Ep.612 - RadioCSIRT Édition Française - Veille cyber du dimanche 29 mars 2026

Selon le bulletin de sécurité Docker publié le 30 mars 2026, une vulnérabilité de type Server-Side Request Forgery, référencée CVE-2026-33990, affecte Docker Desktop dans toutes les versions antérieures à la 4.67.0. La faille permet à un attaquant de forger des requêtes côté serveur, ouvrant potentiellement l'accès à des ressources internes normalement non exposées. Le CERT-FR a relayé cet avis le jour même. La version 4.67.0 de Docker Desktop intègre le correctif associé.Le projet Tails a publié le 26 mars 2026 la version 7.6 de son système d'exploitation orienté anonymat. La mise à jour introduit une fonctionnalité de bridges Tor automatiques directement intégrée à l'assistant de connexion : en cas de blocage du réseau Tor, le système interroge l'API Moat du Tor Project pour obtenir un bridge adapté à la région de l'utilisateur, en utilisant du domain fronting pour contourner la censure. Le gestionnaire de mots de passe KeePassXC est remplacé par GNOME Secrets, compatible avec le format de base existant. Les mises à jour embarquent également Tor Browser 15.0.8 et Thunderbird 140.8.0.Le CERT-UA a documenté fin mars 2026 une campagne d'ingénierie sociale conduite par le groupe UAC-0255, identifié sous le nom Cyber Serp. Des e-mails usurpant l'identité du CERT-UA invitaient les destinataires à télécharger depuis Files.fm un archive protégé par mot de passe contenant un outil présenté comme un logiciel de protection. Le payload déployé, un RAT développé en Go classifié AGEWHEEZE, communique via WebSockets avec son serveur C2 hébergé chez OVH sur le port 8443/tcp. Il supporte le contrôle d'écran, l'émulation clavier/souris, la gestion de fichiers et de processus, ainsi que la persistance via registre et tâches planifiées. Un site frauduleux cert-ua[.]tech reproduisait le contenu officiel du CERT-UA pour crédibiliser l'attaque. Selon le CERT-UA, la campagne n'a pas atteint ses objectifs, seuls quelques appareils personnels d'employés du secteur éducatif ayant été compromis.Selon SecurityScorecard et plusieurs médias dont TechCrunch, le groupe Handala, affilié à l'Iran et associé par le Département de Justice américain au ministère iranien du Renseignement, revendique la compromission du compte Gmail personnel du directeur du FBI Kash Patel. Des e-mails et fichiers exfiltrés, datant majoritairement de 2019, ont été rendus publics. TechCrunch a authentifié une partie des messages via l'analyse des en-têtes SMTP. Le FBI confirme l'incident, précisant qu'aucune donnée gouvernementale ou classifiée n'est concernée. Le vecteur d'intrusion et la présence éventuelle d'une authentification multifacteur sur le compte ne sont pas établis à ce stade. Le FBI offre jusqu'à dix millions de dollars pour toute information sur les membres du groupe Handala.Le FIRST Technical Colloquium organisé à Paris par Group-IB a réuni des équipes de CERT, CSIRT et opérateurs de sécurité pour examiner les limites actuelles de la défense collective. Les échanges ont mis en évidence un constat convergent : le partage de renseignement entre organisations est techniquement mature — MISP, STIX, TAXII sont opérationnels — mais la synchronisation opérationnelle en cas d'incident transfrontalier reste déficiente. Comme l'a formulé Manos Athanatos du FORTH, la Threat Intelligence circule à la vitesse de la lumière, mais la réponse coordonnée avance encore à la vitesse d'un fil de messagerie. Le signal structurant de l'événement : le défi de 2026 n'est plus la collecte de renseignement, mais la synchronisation opérationnelle entre organisations défensives.Sources :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0374/https://tails.net/news/version_7.6/https://cert.gov.ua/article/6288047https://securityaffairs.com/190088/intelligence/iran-linked-group-handala-hacked-fbi-director-kash-patels-personal-email-account.htmlhttps://www.first.org/blog/20260323-Paris-TC ⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com