RadioCSIRT - Edition Française

Le CERT-FR publie le 31 mars 2026 un bulletin d'alerte concernant la CVE-2025-53521, une vulnérabilité de Remote Code Execution affectant F5 BIG-IP Access Policy Manager dans les branches 15.1.x, 16.1.x, 17.1.x et 17.5.x. Initialement divulguée par F5 en octobre 2025, la faille permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. Son exploitation active est confirmée depuis le 29 mars 2026. F5 documente plusieurs indicateurs de compromission : présence de fichiers suspects dans /run/, modification des binaires /usr/bin/umount et /usr/sbin/httpd, ainsi que des entrées spécifiques dans les journaux restjavad-audit et auditd révélant des appels iControl REST via l'utilisateur local f5hubblelcdadmin avec tentatives de désactivation de SELinux.
Le NCSC britannique publie, conjointement avec des partenaires internationaux, une alerte relative au ciblage d'applications de messagerie par des acteurs affiliés à la Russie. Les individus à haut risque  responsables gouvernementaux, personnels disposant d'accès à des informations sensibles sont visés par des techniques incluant le vol de codes de vérification, l'ajout de dispositifs liés à l'insu de la victime, l'infiltration silencieuse de groupes de discussion, l'usurpation d'identité et le Phishing par QR code. Le NCSC rappelle avoir précédemment documenté des opérations similaires attribuées à APT31, à Star Blizzard du FSB russe et à l'IRGC iranien. Google et Microsoft ont publié des analyses complémentaires sur le ciblage actif de Signal par plusieurs acteurs alignés sur la Russie.
OVHcloud annonce au Forum InCyber 2026 de Lille le lancement d'une offre cloud dédiée aux armées et organismes gouvernementaux européens. L'infrastructure, hébergée exclusivement en Europe et soumise au droit européen, vise à soustraire les données militaires sensibles au Cloud Act américain, qui autorise les autorités des États-Unis à accéder aux données hébergées par des entreprises américaines quel que soit le lieu physique des serveurs. L'offre intégrera des capacités d'intelligence artificielle pour l'analyse de données opérationnelles et la détection de cybermenaces, et ciblera les niveaux de classification les plus élevés, incluant les dispositifs de type secret défense.
Selon Palo Alto Networks Unit 42, une faille de conception affecte la plateforme Vertex AI de Google Cloud. Le service agent associé aux agents déployés via l'Agent Development Kit — le P4SA — dispose par défaut de permissions excessives. Tout appel à un agent Vertex AI déclenche une requête vers le service de métadonnées Google, exposant les credentials du service agent ainsi que l'identité et les scopes de la machine hôte.
Une mise à jour logicielle défectueuse déployée le 12 mars 2026 à 03h28 par Lloyds Banking Group a exposé les données transactionnelles de 447 936 utilisateurs de l'application mobile des enseignes Lloyds, Halifax et Bank of Scotland. La faille, corrigée à 08h08 le même jour, provoquait l'affichage des transactions d'autres clients lors d'accès simultanés à l'application. Sources :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-004/
https://www.ncsc.gov.uk/news/ncsc-warns-of-messaging-app-targeting
https://www.clubic.com/actualite-607108-ovhcloud-veut-cibler-les-armees-europeennes-avec-une-offre-cloud-souveraine-inedite.html
https://thehackernews.com/2026/03/vertex-ai-vulnerability-exposes-google.html
https://securityaffairs.com/190213/data-breach/nearly-half-a-million-mobile-customers-of-lloyds-banking-group-affected-by-a-security-incident.html
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

La CISA ajoute le 30 mars 2026 la CVE-2026-3055 à son catalogue Known Exploited Vulnerabilities. La faille, de type Out-of-Bounds Read, affecte Citrix NetScaler et fait l'objet d'une exploitation active confirmée. Les agences fédérales civiles américaines sont soumises à une obligation de remédiation dans les délais fixés par la Binding Operational Directive 22-01.
Selon ANY.RUN, une campagne Magecart active depuis au moins vingt-quatre mois cible des sites e-commerce WooCommerce, avec une concentration notable en Espagne, en France et aux États-Unis. Les attaquants déploient un framework de checkout hijacking en plusieurs étapes : un Loader JavaScript obfusqué injecté dans le site compromis charge dynamiquement un payload principal via une infrastructure de plus de cent domaines avec mécanisme de fallback. L'exfiltration des données de carte — numéro complet, date d'expiration, CVV — s'effectue via WebSocket vers un serveur C2 déguisé en domaine Redsys, contournant les outils de surveillance HTTP traditionnels. Le même payload distribue également un APK Android malveillant via ingénierie sociale.
Selon Synthient Research, le botnet proxy Socks5Systemz, actif depuis 2013 et précédemment commercialisé sous la bannière PROXY[.]AM, opère désormais sous le nom ProxyBox après le sinkholing de son infrastructure en 2024. Le service maintient entre 32 000 et 35 000 adresses IP actives quotidiennement, concentrées en Russie, au Brésil et en Inde. La chaîne d'infection repose sur des sites de logiciels piratés distribuant un Loader en plusieurs étapes : auto-écrasement en mémoire, extraction d'une DLL chiffrée en RC4 depuis la section ressource, et persistance via service Windows ou clé de registre. La communication C2 utilise un User-Agent MSIE 9.0 falsifié et alterne HTTPS et HTTP avec mécanisme de fallback.
Sources :
https://www.cisa.gov/news-events/alerts/2026/03/30/cisa-adds-one-known-exploited-vulnerability-catalog
https://any.run/cybersecurity-blog/banks-magecart-campaign/
https://synthient.com/blog/proxybox-socks5systemz-lives-on
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

Selon le bulletin de sécurité Docker publié le 30 mars 2026, une vulnérabilité de type Server-Side Request Forgery, référencée CVE-2026-33990, affecte Docker Desktop dans toutes les versions antérieures à la 4.67.0. La faille permet à un attaquant de forger des requêtes côté serveur, ouvrant potentiellement l'accès à des ressources internes normalement non exposées. Le CERT-FR a relayé cet avis le jour même. La version 4.67.0 de Docker Desktop intègre le correctif associé.
Le projet Tails a publié le 26 mars 2026 la version 7.6 de son système d'exploitation orienté anonymat. La mise à jour introduit une fonctionnalité de bridges Tor automatiques directement intégrée à l'assistant de connexion : en cas de blocage du réseau Tor, le système interroge l'API Moat du Tor Project pour obtenir un bridge adapté à la région de l'utilisateur, en utilisant du domain fronting pour contourner la censure. Le gestionnaire de mots de passe KeePassXC est remplacé par GNOME Secrets, compatible avec le format de base existant. Les mises à jour embarquent également Tor Browser 15.0.8 et Thunderbird 140.8.0.
Le CERT-UA a documenté fin mars 2026 une campagne d'ingénierie sociale conduite par le groupe UAC-0255, identifié sous le nom Cyber Serp. Des e-mails usurpant l'identité du CERT-UA invitaient les destinataires à télécharger depuis Files.fm un archive protégé par mot de passe contenant un outil présenté comme un logiciel de protection. Le payload déployé, un RAT développé en Go classifié AGEWHEEZE, communique via WebSockets avec son serveur C2 hébergé chez OVH sur le port 8443/tcp. Il supporte le contrôle d'écran, l'émulation clavier/souris, la gestion de fichiers et de processus, ainsi que la persistance via registre et tâches planifiées. Un site frauduleux cert-ua[.]tech reproduisait le contenu officiel du CERT-UA pour crédibiliser l'attaque. Selon le CERT-UA, la campagne n'a pas atteint ses objectifs, seuls quelques appareils personnels d'employés du secteur éducatif ayant été compromis.
Selon SecurityScorecard et plusieurs médias dont TechCrunch, le groupe Handala, affilié à l'Iran et associé par le Département de Justice américain au ministère iranien du Renseignement, revendique la compromission du compte Gmail personnel du directeur du FBI Kash Patel. Des e-mails et fichiers exfiltrés, datant majoritairement de 2019, ont été rendus publics. TechCrunch a authentifié une partie des messages via l'analyse des en-têtes SMTP. Le FBI confirme l'incident, précisant qu'aucune donnée gouvernementale ou classifiée n'est concernée. Le vecteur d'intrusion et la présence éventuelle d'une authentification multifacteur sur le compte ne sont pas établis à ce stade. Le FBI offre jusqu'à dix millions de dollars pour toute information sur les membres du groupe Handala.
Le FIRST Technical Colloquium organisé à Paris par Group-IB a réuni des équipes de CERT, CSIRT et opérateurs de sécurité pour examiner les limites actuelles de la défense collective. Les échanges ont mis en évidence un constat convergent : le partage de renseignement entre organisations est techniquement mature — MISP, STIX, TAXII sont opérationnels — mais la synchronisation opérationnelle en cas d'incident transfrontalier reste déficiente. Comme l'a formulé Manos Athanatos du FORTH, la Threat Intelligence circule à la vitesse de la lumière, mais la réponse coordonnée avance encore à la vitesse d'un fil de messagerie. Le signal structurant de l'événement : le défi de 2026 n'est plus la collecte de renseignement, mais la synchronisation opérationnelle entre organisations défensives.
Sources :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0374/
https://tails.net/news/version_7.6/
https://cert.gov.ua/article/6288047
https://securityaffairs.com/190088/intelligence/iran-linked-group-handala-hacked-fbi-director-kash-patels-personal-email-account.html
https://www.first.org/blog/20260323-Paris-TC
 
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

Quatre semaines après le déclenchement d'Operation Epic Fury et Operation Roaring Lion, le volet cyber du conflit entre les États-Unis, Israël et l'Iran entre dans une phase de consolidation institutionnelle et forensique. Cette édition spéciale couvre la semaine du 23 au 28 mars, avec la clôture forensique de l'affaire Stryker documentée par Unit 42, l'activation documentée de la dimension russe via NoName057(16) et la fourniture de renseignement militaire à Téhéran confirmée par le Washington Post, la création du Bureau of Emerging Threats par le Département d'État américain, le second incident AWS Bahreïn lié à une activité de drones, et le témoignage du directeur par intérim de la CISA devant le Congrès révélant que l'agence opère à 40 % de sa capacité normale alors que la menace iranienne s'intensifie.
Sources :
Update 28 Mars 2026 – Situation au Moyen-Orient – Blog de Marc Frédéric GOMEZ
https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
https://flare.io/learn/resources/blog/cyberattacks-us-israel-iran-military-conflict
https://www.securityweek.com/stryker-says-malicious-file-found-during-probe-into-iran-linked-attack/
https://www.justice.gov/opa/pr/justice-department-disrupts-iranian-cyber-enabled-psychological-operations
https://www.ic3.gov/CSA/2026/260320.pdf
https://www.thenationalnews.com/future/2026/03/26/iran-hack-handala-fbi-breach/
https://www.fdd.org/analysis/2026/03/27/iranian-cyber-operations-take-advantage-of-weakened-u-s-defenses/
https://www.halcyon.ai/ransomware-alerts/iranian-use-of-cybercriminal-tactics-in-destructive-cyber-attacks-2026-updates
https://www.nextgov.com/cybersecurity/2026/03/russia-linked-hackers-appear-iran-wars-cyber-front-their-impact-murky/412011/
https://www.cybersecuritydive.com/news/pro-russia-actors-support-iran-nexus-hackers/813647/
https://www.washingtonpost.com/national-security/2026/03/06/russia-iran-intelligence-us-targets/
https://thesoufancenter.org/intelbrief-2026-march-17/
https://www.centripetal.ai/threat-research/pre-positioned-access-cyber-threat-iran-conflict
https://stackcyber.com/posts/cyber-dashboard
https://unit42.paloaltonetworks.com/evolution-of-iran-cyber-threats/
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

Un consortium européen composé d'IONOS, Nextcloud, Proton, XWiki et Abilian lance Euro-Office, fork open source d'ONLYOFFICE publié sous licence AGPLv3, en réponse à la fermeture de l'offre cloud d'ONLYOFFICE et à des constats documentés de code obfusqué, de blobs binaires et de contributions systématiquement bloquées — le projet propose un composant d'édition web intégrable supportant les formats DOCX, PPTX, XLSX et ODT avec coédition en temps réel, avec une version stable attendue pour l'été 2026.

La CISA ajoute la CVE-2025-53521 à son catalogue Known Exploited Vulnerabilities le 27 mars 2026 — une vulnérabilité de Remote Code Execution affectant F5 BIG-IP dont l'exploitation active est confirmée, exposant des équipements de périphérie réseau massivement déployés en environnement load balancer, proxy et WAF.

Le Centre canadien pour la cybersécurité publie le bulletin AV26-291 couvrant quatre CVE affectant les branches FreeBSD 13.5, 14.x et 15.0 — dont la CVE-2026-4747 permettant une Remote Code Execution via validation défaillante de paquets RPCSEC_GSS, deux vecteurs de Denial of Service distants et la CVE-2026-4748 exposant une faille silencieuse dans le pare-feu pf.

Le CERT-FR publie les avis CERTFR-2026-AVI-0367 et CERTFR-2026-AVI-0363 couvrant respectivement trois vulnérabilités dans Zabbix 7.0.22 — dont un Denial of Service distant et un contournement de politique de sécurité — et trois CVE affectant NetApp ONTAP 9 et Active IQ Unified Manager, exposant les baies de stockage à des atteintes à la confidentialité et à l'intégrité des données.

Intoxalock, fournisseur américain d'éthylotests antidémarrage présent dans 46 États et revendiquant 150 000 utilisateurs, subit le 14 mars 2026 une attaque DDoS entraînant six jours d'indisponibilité — le blocage des opérations d'étalonnage provoque l'immobilisation physique de milliers de véhicules à travers les États-Unis, dans le premier cas documenté d'impact opérationnel direct d'une cyberattaque sur des dispositifs antidémarrage à caractère judiciaire.

Push Security documente une campagne de Phishing de type AITM ciblant les comptes TikTok for Business — les attaquants utilisent des domaines fraîchement enregistrés hébergés derrière Cloudflare avec protection Turnstile, une redirection silencieuse depuis Google Storage, et exploitent le Single Sign-On pour compromettre simultanément les comptes TikTok et Google, détournés ensuite à des fins de malvertising et de fraude publicitaire.

Sources :

https://goodtech.info/euro-office-ionos-nextcloud-et-proton-lancent-le-fork-europeen-donlyoffice-qui-veut-en-finir-avec-microsoft-office/
https://www.cisa.gov/news-events/alerts/2026/03/27/cisa-adds-one-known-exploited-vulnerability-catalog
https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-freebsd-av26-291
https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0367/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0363/
https://www.01net.com/actualites/milliers-voitures-paralysees-cyberattaque.html
https://securityaffairs.com/190058/security/new-aitm-phishing-wave-hijacks-tiktok-business-accounts.html

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site :https://www.radiocsirt.org
📰 Newsletter :https://radiocsirt.substack.com

#CyberSecurity #CERT #CSIRT #ThreatIntelligence #EuroOffice #BIGIP #FreeBSD #Zabbix #NetApp #Intoxalock #AITM #TikTok #Malvertising #RadioCSIRT