RadioCSIRT - Edition Française

Nous ouvrons cette édition avec plusieurs avis publiés par le CERT-FR concernant des vulnérabilités affectant des composants largement déployés en environnement professionnel. Splunk Enterprise est concerné par une faille référencée CVE-2025-14847 impactant plusieurs branches majeures, tandis que Node.js est affecté par des vulnérabilités liées à l’intégration d’OpenSSL sur les versions v20 à v25. Une alerte distincte vise également Qnap QTS, avec un risque de contournement de la politique de sécurité sur un large périmètre de versions.
L’analyse de la menace informationnelle se poursuit avec le dernier bulletin du Threat Analysis Group de Google. Le rapport Q4 2025 détaille le démantèlement de vastes opérations d’influence coordonnées impliquant plusieurs milliers de YouTube channels, des domaines et des comptes publicitaires, attribués notamment à des acteurs russes, chinois et indonésiens, ciblant des narratifs géopolitiques à l’échelle mondiale.
Sur le volet cybercriminel, Mandiant documente des attaques de data theft menées par le groupe d’extorsion ShinyHunters. Ces campagnes reposent sur des opérations de voice phishing ciblées, l’abus du Single Sign-On et la compromission de mécanismes MFA, permettant un accès massif aux environnements SaaS et aux données cloud.
Enfin, une campagne de cyber espionnage attribuée à un acteur iranien, suivie sous le nom RedKitten, cible des ONG et des militants des droits humains via des documents Excel piégés, des implants modulaires et une infrastructure de command-and-control reposant sur GitHub, Google Drive et Telegram, avec des indices d’usage de large language models dans la génération des outils malveillants.
Sources
Google Threat Analysis Group – TAG Bulletin Q4 2025 : https://blog.google/threat-analysis-group/tag-bulletin-q4-2025/
CERT-FR – Splunk Enterprise : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0102/
CERT-FR – Node.js : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0103/
CERT-FR – Qnap QTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0104/
BleepingComputer – ShinyHunters SSO abuse : https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/
The Hacker News – RedKitten campaign : https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la stratégie numérique française rapportée par Clubic. Une réunion à Bercy a confirmé l'identification de soixante-trois sites destinés à accueillir de nouveaux Data Centers, renforçant la souveraineté Cloud et IA nationale. Sur le front judiciaire, The Record signale un coup majeur contre le piratage : le département de la justice américain a saisi trois domaines majeurs opérés depuis la Bulgarie, neutralisant une source massive de contenus illégaux.
L'analyse de la menace se tourne vers les Jeux Olympiques d'hiver 2026. Unit 42 anticipe des opérations de sabotage ciblées sur les infrastructures critiques de la part d'acteurs étatiques russes, marquant un basculement vers la disruption physique. Côté vulnérabilités, une alerte critique concerne la plateforme Grafana avec la CVE-2026-21720, une faille de type Denial of Service affectant la gestion des avatars et nécessitant une mitigation immédiate.
Nous terminons avec une technique de Phishing ingénieuse repérée par le SANS Internet Storm Center : des attaquants abusent de la fonction de publication publique de Google Slides pour masquer les avertissements de sécurité et déployer des pages de Login frauduleuses.
Sources 
Clubic – Data Centers France : https://www.clubic.com/actualite-598390-data-centers-ce-que-revele-la-premiere-reunion-a-bercy-sur-les-projets-en-cours-et-a-venir-en-france.html
The Record – Saisie domaines pirates : https://therecord.media/bulgaria-piracy-sites-streaming-gaming-seized-us
Unit 42 – Menace JO 2026 : https://unit42.paloaltonetworks.com/russian-cyberthreat-2026-winter-olympics/
CERT Santé – Grafana CVE-2026-21720 : https://cyberveille.esante.gouv.fr/alertes/grafana-cve-2026-21720-2026-01-29
SANS ISC – Google Slides Phishing : https://isc.sans.edu/diary/rss/32668
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une avancée technique majeure du côté de Linux. Le Linux Journal détaille l'implémentation du Linux Kernel Runtime Guard (LKRG), une nouvelle couche de protection surveillant l'intégrité du noyau en temps réel pour bloquer les modifications non autorisées. En matière de gestion des vulnérabilités, la CISA a mis à jour ce 29 janvier son catalogue des failles exploitées (KEV). L'ajout d'une nouvelle vulnérabilité activement utilisée impose une obligation de correction immédiate pour les agences fédérales américaines.
Une alerte critique touche également les infrastructures réseau utilisant WatchGuard. L'éditeur a publié l'avis WGSA-2026-00001 signalant une faille sévère sur ses appliances, nécessitant une mise à jour urgente des firmwares. Sur le plan de la menace, le groupe UAT-8099, lié à la Chine, cible spécifiquement les serveurs Microsoft IIS en y implantant des extensions malveillantes pour assurer leur persistance.
Nous terminons avec l'aspect juridique et la menace interne rapportés par Help Net Security : un ancien ingénieur de Google est poursuivi pour espionnage industriel après avoir exfiltré des secrets commerciaux, rappelant l'importance critique de la surveillance des accès privilégiés.
Sources
Linux Journal – Analyse LKRG : https://www.linuxjournal.com/content/inside-linux-kernel-runtime-guard-lkrg-new-layer-kernel-integrity-protection
CISA – Mise à jour KEV : https://www.cisa.gov/news-events/alerts/2026/01/29/cisa-adds-one-known-exploited-vulnerability-catalog
WatchGuard – Avis WGSA-2026-00001 : https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2026-00001
The Hacker News – Campagne UAT-8099 : https://thehackernews.com/2026/01/china-linked-uat-8099-targets-iis.html
Help Net Security – Espionnage Google : https://www.helpnetsecurity.com/2026/01/30/ex-google-engineer-espionage/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une double actualité pour l'écosystème Mozilla. D'une part, l'éditeur propose désormais des paquets RPM natifs pour Firefox, facilitant l'intégration sur les distributions de type Fedora et Red Hat. 

D'autre part, le CERT-FR a publié l'avis CERTFR-2026-AVI-0095 signalant de multiples vulnérabilités dans Firefox et Thunderbird, pouvant mener à des contournements de politique de sécurité.

Une vague de correctifs critiques touche l'infrastructure et les bibliothèques cryptographiques. Le CERT-FR a émis l'avis CERTFR-2026-AVI-0096 concernant OpenSSL. Des failles affectant les branches 1.0.2 à 3.6 permettent l'exécution de code arbitraire et le déni de service. 

En parallèle, HPE Aruba Networking (AVI-0094) et Tenable Network Monitor (AVI-0093) font l'objet d'alertes pour des risques similaires d'exécution de code à distance et d'atteinte à la confidentialité. Google a également corrigé une faille non spécifiée dans Chrome (AVI-0092).

Nous terminons avec l'incident de sécurité opérationnelle révélé par Ars Technica : le directeur par intérim de la CISA a involontairement exfiltré des documents classifiés en utilisant une instance standard de ChatGPT, soulevant la question de la gestion du "Shadow AI" au niveau gouvernemental.

Sources

Linux Journal – Firefox RPM : https://www.linuxjournal.com/content/official-firefox-rpm-package-now-available-fedora-style-linux-distributions
CERT-FR – Avis OpenSSL : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0096/
CERT-FR – Avis Mozilla : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0095/
CERT-FR – Avis HPE Aruba : http://cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0094/
CERT-FR – Avis Tenable : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0093/
CERT-FR – Avis Google Chrome : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0092/
Ars Technica – CISA AI Leak : https://arstechnica.com/tech-policy/2026/01/us-cyber-defense-chief-accidentally-uploaded-secret-government-info-to-chatgpt/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com

Nous revenons dans cet épisode sur le déploiement par la France de sa plateforme de visioconférence souveraine Visio dans l'ensemble des services gouvernementaux d'ici 2027. Cette initiative remplace Microsoft Teams et Zoom au sein de l'administration publique française et s'inscrit dans le plan Suite Numérique visant à garantir la souveraineté numérique. La plateforme Visio intègre des fonctionnalités d'intelligence artificielle développées par Pyannote et est hébergée sur l'infrastructure cloud souveraine Outscale de Dassault Systèmes.
La CISA a ajouté le 27 janvier 2026 la CVE-2026-24858 à son catalogue KEV. Cette vulnérabilité de contournement d'authentification affecte plusieurs produits Fortinet incluant FortiAnalyzer, FortiManager, FortiOS et FortiProxy. L'exploitation permet à un attaquant disposant d'un compte FortiCloud et d'un appareil enregistré de se connecter à d'autres appareils enregistrés sur d'autres comptes lorsque l'authentification SSO FortiCloud est activée. Les organisations doivent suivre les directives de Fortinet pour évaluer leur exposition et appliquer les correctifs disponibles.
Le CERT-FR a publié l'avis CERTFR-2026-AVI-0088 concernant la CVE-2026-21968 dans MariaDB. Cette vulnérabilité permet un déni de service à distance et affecte les versions 10.11.x antérieures à 10.11.16, 11.4.x antérieures à 11.4.10, 11.8.x antérieures à 11.8.6 et 12.2.x antérieures à 12.2.2. Les administrateurs doivent appliquer les correctifs fournis par MariaDB dans le bulletin de sécurité du 26 janvier 2026.
Nous terminons avec SolarWinds qui a publié un avis de sécurité concernant six vulnérabilités dans Web Help Desk dont quatre critiques. Les CVE-2025-40551 et CVE-2025-40553 permettent l'exécution de code à distance non authentifiée via désérialisation de données. Les CVE-2025-40552 et CVE-2025-40554 constituent des contournements d'authentification avec un impact équivalent. Les versions 12.8.8 Hotfix 1 et antérieures sont affectées. La mise à jour vers Web Help Desk 2026.1 corrige l'ensemble de ces vulnérabilités.
Sources
Euronews – France Visio souverain : https://www.euronews.com/next/2026/01/27/france-to-ditch-us-platforms-microsoft-teams-zoom-for-sovereign-platform-amid-security-con
CISA – CVE-2026-24858 Fortinet KEV : https://www.cisa.gov/news-events/alerts/2026/01/27/cisa-adds-one-known-exploited-vulnerability-catalog
CERT-FR – Avis MariaDB : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0088/
BleepingComputer – SolarWinds Web Help Desk : https://www.bleepingcomputer.com/news/security/solarwinds-warns-of-critical-web-help-desk-rce-auth-bypass-flaws/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com