RadioCSIRT - Edition Française

Nous ouvrons cette édition avec une analyse du National Cyber Security Centre consacrée au Cloud Security Posture Management. Le NCSC revient sur le rôle des outils CSPM dans la sécurisation des environnements cloud complexes, marqués par la multiplication des workspaces, des services et des régions. Le rapport détaille les capacités attendues en matière de visibilité des ressources, de détection des misconfigurations, de priorisation des risques et de remédiation, tout en rappelant que le CSPM n’est pas une solution miracle mais un composant d’un écosystème de sécurité cloud plus large.
L’actualité se poursuit avec la publication par le CERT-FR du rapport CERTFR-2026-CTI-001 sur l’utilisation de l’intelligence artificielle générative dans les attaques informatiques. Le document décrit comment les modèles d’IA générative sont exploités à différentes étapes de la kill chain, notamment pour l’ingénierie sociale, le développement de malware ou le profiling de cibles. Le CERT-FR souligne également que ces technologies deviennent elles-mêmes des cibles, exposées à des attaques de model poisoning, de compromission de supply chain et d’exfiltration de données.
Côté vulnérabilités, le CERT-FR publie deux avis distincts. Le premier concerne une vulnérabilité d’élévation de privilèges affectant les terminaux Google Pixel ne disposant pas du correctif de sécurité de février 2026, référencée CVE-2026-0106. Le second alerte sur de multiples vulnérabilités dans Google Chrome, affectant les versions antérieures à 144.0.7559.132 pour Linux et 144.0.7559.132 ou .133 pour Windows et macOS, avec les CVE-2026-1861 et CVE-2026-1862.
Au niveau international, la CISA annonce l’ajout de quatre vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities. Sont concernées des failles dans Sangoma FreePBX, GitLab, et SolarWinds Web Help Desk, confirmant leur exploitation dans des attaques en conditions réelles.
Enfin, Microsoft dévoile un scanner capable de détecter des backdoors dans des open-weight Large Language Models. L’outil repose sur l’analyse de signaux comportementaux spécifiques liés aux triggers, à la mémorisation des données d’empoisonnement et aux fuzzy triggers, et vise à renforcer la détection du model poisoning dans les environnements IA.
Sources
NCSC – CSPM et sécurité cloud : https://www.ncsc.gov.uk/blog-post/cspm-silver-bullet-or-another-piece-in-the-cloud-puzzle
CERT-FR – IA générative et attaques informatiques (CERTFR-2026-CTI-001) : https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-001/ 
CERT-FR – Vulnérabilité Google Pixel (CERTFR-2026-AVI-0113) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0113/
CERT-FR – Vulnérabilités Google Chrome (CERTFR-2026-AVI-0114) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0114/
CISA – Ajout de vulnérabilités exploitées au catalogue KEV : https://www.cisa.gov/news-events/alerts/2026/02/03/cisa-adds-four-known-exploited-vulnerabilities-catalog
The Hacker News – Scanner Microsoft pour backdoors dans les LLM : https://thehackernews.com/2026/02/microsoft-develops-scanner-to-detect.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une alerte concernant la distribution du malware bancaire Anatsa via le Google Play Store. L'application malveillante "Document Reader - File Manager", publiée par le développeur ISTOQMAH, a été téléchargée plus de 50 000 fois avant son retrait. Le malware, également connu sous les noms TeaBot et Toddler, cible plus de 831 institutions financières mondiales via des techniques d'overlay et d'interception des codes d'authentification à deux facteurs. La campagne utilise une méthode de déploiement en deux temps, avec une application initialement légitime recevant une mise à jour malveillante environ six semaines après publication.
L'actualité se poursuit avec le Centre canadien pour la cybersécurité, qui publie le bulletin AV26-078 concernant des vulnérabilités dans Kubernetes ingress-nginx. Les versions affectées sont les versions antérieures à v1.13.7 et les versions antérieures à v1.14.3. Les utilisateurs et administrateurs sont invités à consulter l'avis de sécurité Kubernetes et à appliquer les mises à jour nécessaires.
Enfin sur  le volet de la protection des données, l'Electronic Frontier Foundation lance la campagne "Encrypt It Already" pour encourager l'adoption du chiffrement de bout en bout. Les demandes incluent l'extension du chiffrement aux messages de groupe sur Facebook Messenger, l'implémentation du chiffrement interopérable RCS entre Apple et Google, l'activation par défaut du chiffrement sur Telegram, le chiffrement des sauvegardes WhatsApp et Google Authenticator, ainsi que des permissions par application pour contrôler l'accès des systèmes d'intelligence artificielle aux applications de messagerie sécurisée.
Sources
Zscaler ThreatLabz – Anatsa malware Google Play : https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google
Centre canadien pour la cybersécurité – Bulletin Kubernetes AV26-078 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-kubernetes-av26-078
Electronic Frontier Foundation – Campagne Encrypt It Already : https://www.encryptitalready.org/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une alerte critique concernant l’exploitation active d’un Zero-Day Microsoft Office, référencé CVE-2026-21509. Selon CERT-UA, le groupe russe APT28, également connu sous le nom Fancy Bear, a intégré cette vulnérabilité dans des campagnes de phishing ciblant des administrations ukrainiennes et plusieurs organisations au sein de l’Union européenne, avec une chaîne d’infection reposant sur WebDAV, COM hijacking et le framework post-exploitation COVENANT.
L’actualité se poursuit avec Mozilla, qui annonce un changement stratégique dans Firefox. À partir de la version 148, les utilisateurs disposeront d’un contrôle centralisé permettant de bloquer ou de gérer finement l’ensemble des fonctionnalités reposant sur la Generative AI, incluant la traduction, les résumés de liens et l’accès aux chatbots intégrés.
Sur le volet correctif, VMware publie le bulletin de sécurité AV26-075, couvrant de multiples vulnérabilités affectant l’écosystème Tanzu, incluant Platform Services, Buildpacks, Stemcells Linux et Windows, ainsi que Tanzu Hub, dans des environnements cloud-native à grande échelle.
Une activité de reconnaissance automatisée est également observée par le SANS Internet Storm Center, avec des scans ciblant des endpoints exposés de l’API Anthropic, suggérant des tentatives d’identification de modèles AI auto-hébergés accessibles publiquement.
Enfin, un incident majeur touche la supply chain logicielle : le mécanisme officiel de mise à jour de Notepad++ a été détourné via une compromission de l’infrastructure d’hébergement. L’opération, attribuée à l’acteur étatique chinois Violet Typhoon (APT31), a permis la distribution ciblée de malwares à des organisations des secteurs télécoms et financiers en Asie de l’Est.
Sources
The Register – APT28 Microsoft Office Zero-Day :https://www.theregister.com/2026/02/02/russialinked_apt28_microsoft_office_bug/
BleepingComputer – Firefox AI controls :https://www.bleepingcomputer.com/news/software/mozilla-will-let-you-turn-off-all-firefox-ai-features/
Centre pour la cybersécurité du Canada – Bulletin VMware AV26-075 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-vmware-av26-075
SANS Internet Storm Center – Anthropic API scanning : https://isc.sans.edu/diary/rss/32674
The Hacker News – Notepad++ update mechanism hijacked :https://thehackernews.com/2026/02/notepad-official-update-mechanism.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec plusieurs avis publiés par le CERT-FR concernant des vulnérabilités affectant des composants largement déployés en environnement professionnel. Splunk Enterprise est concerné par une faille référencée CVE-2025-14847 impactant plusieurs branches majeures, tandis que Node.js est affecté par des vulnérabilités liées à l’intégration d’OpenSSL sur les versions v20 à v25. Une alerte distincte vise également Qnap QTS, avec un risque de contournement de la politique de sécurité sur un large périmètre de versions.
L’analyse de la menace informationnelle se poursuit avec le dernier bulletin du Threat Analysis Group de Google. Le rapport Q4 2025 détaille le démantèlement de vastes opérations d’influence coordonnées impliquant plusieurs milliers de YouTube channels, des domaines et des comptes publicitaires, attribués notamment à des acteurs russes, chinois et indonésiens, ciblant des narratifs géopolitiques à l’échelle mondiale.
Sur le volet cybercriminel, Mandiant documente des attaques de data theft menées par le groupe d’extorsion ShinyHunters. Ces campagnes reposent sur des opérations de voice phishing ciblées, l’abus du Single Sign-On et la compromission de mécanismes MFA, permettant un accès massif aux environnements SaaS et aux données cloud.
Enfin, une campagne de cyber espionnage attribuée à un acteur iranien, suivie sous le nom RedKitten, cible des ONG et des militants des droits humains via des documents Excel piégés, des implants modulaires et une infrastructure de command-and-control reposant sur GitHub, Google Drive et Telegram, avec des indices d’usage de large language models dans la génération des outils malveillants.
Sources
Google Threat Analysis Group – TAG Bulletin Q4 2025 : https://blog.google/threat-analysis-group/tag-bulletin-q4-2025/
CERT-FR – Splunk Enterprise : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0102/
CERT-FR – Node.js : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0103/
CERT-FR – Qnap QTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0104/
BleepingComputer – ShinyHunters SSO abuse : https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/
The Hacker News – RedKitten campaign : https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la stratégie numérique française rapportée par Clubic. Une réunion à Bercy a confirmé l'identification de soixante-trois sites destinés à accueillir de nouveaux Data Centers, renforçant la souveraineté Cloud et IA nationale. Sur le front judiciaire, The Record signale un coup majeur contre le piratage : le département de la justice américain a saisi trois domaines majeurs opérés depuis la Bulgarie, neutralisant une source massive de contenus illégaux.
L'analyse de la menace se tourne vers les Jeux Olympiques d'hiver 2026. Unit 42 anticipe des opérations de sabotage ciblées sur les infrastructures critiques de la part d'acteurs étatiques russes, marquant un basculement vers la disruption physique. Côté vulnérabilités, une alerte critique concerne la plateforme Grafana avec la CVE-2026-21720, une faille de type Denial of Service affectant la gestion des avatars et nécessitant une mitigation immédiate.
Nous terminons avec une technique de Phishing ingénieuse repérée par le SANS Internet Storm Center : des attaquants abusent de la fonction de publication publique de Google Slides pour masquer les avertissements de sécurité et déployer des pages de Login frauduleuses.
Sources 
Clubic – Data Centers France : https://www.clubic.com/actualite-598390-data-centers-ce-que-revele-la-premiere-reunion-a-bercy-sur-les-projets-en-cours-et-a-venir-en-france.html
The Record – Saisie domaines pirates : https://therecord.media/bulgaria-piracy-sites-streaming-gaming-seized-us
Unit 42 – Menace JO 2026 : https://unit42.paloaltonetworks.com/russian-cyberthreat-2026-winter-olympics/
CERT Santé – Grafana CVE-2026-21720 : https://cyberveille.esante.gouv.fr/alertes/grafana-cve-2026-21720-2026-01-29
SANS ISC – Google Slides Phishing : https://isc.sans.edu/diary/rss/32668
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com