RadioCSIRT - Edition Française

Nous ouvrons cet épisode avec la CISA, qui annonce l’ajout de quatre vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities (KEV). Les failles concernent Vite.js, Versa Concerto, Prettier (eslint-config-prettier) et Zimbra Collaboration Suite. Ces vulnérabilités couvrent des scénarios de contrôle d’accès défaillant, d’authentification incorrecte, de code malveillant embarqué et d’inclusion de fichiers distants en PHP. Leur exploitation active représente un risque élevé pour les organisations n’ayant pas encore appliqué les correctifs disponibles.
La CISA a également ajouté une vulnérabilité supplémentaire au catalogue KEV, identifiée comme CVE-2026-20045, affectant les produits Cisco Unified Communications. Cette faille permet une injection de code, et s’inscrit dans une catégorie de vulnérabilités fréquemment exploitées par des acteurs malveillants pour compromettre des infrastructures critiques. La directive BOD 22-01 impose aux agences fédérales américaines une remédiation rapide, mais la CISA recommande à l’ensemble des organisations de prioriser également ces corrections.
Troisième sujet, le CERT-FR publie un bulletin d’actualité alertant sur une vulnérabilité critique dans telnetd, référencée CVE-2026-24061. Cette faille permet à un attaquant distant de contourner l’authentification et d’obtenir un accès root sur les systèmes vulnérables. Elle affecte GNU InetUtils versions 1.9.3 à 2.7, est triviale à exploiter, et dispose déjà d’un code d’exploitation public. Aucun correctif officiel n’est disponible à ce stade. Le CERT-FR recommande le décommissionnement immédiat des services telnet, ou à défaut leur isolement strict et leur retrait de toute exposition Internet.
Nous poursuivons avec un avis du CERT-FR concernant une vulnérabilité dans Python, identifiée sous le CVE-2025-12781. La faille affecte les versions de CPython antérieures à 3.15 et permet un contournement de la politique de sécurité. Bien que les détails techniques restent limités, le risque est jugé significatif. Les administrateurs et développeurs sont invités à se référer au bulletin de sécurité officiel de Python pour appliquer les correctifs fournis par l’éditeur.
Sources :
CISA – Four KEV : https://www.cisa.gov/news-events/alerts/2026/01/22/cisa-adds-four-known-exploited-vulnerabilities-catalog
CISA – One KEV : https://www.cisa.gov/news-events/alerts/2026/01/21/cisa-adds-one-known-exploited-vulnerability-catalog
CERT-FR – Telnetd : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-003/
CERT-FR – Python : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0079/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec Microsoft qui publie un workaround officiel suite à des freezes critiques d’Outlook Classic observés après l’installation de la mise à jour Windows KB5074109. Le dysfonctionnement impacte les comptes POP, provoque des blocages applicatifs, des redémarrages forcés et des anomalies sur les messages envoyés. Les environnements concernés incluent Windows 10, Windows 11 24H2/25H2 et plusieurs versions de Windows Server.
GitLab alerte ensuite sur plusieurs vulnérabilités de haute sévérité affectant ses éditions Community et Enterprise. La faille la plus critique permet un 2FA bypass via une mauvaise gestion de la valeur de retour du service d’authentification. D’autres vulnérabilités permettent des attaques Denial of Service à distance via des requêtes API et SSH malformées. Des correctifs sont disponibles dans les versions 18.8.2, 18.7.2 et 18.6.4.
Troisième sujet, une vulnérabilité critique touche le plugin WordPress ACF Extended, largement utilisé pour la gestion avancée de formulaires. La faille permet une privilege escalation en administrateur via l’injection d’un champ role non filtré dans les formulaires Insert/Update User. En présence d’un formulaire exposé, un attaquant non authentifié peut obtenir un contrôle total du site.
Nous poursuivons avec PixelCode, une nouvelle technique d’attaque démontrant la capacité à dissimuler un malware payload directement dans les pixels d’images ou de vidéos. Le binaire est encodé visuellement, hébergé sur une plateforme légitime comme YouTube, puis reconstruit en mémoire sur la machine victime. Cette approche permet de contourner de nombreux mécanismes de détection EDR et de filtrage réseau traditionnels.
Enfin, LastPass confirme une campagne active de phishing dans laquelle des attaquants usurpent l’identité de l’éditeur pour voler les master passwords des utilisateurs. Les e-mails frauduleux exploitent un faux scénario de maintenance et redirigent vers des pages d’authentification hébergées sur des infrastructures cloud légitimes. Cette campagne s’inscrit dans un contexte de menace persistante autour des coffres-forts LastPass précédemment compromis.
Sources :
Microsoft Outlook : https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-workaround-for-outlook-freezes-after-windows-update/
GitLab 2FA & DoS : https://www.bleepingcomputer.com/news/security/gitlab-warns-of-high-severity-2fa-bypass-denial-of-service-flaws/
WordPress ACF Extended : https://thecyberexpress.com/acf-add-on-vulnerability-wordpress/
PixelCode : https://cyberpress.org/new-pixelcode-attack-smuggles-malware-using-image-pixel-encoding-technique/
LastPass Phishing : https://securityaffairs.com/187145/cyber-crime/crooks-impersonate-lastpass-in-campaign-to-harvest-master-passwords.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec l'ETSI publie la norme EN 304 223 définissant les exigences de cybersécurité baseline pour les systèmes IA en production. Le standard couvre les vecteurs d'attaque spécifiques : data poisoning, model obfuscation, et indirect prompt injection. La norme impose des contrôles sur les environnements de déploiement et la validation des données d'entraînement.
Bytebase, outil DevOps open-source, permet de sécuriser les modifications database via un workflow d'approbation centralisé. La solution implémente des revues de code pour les requêtes SQL et trace les exécutions à travers les environnements, réduisant les risques d'injection SQL et de modifications non autorisées.
Huntress documente une nouvelle campagne du groupe KongTuke. L'extension malveillante NexShield imite uBlock Origin Lite. La technique CrashFix crash intentionnellement le navigateur puis incite la victime à exécuter des commandes PowerShell malveillantes. La charge finale déploie ModeloRAT, un Python RAT réservé aux machines jointes au domaine Active Directory.
Resecurity analyse PDFSIDER, malware APT exploitant le DLL side-loading via un faux cryptbase.dll pour contourner EDR et antivirus. La backdoor implémente vérifications anti-VM, chiffrement des communications C2, et exécution en user-space. PDFSIDER privilégie la persistance long-terme sur des cibles Fortune 100.
Le NCSC britannique émet une alerte concernant l'intensification des attaques DDoS menées par des groupes hacktivistes pro-russes contre les infrastructures britanniques. Les cibles prioritaires incluent les collectivités locales et les opérateurs CNI. Le NCSC recommande la mise en œuvre de protections DDoS layer 3/4 et layer 7.
Miggo révèle une vulnérabilité d'indirect prompt injection dans Google Gemini exploitant les invitations Google Calendar. L'attaque injecte des instructions malveillantes dans les métadonnées d'invitations, permettant un authorization bypass exposant les données de réunions privées. Google a déployé des mitigations après disclosure responsable.
Cyfirma analyse SolyxImmortal, infostealer Windows en Python combinant vol de credentials, keylogging, capture d'écran, harvesting de documents et exfiltration via webhooks Discord. Le malware implémente une persistance via registre et scheduled tasks. L'utilisation de Discord pour C2 complique la détection réseau.
Trend Micro analyse la campagne Evelyn distribuée via extensions Visual Studio Code weaponisées ciblant les développeurs. Le malware implémente techniques anti-sandbox, injecte des DLLs dans les processus browsers pour harvester credentials, et exfiltre via FTP incluant clipboard, configurations WiFi et wallets crypto.
Ingram Micro confirme qu'une attaque ransomware de juillet 2025 a compromis les données personnelles de 42 000 individus, incluant des numéros de sécurité sociale. L'entreprise, distributeur technologique avec 48 milliards de dollars de ventes annuelles, illustre la persistance des attaques contre la supply chain IT.
Palo Alto Networks publie une analyse des menaces cyber ciblant les Jeux Olympiques d'hiver Milan Cortina 2026. L'étude identifie plusieurs vecteurs : compromission des plateformes de billetterie, attaques DDoS contre l'infrastructure broadcast, et ciblage des systèmes de chronométrage. Les événements globaux créent une surface d'attaque étendue.
L'enquête Allianz Risk Barometer positionne le cyber risk en tête pour la cinquième année consécutive. Le threat landscape évolue : ransomware avec double/triple extortion, attaques supply chain, et compromission cloud. L'IA émerge comme risque dual : vecteur d'attaque pour le social engineering mais aussi outil défensif.
Nicholas Moore plaide coupable d'avoir compromis le système de dépôt électronique de la Cour Suprême américaine. Entre août et octobre 2023, il a accédé 25 fois au système restreint utilisant des identifiants volés, exfiltrant des documents confidentiels diffusés sur Instagram. L'incident révèle l'absence de MFA et une détection insuffisante.
Des sources américaines confirment l'utilisation de cyberattaques contre les systèmes OT lors de l'extraction de Nicolas Maduro le 3 janvier. Les attaquants ont ciblé les systèmes de contrôle industriel du réseau électrique et les radars de défense aérienne vénézuéliens, démontrant les capacités offensives américaines contre les infrastructures critiques SCADA et ICS.
Feras Albashiti, alias r1z, plaide coupable d'avoir opéré comme Initial Access Broker vendant l'accès à 50 réseaux corporate. Les IABs fournissent les accès initiaux aux opérateurs ransomware et APT via l'exploitation de VPNs, RDP exposés et credentials compromis. Condamnation prévue le 11 mai 2026.
L'analyse géopolitique du cyber domain révèle l'utilisation croissante des opérations cyber comme outil de coercition étatique. Les États exploitent le cyberspace pour l'espionnage économique, l'influence informationnelle, et la disruption d'infrastructures critiques. Les grey-zone operations permettent le déni plausible.
L'étude Nardello révèle que 58% des dirigeants britanniques identifient les cyber breaches comme risque principal, mais 75% doutent de leur capacité à les gérer. 20% ont subi une breach dans les 24 derniers mois. Les priorités incluent compliance avec NIS2 et protection de la réputation post-incident.
Enfin, Security Week analyse l'efficacité du threat intelligence sharing comme force multiplicatrice défensive. Lorsqu'une organisation détecte et partage des IOCs et TTPs, des centaines d'organisations peuvent implémenter des détections proactives. Les challenges incluent la standardisation via STIX/TAXII et le timing de disclosure.
Sources :
ETSI IA : https://www.helpnetsecurity.com/2026/01/19/etsi-european-standard-ai-security/
Bytebase : https://www.helpnetsecurity.com/2026/01/19/bytebase-open-source-database-devops-tool/
KongTuke CrashFix : https://www.huntress.com/blog/malicious-browser-extention-crashfix-kongtuke
PDFSIDER : https://www.resecurity.com/es/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasion
NCSC DDoS : https://www.ncsc.gov.uk/news/ncsc-issues-warning-over-hacktivist-groups-disrupting-uk-organisations-online-services
Google Gemini : https://www.miggo.io/post/weaponizing-calendar-invites-a-semantic-attack-on-google-gemini
SolyxImmortal : https://www.cyfirma.com/research/solyximmortal-python-malware-analysis/
Evelyn Stealer : https://www.trendmicro.com/en_us/research/26/a/analysis-of-the-evelyn-stealer-campaign.html
Ingram Micro : https://www.bleepingcomputer.com/news/security/ingram-micro-says-ransomware-attack-affected-42-000-people/
Jeux Olympiques : https://www.helpnetsecurity.com/2026/01/19/palo-alto-networks-olympic-cybersecurity-risks-report/
Allianz Risk : https://www.helpnetsecurity.com/2026/01/19/allianz-ai-cyber-risk-report/
Supreme Court : https://www.bleepingcomputer.com/news/security/hacker-admits-to-leaking-stolen-supreme-court-data-on-instagram/
Maduro : https://www.securityweek.com/new-reports-reinforce-cyberattacks-role-in-maduro-capture-blackout/
Access Broker : https://www.bleepingcomputer.com/news/security/jordanian-pleads-guilty-to-selling-access-to-50-corporate-networks/
Géopolitique : https://www.helpnetsecurity.com/2026/01/19/cybersecurity-geopolitical-tensions/
UK Corporate : https://www.infosecurity-magazine.com/news/cyber-breaches-compliance/
Information Sharing : https://www.securityweek.com/cyber-insights-2026-information-sharing/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec le rapport trimestriel de Sonatype révélant une escalade sans précédent du malware open source. Sonatype a identifié 394 877 nouveaux packages malveillants au Q4 2025, soit une augmentation de 476% par rapport aux trois trimestres précédents combinés. 99,8% de ce malware provient de npm. L'automatisation à grande échelle domine avec des outils scriptés et assistés par IA. L'abus de référentiels a bondi de 53 000%, alimenté par des campagnes auto-réplicantes. Les attaquants ont priorisé la propagation rapide plutôt que la furtivité, modifiant packages existants, chaînes de dépendances et processus de publication. Sonatype a observé une augmentation de 833% des événements de corruption de données et 564% de packages contenant des backdoors pour la persistance. PhantomRaven a démontré comment publier et recycler rapidement des packages malveillants. La campagne IndonesianFoods a doublé le volume total de malware sur npm en quelques jours, générant plus de 100 000 packages en créant un nouveau package toutes les sept secondes via l'abus du protocole TEA. Le retour de Sha1-Hulud The Second Coming avec plus de 2 100 packages malveillants montre que les attaquants itèrent sur des méthodes éprouvées. Sonatype Repository Firewall a bloqué 120 612 attaques durant le trimestre.
 
Le CERT-FR a publié l'avis CERTFR-2026-AVI-0062 concernant une vulnérabilité dans Mattermost Desktop App. La faille affecte toutes les versions antérieures à 5.13.3.0. Elle permet à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur. Le risque n'est pas caractérisé dans le bulletin. Le bulletin de sécurité Mattermost MMSA-2026-00577 du 16 janvier 2026 fournit les correctifs. La solution consiste en une mise à jour vers la version 5.13.3.0 ou ultérieure.
Enfin, le tribunal correctionnel de Bayonne a condamné le 15 janvier un ancien agent municipal à cinq ans de prison dont deux ferme pour détournement de 3 millions d'euros à la ville d'Anglet. Pendant dix ans, de 2019 à 2025, l'employé de 53 ans affecté aux services financiers a exploité ses attributions pour détourner des fonds publics. Le mode opératoire révèle une exploitation astucieuse des failles de sécurité physique. L'agent profitait des pauses déjeuner lorsque les ordinateurs restaient ouverts et déverrouillés pendant une dizaine de minutes pour utiliser les adresses mail et le parapheur électronique. Il a mis en place un stratagème complexe faisant intervenir l'association Anglet Omnisport, la mairie et le Trésor public avec de fausses factures. L'accusé a indiqué avoir dépensé l'argent dans des services de voyance et des plateformes d'investissement. La peine de deux ans ferme et trois ans sursis est assortie d'obligations de soins, de travail et de remboursement intégral des sommes détournées.
Sources :
Sonatype – Open Source Malware Index Q4 2025 : https://www.sonatype.com/blog/open-source-malware-index-q4-2025-automation-overwhelms-ecosystems
CERT-FR – Mattermost Desktop App : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0062/
France 3 Nouvelle-Aquitaine – Détournement 3 millions Anglet : https://france3-regions.franceinfo.fr/nouvelle-aquitaine/pyrenees-atlantiques/bayonne/il-profitait-que-l-ordinateur-reste-ouvert-l-employe-municipal-qui-a-detourne-3-millions-d-euros-condamne-a-deux-ans-de-prison-ferme-3282797.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la révélation de la CIRO concernant une brèche massive affectant 750 000 investisseurs canadiens. L'organisation canadienne de réglementation des placements confirme que l'incident résulte d'une attaque phishing sophistiquée survenue en août 2025. Plus de 9 000 heures d'investigation forensique ont été nécessaires pour déterminer l'ampleur complète. Les données compromises incluent dates de naissance, numéros d'assurance sociale, numéros de compte de placement et relevés. La CIRO offre deux ans de surveillance du crédit et de protection contre le vol d'identité. Aucune preuve d'utilisation malveillante n'a été détectée sur le dark web. Une action collective a été déposée au Québec.

Microsoft a publié des correctifs out-of-band d'urgence le 17 janvier 2026 pour adresser deux régressions critiques introduites par le Patch Tuesday du 13 janvier. Le premier problème bloque l'accès aux sessions Microsoft 365 Cloud PC avec des échecs d'authentification Remote Desktop sur Windows 11, Windows 10 et Windows Server. Le second empêche certains PC Windows 11 version 23H2 avec Secure Launch activé de s'éteindre ou d'entrer en hibernation, provoquant des redémarrages intempestifs. Les packages KB5077744 et KB5077797 ont été publiés pour restaurer les flux d'authentification et corriger la régression d'extinction. Microsoft recommande la commande shutdown /s /t 0 comme solution temporaire.

Check Point rapporte une exploitation massive de la CVE-2025-37164 affectant HPE OneView, attribuée au botnet RondoDox. La vulnérabilité obtient un score CVSS de 10 sur 10 et permet l'exécution de code à distance sur cette plateforme de gestion de data center. Entre 5h45 et 9h20 UTC le 7 janvier, plus de 40 000 tentatives d'attaque ont été enregistrées. L'activité provient principalement d'une adresse IP néerlandaise connue. Les cibles incluent organisations gouvernementales, services financiers et fabricants industriels aux États-Unis, Australie, France, Allemagne et Autriche. RondoDox utilise une approche exploit shotgun pour construire des réseaux de botnets destinés au DDoS et au cryptomining.

Enfin, des chercheurs de l'Université de Louvain révèlent WhisperPair, un ensemble d'attaques ciblant les accessoires audio Bluetooth utilisant Google Fast Pair. La CVE-2025-36911, classée critique, affecte des centaines de millions d'appareils de 10 fabricants incluant Sony, JBL, Google, Jabra et Marshall. Fast Pair omet de vérifier si un appareil est en mode appairage, permettant un hijacking silencieux même lorsque les écouteurs sont portés. L'attaquant peut diffuser du bruit, enregistrer l'audio via microphone, et dans certains cas suivre la localisation via le réseau Find Hub de Google. Sur 25 appareils testés, 68% ont été compromis avec succès. Le correctif nécessite une mise à jour firmware du fabricant.

Sources :

CIRO – Brèche 750 000 investisseurs : https://www.ciro.ca/newsroom/publications/canadian-investment-regulatory-organization-update-regarding-unauthorized-access-some-canadian
The Globe and Mail – CIRO data breach : https://www.theglobeandmail.com/business/article-securities-regulator-says-data-breach-last-summer-affected-750000/
BleepingComputer – Microsoft OOB updates : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-oob-windows-updates-to-fix-shutdown-cloud-pc-bugs/
The Register – RondoDox botnet HPE OneView : https://www.theregister.com/2026/01/16/rondodox_botnet_hpe_oneview
Malwarebytes – WhisperPair Bluetooth : https://www.malwarebytes.com/blog/news/2026/01/whisperpair-exposes-bluetooth-earbuds-and-headphones-to-tracking-and-eavesdropping

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com