RadioCSIRT - Edition Française

Nous ouvrons cette édition avec une alerte critique concernant l’exploitation active d’un Zero-Day Microsoft Office, référencé CVE-2026-21509. Selon CERT-UA, le groupe russe APT28, également connu sous le nom Fancy Bear, a intégré cette vulnérabilité dans des campagnes de phishing ciblant des administrations ukrainiennes et plusieurs organisations au sein de l’Union européenne, avec une chaîne d’infection reposant sur WebDAV, COM hijacking et le framework post-exploitation COVENANT.
L’actualité se poursuit avec Mozilla, qui annonce un changement stratégique dans Firefox. À partir de la version 148, les utilisateurs disposeront d’un contrôle centralisé permettant de bloquer ou de gérer finement l’ensemble des fonctionnalités reposant sur la Generative AI, incluant la traduction, les résumés de liens et l’accès aux chatbots intégrés.
Sur le volet correctif, VMware publie le bulletin de sécurité AV26-075, couvrant de multiples vulnérabilités affectant l’écosystème Tanzu, incluant Platform Services, Buildpacks, Stemcells Linux et Windows, ainsi que Tanzu Hub, dans des environnements cloud-native à grande échelle.
Une activité de reconnaissance automatisée est également observée par le SANS Internet Storm Center, avec des scans ciblant des endpoints exposés de l’API Anthropic, suggérant des tentatives d’identification de modèles AI auto-hébergés accessibles publiquement.
Enfin, un incident majeur touche la supply chain logicielle : le mécanisme officiel de mise à jour de Notepad++ a été détourné via une compromission de l’infrastructure d’hébergement. L’opération, attribuée à l’acteur étatique chinois Violet Typhoon (APT31), a permis la distribution ciblée de malwares à des organisations des secteurs télécoms et financiers en Asie de l’Est.
Sources
The Register – APT28 Microsoft Office Zero-Day :https://www.theregister.com/2026/02/02/russialinked_apt28_microsoft_office_bug/
BleepingComputer – Firefox AI controls :https://www.bleepingcomputer.com/news/software/mozilla-will-let-you-turn-off-all-firefox-ai-features/
Centre pour la cybersécurité du Canada – Bulletin VMware AV26-075 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-vmware-av26-075
SANS Internet Storm Center – Anthropic API scanning : https://isc.sans.edu/diary/rss/32674
The Hacker News – Notepad++ update mechanism hijacked :https://thehackernews.com/2026/02/notepad-official-update-mechanism.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec plusieurs avis publiés par le CERT-FR concernant des vulnérabilités affectant des composants largement déployés en environnement professionnel. Splunk Enterprise est concerné par une faille référencée CVE-2025-14847 impactant plusieurs branches majeures, tandis que Node.js est affecté par des vulnérabilités liées à l’intégration d’OpenSSL sur les versions v20 à v25. Une alerte distincte vise également Qnap QTS, avec un risque de contournement de la politique de sécurité sur un large périmètre de versions.
L’analyse de la menace informationnelle se poursuit avec le dernier bulletin du Threat Analysis Group de Google. Le rapport Q4 2025 détaille le démantèlement de vastes opérations d’influence coordonnées impliquant plusieurs milliers de YouTube channels, des domaines et des comptes publicitaires, attribués notamment à des acteurs russes, chinois et indonésiens, ciblant des narratifs géopolitiques à l’échelle mondiale.
Sur le volet cybercriminel, Mandiant documente des attaques de data theft menées par le groupe d’extorsion ShinyHunters. Ces campagnes reposent sur des opérations de voice phishing ciblées, l’abus du Single Sign-On et la compromission de mécanismes MFA, permettant un accès massif aux environnements SaaS et aux données cloud.
Enfin, une campagne de cyber espionnage attribuée à un acteur iranien, suivie sous le nom RedKitten, cible des ONG et des militants des droits humains via des documents Excel piégés, des implants modulaires et une infrastructure de command-and-control reposant sur GitHub, Google Drive et Telegram, avec des indices d’usage de large language models dans la génération des outils malveillants.
Sources
Google Threat Analysis Group – TAG Bulletin Q4 2025 : https://blog.google/threat-analysis-group/tag-bulletin-q4-2025/
CERT-FR – Splunk Enterprise : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0102/
CERT-FR – Node.js : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0103/
CERT-FR – Qnap QTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0104/
BleepingComputer – ShinyHunters SSO abuse : https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/
The Hacker News – RedKitten campaign : https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la stratégie numérique française rapportée par Clubic. Une réunion à Bercy a confirmé l'identification de soixante-trois sites destinés à accueillir de nouveaux Data Centers, renforçant la souveraineté Cloud et IA nationale. Sur le front judiciaire, The Record signale un coup majeur contre le piratage : le département de la justice américain a saisi trois domaines majeurs opérés depuis la Bulgarie, neutralisant une source massive de contenus illégaux.
L'analyse de la menace se tourne vers les Jeux Olympiques d'hiver 2026. Unit 42 anticipe des opérations de sabotage ciblées sur les infrastructures critiques de la part d'acteurs étatiques russes, marquant un basculement vers la disruption physique. Côté vulnérabilités, une alerte critique concerne la plateforme Grafana avec la CVE-2026-21720, une faille de type Denial of Service affectant la gestion des avatars et nécessitant une mitigation immédiate.
Nous terminons avec une technique de Phishing ingénieuse repérée par le SANS Internet Storm Center : des attaquants abusent de la fonction de publication publique de Google Slides pour masquer les avertissements de sécurité et déployer des pages de Login frauduleuses.
Sources 
Clubic – Data Centers France : https://www.clubic.com/actualite-598390-data-centers-ce-que-revele-la-premiere-reunion-a-bercy-sur-les-projets-en-cours-et-a-venir-en-france.html
The Record – Saisie domaines pirates : https://therecord.media/bulgaria-piracy-sites-streaming-gaming-seized-us
Unit 42 – Menace JO 2026 : https://unit42.paloaltonetworks.com/russian-cyberthreat-2026-winter-olympics/
CERT Santé – Grafana CVE-2026-21720 : https://cyberveille.esante.gouv.fr/alertes/grafana-cve-2026-21720-2026-01-29
SANS ISC – Google Slides Phishing : https://isc.sans.edu/diary/rss/32668
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une avancée technique majeure du côté de Linux. Le Linux Journal détaille l'implémentation du Linux Kernel Runtime Guard (LKRG), une nouvelle couche de protection surveillant l'intégrité du noyau en temps réel pour bloquer les modifications non autorisées. En matière de gestion des vulnérabilités, la CISA a mis à jour ce 29 janvier son catalogue des failles exploitées (KEV). L'ajout d'une nouvelle vulnérabilité activement utilisée impose une obligation de correction immédiate pour les agences fédérales américaines.
Une alerte critique touche également les infrastructures réseau utilisant WatchGuard. L'éditeur a publié l'avis WGSA-2026-00001 signalant une faille sévère sur ses appliances, nécessitant une mise à jour urgente des firmwares. Sur le plan de la menace, le groupe UAT-8099, lié à la Chine, cible spécifiquement les serveurs Microsoft IIS en y implantant des extensions malveillantes pour assurer leur persistance.
Nous terminons avec l'aspect juridique et la menace interne rapportés par Help Net Security : un ancien ingénieur de Google est poursuivi pour espionnage industriel après avoir exfiltré des secrets commerciaux, rappelant l'importance critique de la surveillance des accès privilégiés.
Sources
Linux Journal – Analyse LKRG : https://www.linuxjournal.com/content/inside-linux-kernel-runtime-guard-lkrg-new-layer-kernel-integrity-protection
CISA – Mise à jour KEV : https://www.cisa.gov/news-events/alerts/2026/01/29/cisa-adds-one-known-exploited-vulnerability-catalog
WatchGuard – Avis WGSA-2026-00001 : https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2026-00001
The Hacker News – Campagne UAT-8099 : https://thehackernews.com/2026/01/china-linked-uat-8099-targets-iis.html
Help Net Security – Espionnage Google : https://www.helpnetsecurity.com/2026/01/30/ex-google-engineer-espionage/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une double actualité pour l'écosystème Mozilla. D'une part, l'éditeur propose désormais des paquets RPM natifs pour Firefox, facilitant l'intégration sur les distributions de type Fedora et Red Hat. 

D'autre part, le CERT-FR a publié l'avis CERTFR-2026-AVI-0095 signalant de multiples vulnérabilités dans Firefox et Thunderbird, pouvant mener à des contournements de politique de sécurité.

Une vague de correctifs critiques touche l'infrastructure et les bibliothèques cryptographiques. Le CERT-FR a émis l'avis CERTFR-2026-AVI-0096 concernant OpenSSL. Des failles affectant les branches 1.0.2 à 3.6 permettent l'exécution de code arbitraire et le déni de service. 

En parallèle, HPE Aruba Networking (AVI-0094) et Tenable Network Monitor (AVI-0093) font l'objet d'alertes pour des risques similaires d'exécution de code à distance et d'atteinte à la confidentialité. Google a également corrigé une faille non spécifiée dans Chrome (AVI-0092).

Nous terminons avec l'incident de sécurité opérationnelle révélé par Ars Technica : le directeur par intérim de la CISA a involontairement exfiltré des documents classifiés en utilisant une instance standard de ChatGPT, soulevant la question de la gestion du "Shadow AI" au niveau gouvernemental.

Sources

Linux Journal – Firefox RPM : https://www.linuxjournal.com/content/official-firefox-rpm-package-now-available-fedora-style-linux-distributions
CERT-FR – Avis OpenSSL : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0096/
CERT-FR – Avis Mozilla : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0095/
CERT-FR – Avis HPE Aruba : http://cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0094/
CERT-FR – Avis Tenable : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0093/
CERT-FR – Avis Google Chrome : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0092/
Ars Technica – CISA AI Leak : https://arstechnica.com/tech-policy/2026/01/us-cyber-defense-chief-accidentally-uploaded-secret-government-info-to-chatgpt/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com