La chaîne d'infection repose sur du DLL Sideloading via des exécutables Windows légitimes, un déchiffrement XOR-SUB position-dependent des Payloads, et une injection par Process Hollowing dans des processus système. Le Backdoor implémente un EDR Bypass par unhooking des syscalls dans ntdll.dll. Talos évalue avec un niveau de confiance faible un lien avec la Corée du Nord, sur la base de recoupements TTP avec le groupe Lazarus.
Le GReAT de Kaspersky a documenté Arkanix Stealer, un Infostealer opérant sous modèle Malware-as-a-Service depuis octobre 2025. Deux implémentations coexistent : une version Python à capacités configurables à distance et une version native C++ intégrant VMProtect, ChromElevator pour la post-exploitation navigateur, et le patching d'AmsiScanBuffer et EtwEventWrite. Les communications C2 sont chiffrées en AES-GCM combiné à PBKDF2 avec HMAC-SHA256. L'analyse du code révèle des traces probables de développement assisté par LLM. Le programme affilié a été démantelé autour de décembre 2025 sans préavis.
Eurojust a coordonné le démantèlement d'un centre d'appels frauduleux opérant depuis Dnipro en Ukraine. L'opération conjointe entre les autorités lettones, lituaniennes et ukrainiennes a abouti le 17 février 2026 à l'arrestation de onze membres du groupe criminel exploitant un schéma d'investissement frauduleux en cryptomonnaies. Les saisies comprennent 400 000 euros en espèces, deux Wallets de cryptomonnaies et huit véhicules de luxe. Les perquisitions ont été menées dans 32 lieux.
La CVE-2026-27495 affecte n8n, la plateforme open source d'automatisation de workflows. Classée CWE-94 Code Injection, la faille permet à un utilisateur authentifié de s'échapper du Sandbox du JavaScript Task Runner pour exécuter du code arbitraire à distance. En mode runner interne, l'exploitation peut conduire à une compromission complète de l'hôte. Les correctifs sont disponibles dans les versions 1.123.22, 2.9.3 et 2.10.1.
Enfin, Linus Torvalds a confirmé que la prochaine version du kernel Linux portera le numéro 7.0. Le premier Release Candidate est publié, avec une version stable attendue pour mi-avril 2026. Le cycle intègre le support des processeurs Intel Nova Lake et AMD Zen 6, des optimisations du scheduler et du sous-système mémoire, ainsi que des mises à jour de drivers et de filesystems.
Sources :
Check Point Research – RCE and API Token Exfiltration Through Claude Code Project Files : https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/
Cisco Talos – New Dohdoor Malware Campaign Targets Education and Health Care : https://blog.talosintelligence.com/new-dohdoor-malware-campaign/
Kaspersky GReAT – Arkanix Stealer: a C++ & Python Infostealer : https://securelist.com/arkanix-stealer/119006/
Eurojust – 11 Arrests During Actions Against Fraudulent Call Centre : https://www.eurojust.europa.eu/news/11-arrests-during-actions-against-fraudulent-call-centre
Cyberveille e-santé – n8n CVE-2026-27495 : https://cyberveille.esante.gouv.fr/alertes/n8n-cve-2026-27495-2026-02-27
Linux Journal – Linux 7.0 Is Coming: What to Expect from the Next Major Kernel Release : https://www.linuxjournal.com/content/linux-70-coming-what-expect-next-major-kernel-release
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com