RadioCSIRT - Edition Française

Nous ouvrons cet épisode avec le Government Cyber Action Plan du Royaume-Uni publié le 6 janvier 2026. Le gouvernement britannique investit 210 millions de livres sterling pour transformer la cybersécurité du secteur public. Le plan crée une nouvelle Government Cyber Unit au sein du Department for Science, Innovation and Technology pour centraliser la gestion des risques et la réponse aux incidents. Le National Cyber Security Centre rapporte une augmentation de 50 pourcent des incidents hautement significatifs en 2025. Un nouveau Software Security Ambassador Scheme inclut Cisco, Palo Alto Networks et Santander, répondant aux 59 pourcent d'organisations ayant subi des attaques de la chaîne d'approvisionnement logicielle.La Cybersecurity and Infrastructure Security Agency américaine a ajouté le 12 janvier 2026 la vulnérabilité CVE-2025-8110 à son catalogue Known Exploited Vulnerabilities. Cette faille de path traversal avec un score CVSS de 8.7 affecte Gogs, un service Git auto-hébergé. Elle permet à un utilisateur authentifié d'écrire des fichiers hors de l'arborescence prévue via des liens symboliques, conduisant potentiellement à l'exécution de code à distance. Les versions inférieures ou égales à 0.13.3 sont affectées. CISA confirme une exploitation active dans la nature. Les agences fédérales doivent corriger la vulnérabilité selon le Binding Operational Directive 22-01.Enfin, Endesa, le plus grand fournisseur d'électricité en Espagne avec 22 millions de clients, a divulgué une violation de données selon BleepingComputer. Un accès non autorisé à la plateforme commerciale a compromis les informations d'identification, coordonnées, numéros de carte d'identité nationale, détails de contrats et IBAN. Les mots de passe n'ont pas été exposés. L'acteur menaçant spain propose à la vente une base de données de plus de 20 millions d'enregistrements totalisant 1.05 téraoctets. Endesa indique qu'aucune preuve d'utilisation frauduleuse n'a été identifiée et a informé l'Institut National de Cybersécurité et l'Agence Espagnole de Protection des Données.Sources : NCSC UK – Government Cyber Action Plan : https://www.ncsc.gov.uk/blog-post/government-cyber-action-plan-strengthening-resilience-across-ukCISA – CVE-2025-8110 KEV : https://www.cisa.gov/news-events/alerts/2026/01/12/cisa-adds-one-known-exploited-vulnerability-catalogBleepingComputer – Endesa data breach : https://www.bleepingcomputer.com/news/security/spanish-energy-giant-endesa-discloses-data-breach-affecting-customers/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une nouvelle campagne d'escroquerie par courrier physique ciblant les usagers bancaires en France selon Planet.fr. Le mode opératoire débute par la réception d'une lettre à l'entête d'un établissement financier contenant une carte bancaire factice équipée d'une puce. Le document demande au destinataire de scanner un QR code pour activer la carte. Cette technique baptisée "quishing" redirige la victime vers un site malveillant conçu pour exfiltrer les données personnelles et coordonnées bancaires. Le phénomène, déjà observé chez les voisins européens, gagne du terrain en France. Les cartes présentent un niveau de contrefaçon élevé avec reproduction de l'identité graphique des banques. La vérification de l'URL affichée après scan constitue le premier indicateur de légitimité. En cas de saisie d'informations sur un site frauduleux, la procédure recommandée comprend l'opposition immédiate sur la carte bancaire, la modification de l'ensemble des mots de passe et le signalement via la plateforme Perceval du ministère de l'Intérieur.Microsoft a publié le CVE-2026-0628 dans son Security Update Guide concernant une vulnérabilité haute sévérité affectant le composant WebView tag de Chromium selon Neowin. La faille technique classifiée "Insufficient policy enforcement" permet à un attaquant ayant convaincu un utilisateur d'installer une extension malveillante d'injecter des scripts ou du HTML dans une page privilégiée. Le chercheur Gal Weizman a signalé la vulnérabilité à Google fin novembre. La version Chrome 143.0.7499.192 contient le correctif upstream intégré par Microsoft dans Edge le 10 janvier 2026. Microsoft enregistre le CVE dans son Security Update Guide pour fournir le statut downstream autoritatif aux clients Edge. Les trackers canoniques de vulnérabilités confirment que la limite de remédiation upstream a été placée dans la mise à jour stable Chrome 143. L'inventaire et la remédiation doivent couvrir tous les runtimes Chromium embarqués et applications Electron car une mise à jour du navigateur hôte ne protège pas ces applications.Le forum de hacking BreachForums a subi une fuite de données exposant sa table de base de données utilisateurs selon BleepingComputer. Le 9 janvier 2026, un site nommé d'après le gang d'extorsion ShinyHunters a publié une archive 7Zip nommée breachedforum.7z. L'archive contient le fichier databoose.sql, une table de base de données MyBB comprenant 323 988 enregistrements de membres incluant noms d'affichage, dates d'enregistrement, adresses IP et autres informations internes. L'analyse montre que la majorité des adresses IP renvoient vers une adresse IP loopback locale, mais 70 296 enregistrements contiennent des adresses IP publiques. La dernière date d'enregistrement correspond au 11 août 2025, jour de fermeture du précédent BreachForums suite à l'arrestation de certains opérateurs présumés. L'administrateur actuel connu sous le pseudonyme N/A a reconnu la fuite, indiquant qu'une sauvegarde de la table utilisateurs MyBB a été temporairement exposée dans un dossier non sécurisé et téléchargée une seule fois.Enfin, une fuite de données majeure a compromis les informations personnelles d'environ 17,5 millions d'utilisateurs Instagram selon CyberPress. La fuite, initialement signalée par les chercheurs en cybersécurité de Malwarebytes, expose des informations de contact rendant des millions d'utilisateurs vulnérables au vol d'identité et aux attaques de phishing ciblées. Le dataset est apparu cette semaine sur un forum de hacking, publié par l'acteur de menace "Solonik". Le listing intitulé "INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK" contient 17,5 millions d'enregistrements formatés en fichiers JSON et TXT. Les données ont été collectées fin 2024 via une API Leak contournant les mesures de sécurité standard. La base de données divulguée contient noms complets, pseudonymes, adresses email vérifiées, numéros de téléphone, identifiants utilisateurs et données de localisation partielle. La fuite est classifiée comme scraping, la collecte automatisée de données via des interfaces publiques. Au 10 janvier 2026, Meta n'a pas émis de déclaration formelle concernant cette fuite.Sources : Planet.fr – Arnaque carte bancaire : https://www.planet.fr/societe-arnaque-a-la-fausse-carte-bancaire-par-courrier-le-mecanisme-du-quishing-qui-vise-vos-coordonnees.2992374.29336.htmlMicrosoft Security Update Guide – CVE-2026-0628 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0628BleepingComputer – BreachForums : https://www.bleepingcomputer.com/news/security/breachforums-hacking-forum-database-leaked-exposing-324-000-accounts/CyberPress – Instagram leak : https://cyberpress.org/instagram-data-leak/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec les données Kaspersky Security Bulletin 2025 sur le secteur financier. L'année 2025 a enregistré 1,33 million d'attaques par chevaux de Troie bancaires bloquées, tandis que 12,8% des entreprises financières B2B ont subi une attaque par rançongiciel. Les systèmes de détection confirment une activité criminelle soutenue avec un déplacement stratégique du vecteur d'attaque vers les fournisseurs tiers. Le Forum Économique Mondial classe désormais les cyberattaques parmi les risques majeurs pesant sur la stabilité financière mondiale.SecurityScorecard publie son rapport sur les brèches impliquant des fournisseurs tiers dans le secteur bancaire. Les données 2024 indiquent que 97% des grandes banques américaines et 100% des groupes financiers européens majeurs ont déclaré au moins une brèche via un fournisseur. Seuls 6% des fournisseurs évalués étaient effectivement compromis, mais ces entités stratégiques desservent de multiples institutions simultanément. L'étude révèle également que pratiquement tous les établissements interrogés ont subi des incidents liés aux quatrièmes parties, avec seulement 2% des prestataires à l'origine de ces cascades.L'incident SitusAMC de novembre 2025 illustre le risque supply chain dans le secteur financier. Ce prestataire de services immobiliers aux banques a subi une intrusion le 12 novembre avec exfiltration de données confidentielles appartenant à plusieurs établissements bancaires clients : enregistrements comptables, accords légaux, informations de clients finaux. Le FBI a confirmé l'absence de perturbation opérationnelle directe des services bancaires. L'incident relevait de l'exfiltration massive de données sensibles sans composante destructrice de type ransomware.Les assureurs cyber constatent en 2025 une forte hausse des sinistres où les rançongiciels pénètrent chez la victime via un partenaire compromis. Cette technique baptisée "ransomware indirect" contourne les défenses périmétriques renforcées des banques en compromettant un prestataire disposant d'accès légitimes au réseau bancaire. Les criminels utilisent la connexion de confiance pour s'infiltrer sans déclencher d'alerte, permettant un temps de latence prolongé avec analyse de l'environnement avant activation de la charge malveillante.L'ENISA Threat Landscape 2025 documente l'intensification des attaques géopolitiques contre le secteur financier européen. Les groupes hacktivistes pro-russes ont concentré 69% de leurs attaques contre le sous-secteur bancaire européen, ciblant notamment l'Italie, l'Espagne et la France. Le groupe nord-coréen Lazarus reste la principale menace APT pour les institutions financières de l'Union Européenne selon l'ENISA, avec des opérations visant le financement du régime de Pyongyang via piratage bancaire et compromissions de plateformes d'échange de crypto-monnaies.Le règlement DORA (Digital Operational Resilience Act) est entré en application en 2025 pour adresser les risques systémiques liés aux fournisseurs tiers. Le cadre réglementaire impose aux banques et assurances d'identifier leurs prestataires critiques, d'évaluer régulièrement leur sécurité, et d'établir des plans de continuité en cas de défaillance. Le régulateur peut désigner certains fournisseurs d'importance critique, notamment les principaux acteurs cloud desservant de nombreuses institutions financières, et les soumettre à des audits et tests de résilience pilotés au niveau européen.Enfin, le rapport FS-ISAC Navigating Cyber 2025 projette plusieurs évolutions pour l'année en cours : intensification du risque supply chain avec compromission potentielle de fournisseurs cloud majeurs, sophistication des attaques via l'intelligence artificielle avec émergence de malwares adaptatifs, professionnalisation continue de la criminalité financière via des initial access brokers, et élargissement de la surface d'attaque avec les technologies financières émergentes incluant paiements NFC sans contact, super-apps financières et open banking via API.Sources : Kaspersky Security Bulletin 2025 : https://www.kasbersky.com/about/press-releases/2025_kaspersky-financial-sector-faced-ai-blockchain-and-organized-crime-threats-in-2025SecurityScorecard – Third-Party Breach Report : cité dans KnowBe4 Financial Sector Threats : https://www.knowbe4.com/hubfs/Financial-Sector-Threats-The-Shifting-Landscape.pdfCybersecurity Dive – SitusAMC : https://www.cybersecuritydive.com/news/hackers-steal-sensitive-data-major-banking-industry-vendor-situsamc/ENISA Threat Landscape 2025 : https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025RESCO Courtage – Guide DORA 2025 : https://www.resco-courtage.com/dora-reglementation-guide-complet-2025FS-ISAC – Navigating Cyber 2025 : https://www.fsisac.com/knowledge/annual-navigating-cyber-2025-report On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une analyse technique publiée par l'ISC SANS sur la manipulation du Process Environment Block. Cette technique exploitée par les malwares permet de masquer les paramètres de lancement des processus via l'API CreateProcess avec le flag CREATE_SUSPENDED. Le PEB, structure user-mode de Windows, peut être modifié en quatre étapes : localisation, lecture, réécriture des paramètres, puis reprise du processus. La technique présente une limitation majeure liée à la longueur des commandes et ne trompe pas les EDR qui journalisent les paramètres originaux à la création.Trend Micro a déployé le Critical Patch Build 7190 pour corriger le CVE-2025-69258, une vulnérabilité Remote Code Execution dans Apex Central. La faille de type LoadLibraryEX permet l'injection de DLL malveillante dans le processus MsgReceiver.exe sur le port TCP 20001, avec exécution de code sous le contexte SYSTEM. Tenable, qui a découvert la vulnérabilité, a publié les détails techniques et un proof-of-concept. Le patch corrige également deux failles Denial-of-Service.La CISA procède à sa plus importante clôture groupée avec le retrait de dix Emergency Directives émises entre 2019 et 2024. Les actions requises ont été complétées ou sont désormais couvertes par la Binding Operational Directive 22-01 qui s'appuie sur le catalogue Known Exploited Vulnerabilities. Parmi les directives fermées figurent ED 21-01 sur SolarWinds Orion, ED 21-02 concernant Microsoft Exchange, et ED 24-02 relative à la compromission nation-state du système email corporate de Microsoft.Une vulnérabilité critique affecte Undertow HTTP server core, composant déployé dans WildFly et JBoss EAP. Le CVE-2025-12543, classé CVSS 9.6, exploite une faiblesse d'Improper Input Validation dans le traitement des HTTP Host headers. Red Hat a publié les patches via RHSA-2026:0386 et RHSA-2026:0383, précisant qu'aucune mitigation alternative ne satisfait les critères de sécurité. Le patching immédiat constitue l'unique mesure recommandée.Enfin, Security Affairs rapporte qu'un blackout internet national a été imposé en Iran dans un contexte de répression violente des manifestations. NetBlocks confirme que la connectivité est tombée à 1% des niveaux ordinaires. Amnesty International et le groupe Hengaw documentent 42 décès incluant six enfants, avec usage d'armes à feu réelles et arrestations arbitraires massives. Les données Tor Metrics montrent une augmentation significative de l'usage du réseau anonyme par les citoyens iraniens.Sources :ISC SANS – PEB Manipulation : https://isc.sans.edu/diary/rss/32614BleepingComputer – Trend Micro Apex Central : https://www.bleepingcomputer.com/news/security/trend-micro-fixes-critical-rce-flaw-in-apex-central-console/BleepingComputer – CISA Emergency Directives : https://www.bleepingcomputer.com/news/security/cisa-retires-10-emergency-cyber-orders-in-rare-bulk-closure/CyberSecurityNews – Undertow : https://cybersecuritynews.com/undertow-http-server-vulnerability/Security Affairs – Iran blackout : https://securityaffairs.com/186718/intelligence/iran-cuts-internet-nationwide-amid-deadly-protest-crackdown.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec l'analyse de GoBruteforcer publiée par Check Point Research. Ce botnet modulaire écrit en Go cible les serveurs Linux via brute-force sur FTP, MySQL, PostgreSQL et phpMyAdmin. La variante 2025 introduit un bot IRC réécrit en Go avec obfuscation Garbler et des credentials dynamiques fournies par le Command and Control. Check Point estime que plus de 50 000 serveurs exposés seraient vulnérables. Les chercheurs ont observé une campagne crypto avec récupération d'outils token-sweep pour TRON et Binance Smart Chain sur un hôte compromis, accompagnés d'environ 23 000 adresses TRON. L'analyse on-chain confirme que certaines attaques financières ont réussi.The Record rapporte des changements à la NSA. David Imbordino assumera les fonctions de directeur par intérim de la cybersecurity directorate fin janvier, avec Holly Baroody comme deputy chief. La directorate est sans chef permanent depuis début 2024. Le lieutenant général Josh Rudd a été désigné pour diriger Cyber Command et la NSA.Cisco Talos révèle UAT-7290, un acteur China-nexus actif depuis 2022 ciblant les télécoms en Asie du Sud. L'arsenal comprend RushDrop, DriveSwitch, SilentRaid et Bulbature qui convertit les dispositifs en Operational Relay Boxes. Talos observe des chevauchements avec APT10 et Red Foxtrot lié à la PLA Unit 69010.Enfin, Unit 42 analyse les risques du vibe coding. Les chercheurs documentent plusieurs incidents catastrophiques : compromise d'application, indirect prompt injection avec exfiltration de données, et suppression de base production. Unit 42 propose le framework SHIELD incluant Separation of Duties, Human in the Loop, Input/Output Validation, Security-Focused Helper Models, Least Agency et Defensive Technical Controls.Sources : Check Point Research – GoBruteforcer : https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/The Record – NSA leadership : https://therecord.media/nsa-cyber-directorate-new-acting-leadershipCisco Talos – UAT-7290 : https://blog.talosintelligence.com/uat-7290/Unit 42 – Vibe coding : https://unit42.paloaltonetworks.com/securing-vibe-coding-tools/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com