RadioCSIRT - Edition Française

La CISA ajoute CVE-2025-47813 à son catalogue KEV : la faille d'Information Disclosure dans Wing FTP Server est confirmée comme activement exploitée et exploitable en chaîne avec une Remote Code Execution critique référencée CVE-2025-47812. Les agences fédérales américaines disposent de deux semaines pour remédier.
Le CERT-FR publie quatre avis simultanés : CVE-2026-3909 dans Google Chrome et CVE-2026-3910 dans Microsoft Edge sont toutes deux confirmées comme activement exploitées. OpenSSL est affecté par CVE-2026-2673 sur les branches 3.5.x et 3.6.x. Plusieurs composants Azure Linux — coredns, giflib, golang et azurelinux-image-tools — font l'objet de six CVE additionnelles.
La startup Starcloud soumet à la FCC une demande de déploiement de 88 000 satellites en orbite héliosynchrone pour constituer une infrastructure de data centers orbitaux produisant 5 gigawatts. Soutenue par NVIDIA, la société a déjà démontré l'exécution d'inférences IA depuis l'orbite via un GPU H100 embarqué.
Le groupe APT Laundry Bear, également référencé UAC-0190 et Void Blizzard, est suspecté d'utiliser un nouveau backdoor baptisé DRILLAPP contre des organisations ukrainiennes. La technique repose sur l'abus des paramètres de debug de Microsoft Edge en mode headless pour accéder au système de fichiers, au microphone, à la caméra et à l'écran sans déclencher d'alerte.
Sources :
CISA — Wing FTP Server KEV : https://www.cisa.gov/news-events/alerts/2026/03/16/cisa-adds-one-known-exploited-vulnerability-catalog
BleepingComputer — Wing FTP Server flaw actively exploited : https://www.bleepingcomputer.com/news/security/cisa-flags-wing-ftp-server-flaw-as-actively-exploited-in-attacks/
CERT-FR — OpenSSL CVE-2026-2673 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0296/
CERT-FR — Google Chrome CVE-2026-3909 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0297/
CERT-FR — Microsoft Edge multiples vulnérabilités : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0298/
CERT-FR — Produits Microsoft Azure Linux : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0299/
Clubic — Starcloud data centers orbitaux : https://www.clubic.com/actualite-604813-data-centers-dans-l-espace-lumiere-sur-le-projet-fou-de-la-startup-starcloud.html
Security Affairs — DRILLAPP backdoor Laundry Bear : https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Meta supprime le chiffrement de bout en bout des messages privés Instagram à compter du 8 mai 2026. La fonctionnalité E2EE, disponible depuis trois ans en mode opt-in, est abandonnée au profit d'une architecture permettant à Meta d'analyser les contenus échangés. Les utilisateurs souhaitant maintenir un canal chiffré au sein de l'écosystème Meta sont redirigés vers WhatsApp.
Le groupe Storm-2561, actif depuis mai 2025, distribue de faux clients VPN enterprise via SEO poisoning en usurpant les marques Cisco, Fortinet, CheckPoint, Ivanti, SonicWall, Sophos et WatchGuard. Les installeurs MSI malveillants sideloadent deux DLL — dwmapi.dll et inspector.dll — capturant les credentials saisis avant de rediriger silencieusement la victime vers le site officiel du vendor.
Le cluster CL-STA-1087, suspecté d'origine chinoise, conduit depuis 2020 des opérations d'espionnage ciblant des organisations militaires d'Asie du Sud-Est. L'arsenal déployé comprend les backdoors AppleChris et MemFun, et le credential harvester Getpass. Les deux backdoors utilisent Pastebin comme dead drop resolver pour récupérer les adresses C2.
Starbucks notifie une violation de données affectant 889 employés suite à une campagne de phishing ciblant le portail RH Partner Central entre le 19 janvier et le 11 février 2026. Les données exposées incluent numéros de sécurité sociale, dates de naissance et coordonnées bancaires.
Le SDK web d'AppsFlyer a été compromis dans une attaque supply chain entre le 9 et le 11 mars 2026. Un payload JavaScript de clipboard hijacking a été distribué depuis websdk.appsflyer.com, ciblant les wallets Bitcoin, Ethereum, Solana, Ripple et TRON sur les applications de 15 000 entreprises clientes.
Microsoft publie le hotpatch OOB KB5084597 pour corriger trois RCE dans le snap-in RRAS de Windows 11 Enterprise : CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111. Le correctif applique les fixes via in-memory patching sans redémarrage, exclusivement sur les endpoints gérés via Windows Autopatch.
Sources :
Clubic — Instagram supprime le chiffrement de bout en bout : https://www.clubic.com/actualite-604663-instagram-supprime-le-chiffrement-des-messages-de-bout-en-bout-vos-conversations-privees-bientot-lisibles.html
The Register — VPN clients spoofed by Storm-2561 : https://www.theregister.com/2026/03/13/vpn_clients_spoofed/
The Hacker News — Chinese hackers target Southeast Asian militaries : https://thehackernews.com/2026/03/chinese-hackers-target-southeast-asian.html
Security Affairs — Starbucks data breach 889 employees : https://securityaffairs.com/189438/security/starbucks-data-breach-impacts-889-employees.html
BleepingComputer — AppsFlyer Web SDK crypto stealer : https://www.bleepingcomputer.com/news/security/appsflyer-web-sdk-used-to-spread-crypto-stealer-javascript-code/
BleepingComputer — Microsoft Windows 11 OOB hotpatch RRAS RCE : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-11-oob-hotpatch-to-fix-rras-rce-flaw/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le CA/Browser Forum a voté en 2024 la réduction progressive de la durée de vie maximale des certificats TLS publics : 200 jours en mars 2026, 100 jours en mars 2027, 47 jours en mars 2029. À cette échéance, la période de réutilisation des données de validation DCV sera réduite à 10 jours. Le renouvellement manuel devient structurellement impossible à l'échelle — l'automatisation via le protocole ACME (RFC 8555) n'est plus une option, c'est une exigence opérationnelle.
Cet épisode spécial, suggéré par Cédric, auditeur du podcast, couvre le cycle de vie complet des certificats TLS publics, le fonctionnement du protocole ACME et ses implémentations en production (Certbot, acme.sh, win-acme, cert-manager, Vault), les implications opérationnelles de la réduction des durées de vie pour les équipes de gestion de certificats, et les premiers jalons de la migration PKI post-quantique issue des standards NIST finalisés en août 2024 : ML-KEM (FIPS 203), ML-DSA (FIPS 204) et SLH-DSA (FIPS 205).
Pour les équipes cyber, les chantiers sont identifiés : inventaire cryptographique, agilité cryptographique, certificats hybrides, mise à jour des bibliothèques cryptographiques (OpenSSL 3.x, liboqs). L'horizon de migration fixé par la NSA, le CISA et l'ANSSI est 2030 — les organisations qui commencent maintenant disposent d'une fenêtre opérationnelle.
Sources :
CA/Browser Forum — Ballot SC-081 : https://cabforum.org/working-groups/server/ballots/sc-081/
RFC 8555 — ACME Protocol (IETF) : https://www.rfc-editor.org/rfc/rfc8555
NIST FIPS 203 — ML-KEM (CRYSTALS-Kyber) : https://csrc.nist.gov/pubs/fips/203/final
NIST FIPS 204 — ML-DSA (CRYSTALS-Dilithium) : https://csrc.nist.gov/pubs/fips/204/final
NIST FIPS 205 — SLH-DSA (SPHINCS+) : https://csrc.nist.gov/pubs/fips/205/final
ANSSI — Guide de migration vers la cryptographie post-quantique : https://www.ssi.gouv.fr/guide/migration-vers-la-cryptographie-post-quantique/
CISA — Post-Quantum Cryptography Initiative : https://www.cisa.gov/quantum
Open Quantum Safe — liboqs : https://openquantumsafe.org
Certbot — Documentation officielle : https://certbot.eff.org
cert-manager — Documentation Kubernetes : https://cert-manager.io/docs/
Let's Encrypt — Réduction durée de vie 90 jours : https://letsencrypt.org/2025/01/22/shorter-lived-certs/
Apple — Proposition réduction 47 jours CA/B Forum : https://github.com/cabforum/servercert/pull/553
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le 28 février 2026, les États-Unis et Israël lancent les opérations Epic Fury et Roaring Lion contre l'Iran. En quinze jours, le conflit produit l'effondrement délibéré de l'internet iranien à 1-4 % de connectivité pendant plus de 216 heures, le hack de l'application de prière BadeSaba (5 millions d'utilisateurs), le détournement de l'agence IRNA, et la frappe physique des quartiers généraux cyber de l'IRGC à Téhéran.
Côté iranien, plus de 60 groupes hacktivist s'activent dès J+3, dont le groupe pro-russe NoName057(16) qui rejoint la coalition sous le banner #OpIsrael. MuddyWater (MOIS) révèle des backdoors pré-positionnés depuis début février dans une banque américaine, un aéroport et une filiale israélienne d'un éditeur logiciel défense, via deux nouveaux implants : Dindoor et Fakeset. Le 12 mars, Handala revendique un wiper attack contre Stryker, fabricant américain de dispositifs médicaux, qui confirme une perturbation globale de son environnement Microsoft.
Le Koweït, la Jordanie, Bahreïn, les Émirats et le Qatar figurent parmi les cibles secondaires documentées. La France est directement concernée : la FAD Team a exfiltré des données d'établissements français via une campagne d'injection SQL globale.
Cet épisode spécial couvre la chronologie complète jour par jour, le portrait des 15 groupes actifs, les TTPs référencées MITRE ATT&CK, le périmètre géographique et sectoriel, ainsi que les recommandations défensives issues des advisories CISA, FBI, NSA et CCCS.
Sources :
Axios – Iran war, Trump, Israel, AI, cyberattack : https://www.axios.com/2026/03/11/iran-war-trump-israel-ai-cyberattack
SOCRadar – Live Iran-Israel Cyber Conflict Dashboard : https://socradar.io/iran-israel-cyber-conflict-dashboard/
SOCRadar – Blog Operation Epic Fury : https://socradar.io/blog/cyber-reflections-us-israel-iran-war/
CSIS – How Will Cyber Warfare Shape the US-Israel Conflict with Iran : https://www.csis.org/analysis/how-will-cyber-warfare-shape-us-israel-conflict-iran
Centre canadien pour la cybersécurité (CCCS) : https://www.cyber.gc.ca/en/guidance/cyber-threat-bulletin-iranian-cyber-threat-response-usisrael-strikes-february-2026
Palo Alto Networks Unit 42 – Threat Brief March 2026 : https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
Sophos – Cyber Advisory Increased Cyber Risk : https://www.sophos.com/en-us/blog/cyber-advisory-increased-cyber-risk-amid-u-s-israel-iran-escalation
Industrial Cyber – Cyber retaliation surges : https://industrialcyber.co/reports/cyber-retaliation-surges-after-us-israel-strikes-on-iran-as-hacktivists-hit-governments-defense-critical-sectors/
CloudSEK – Middle East Escalation Situation Report : https://www.cloudsek.com/blog/middle-east-escalation-israel-iran-us-cyber-war-2026
Flare.io – Monitoring Cyberattacks US-Israel-Iran Military Conflict : https://flare.io/learn/resources/blog/cyberattacks-us-israel-iran-military-conflict
Flashpoint – Escalation in the Middle East Operation Epic Fury : https://flashpoint.io/blog/escalation-in-the-middle-east-operation-epic-fury/
The Hacker News – MuddyWater Dindoor Backdoor : https://thehackernews.com/2026/03/iran-linked-muddywater-hackers-target.html
ICT – Operation Epic Fury SITREP 10 mars 2026 : https://ict.org.il/operation-epic-fury-sitrep-10-mar-2026/
AttackIQ – Defending Against Iranian Cyber Threats : https://www.attackiq.com/2026/03/05/operation-epic-fury/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Google publie en urgence un patch hors cycle pour Chrome, corrigeant deux Zero-Day activement exploités : un Out-of-Bounds Write dans Skia (CVE-2026-3909) et une faille d'implémentation dans le moteur V8 (CVE-2026-3910), tous deux exploitables à distance via simple visite d'une page malveillante. La CISA ajoute simultanément ces deux CVE à son catalogue KEV, auxquelles s'ajoute une faille d'exécution de code arbitraire dans la plateforme d'automatisation n8n (CVE-2025-68613).
Le CERT-FR publie trois avis ce vendredi : une atteinte à la confidentialité dans Microsoft Office sur Android, iOS et macOS (CVE-2026-26133), une vulnérabilité de nature non précisée dans CPython (CVE-2025-13462), et de multiples failles dans le noyau Linux d'Ubuntu 22.04 LTS et 24.04 LTS.
L'application mobile Quittr, dédiée à la lutte contre la dépendance à la pornographie, a exposé pendant plusieurs mois les données sensibles de plus de 600 000 utilisateurs via une misconfiguration Firebase, dont environ 100 000 profils de mineurs. La brèche avait été signalée dès septembre 2025 sans action corrective.
Enfin, la fondation FIRST publie le bilan de son initiative African Regional Liaison : deux ans de terrain, 1 210 professionnels formés, 33 pays couverts, 70 CSIRTs engagés.
Sources :
CISA – Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/03/13/cisa-adds-two-known-exploited-vulnerabilities-catalog
CISA – Adds One Known Exploited Vulnerability to Catalog : https://www.cisa.gov/news-events/alerts/2026/03/11/cisa-adds-one-known-exploited-vulnerability-catalog
CERT-FR – Vulnérabilité dans Microsoft Office : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0294/
CERT-FR – Vulnérabilité dans Python : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0285/
CERT-FR – Multiples vulnérabilités dans le noyau Linux d'Ubuntu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0289/
01net – Quittr : fuite de données via misconfiguration Firebase : https://www.01net.com/actualites/cette-application-anti-porno-a-laisse-fuiter-les-secrets-inavouables-de-ses-utilisateurs.html
Malwarebytes – Google patches two Chrome zero-days under active attack : https://www.malwarebytes.com/blog/news/2026/03/google-patches-two-chrome-zero-days-under-active-attack-update-now
FIRST – The Trust Builders: FIRST's African Liaisons : https://www.first.org/blog/20260311-Trust-Builders
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com