RadioCSIRT - Edition Française

Le 13 mai 2026, cPanel publie une série de bulletins de sécurité corrigeant des vulnérabilités dans cPanel & WebHost Manager. Sont concernées les versions antérieures à 86.0.44, 11.94.0.31, 11.102.0.42, 11.110.0.118, 11.118.0.67, 11.124.0.38, 11.126.0.59, 11.130.0.23, 11.132.0.32, 11.134.0.26, 11.136.0.10, ainsi que WP Squared 11.136.1.12. Le Centre canadien pour la cybersécurité recommande l'application immédiate des correctifs.Red Hat publie un article décrivant comment ses Hardened Images, combinées à la plateforme Anchore, réduisent la fatigue CVE en sécurité conteneurs. L'approche repose sur des images minimales produites selon le standard SLSA3, une génération continue de SBOM, et un policy engine appliquant les référentiels NIST 800-53, 800-190 et FedRAMP tout au long du cycle CI/CD.Palo Alto Networks publie plusieurs bulletins critiques visant PAN-OS. Trois CVE majeures sont à retenir : CVE-2026-0263 Remote Code Execution dans le traitement IKEv2, CVE-2026-0264 heap-based buffer overflow non authentifié dans DNS Proxy et DNS Server, et CVE-2026-0265 authentication bypass lorsque Cloud Authentication Service est activé. Les branches PAN-OS 12.1, 11.2, 11.1 et 10.2 sont concernées.F5 publie sa Quarterly Security Notification de mai 2026, référencée K000160932. Le périmètre couvre BIG-IP tous modules, APM, Advanced WAF/ASM, DDoS Hybrid Defender, Next CNF, Next SPK, Next for Kubernetes, BIG-IQ Centralized Management, ainsi que la gamme NGINX (App Protect WAF et DoS, Gateway Fabric, Ingress Controller, Instance Manager, Open Source jusqu'à 1.30.0, NGINX Plus de R32 à R36). Plusieurs correctifs sont qualifiés de critiques.Le 12 mai 2026, l'équipe Exim publie l'avis EXIM-Security-2026-05-01.1 corrigeant une vulnérabilité affectant les versions 4.97 à 4.99.2 du Mail Transfer Agent. Le Centre canadien pour la cybersécurité recommande d'appliquer la mise à jour et de suivre les mesures d'atténuation publiées sur exim.org.n8n publie plusieurs bulletins de sécurité visant la plateforme d'automatisation no-code. Cinq classes de vulnérabilités sont corrigées : Pagination Prototype Pollution, Dynamic Credential OAuth Endpoints, Source Control, XML Node Prototype Pollution et Git Node. Plusieurs versions sont concernées, le patching est à traiter sans délai compte tenu de la manipulation de credentials OAuth tiers par la plateforme.Google publie une mise à jour Stable Channel pour Chrome Desktop. Les versions antérieures à 148.0.7778.167/168 sur Windows et macOS, et 148.0.7778.167 sur Linux sont concernées. Les détails complets des CVE corrigées sont publiés sur le blog officiel Chrome Releases.Exploit-DB publie sous référence EDB-ID 52559 un exploit ciblant Glances 4.5.2 et versions antérieures, identifié CVE-2026-33641 et classé CWE-78. La méthode Config.get_value() exécute comme commandes système toute chaîne placée entre backticks dans un fichier de configuration, via system_exec(). La CVSS v3.1 est évaluée à 7.8 HIGH. Le correctif est intégré à Glances 4.5.3, qui supprime le mécanisme d'exécution dynamique.CloudLinux publie un avis détaillant Fragnesia, troisième vulnérabilité de la classe Dirty Frag affectant le sous-système XFRM/ESP du kernel Linux. La faille concerne le ULP ESP-in-TCP : lorsqu'une socket TCP bascule en mode espintcp après un splice(2) ou sendfile(2), le kernel déchiffre les pages du page cache comme du ciphertext ESP, produisant une primitive d'écriture déterministe. Le PoC public de William Bowling et l'équipe V12 écrase /usr/bin/su pour obtenir root en une commande. CloudLinux 7h, 8, 9 et 10 sont affectés, l'attribution CVE est en cours.Sources : Bulletin de sécurité cPanel AV26-464, Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-cpanel-av26-46Reducing CVE fatigue with Red Hat Hardened Images and Anchore : https://www.redhat.com/fr/blog/reducing-cve-fatigue-red-hat-hardened-images-and-anchoreBulletin de sécurité Palo Alto Networks AV26-462 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-palo-alto-networks-av26-462Bulletin de sécurité F5 AV26-461 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-f5-av26-461Bulletin de sécurité Exim AV26-460 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-exim-av26-460Bulletin de sécurité n8n AV26-459 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-n8n-av26-459Bulletin de sécurité Google Chrome AV26-458 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-google-chrome-av26-458Glances 4.5.2 Command Injection CVE-2026-33641, Exploit Database : https://www.exploit-db.com/exploits/52559Fragnesia Mitigation and Kernel Update, CloudLinux Blog : https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #cPanel #WHM #RedHat #HardenedImages #Anchore #SBOM #SLSA3 #PaloAlto #PANOS #IKEv2 #DNSProxy #F5 #BIGIP #NGINX #Exim #MTA #n8n #PrototypePollution #OAuth #Chrome #Glances #CommandInjection #Fragnesia #DirtyFrag #LinuxKernel #XFRM #ESP #CloudLinux #CVE #PatchTuesday #RadioCSIRT

Une nouvelle vague de l'opération Shai-Hulud, attribuée au groupe TeamPCP, a compromis des centaines de packages npm et PyPI dont TanStack, Mistral AI, Guardrails AI, UiPath et OpenSearch. Les attaquants ont détourné des tokens OpenID Connect valides pour publier des versions malveillantes avec attestation de provenance SLSA Build Level 3, exfiltrant credentials GitHub, npm, AWS, Vault et Kubernetes via le réseau P2P Session.Le CERT-FR a publié l'avis CERTFR-2026-AVI-0553 couvrant onze CVE dans PHP, exploitables pour déni de service à distance, injection SQL et XSS. Sont concernées les branches 8.2.x antérieures à 8.2.31, 8.3.x antérieures à 8.3.31, 8.4.x antérieures à 8.4.21 et 8.5.x antérieures à 8.5.6.OpenAI lance Daybreak, plateforme cybersécurité défensive bâtie sur GPT-5.5 et Codex. Elle couvre secure code review, threat modeling, malware analysis et patch validation, et se décline en trois niveaux d'accès dont un tier GPT-5.5-Cyber réservé aux opérations de penetration testing et red teaming sous accès contrôlé.La FCC prolonge jusqu'au 1er janvier 2029 le waiver autorisant les mises à jour logicielles et firmware des routeurs étrangers inscrits sur la Covered List. Le waiver couvre désormais les Class II permissive changes. TP-Link et DJI restent en attente d'exemption.La vulnérabilité Copy Fail, CVE-2026-31431, divulguée par Theori, est une LPE déterministe et universelle dans l'interface AF_ALG du noyau Linux. L'écriture de quatre octets dans le page cache permet de modifier un binaire setuid en mémoire et d'obtenir root. Inscrite au catalogue KEV de la CISA avec échéance fédérale au 15 mai.Le CERT Polska divulgue CVE-2026-5029, une remote code execution non authentifiée affectant toutes les versions de Code Runner MCP Server lancé avec l'option --transport http. Le endpoint /mcp sur port 3088 est exposé sans authentification, permettant l'exécution de code arbitraire via child_process.exec(). Aucun correctif disponible.L'entreprise brésilienne Huge Networks, spécialisée dans la mitigation DDoS, héberge un botnet Mirai ciblant des ISP locaux via des routeurs TP-Link Archer AX21 vulnérables à CVE-2023-1389. Les scripts Python exposés exploitaient les clés SSH du CEO Erick Nascimento pour orchestrer des attaques par DNS reflection et amplification.D'après le SANS Internet Storm Center, Apple a publié 84 correctifs couvrant iOS, iPadOS, macOS, tvOS, watchOS et visionOS. Aucune des failles n'est exploitée à ce jour. Plusieurs CVE permettent une exécution de code kernel via Wi-Fi, des élévations vers root et des bypass de Gatekeeper via ZIP ou disk image piégés.Sources :BleepingComputer Shai-Hulud TanStack Mistral : https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/CERT-FR PHP CERTFR-2026-AVI-0553 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0553/01net OpenAI Daybreak : https://www.01net.com/actualites/openai-lance-daybreak-lia-qui-detecte-et-corrige-les-failles-de-securite-en-quelques-minutes.htmlThe Cyber Express OpenAI Daybreak : https://thecyberexpress.com/openai-daybreak-introduces-gpt-5-5/Ars Technica FCC routeurs étrangers : https://arstechnica.com/tech-policy/2026/05/fcc-slightly-relaxes-foreign-router-ban-allows-software-updates-until-2029/CloudLinux Copy Fail CVE-2026-31431 : https://blog.cloudlinux.com/cve-2026-31431-copy-fail-patching-kernels-without-rebootingCERT Polska Code Runner MCP CVE-2026-5029 : https://cert.pl/en/posts/2026/05/CVE-2026-5029/KrebsOnSecurity Huge Networks : https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/SANS ISC Apple Patches : https://isc.sans.edu/diary/rss/32976⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #ShaiHulud #TeamPCP #TanStack #MistralAI #SupplyChain #npm #PyPI #SLSA #OIDC #PHP #CERTFR #OpenAI #Daybreak #GPT55 #ClaudeMythos #FCC #TPLink #DJI #CopyFail #LinuxKernel #CISA #KEV #MCP #CodeRunner #CERTPolska #HugeNetworks #Mirai #TPLinkArcher #DDoS #Apple #iOS #macOS #Gatekeeper #WebKit #RadioCSIRT

La CISA a ajouté trois vulnérabilités à son catalogue Known Exploited Vulnerabilities en trois jours. Le 6 mai, la CVE-2026-0300, Out-of-bounds Write affectant Palo Alto Networks PAN-OS. Le 7 mai, la CVE-2026-6973, faille d'Improper Input Validation sur Ivanti Endpoint Manager Mobile. Le 8 mai, la CVE-2026-42208, SQL Injection ciblant BerriAI LiteLLM, framework d'orchestration pour LLM en environnement entreprise. Les trois failles sont activement exploitées et soumises à la BOD 22-01.Le CERT-FR a publié trois avis majeurs cette semaine. L'avis CERTFR-2026-AVI-0530 documente onze vulnérabilités dans Apache HTTP Server avec exécution de code arbitraire à distance, toutes versions antérieures à 2.4.67. L'avis CERTFR-2026-AVI-0551 couvre sept failles dans GLPI exposant à des attaques SSRF et XSS. L'avis CERTFR-2026-AVI-0552 traite cinq CVE sur Ivanti EPMM, dont la CVE-2026-6973 activement exploitée. Le CERT-FR alerte sur un risque de chaînage avec les CVE-2026-1281 et CVE-2026-1340 antérieures, des credentials administrateurs compromis pouvant être réutilisés si les mots de passe locaux EPMM n'ont pas été réinitialisés.Selon Ars Technica, Mozilla a identifié 271 vulnérabilités dans Firefox sur deux mois grâce à Anthropic Mythos, couplé à un agent harness maison utilisant le sanitizer build de Firefox comme signal de succès déterministe. Un second LLM filtre les hallucinations. Mozilla revendique « almost no false positives », avec 180 failles sec-high, 80 sec-moderate, 11 sec-low. Claude Opus 4.6 a également été utilisé en complément.Selon Canonical, deux LPE divulguées le 7 mai dans le noyau Linux sont regroupées sous l'appellation Dirty Frag. La CVE-2026-43284 cible le module ESP utilisé par IPsec, la seconde, en attente de CVE, vise le module RxRPC d'AFS. Score CVSS 7.8 HIGH, exploit public en circulation, scénarios de container escape possibles. Toutes les releases Ubuntu de Trusty 14.04 LTS à Resolute Raccoon 26.04 LTS sont impactées.Selon GoodTech, Sonatype et les principaux registres de paquets — Maven Central, PyPI, npm, NuGet — ont créé le Sustaining Package Registries Working Group sous la Linux Foundation. Brian Fox parle de « tragédie des communs » avec 10 000 milliards de téléchargements en 2025, dont 80 % du trafic Maven Central généré par les trois principaux cloud providers. L'enjeu dépasse la bande passante : signature des paquets, réponse aux attaques supply chain et conformité au Cyber Resilience Act européen.Sources :CISA KEV LiteLLM 8 mai : https://www.cisa.gov/news-events/alerts/2026/05/08/cisa-adds-one-known-exploited-vulnerability-catalogCISA KEV Ivanti EPMM 7 mai : https://www.cisa.gov/news-events/alerts/2026/05/07/cisa-adds-one-known-exploited-vulnerability-catalogCISA KEV Palo Alto PAN-OS 6 mai : https://www.cisa.gov/news-events/alerts/2026/05/06/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR Apache HTTP Server CERTFR-2026-AVI-0530 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0530/CERT-FR GLPI CERTFR-2026-AVI-0551 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0551/CERT-FR Ivanti EPMM CERTFR-2026-AVI-0552 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0552/Ars Technica Mozilla Mythos : https://arstechnica.com/information-technology/2026/05/mozilla-says-271-vulnerabilities-found-by-mythos-have-almost-no-false-positives/Ubuntu Dirty Frag : https://ubuntu.com//blog/dirty-frag-linux-vulnerability-fixes-availableGoodTech Linux Foundation Registres : https://goodtech.info/linux-foundation-financement-registres-open-source-sonatype/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #CISA #KEV #PaloAlto #PANOS #IvantiEPMM #BerriAI #LiteLLM #ApacheHTTPServer #GLPI #Mozilla #Firefox #Mythos #ClaudeOpus #DirtyFrag #LinuxKernel #Ubuntu #IPsec #RxRPC #LinuxFoundation #Sonatype #MavenCentral #PyPI #npm #NuGet #SupplyChain #CyberResilienceAct #RadioCSIRT

🎙️Édition spéciale Star Wars Day. Votre flash info cyber est livré aujourd'hui par les forces de la Cyber Threat Intelligence Impériale.Le côté obscur n'altère pas les faits, il les éclaire.Le CERT-FR signale plusieurs vulnérabilités dans la plateforme MISP dans toutes les versions antérieures à 2.5.37 : contournement de la politique de sécurité, injection SQL et élévation de privilèges. Vecteur sensible compte tenu du rôle central de MISP dans le partage de Threat Intelligence entre CERT, CSIRT et SOC.Le CERT-FR consolide plus de 80 vulnérabilités découvertes dans les produits Microsoft entre le 22 avril et le 02 mai 2026, concentrées sur le composant azl3 kernel d'Azure Linux dans toutes les versions antérieures à 6.6.137.1-1. Plus de soixante CVE émises sur la seule journée du 26 avril.Microsoft Edge fait l'objet de 27 vulnérabilités identifiées sur la seule journée du 1er mai, affectant l'ensemble des versions antérieures à 147.0.3912.98. Périmètre client-side plaçant les postes utilisateurs en première ligne d'exposition.Securonix documente la campagne VENOMOUS HELPER, active depuis avril 2025 et ayant frappé plus de 80 organisations principalement aux États-Unis. Phishing usurpant la Social Security Administration, déploiement de SimpleHelp RMM avec persistance Safe Mode, élévation SYSTEM via AdjustTokenPrivileges, architecture dual-channel résiliente avec ConnectWise ScreenConnect en repli. Recoupement avec STAC6405 documenté par Sophos. Attribution à un Initial Access Broker financièrement motivé ou à une opération précurseur de ransomware.La CISA ajoute la faille Copy Fail (CVE-2026-31431) à son catalogue KEV le 02 mai 2026. La vulnérabilité affecte l'interface algif_aead du noyau Linux et permet à un utilisateur local non privilégié d'obtenir les privilèges root en écrivant quatre octets contrôlés dans le page cache. Exploit Python 100% fiable contre Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 et SUSE 16. Périmètre couvrant tous les kernels Linux compilés depuis 2017. Échéance de patch BOD 22-01 fixée au 15 mai pour les agences fédérales américaines.Lightning AI publie un avis de sécurité sur la version 2.6.3 du package PyTorch Lightning distribuée sur PyPI, contenant une chaîne d'exécution cachée déclenchée à l'import. Téléchargement du runtime Bun 1.3.13 depuis GitHub puis exécution d'un payload JavaScript obfusqué de 11,4 mégaoctets. Microsoft Threat Intelligence identifie la souche comme ShaiWorm, ciblant fichiers .env, clés API, secrets, tokens GitHub, données navigateurs Chrome, Firefox et Brave, avec interaction sur les API AWS, Azure et GCP. PyPI a basculé sur la version 2.6.1.Sources :CERT-FR MISP CERTFR-2026-AVI-0515 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0515/CERT-FR Microsoft CERTFR-2026-AVI-0526 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0526/CERT-FR Microsoft Edge CERTFR-2026-AVI-0525 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0525/The Hacker News VENOMOUS HELPER : https://thehackernews.com/2026/05/phishing-campaign-hits-80-orgs-using.htmlBleepingComputer Copy Fail : https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/BleepingComputer PyTorch Lightning : https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/⚡️ Que la Force du patch soit avec vous. On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #StarWarsDay #MayThe4th #MISP #Microsoft #MicrosoftEdge #VENOMOUSHELPER #SimpleHelp #ScreenConnect #STAC6405 #CopyFail #LinuxKernel #CVE202631431 #KEV #CISA #PyTorchLightning #PyPI #ShaiWorm #SupplyChain #RadioCSIRT

Au sommaire de cette édition, huit dossiers couvrant la stratégie IA d'Ubuntu, une élévation de privilèges critique du noyau Linux, deux guides CISA sur l'agentic AI et le Zero Trust OT, deux billets du NCSC britannique sur la métrologie SOC et la patch wave à venir, ainsi que deux ajouts au KEV Catalog.Canonical détaille sa stratégie d'intégration de l'intelligence artificielle dans Ubuntu pour 2026. La distribution s'oriente vers l'inférence locale, des harnesses open source et des modèles à poids ouverts. Canonical distingue l'IA implicite, qui enrichit des fonctions existantes comme le speech-to-text, et l'IA explicite, axée sur des workflows agentiques. Le déploiement s'appuiera sur les inference snaps, soumis aux règles de confinement habituelles. Des modèles comme Gemma 4 et Qwen-3.6-35B-A3B sont cités pour leurs capacités de tool-calling.Canonical a divulgué publiquement le 29 avril 2026 la vulnérabilité CVE-2026-31431, baptisée Copy Fail. La faille affecte le module algif_aead du noyau Linux, fournissant des fonctions cryptographiques accélérées matériellement. Score CVSS 3.1 de 7.8, classé HIGH. Un exploit fonctionnel d'élévation locale de privilèges vers root est déjà publié, et un risque de container escape est identifié sur les déploiements conteneurisés. Toutes les versions d'Ubuntu antérieures à Resolute 26.04 sont concernées. Canonical distribue une mitigation via le paquet kmod, qui désactive le module vulnérable.La CISA, conjointement avec l'ASD ACSC australien et plusieurs partenaires internationaux, a publié le 1er mai 2026 le guide Careful Adoption of Agentic Artificial Intelligence Services. Le document cible les développeurs, vendeurs et opérateurs d'agentic AI déployant ces systèmes dans des environnements critical infrastructure et défense. Quatre risques majeurs sont identifiés : expanded attack surface, privilege creep, behavioral misalignment et opacité des event records générés par les agents.Dans une publication conjointe du 29 avril 2026, la CISA, en partenariat avec le Department of War, le Department of Energy, le FBI et le Department of State, a diffusé le guide Adapting Zero Trust Principles to Operational Technology. La CISA rappelle avoir observé des acteurs comme Volt Typhoon ciblant des systèmes industriels dans une logique de pre-positioning. Trois axes techniques structurent les recommandations : zones and conduits, supply chain risks et identity and access management.Le NCSC britannique, dans un billet signé Dave Chismon le 27 avril 2026, alerte sur le choix des métriques appliquées à un Security Operations Center. Quatre indicateurs sont jugés contre-productifs : nombre de tickets traités, temps de clôture d'un ticket, nombre de detection rules et volume de logs collectés. Le NCSC préconise le Time To Detect, le Time To Respond, le hypothesis-led threat hunting et une couverture alignée sur MITRE ATT&CK.Toujours côté NCSC, dans un billet du 1er mai 2026 signé Ollie Whitehouse, l'agence appelle les organisations à se préparer à une vulnerability patch wave. Le NCSC anticipe une correction forcée de l'écosystème logiciel, provoquée par la capacité de l'intelligence artificielle à exploiter à grande échelle la dette technique accumulée. Trois priorités : réduire les surfaces d'attaque externes, traiter les technologies en end of life et déployer les mises à jour rapidement, fréquemment et à l'échelle.La CISA a ajouté le 1er mai 2026 la CVE-2026-31431 à son Known Exploited Vulnerabilities Catalog, sur la base de preuves d'exploitation active. Cette inscription intervient deux jours après la divulgation publique par Canonical.Enfin, la CISA a ajouté le 30 avril 2026 la CVE-2026-41940 au KEV Catalog. La faille, de type Missing Authentication for Critical Function, affecte les produits WebPros cPanel & WHM ainsi que WP2, WordPress Squared. cPanel & WHM étant largement déployé dans l'hébergement web mutualisé, l'exploitation ouvre la voie à des compromissions massives de comptes hébergés.Sources :CISA, CISA Adds One Known Exploited Vulnerability to Catalog (1er mai 2026) : https://www.cisa.gov/news-events/alerts/2026/05/01/cisa-adds-one-known-exploited-vulnerability-catalogLinux Journal, Canonical Unveils Ubuntu AI Strategy: Local Models, User Control, and Smarter Workflows : https://www.linuxjournal.com/content/canonical-unveils-ubuntu-ai-strategy-local-models-user-control-and-smarter-workflowsUbuntu Discourse, The future of AI in Ubuntu : https://discourse.ubuntu.com/t/the-future-of-ai-in-ubuntu/81130Canonical, Fixes available for CVE-2026-31431 (Copy Fail) Linux Kernel Local Privilege Escalation Vulnerability : https://ubuntu.com/blog/copy-fail-vulnerability-fixes-availableCISA, CISA, US and International Partners Release Guide to Secure Adoption of Agentic AI : https://www.cisa.gov/news-events/news/cisa-us-and-international-partners-release-guide-secure-adoption-agentic-aiCISA, CISA and U.S. Government Partners Unveil Guide to Accelerate Zero Trust Adoption in Operational Technology : https://www.cisa.gov/news-events/news/cisa-and-us-government-partners-unveil-guide-accelerate-zero-trust-adoption-operational-technologyNCSC, Could your choice of metrics be harming your SOC? : https://www.ncsc.gov.uk/blogs/could-your-choice-of-metrics-be-harming-your-socNCSC, Preparing for a 'vulnerability patch wave' : https://www.ncsc.gov.uk/blogs/prepare-for-vulnerability-patch-waveCISA, CISA Adds One Known Exploited Vulnerability to Catalog (30 avril 2026) : https://www.cisa.gov/news-events/alerts/2026/04/30/cisa-adds-one-known-exploited-vulnerability-catalog⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #Ubuntu #Canonical #AI #AgenticAI #InferenceSnaps #CopyFail #CVE202631431 #LinuxKernel #algif_aead #LPE #ContainerEscape #CISA #KEV #ZeroTrust #OT #VoltTyphoon #ASD #ACSC #NCSC #SOCMetrics #TimeToDetect #ThreatHunting #PatchWave #CHERI #SSVC #cPanel #WHM #WordPress #CVE202641940 #DFIR #Hardening #Infosec #CyberNews

Una mirada inteligente y divertida del mundo que nos rodea, siempre con el acento puesto en Extremadura. Con Antonio León y José Manuel Bañegil.

Au sommaire de cette édition, six dossiers couvrant le ransomware, la sécurité cloud, la menace électorale, la supply chain logicielle, la dépréciation TLS et le paysage botnet.Check Point Research publie une analyse approfondie du ransomware VECT 2.0, opéré en Ransomware-as-a-Service depuis décembre 2025 et associé au groupe TeamPCP. Les variantes Windows, Linux et ESXi partagent une faille critique d'implémentation du cipher ChaCha20-IETF : pour tout fichier supérieur à 131 072 octets, seul le dernier des quatre nonces générés est conservé sur disque, rendant les trois quarts du contenu de chaque large file irrécupérables, y compris pour l'opérateur. Le malware fonctionne donc en pratique comme un wiper.L'AWS Customer Incident Response Team détaille la mise à jour de mars 2026 du Threat Technique Catalog, avec trois nouvelles techniques observées en réponse à incident : abus de refresh tokens Amazon Cognito via cognito-idp:GetTokensFromRefreshToken pour maintenir une persistance silencieuse, suppression d'Amazon Machine Images via ec2:DeregisterImage pour entraver la restauration, et modification furtive de trust policies par UpdateAssumeRolePolicy pour contourner les détections positionnées sur la création de rôles IAM.Le général Joshua Rudd, chef de l'US Cyber Command et de la NSA, alerte le Senate Armed Services Committee sur la probabilité d'opérations d'ingérence étrangère lors des élections de mi-mandat de 2026. Il reconnaît ignorer si l'Election Security Group, task force interagences active depuis 2018, a été reconstituée pour ce cycle, dans un contexte de réduction du périmètre de CISA.Unit 42 documente la nouvelle vague Shai-Hulud: The Third Coming visant l'écosystème npm. Le package malveillant @bitwarden/cli version 2026.4.0, attribué à TeamPCP, exfiltre les credentials cloud, CI/CD et workstations puis se propage en backdoorant les packages publiables par la victime. Trois shifts majeurs sont identifiés : wormable propagation, infrastructure-level persistence dans les pipelines CI/CD et multi-stage payloads avec dépendances dormantes.Microsoft annonce le blocage des connexions TLS 1.0 et TLS 1.1 pour les clients POP3 et IMAP4 d'Exchange Online à partir de juillet 2026. Seules les sessions négociées en TLS 1.2 ou supérieur seront acceptées. L'impact concerne principalement les applications héritées et les systèmes embarqués ayant explicitement opté pour les legacy endpoints lors d'une précédente phase de transition.ANY.RUN analyse Kamasers, un botnet hybride combinant DDoS multi-vecteurs et fonction de loader. Le malware s'appuie sur les loaders d'initial access GCleaner et Amadey, et utilise un Dead Drop Resolver via GitHub Gist, Telegram, Dropbox et Bitbucket — voire l'API api.etherscan.io — pour résoudre dynamiquement son adresse C2. L'infrastructure repose sur l'ASN de Railnet LLC, identifiée comme façade du bulletproof hoster Virtualine.Sources :Check Point Research, VECT: Ransomware by design, Wiper by accident : https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/AWS Security Blog, What the March 2026 Threat Technique Catalog update means for your AWS environment : https://aws.amazon.com/fr/blogs/security/what-the-march-2026-threat-technique-catalog-update-means-for-your-aws-environment/The Record by Recorded Future, Cyber Command, NSA chief warns foreign adversaries likely to target midterms : https://therecord.media/cyber-command-nsa-chief-midterm-election-threatUnit 42 Palo Alto Networks, Monitoring npm Supply Chain Attacks : https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/BleepingComputer, Microsoft to deprecate legacy TLS in Exchange Online starting July : https://www.bleepingcomputer.com/news/microsoft/microsoft-to-deprecate-legacy-tls-in-exchange-online-starting-july/Cyber Press, Kamasers DDoS Botnet With Loader Capabilities Attacking Organizations to Deploy Ransomware : https://cyberpress.org/kamasers-ddos-botnet-loader-threat/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #Ransomware #VECT #ChaCha20 #Wiper #ESXi #AWS #ThreatTechniqueCatalog #Cognito #IAM #AMI #ElectionSecurity #CyberCommand #NSA #ShaiHulud #npm #SupplyChain #TeamPCP #Bitwarden #ExchangeOnline #TLS #POP3 #IMAP #Kamasers #Botnet #DDoS #Loader #DeadDropResolver #Railnet #Virtualine #DFIR #Hardening #Infosec #CyberNews

Édition spéciale consacrée à FreeBSD comme station de travail OSINT, avec un panorama pratique et un angle comparatif face aux distributions Linux dédiées.FreeBSD est un système d'exploitation Unix libre, développé depuis 1993 sous licence BSD permissive, dont la philosophie repose sur l'intégration cohérente du noyau et du userland. Plusieurs caractéristiques structurelles le rendent pertinent pour la conduite d'investigations en sources ouvertes : ZFS intégré nativement avec snapshots instantanés et intégrité par checksums, jails comme mécanisme de cloisonnement léger antérieur de plus d'une décennie aux conteneurs Linux, pare-feu pf hérité d'OpenBSD pour le filtrage des flux sortants, dtrace et auditd pour la traçabilité système, et stabilité d'ABI garantie sur l'ensemble d'une branche majeure.Côté écosystème logiciel, la quasi-totalité du tooling OSINT moderne est disponible via le gestionnaire pkg ou la collection des ports. theHarvester, amass, subfinder, recon-ng pour la reconnaissance et l'énumération. sherlock, maigret, holehe pour l'investigation sur identités. exiftool, binwalk, yt-dlp pour les métadonnées et l'exploitation de fichiers. Tor, WireGuard intégré au noyau depuis FreeBSD 13.2, OpenVPN pour l'anonymisation et le routage. SpiderFoot fonctionne nativement, Maltego CE s'exécute via la couche de compatibilité Linux, qui permet de lancer des binaires Linux x86_64 non modifiés.L'architecture type d'une station OSINT FreeBSD repose sur un pool ZFS chiffré, une segmentation par jails dédiées (recon, tor-routing, browser, storage, vpn-egress), une politique pf bloquant toute sortie directe au profit des passerelles Tor ou VPN, et une chaîne de custody appuyée sur les snapshots ZFS horodatés.Sur le plan comparatif, Tsurugi Linux reste imbattable pour un démarrage rapide avec un environnement préconfiguré, Tails et Whonix dominent sur l'anonymisation par défaut, Kali et Parrot OS conviennent davantage aux profils offensifs. FreeBSD se distingue sur le cloisonnement natif, la cohérence ZFS, et la reproductibilité d'environnement sur la durée. Les limites principales concernent le support matériel des laptops récents, l'écart culturel avec la communauté Linux dominante, et la courbe d'apprentissage initiale.L'épisode complet détaille chaque catégorie d'outils, la configuration des jails, les politiques pf d'attribution réseau, et le verdict pratique selon le profil d'analyste.Sources :FreeBSD Handbook — The FreeBSD Documentation Project : https://docs.freebsd.org/en/books/handbook/FreeBSD Ports Collection — FreeshBSD : https://www.freebsd.org/ports/FreeBSD Journal, Laptop Support and Usability Project — FreeBSD Foundation : https://freebsdfoundation.org/journal/Tsurugi Linux Project : https://tsurugi-linux.org/Tails — The Amnesic Incognito Live System : https://tails.net/Whonix Project : https://www.whonix.org/Project Discovery, amass et subfinder : https://github.com/owasp-amass/amasstheHarvester — laramies : https://github.com/laramies/theHarvesterrecon-ng Framework : https://github.com/lanmaster53/recon-ngSherlock Project : https://github.com/sherlock-project/sherlockSpiderFoot OSS : https://github.com/smicallef/spiderfootExifTool by Phil Harvey : https://exiftool.org/WireGuard for FreeBSD : https://www.freebsd.org/cgi/man.cgi?wg(4)pf Packet Filter — FreeBSD Handbook : https://docs.freebsd.org/en/books/handbook/firewalls/#firewalls-pf⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #FreeBSD #OSINT #Unix #BSD #ZFS #Jails #pf #WireGuard #Tor #Anonymisation #Reconnaissance #Énumération #theHarvester #amass #subfinder #reconng #sherlock #SpiderFoot #Maltego #Tsurugi #Tails #Whonix #Kali #Parrot #DFIR #ChainOfCustody #Hardening #Sandboxing #Infosec #CyberNews

Selon The Record, d'anciens responsables américains et Kevin Mandia décrivent la menace cyber iranienne comme relevant davantage du « low and slow » que du choc frontal. Lors de l'Asness Summit à Nashville, Tim Haugh, ancien directeur de la NSA, compare les opérations iraniennes à celles d'un acteur criminel : intrusions opportunistes amplifiées par des Information Operations. L'incident visant le fabricant de dispositifs médicaux Stryker, présenté comme une cyberattaque destructrice, repose en réalité sur du Social Engineering et des credentials légitimes achetés sur le dark web.D'après un rapport publié par l'expert en vie privée Alexander Hanff et relayé par GBHackers, Claude Desktop pour macOS installerait silencieusement un bridge Native Messaging dans sept navigateurs Chromium, dont Google Chrome, Brave, Edge, Arc, Vivaldi et Opera. Le manifest com.anthropic.claude_browser_extension.json autorise trois Chrome extension IDs à invoquer un exécutable hors sandbox avec privilèges utilisateur complets, exposant DOM, sessions authentifiées, form filling et enregistrement d'écran.BleepingComputer rapporte que plus de 10 500 serveurs Zimbra Collaboration Suite restent vulnérables à la CVE-2025-48700, faille XSS notée critique permettant à un attaquant non authentifié d'exécuter du JavaScript arbitraire sans interaction utilisateur. La CISA a ajouté la vulnérabilité au catalogue KEV avec une échéance de patch fixée au 23 avril pour les agences fédérales. Les instances exposées se concentrent en Asie et en Europe avec près de 3 800 serveurs chacune.Selon WIRED via Ars Technica, les tensions internes chez Palantir s'intensifient autour des contrats avec l'Immigration and Customs Enforcement et des programmes de défense liés au conflit en Iran. La société a ramené à sept jours la rétention Slack sur le canal #palantir-in-the-news en réponse aux fuites. Lors d'AMA internes, des membres de l'équipe Privacy and Civil Liberties ont reconnu qu'« un client suffisamment malveillant est aujourd'hui pratiquement impossible à empêcher », la maîtrise reposant sur l'audit a posteriori.Le Centre canadien pour la cybersécurité, en collaboration avec la Gendarmerie royale du Canada, alerte sur des campagnes de Smishing sophistiquées ciblant les utilisateurs mobiles canadiens. Les messages frauduleux exploitent du Number Spoofing combiné à des formulations d'urgence, en s'insérant parfois dans des fils de discussion légitimes. Les finalités identifiées sont la fraude financière, le vol d'identité et l'infection par malware. Le Centre publie l'orientation ITSAP.00.103 et rappelle le dispositif de signalement au numéro 7726.Selon Linux Journal, Mozilla a publié Thunderbird 150.0 en avril 2026, avec recherche dans le contenu des emails chiffrés OpenPGP et S/MIME, jusque-là absente. La version introduit également les signatures OpenPGP « unobtrusive » destinées à apparaître plus proprement côté destinataire, plusieurs Security Patches, et corrige des crashes lors de la création de dossiers, des interruptions POP3 ainsi que des problèmes d'authentification sur les comptes Exchange. Le viewer PDF intégré permet désormais de réordonner les pages.Pour finir, retour sur un article de Cédric Godart documentant une stratégie de durcissement poste de travail en télétravail combinant NextDNS et AdGuard, sans antivirus traditionnel. L'approche s'appuie sur du filtrage en amont au niveau DNS, déployé sur le routeur et sur les terminaux en mobilité, complété par AdGuard en seconde ligne au niveau système. L'auteur écarte les antivirus classiques au profit de XProtect et Defender face à des menaces majoritairement véhiculées par malvertising et scripts de tracking.Sources :Iran's cyber threat may be less 'shock and awe' than 'low and slow,' officials say — The Record : https://therecord.media/iran-cyber-warfare-haughClaude Desktop Reportedly Adds Browser Access Bridge for Chromium Browsers — GBHackers : https://gbhackers.com/claude-desktop-reportedly-adds-browser-access/CISA says Zimbra flaw now exploited, over 10K servers vulnerable — BleepingComputer : https://www.bleepingcomputer.com/news/security/cisa-says-zimbra-flaw-now-exploited-over-10k-servers-vulnerable/Palantir employees are talking about company's "descent into fascism" — Ars Technica : https://arstechnica.com/tech-policy/2026/04/palantir-employees-are-talking-about-companys-descent-into-fascism/Le Centre pour la cybersécurité avise les Canadiennes et Canadiens des activités d'hameçonnage sophistiquées par message texte les ciblant — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/nouvelles-evenements/centre-cybersecurite-avise-canadiennes-canadiens-activites-dhameconnage-sophistiquees-message-texte-ciblantThunderbird 150 Lands on Linux: Smarter Encryption, Better Tools, and a Polished Experience — Linux Journal : https://www.linuxjournal.com/content/thunderbird-150-lands-linux-smarter-encryption-better-tools-and-polished-experienceTélétravail : transformer son ordinateur en forteresse numérique (sans l'alourdir) — Cédric Godart : https://cedric.fm/teletravail-securite-mac-pc/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #Iran #Stryker #SocialEngineering #IdentitySecurity #ClaudeDesktop #Anthropic #NativeMessaging #Chromium #PromptInjection #Zimbra #CVE #XSS #KEV #CISA #Palantir #ICE #Slack #Smishing #Phishing #CCCS #GRC #Canada #Thunderbird #Mozilla #OpenPGP #SMIME #NextDNS #AdGuard #Télétravail #DNSFiltering #Infosec #CyberNews

Une nouvelle vulnérabilité baptisée Pack2TheRoot, identifiée CVE-2026-41651 et notée 8.8, affecte le daemon PackageKit depuis près de douze ans. Découverte par la Red Team de Deutsche Telekom, elle permet à un utilisateur local de déclencher l'installation de paquets système sans authentification via pkcon install, ouvrant la voie à une élévation jusqu'au root. Ubuntu, Debian Trixie, RockyLinux 10.1 et Fedora 43 sont concernés. La version 1.3.5 corrige le défaut.La présidente du Bundestag allemand Julia Klöckner a été visée par une campagne de Spear Phishing via un groupe Signal usurpant un canal de cadres de la CDU. Les attaquants ne cherchent pas à casser le chiffrement mais à extorquer le PIN de l'application par Social Engineering. Le chancelier Friedrich Merz figurait dans le groupe sans être compromis. L'opération s'inscrit dans une vague attribuée à des campagnes hybrides liées à la Russie.L'Office of Inspector General de la NASA révèle qu'une campagne de Spear Phishing conduite par le ressortissant chinois Song Wu, ingénieur chez Aviation Industry Corporation of China, a visé entre 2017 et 2021 des employés de la NASA, de l'US Air Force, de la Navy et de la FAA pour obtenir des logiciels de modélisation utilisables dans le développement de missiles tactiques. Song Wu est inculpé pour Wire Fraud et Aggravated Identity Theft.Carnival Corporation fait face à la mise en ligne par ShinyHunters de 8,7 millions d'enregistrements liés à sa filiale Holland America Line, dont 7,5 millions d'adresses email uniques issues du programme Mariner Society. Carnival évoque un simple Phishing sur un compte, là où le groupe d'extorsion revendique plusieurs téraoctets de données internes exfiltrés.La CISA ajoute quatre vulnérabilités à son catalogue KEV : CVE-2024-7399 sur Samsung MagicINFO 9, CVE-2024-57726 et CVE-2024-57728 sur SimpleHelp, et CVE-2025-29635 sur le routeur D-Link DIR-823X, exploitée par des botnets Mirai.Le CERT-FR publie trois avis majeurs : CERTFR-2026-AVI-0495 couvrant plusieurs centaines de CVE dans le noyau Linux d'Ubuntu sur onze bulletins Canonical, CERTFR-2026-AVI-0491 sur Synology DSM avec treize CVE incluant SSRF, XSS et SQL Injection, et CERTFR-2026-AVI-0489 sur les produits Tenable avec CVE-2026-33694 permettant une exécution de code arbitraire dans Nessus et Nessus Agent.Sources :New 'Pack2TheRoot' flaw gives hackers root Linux access — BleepingComputer : https://www.bleepingcomputer.com/news/security/new-pack2theroot-flaw-gives-hackers-root-linux-access/Signal phishing campaign targets Germany's Bundestag President Julia Klöckner — Security Affairs : https://securityaffairs.com/191224/intelligence/signal-phishing-campaign-targets-germanys-bundestag-president-julia-klockner.htmlNASA Employees Duped in Chinese Phishing Scheme Targeting U.S. Defense Software — The Hacker News : https://thehackernews.com/2026/04/nasa-employees-duped-in-chinese.htmlShinyHunters claim they have cruise giant Carnival's booty as 7.5M emails surface — The Register : https://www.theregister.com/2026/04/24/shinyhunters_claim_cruise_giant_carnivals/CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/23/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds Four Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/24/cisa-adds-four-known-exploited-vulnerabilities-catalogMultiples vulnérabilités dans le noyau Linux d'Ubuntu (CERTFR-2026-AVI-0495) — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0495/Multiples vulnérabilités dans Synology DSM (CERTFR-2026-AVI-0491) — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0491/Vulnérabilité dans les produits Tenable (CERTFR-2026-AVI-0489) — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0489/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #Pack2TheRoot #PackageKit #Linux #LPE #Ubuntu #Fedora #Signal #Phishing #Bundestag #SocialEngineering #NASA #SongWu #AVIC #China #SpearPhishing #Carnival #HollandAmerica #ShinyHunters #DataBreach #CISA #KEV #Samsung #SimpleHelp #DLink #Mirai #CERTFR #Synology #SSRF #XSS #SQLi #Tenable #Nessus #VulnerabilityManagement #Infosec #CyberNews

Le NCSC britannique publie le 23 avril, au deuxième jour de la conférence CYBERUK 2026, une advisory conjointe signée avec quinze agences partenaires de neuf pays dont la CISA, le FBI, la NSA, l'ASD australien ou le BSI allemand. Le document détaille les covert networks liés à la Chine, construits à partir d'edge devices compromis comme des routeurs domestiques et smart devices, utilisés par la majorité des acteurs pro-chinois pour dissimuler leur activité. L'advisory alerte sur le phénomène d'IOC extinction et rappelle l'attribution à Integrity Technology Group du botnet exploité par Flax Typhoon, sanctionnée par le gouvernement britannique en décembre 2025.Canonical libère Ubuntu 26.04 LTS, nom de code Resolute Raccoon, avec un support standard jusqu'en avril 2031 et étendu jusqu'en avril 2036 via Ubuntu Pro. La distribution embarque GNOME 50, le noyau Linux 6.20 et surtout devient la première LTS à basculer exclusivement sur Wayland, la session X11 disparaissant définitivement des options de connexion, ce qui renforce l'isolation graphique entre applications.Le Centre canadien pour la cybersécurité publie le bulletin AV26-379 relayant plusieurs avis de sécurité n8n, dont certains critiques, affectant le MCP Client Registration, le dynamic-node-parameters, le XML Node Prototype Pollution, le XML Webhook, le SQL Mode of Merge Node, le MCP OAuth client et le Python Task Runner. Les administrateurs sont invités à appliquer sans délai les correctifs.Rapid7 documente Kyber, un nouveau ransomware déployé en deux variantes sur un même réseau, l'une ciblant Windows et l'autre VMware ESXi. La version Windows combine AES-CTR pour le chiffrement des fichiers avec Kyber1024, un algorithme de cryptographie post-quantique, associé à X25519 pour protéger les clés. Le ransomware supprime ensuite les Volume Shadow Copies, efface les journaux d'événements, coupe les services SQL, Exchange et sauvegardes, et arrête les machines Hyper-V. La variante ESXi s'appuie sur ChaCha8 et RSA-4096.Moonshot AI publie Kimi K2.6, un modèle open-weight sous licence Modified MIT reposant sur une architecture Mixture-of-Experts de 1 000 milliards de paramètres totaux dont 32 milliards activés par token. Sur SWE-Bench Pro, le modèle obtient 58,6 points contre 57,7 pour GPT-5.4 et 53,4 pour Claude Opus 4.6. Les poids sont publiés sur Hugging Face mais les données d'entraînement et la recette restent fermées, ce qui distingue K2.6 d'une démarche open source au sens strict.Le NCSC britannique recommande désormais les passkeys comme méthode d'authentification de premier choix pour les consommateurs et par défaut pour les entreprises. Un rapport technique publié le 23 avril établit que les passkeys offrent une résilience au moins équivalente à celle d'un mot de passe robuste combiné à une 2SV, avec une connexion jusqu'à huit fois plus rapide et une résistance au phishing. Plus de 50 % des utilisateurs actifs des services Google britanniques disposent déjà d'un passkey enregistré.Enfin, le FIRST publie un retour d'expérience de l'équipe CIRT-BS des Bahamas à l'approche du lancement officiel de Cyber Reef, son service dédié aux moyennes et grandes organisations. L'offre couvre threat intelligence ciblée, alertes sur systèmes compromis et credentials fuités, Website Security Posture Assessment, exercices tabletop, DFIR, et déploiement de sondes T-Pot honeypot. Emilio Smith souligne que la construction de la confiance avec les opérateurs télécoms et les infrastructures critiques reste le principal défi pour un CSIRT national.Sources :International cyber agencies share fresh advice to defend against China-linked covert networks — NCSC : https://www.ncsc.gov.uk/news/international-cyber-agencies-fresh-advice-defend-against-china-linked-covert-networksUbuntu 26.04 LTS : le Resolute Raccoon débarque aujourd'hui et change radicalement la donne — GoodTech : https://goodtech.info/ubuntu-26-04-lts-resolute-raccoon-sortie-gnome-50-gaming/Bulletin de sécurité n8n (AV26-379) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-n8n-av26-379Kyber, ce ransomware qui teste le chiffrement post-quantique sur Windows — Clubic : https://www.clubic.com/actualite-610348-kyber-ce-ransomware-qui-teste-le-chiffrement-post-quantique-sur-windows.htmlUn modèle chinois coiffe Claude et GPT-5.4 au poteau sur le codage, une bascule pour l'IA ouverte ? — Clubic : https://www.clubic.com/actualite-610279-un-modele-chinois-coiffe-claude-et-gpt-5-4-au-poteau-sur-le-codage-une-bascule-pour-l-ia-ouverte.htmlNCSC: Leave passwords in the past - passkeys are the future — NCSC : https://www.ncsc.gov.uk/news/ncsc-leave-passwords-in-the-past-passkeys-are-the-futureA reef takes time to grow: CIRT-BS — FIRST : https://www.first.org/blog/20260422-A-Reef-Takes-Time-to-Grow⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #NCSC #CYBERUK #China #CovertNetworks #EdgeDevices #FlaxTyphoon #IntegrityTechnology #Ubuntu #ResoluteRaccoon #Linux #Wayland #GNOME #Canonical #CCCS #n8n #MCP #OAuth #Rapid7 #Kyber #Ransomware #PostQuantum #Kyber1024 #ESXi #HyperV #MoonshotAI #KimiK2 #LLM #OpenWeight #HuggingFace #Passkeys #Authentication #Phishing #Passwords #FIRST #CIRTBS #Bahamas #CyberReef #Honeypot #DFIR #Infosec #CyberNews

La CISA ajoute une nouvelle entrée à son Known Exploited Vulnerabilities Catalog le 22 avril 2026 : la CVE-2026-33825, une faille d'Insufficient Granularity of Access Control affectant Microsoft Defender, activement exploitée. Les agences FCEB sont tenues de remédier dans les délais fixés par la Binding Operational Directive 22-01.Le Centre canadien pour la cybersécurité publie le bulletin AV26-381 relayant la diffusion par Apple de correctifs de sécurité pour iOS et iPadOS dans les versions antérieures à 18.7.8 et 26.4.2. Les administrateurs sont invités à appliquer sans délai les mises à jour sur les parcs concernés.Microsoft diffuse une mise à jour out-of-band corrigeant la CVE-2026-40372, une vulnérabilité critique d'ASP.NET Core notée 9.1 en CVSS. Une régression dans les packages NuGet Microsoft.AspNetCore.DataProtection 10.0.0 à 10.0.6 conduit le managed authenticated encryptor à calculer son HMAC sur des octets incorrects, permettant à un attaquant non authentifié de forger des payloads validés, déchiffrer des authentication cookies et obtenir des privilèges SYSTEM. L'exploitation suppose une exécution sur Linux, macOS ou un autre système non Windows. Les tokens émis pendant la fenêtre restent valides tant que le DataProtection key ring n'est pas rotaté.Security Affairs rapporte une attaque DDoS majeure contre Mastodon le 20 avril 2026, quelques jours après un incident similaire ayant visé Bluesky. La plateforme open source décentralisée a rétabli l'accessibilité environ deux heures après détection. L'attaque contre Bluesky a été revendiquée par le groupe 313 Team, sans revendication publique à ce stade concernant Mastodon.NPR révèle qu'Immigration and Customs Enforcement a confirmé pour la première fois l'usage du spyware Graphite, développé par la société israélienne Paragon Solutions, dans le cadre de ses opérations de Homeland Security Investigations. L'outil repose sur une capacité zero-click d'accès aux messages chiffrés. Paragon avait fait l'objet d'un contrat de 2 millions de dollars suspendu sous l'administration Biden puis relancé sous l'administration Trump, et a été rachetée fin 2024 par AE Industrial Partners, fusionnée avec la société de cybersécurité REDLattice.Jenn Gile, cofondatrice d'OpenSourceMalware, publie sur le blog du FIRST une analyse expliquant en quoi les packages malveillants publiés sur les registres open source échappent au modèle classique d'intelligence des vulnérabilités. Le cas d'axios, client HTTP JavaScript téléchargé 100 millions de fois par semaine et dont deux versions malveillantes ont été publiées le 30 mars 2026 suite au hijacking du compte du mainteneur, illustre les limites de l'enregistrement OSV MAL-2026-2307 face à un RAT multiplateforme caché dans la dépendance injectée plain-crypto-js.Didier Stevens documente sur l'Internet Storm Center du SANS l'utilisation de fichiers .wav comme vecteur de diffusion de malware, sans recours à la stéganographie. Les octets encodant le son sont directement remplacés par la représentation BASE64 d'un PE obfusqué en XOR. L'extraction repose sur une known-plaintext attack exploitant la signature du DOS header via les outils base64dump.py et xor-kpa.py.Enfin, le Year in Review 2025 de Cisco Talos souligne que le phishing reste à l'origine de 40 % des initial access, avec une bascule vers des leurres workflow et un abus croissant de Microsoft 365 Direct Send pour spoofer des adresses internes. Près d'un tiers des MFA spray attacks visent désormais des solutions d'IAM, et les device compromise ont progressé de 178 % en 2025, majoritairement via du voice phishing contre les administrateurs.Sources :CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/22/cisa-adds-one-known-exploited-vulnerability-catalogBulletin de sécurité Apple (AV26-381) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-apple-av26-381Microsoft Patches Critical ASP.NET Core CVE-2026-40372 Privilege Escalation Bug — The Hacker News : https://thehackernews.com/2026/04/microsoft-patches-critical-aspnet-core.htmlDDoS wave continues as Mastodon hit after Bluesky incident — Security Affairs : https://securityaffairs.com/191144/cyber-crime/ddos-wave-continues-as-mastodon-hit-after-bluesky-incident.htmlICE acknowledges it is using powerful spyware — NPR : https://www.npr.org/2026/04/07/nx-s1-5776799/ice-spyware-privacyMalicious Packages Don't Fit the Vulnerability Intelligence Model — FIRST : https://www.first.org/blog/20260420-Malicious-Packages-Dont-FitA .WAV With A Payload — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32910Phishing and MFA exploitation: Targeting the keys to the kingdom — Cisco Talos : https://blog.talosintelligence.com/phishing-and-mfa-exploitation-targeting-the-keys-to-the-kingdom/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #MicrosoftDefender #Apple #iOS #iPadOS #CCCS #ASPNETCore #Microsoft #DataProtection #HMAC #Mastodon #Bluesky #DDoS #313Team #ICE #Graphite #Paragon #Spyware #ZeroClick #OpenSourceMalware #axios #npm #SupplyChain #FIRST #SANS #ISC #WAV #XOR #MalwareAnalysis #CiscoTalos #Phishing #MFA #DirectSend #IAM #DeviceCompromise #Infosec #CyberNews

Un article du Monde revient sur la diffusion exagérée par des influenceurs cyber d'une prétendue fuite touchant 714 000 utilisateurs d'Immojeune, annoncée sur BreachForums le 5 mars. Après analyse, la société indique que seuls 5 126 dossiers ont réellement fuité. Vincent Strubel, directeur général de l'ANSSI, rappelle lors du panorama 2025 de la cybermenace que reprendre sans recoupement les revendications d'attaquants pose un problème éthique, une position confortée par Ludovic Mé de l'Inria.La CISA ajoute huit vulnérabilités à son Known Exploited Vulnerabilities Catalog, dont trois visent Cisco Catalyst SD-WAN Manager : CVE-2026-20122, CVE-2026-20128 et CVE-2026-20133. S'ajoutent des failles sur PaperCut NG/MF, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA et Synacor Zimbra. Toutes sont exploitées activement et relèvent de la Binding Operational Directive 22-01 pour les agences FCEB.Le CERT-FR publie deux avis. L'avis CERTFR-2026-AVI-0464 couvre la CVE-2026-6553 dans Typo3, affectant typo3/cms-backend avant la version 14.3.0 pour Composer, avec risque d'atteinte à la confidentialité. L'avis CERTFR-2026-AVI-0465 signale une vulnérabilité dans Mattermost Server 11.5.x avant 11.5.2, sans risque spécifié par l'éditeur.Cleafy documente Mirax, un nouveau RAT Android distribué en private Malware-as-a-Service réservé à des affiliés russophones. Les campagnes ciblent l'Espagne via des Meta Ads sur Facebook et Instagram, pour une portée de plus de 200 000 comptes, avec des droppers hébergés sur GitHub Releases. Au-delà des HTML Overlays sur 182 applications, du VNC et du keylogging, Mirax intègre une capacité inédite de résidential proxy SOCKS5 multiplexé en Yamux via WebSocket, transformant chaque téléphone infecté en nœud de sortie légitime.The Hacker News rapporte que Google a corrigé une vulnérabilité de code execution dans son IDE agentique Antigravity, identifiée par Pillar Security. Un Prompt Injection ciblant le paramètre Pattern de l'outil find_by_name, via le flag -X de fd, permet de contourner le Strict Mode et d'exécuter un binaire arbitraire. L'article revient également sur des failles patchées dans Claude Code, Copilot Agent, Cursor avec la chaîne NomShub, Microsoft Copilot Studio (CVE-2026-21520) et Salesforce Agentforce.The Hacker News rapporte enfin qu'un troisième négociateur de ransomware, Angelo Martino, employé chez DigitalMint, a plaidé coupable devant le Department of Justice pour avoir collaboré avec les opérateurs de BlackCat en 2023. Il transmettait aux attaquants les positions de négociation et les plafonds d'assurance de cinq de ses clients, et a déployé directement du ransomware avec Ryan Goldberg (Sygnia) et Kevin Martin (DigitalMint). 10 millions de dollars d'actifs ont été saisis, verdict attendu le 9 juillet 2026.Sources :713 000 dossiers piratés ou vigilance recommandée : les excès d'alerte des influenceurs cyber sur les fuites de données — Le Monde : https://www.lemonde.fr/pixels/article/2026/03/18/713-000-dossiers-pirates-les-exces-d-alerte-des-influenceurs-cyber-sur-les-fuites-de-donnees_6672045_4408996.htmlCISA Adds Eight Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/20/cisa-adds-eight-known-exploited-vulnerabilities-catalogVulnérabilité dans Typo3 — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0464/Vulnérabilité dans Mattermost Server — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0465/Mirax: a new Android RAT turning infected devices into potential residential proxy nodes — Cleafy : https://www.cleafy.com/cleafy-labs/mirax-a-new-android-rat-turning-infected-devices-into-potential-residential-proxy-nodesGoogle Patches Antigravity IDE Flaw Enabling Prompt Injection Code Execution — The Hacker News : https://thehackernews.com/2026/04/google-patches-antigravity-ide-flaw.htmlRansomware Negotiator Pleads Guilty to Aiding BlackCat Attacks in 2023 — The Hacker News : https://thehackernews.com/2026/04/ransomware-negotiator-pleads-guilty-to.html ⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #ANSSI #Immojeune #Cisco #SDWAN #PaperCut #TeamCity #Kentico #KACE #Zimbra #CERTFR #Typo3 #Mattermost #Cleafy #Mirax #Android #RAT #ResidentialProxy #SOCKS5 #MaaS #MetaAds #Google #Antigravity #PromptInjection #ClaudeCode #Cursor #CopilotStudio #Agentforce #BlackCat #Ransomware #DOJ #InsiderThreat #Infosec #CyberNews

Darktrace publie une analyse d'un nouveau malware baptisé ZionSiphon, spécifiquement conçu pour cibler les systèmes de traitement et de désalinisation de l'eau en Israël. L'échantillon combine privilege escalation, persistence via la clé de registre SystemHealthCheck, propagation par USB sous le faux processus svchost.exe, et scanning ICS sur Modbus port 502, DNP3 port 20000 et S7comm port 102. La target list nomme Mekorot, les usines de Sorek, Hadera, Ashdod, Palmachim et la station de Shafdan. Le payload vise la manipulation des dosages de chlore et des pressions hydrauliques. L'échantillon analysé reste non fonctionnel en raison d'une incohérence de clé XOR dans la fonction IsTargetCountry, déclenchant systématiquement la routine SelfDestruct. Des chaînes Base64 décodées contiennent des messages politiques signés 0xICS.MZLA Technologies Corporation, filiale de la Mozilla Foundation, annonce Thunderbolt, un AI client open source et self-hostable destiné aux organisations. Le produit repose sur une intégration native avec Haystack, le framework open source d'orchestration d'agents et de RAG développé par la société berlinoise deepset. Thunderbolt supporte le Model Context Protocol et l'Agent Client Protocol, accepte des modèles commerciaux, open source ou locaux, et propose du end-to-end encryption en option. Des applications natives sont prévues pour Windows, macOS, Linux, iOS et Android. Le code source est publié sur GitHub, l'accès se fait via waitlist sur thunderbolt.io.Le CERT-UA documente sous la référence UAC-0247 l'intensification depuis mars et avril 2026 de campagnes contre les collectivités locales et les hôpitaux publics ukrainiens. L'initial access repose sur du phishing autour de propositions d'aide humanitaire, parfois avec une page leurre générée par IA ou l'abus d'un site légitime vulnérable au XSS. La chaîne d'infection passe par un LNK déclenchant mshta.exe, puis un HTA qui charge un EXE via scheduled task, lequel injecte un shellcode dans RuntimeBroker.exe. Les campagnes récentes utilisent un loader en deux étapes avec un format exécutable propriétaire, suivi d'un RAVENSHELL chiffrant son trafic via XOR 9 octets, ou du RAT AGINGFLY en C# communiquant en WebSocket chiffré AES-CBC, avec handlers compilés dynamiquement depuis le C2. Un script PowerShell SILENTLOOP récupère l'adresse du C2 sur Telegram. Pour le lateral movement, les opérateurs emploient RUSTSCAN, LIGOLO-NG et CHISEL, et exploitent CHROMELEVATOR et ZAPIXDESK pour l'exfiltration de credentials. Le CERT-UA signale également le ciblage d'opérateurs FPV via un faux update du logiciel BACHU diffusé sur Signal, exploitant un DLL side-loading pour déployer AGINGFLY.La CISA ajoute le 16 avril 2026 une nouvelle entrée à son catalogue Known Exploited Vulnerabilities : CVE-2026-34197, une faille critique affectant Apache ActiveMQ Classic, avec un score CVSS de 8.8. Selon l'analyse publiée par Horizon3.ai, il s'agit d'une faille d'improper input validation conduisant à une code injection via l'API Jolokia : un attaquant peut forcer le broker à charger un fichier de configuration distant et exécuter des commandes arbitraires au niveau du système d'exploitation. Naveen Sunkavally précise que la faille était dormante depuis treize ans. Sur les versions 6.0.0 à 6.1.1, la combinaison avec CVE-2024-32114, qui expose l'API Jolokia sans authentification, transforme la faille en unauthenticated RCE. Les correctifs sont disponibles dans les versions 5.19.4 et 6.2.3. Les agences FCEB doivent appliquer les correctifs avant le 30 avril 2026.BleepingComputer rapporte que Microsoft a retiré une mise à jour de service empêchant certains utilisateurs de lancer le client desktop Microsoft Teams. L'incident, tracké sous la référence TM1283300, bloquait les utilisateurs sur l'écran de chargement avec le message d'erreur "We're having trouble loading your message. Try refreshing.". Microsoft a identifié la cause comme une régression dans le client build caching system de Teams, introduite par une mise à jour de service, et a procédé à un rollback complet. Les utilisateurs impactés doivent quitter totalement puis relancer Teams pour que la correction se propage. Microsoft a qualifié l'événement d'incident, une classification réservée aux dysfonctionnements critiques à impact visible.BleepingComputer rapporte par ailleurs que Microsoft a publié une série de mises à jour out-of-band destinées à corriger deux dysfonctionnements survenus après le déploiement des correctifs de sécurité d'avril 2026. Le premier concerne des échecs d'installation de la mise à jour KB5082063 sur Windows Server 2025. Le second provoque une restart loop sur des domain controllers en raison de crashes du processus Local Security Authority Subsystem Service, LSASS. Les domain controllers non-Global Catalog opérant dans des environnements utilisant Privileged Access Management sont particulièrement exposés. Sept builds OOB ont été livrés, couvrant Windows Server 2016, 2019, 2022, 23H2, 2025, ainsi que les Azure Editions en Hotpatch. Seul le KB5091157 pour Windows Server 2025 adresse les deux known issues simultanément.Xavier Mertens publie sur l'Internet Storm Center du SANS une analyse sur l'usage du scoring EPSS pour prioriser le triage des vulnérabilités. Face aux 40 000 CVE publiées en 2024 à un rythme d'environ 110 par jour dont seulement 5 à 7 % exploitées dans la nature, le seul score CVSS s'avère insuffisant. L'Exploit Prediction Scoring System, développé par le FIRST et en production dans sa version v3 depuis mars 2023, répond à une question probabiliste : la probabilité qu'une CVE soit exploitée dans les 30 jours suivant sa publication. Le modèle repose sur un gradient-boosted machine learning basé sur XGBoost, alimenté par environ 1 400 signaux mis à jour quotidiennement. L'auteur détaille une intégration concrète dans Wazuh via un script Python interrogeant l'API publique de FIRST et déclenchant un enrichissement automatique avec mapping en quatre niveaux : low, medium, high, critical.Sources :ZionSiphon Launches Sabotage Attacks On Israel's Water Infrastructure — CyberPress : https://cyberpress.org/zionsiphon-hits-water-infrastructure/Announcing Thunderbolt — MZLA Technologies Corporation : https://www.thunderbolt.io/announcing-thunderboltЛікарні, органи місцевого самоврядування та оператори FPV — у фокусі кластера кіберзагроз UAC-0247 — CERT-UA : https://cert.gov.ua/article/6288271CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/16/cisa-adds-one-known-exploited-vulnerability-catalogMicrosoft pulls service update causing Teams launch failures — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-teams-client-launch-failures-caused-by-service-update/Microsoft releases emergency updates to fix Windows Server issues — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-updates-to-fix-windows-server-issues/Handling the CVE Flood With EPSS — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32914⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #Darktrace #ZionSiphon #ICS #OT #Israel #Water #Mozilla #Thunderbolt #Haystack #AI #SovereignAI #CERTUA #UAC0247 #Ukraine #Phishing #RAVENSHELL #AGINGFLY #SILENTLOOP #LIGOLO #RUSTSCAN #ApacheActiveMQ #Jolokia #RCE #Horizon3 #Microsoft #Teams #WindowsServer #LSASS #DomainController #OOB #KB5082063 #EPSS #FIRST #Wazuh #Infosec #CyberNews

Un espacio para la población senior. Abordamos asuntos de actualidad, temas sobre salud y envejecimiento activo, literatura, música, historia… Con Guadalupe Jerez.

Una mirada inteligente y divertida del mundo que nos rodea, siempre con el acento puesto en Extremadura. Con Antonio León y José Manuel Bañegil.

L'ASD publie en avril 2026 une mise à jour de son guide de sécurité dédié aux réseaux sociaux, ciblant particuliers, organisations et infrastructures critiques. Le document rappelle que des services comme TikTok, WeChat ou Telegram collectent des métadonnées au-delà du contenu des messages, potentiellement soumises à des accès légaux étrangers. Les risques opérationnels mis en avant incluent le social engineering via comptes de support compromis, l'agrégation d'informations à des fins d'espionnage, et la suppression des métadonnées de géolocalisation avant tout partage de contenu.L'ASD met simultanément à jour son guide de détection des messages de social engineering, couvrant les vecteurs email, SMS et messageries instantanées. Le document détaille les techniques d'obfuscation d'URL par substitution de caractères, le recours à des instructions pas-à-pas pour réactiver les macros Microsoft Office désactivées, le CEO fraud, et une technique d'accès distant via QR code permettant de capturer des identifiants à l'insu de l'utilisateur sous couvert d'une offre de support non sollicitée.La CISA ajoute le 14 avril 2026 deux nouvelles entrées à son catalogue KEV sur la base de preuves d'exploitation active. CVE-2009-0238 concerne une vulnérabilité de Remote Code Execution dans Microsoft Office, notable par sa réexploitation active près de dix-sept ans après sa divulgation. CVE-2026-32201 affecte Microsoft SharePoint Server via une validation incorrecte des entrées utilisateur. Les agences fédérales civiles américaines sont tenues de remédier à ces deux failles dans les délais imposés par la BOD 22-01.Le CERT-FR publie l'avis CERTFR-2026-AVI-0440 faisant état de vingt-sept bulletins Fortinet émis simultanément le 14 avril 2026, couvrant FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiWeb, FortiClientEMS, FortiSOAR, FortiSandbox, FortiNAC-F, FortiNDR, FortiPAM, FortiVoice, FortiDDoS-F et FortiSwitchManager. Les impacts incluent l'exécution de code arbitraire à distance, l'élévation de privilèges, le déni de service, des injections SQL, du XSS et du SSRF. Vingt-sept CVE sont référencées, dont CVE-2026-27316 pour laquelle FortiSandbox reste affecté même en version 4.4.9.Le CERT-FR publie l'avis CERTFR-2026-AVI-0439 relatif à deux vulnérabilités affectant Ivanti Neurons for ITSM dans toutes les versions antérieures à 2025.4. CVE-2026-4913 et CVE-2026-4914 permettent respectivement une injection de code indirecte à distance de type XSS et un contournement de politique de sécurité, sur une plateforme de gestion de services IT fréquemment exposée en environnement d'entreprise.Le CERT-FR publie l'avis CERTFR-2026-AVI-0434 dans le cadre du SAP Security Patch Day d'avril 2026, couvrant vingt CVE sur un périmètre étendu : SAP NetWeaver Application Server ABAP et Java, S/4HANA, BusinessObjects BI Platform, SAP ERP, HANA Cockpit, Business Planning and Consolidation et Supplier Relationship Management. Les impacts les plus critiques incluent l'exécution de code arbitraire à distance, des injections SQL et des dénis de service. Des instances en versions SAP_BASIS 700 restent dans le périmètre affecté, signalant la persistance d'environnements ERP vieillissants non corrigés.BleepingComputer rapporte la compromission de plus de trente plugins WordPress du package EssentialPlugin, dont certains comptent des centaines de milliers d'installations actives. Un Backdoor introduit en août 2025 après le rachat du projet est resté dormant avant d'être activé, téléchargeant un fichier wp-comments-posts.php pour injecter un Payload dans wp-config.php. La campagne combine deux mécanismes d'évasion : résolution d'adresse C2 via Ethereum et ciblage exclusif du Googlebot. WordPress.org a déployé une mise à jour forcée, tout en avertissant que wp-config.php reste potentiellement compromis et nécessite une vérification manuelle.Sources :Security tips for social media and messaging services — Australian Signals Directorate : https://www.cyber.gov.au/business-government/protecting-business-leaders/security-tips-for-social-media-and-messaging-servicesDetecting socially engineered messages — Australian Signals Directorate : https://www.cyber.gov.au/business-government/protecting-devices-systems/hardening-systems-applications/email-hardening/detecting-socially-engineered-messagesCISA adds two known exploited vulnerabilities to catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/14/cisa-adds-two-known-exploited-vulnerabilities-catalogCERTFR-2026-AVI-0440 — Multiples vulnérabilités dans les produits Fortinet — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0440/CERTFR-2026-AVI-0439 — Multiples vulnérabilités dans Ivanti Neurons — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0439/CERTFR-2026-AVI-0434 — Multiples vulnérabilités dans les produits SAP — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0434/WordPress plugin suite hacked to push malware to thousands of sites — BleepingComputer : https://www.bleepingcomputer.com/news/security/wordpress-plugin-suite-hacked-to-push-malware-to-thousands-of-sites/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #ASD #SocialEngineering #Phishing #QRCode #CEOFraud #Microsoft #SharePoint #Fortinet #FortiOS #FortiManager #FortiProxy #Ivanti #NeuronsForITSM #XSS #SAP #NetWeaver #S4HANA #BusinessObjects #WordPress #Backdoor #SupplyChain #Malware #C2 #Ethereum #Infosec #CyberNews

Le Patch Tuesday de Microsoft du 14 avril 2026 corrige 167 vulnérabilités dont deux Zero-Days : CVE-2026-32201 dans SharePoint Server (Spoofing, CVSS 6.5, exploitation active confirmée) et CVE-2026-33825 dans Microsoft Defender (EoP SYSTEM, CVSS 7.8, PoC BlueHammer publié sur GitHub onze jours avant le patch par "Chaotic Eclipse").CVE-2026-33824 dans Windows IKE version 2 : RCE non authentifiée, CVSS 9.8, paquets IKEv2 forgés suffisants pour compromettre tout système exposant UDP/500 ou UDP/4500. MSRC évalue "Exploitation Less Likely" malgré le score maximal — mitigation temporaire disponible par filtrage pare-feu de ces deux ports.CVE-2026-33826 dans Active Directory : RCE via appel RPC, vecteur Adjacent (AV:A), authentification requise, périmètre exclusivement serveur de 2016 à 2025, évaluation "Exploitation More Likely". CVE-2026-33115 et CVE-2026-33114 dans Microsoft Word : RCE Critiques activables via le volet de prévisualisation sans ouverture du document, vecteur phishing direct sur M365 Apps et Office LTSC. Le cycle compte également 93 Elevation of Privilege sur des composants basse couche : WinSock, UPnP, Projected File System, Push Notifications.Sources :Microsoft Patch Tuesday Analyse technique par Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-avril-2026/Microsoft April 2026 Patch Tuesday fixes 167 flaws, 2 zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2026-patch-tuesday-fixes-167-flaws-2-zero-days/Microsoft's April 2026 Patch Tuesday Addresses 163 CVEs (CVE-2026-32201) — Tenable Research : https://www.tenable.com/blog/microsofts-april-2026-patch-tuesday-addresses-163-cvesMicrosoft releases Windows 10 KB5082200 extended security update — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-10-kb5082200-extended-security-update/Microsoft Security Update Guide April 2026 — MSRC : https://msrc.microsoft.com/update-guide/releaseNote/2026-Apr⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Infosec #CyberNews #PatchTuesday #Microsoft #CVE #ZeroDay #SharePoint #Spoofing #Defender #BlueHammer #EoP #IKE #RCE #ActiveDirectory #OfficeWord #PreviewPane #Phishing #KB5082200 #Windows #MSRC #VulnerabilityManagement

GNU nano 9.0 "Le bonheur est dans le pré" : défilement horizontal synchronisé sur l'ensemble des lignes, navigation latérale du viewport via M-< et M->, touches M-Arrow rebindables, gestion des macros ajustée et compatibilité de la scrollbar avec --mouse.Les mainteneurs du noyau Linux, dont Greg Kroah-Hartman, adoptent de nouveaux outils de fuzzing incluant un framework interne et des approches assistées par LLM (KernelGPT) — bugs identifiés dans SMB/KSMBD, USB, HID, F2FS et pilotes sans fil.Le CERT-FR publie l'avis CERTFR-2026-AVI-0426 relatif à deux vulnérabilités dans CPython : CVE-2026-1502 et CVE-2026-3446, permettant un contournement de la politique de sécurité sur les instances sans les derniers correctifs.Storm, nouvel infostealer commercialisé à partir de 900 dollars par mois, déchiffre les credentials navigateur intégralement côté serveur, contourne le MFA via restauration de session automatisée (Google Refresh Token + SOCKS5), et cible Chromium, Gecko, wallets crypto et messageries.Nginx 1.29.8 et FreeNginx corrigent des failles critiques non détaillées, introduisent la compatibilité OpenSSL 4.0, la directive max_headers et les wildcards dans le bloc geo.Sources :GNU nano 9.0 release notes : https://www.nano-editor.org/news.phpLinux Kernel Developers Adopt New Fuzzing Tools — Linux Journal : https://www.linuxjournal.com/content/linux-kernel-developers-adopt-new-fuzzing-toolsCERTFR-2026-AVI-0426 — Multiples vulnérabilités dans Python — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0426/A Quiet "Storm": Infostealer Hijacks Sessions, Decrypts Server-Side — Varonis Threat Labs : https://www.varonis.com/blog/storm-infostealerNew Nginx 1.29.8 and FreeNginx Versions Patch Critical Security Flaws — GBHackers : https://gbhackers.com/new-nginx-1-29-8-and-freenginx-patch-flaws/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Infosec #CyberNews #Linux #KernelFuzzing #Syzkaller #KernelGPT #Python #CPython #CVE #CERTFR #Storm #Infostealer #SessionHijacking #CredentialTheft #MFA #Bypass #Nginx #FreeNginx #OpenSSL #WebServer #GNUNano

La CISA ajoute sept nouvelles entrées à son catalogue KEV le 13 avril 2026, confirmant l'exploitation active de failles couvrant Adobe, Microsoft et Fortinet — dont une CVE datant de 2012.La CVE-2026-34621 dans Adobe Acrobat et Reader : prototype pollution de sévérité critique (CVSS 8.6), zero-day exploité dans la nature depuis novembre 2025 via des fichiers PDF malveillants, correctif d'urgence APSB26-43 publié par Adobe le 11 avril 2026 après détection par la plateforme EXPMON.La CVE-2026-21643 dans Fortinet FortiClientEMS 7.4.4 : injection SQL exploitable sans authentification permettant l'exécution de code à distance, corrigée en février 2026, désormais activement exploitée moins de trois mois après la publication du patch.La CVE-2025-60710 dans le Host Process for Windows Tasks (Windows 11 24H2/25H2, Windows Server 2025) : link following permettant une élévation de privilèges locale jusqu'au niveau SYSTEM (CVSS 7.8), corrigée lors du Patch Tuesday de novembre 2025, exploitation confirmée en avril 2026.La CVE-2023-21529 dans Microsoft Exchange Server : désérialisation de données non fiables, vecteur d'exécution de code à distance, persistance de l'exploitation trois ans après la publication du correctif.La CVE-2023-36424 dans Microsoft Windows : lecture hors limites (out-of-bounds read), exploitation continue sur des parcs non patchés depuis 2023.La CVE-2020-9715 dans Adobe Acrobat : use-after-free datant de 2020, toujours activement exploité sur des instances non maintenues.La CVE-2012-1854 dans Microsoft Visual Basic for Applications : insecure library loading vieille de quatorze ans, inscription au KEV en 2026 confirmant la persistance de systèmes non supportés dans des environnements réels.Sources :CISA Known Exploited Vulnerabilities — 7 nouvelles entrées du 13 avril 2026 : https://www.cisa.gov/news-events/alerts/2026/04/13/cisa-adds-seven-known-exploited-vulnerabilities-catalogAdobe emergency fix for CVE-2026-34621 actively exploited — Help Net Security : https://www.helpnetsecurity.com/2026/04/13/adobe-acrobat-reader-cve-2026-34621-emergency-fix/Adobe fixes actively exploited Acrobat Reader flaw CVE-2026-34621 — Security Affairs : https://securityaffairs.com/190697/security/adobe-fixes-actively-exploited-acrobat-reader-flaw-cve-2026-34621.htmlCVE-2026-21643 : Critical SQL Injection in FortiClientEMS — Arctic Wolf : https://arcticwolf.com/resources/blog/cve-2026-21643/CVE-2025-60710 — Host Process for Windows Tasks EoP — RedPacket Security : https://www.redpacketsecurity.com/cve-alert-cve-2025-60710-microsoft-windows-11-version-24h2/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #Adobe #AcrobatReader #PrototypePollution #ZeroDay #EXPMON #Fortinet #FortiClientEMS #SQLInjection #Windows #LinkFollowing #ElevationOfPrivilege #Exchange #Deserialization #UseAfterFree #DLLHijacking #VBA #PatchTuesday #Infosec #CyberNews

Bienvenue dans ce numéro spécial de RadioCSIRT ⚡️🤖 Famille Claude 4.6 — Analyse sous l'angle cyber Claude Opus 4.6, Sonnet 4.6 et Haiku 4.5 partagent une fenêtre de contexte allant jusqu'à un million de tokens, un support multimodal texte/image et des capacités d'extended thinking. Implications directes pour les équipes SOC : analyse complète de dépôts de code, corrélation massive d'IOC, reconstruction de chaînes d'attaque — mais aussi réduction de la barrière d'entrée pour la production d'artefacts offensifs de qualité.🔓 Asymétrie économique de la menace À cinq dollars par million de tokens, claude opus 4.6 rend accessible à un large spectre d'acteurs un niveau de raisonnement analytique qui nécessitait jusqu'ici une expertise humaine coûteuse. Le délai entre publication d'une CVE et disponibilité d'un exploit se compresse. Les leurres de phishing générés par LLM ne présentent plus les marqueurs linguistiques traditionnellement détectables.🔬 Projet Glasswing — Accès restreint Anthropic a lancé claude mythos preview dans un cadre d'accès limité à environ quarante organisations partenaires (Microsoft, Google, Amazon confirmés), sous invitation uniquement, après consultation préalable des autorités américaines. La Commission Européenne a soutenu publiquement cette restriction.⚠️ Claude Mythos Preview — Capacités documentées Le modèle est capable d'identifier et d'exploiter de manière autonome des failles dans l'ensemble des systèmes d'exploitation majeurs et des navigateurs web, de construire des payloads et exploits sophistiqués en temps réel, à faible coût. Le 7 avril 2026, le Secrétaire au Trésor Scott Bessent et Jerome Powell ont convoqué en urgence les PDG des principales banques américaines (Bank of America, Citigroup, Goldman Sachs, Morgan Stanley, Wells Fargo) — première réunion de ce niveau motivée par les capacités d'un seul modèle IA.🎯 Vecteurs de risque identifiés Six dimensions couvertes dans cet épisode : exploitation de zero-day, risque systémique SIFI, convergence algorithmique, exposition DeFi/smart contracts, exfiltration de données clients, impact sur les portefeuilles de cyber-assurance.⚖️ Contexte réglementaire et juridique Anthropic est en contentieux actif avec le Pentagone, qui a classifié l'organisation comme risque de supply chain. Les quarante partenaires Glasswing constituent une nouvelle surface d'attaque indirecte. AI Act, DORA et lignes directrices ENISA créent un cadre de conformité qui s'applique dès maintenant aux déploiements LLM en contexte à risque élevé.🛡️ Cas d'usage défensifs documentés Génération automatique de règles YARA/Sigma, enrichissement d'alertes, analyse forensique à grande échelle, modélisation de menace assistée, simulation d'adversaires — les mêmes capacités servent les deux côtés. Les LLM restent des outils d'augmentation analytique : la vérification humaine sur les outputs à fort impact opérationnel reste obligatoire.🔗 SourcesProjet Glasswing — Anthropic : https://www.anthropic.com/glasswingModèles Claude — Vue d'ensemble et tarification : https://platform.claude.com/docs/en/about-claude/models/overview⚡️ On ne réfléchit pas, on patch !📩 Contact : [email protected]🌐 radiocsirt.org — radiocsirt.substack.com📞 Répondeur : 07 68 72 20 09#RadioCSIRT #Cybersécurité #LLM #Claude #Anthropic #Glasswing #Mythos #ThreatIntelligence #SOC #CERT #RSSI #AI #CyberSecurity #ProjectGlasswing #ZeroDay #SIFI

Google déploie Device Bound Session Credentials en disponibilité générale dans Chrome 146 sur Windows : les cookies de session sont cryptographiquement ancrés au terminal via le TPM, rendant les tokens exfiltrés par les Infostealers comme Lumma, Atomic ou Vidar inutilisables sans la clé privée non exportable.Une attaque supply chain compromet le système de mise à jour de Smart Slider 3 Pro pour WordPress : la version 3.5.1.35 a distribué pendant six heures un toolkit de persistance multi-couche via le canal officiel de Nextend, avec création de comptes administrateur fantômes, Backdoor via headers HTTP personnalisés et exfiltration vers le C2 wpjs1[.]com.Un Zero-Day non patché dans Adobe Reader est activement exploité depuis au moins novembre 2025 : exfiltration de fichiers locaux via les APIs Acrobat util.readFileIntoStream et RSS.addFeed, avec un ciblage apparent du secteur pétrolier et gazier russophone. Aucun correctif disponible.Le Ransomware Payload cible les environnements VMware ESXi avec un binaire ELF64 combinant Curve25519 ECDH, ChaCha20 adaptatif SIMD et chiffrement exclusif des fichiers de plus de 5 Go. Vingt-six victimes revendiquées depuis février 2026 aux États-Unis, au Royaume-Uni, aux Philippines, au Mexique et en Égypte.Le FBI récupère des messages Signal supprimés depuis un iPhone sans compromettre le chiffrement de l'application, en exploitant la base de données des notifications push d'iOS — persistante après désinstallation et non contrôlée par Signal.Sources :Google rolls out DBSC in Chrome 146 to block session theft on Windows : https://thehackernews.com/2026/04/google-rolls-out-dbsc-in-chrome-146-to.htmlBackdoored Smart Slider 3 Pro update distributed via compromised Nextend servers : https://thehackernews.com/2026/04/backdoored-smart-slider-3-pro-update.htmlMalicious PDF reveals active Adobe Reader zero-day in the wild : https://securityaffairs.com/190558/hacking/malicious-pdf-reveals-active-adobe-reader-zero-day-in-the-wild.htmlDeep technical analysis of Payload Ransomware : https://0x3obad.github.io/posts/payload-ransomware-writeup/Comment le FBI a récupéré des messages de Signal effacés par un utilisateur : https://www.clubic.com/actualite-608410-comment-le-fbi-a-recupere-des-messages-de-signal-effaces-par-un-utilisateur.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Chrome #DBSC #SessionTheft #Infostealer #TPM #SupplyChain #WordPress #SmartSlider #Backdoor #AdobeReader #ZeroDay #PDF #ESXi #VMware #Ransomware #Payload #ChaCha20 #Signal #iOS #PushNotification #ForensicIntelligence #Infosec #CyberNews

La CISA ajoute CVE-2026-1340 à son catalogue KEV : une vulnérabilité de type Code Injection activement exploitée dans Ivanti Endpoint Manager Mobile, vecteur d'attaque fréquent contre les environnements d'entreprise et gouvernementaux.Le CERT-FR publie l'avis CERTFR-2026-AVI-0407 : plus de cinquante CVE corrigées dans Google Chrome, versions antérieures à 147.0.7727.55 sur Linux et 147.0.7727.55/56 sur Windows et macOS. L'éditeur ne précise pas la nature des impacts.Gen Threat Labs publie l'analyse de Remus, une variante 64 bits de Lumma Stealer en campagne active depuis février 2026. Nouveauté technique majeure : résolution C2 via EtherHiding sur smart contracts Ethereum, et bypass de l'Application-Bound Encryption de Chrome par injection de shellcode dans le processus navigateur.CVE-2025-59528 dans Flowise, plateforme open-source de construction d'agents IA, est activement exploitée. CVSS 10, injection JavaScript arbitraire via le nœud CustomMCP, entre 12 000 et 15 000 instances exposées sur Internet.Le SANS ISC documente une chaîne d'infection Phishing complète : JavaScript obfusqué de 10 Mo aboutissant au déploiement de Formbook via injection dans MSBuild, avec patching mémoire d'AMSI et ETW en chemin.Sources : CISA Known Exploited Vulnerabilities - CVE-2026-1340 : https://www.cisa.gov/news-events/alerts/2026/04/08/cisa-adds-one-known-exploited-vulnerability-catalogCERTFR-2026-AVI-0407 - Multiples vulnérabilités dans Google Chrome : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0407/Remus: Unmasking The 64-bit Variant of the Infamous Lumma Stealer : https://www.gendigital.com/blog/insights/research/remus-64bit-variant-of-lumma-stealerMax severity Flowise RCE vulnerability now exploited in attacks : https://www.bleepingcomputer.com/news/security/max-severity-flowise-rce-vulnerability-now-exploited-in-attacks/Obfuscated JavaScript or Nothing - SANS ISC : https://isc.sans.edu/diary/rss/32884⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #IvantiEPMM #KEV #CISA #CVE #Chrome #CERTFR #LummaStealer #Remus #Infostealer #EtherHiding #AppBoundEncryption #Flowise #RCE #MCP #LLM #AIAgent #Formbook #Phishing #JavaScript #AMSI #ETW #MSBuild #Infosec #CyberNews

Una mirada inteligente y divertida del mundo que nos rodea, siempre con el acento puesto en Extremadura. Con Antonio León y José Manuel Bañegil.

Des acteurs APT affiliés à l'Iran exploitent des automates industriels Rockwell Allen-Bradley exposés sur internet pour manipuler les fichiers projet et altérer les affichages HMI et SCADA dans les secteurs de l'eau, de l'énergie et des services gouvernementaux américains. Alerte conjointe FBI, CISA et NSA publiée ce 7 avril, avec IOCs STIX disponibles.Le Centre canadien pour la cybersécurité, le FBI et la NSA publient un bulletin conjoint sur la campagne du GRU russe exploitant des routeurs vulnérables pour intercepter des informations sensibles d'organisations militaires et gouvernementales via détournement DNS. Des partenaires étrangers ont récemment démantelé le réseau de routeurs SOHO utilisé comme infrastructure de relais.Le Centre canadien pour la cybersécurité publie le document ITSAP.10.071, un cadre de référence en sept axes pour l'évaluation des risques liés à l'intégrité de la chaîne d'approvisionnement TIC dans les infrastructures gouvernementales, applicable à toute organisation.Le CERT-FR publie l'avis CERTFR-2026-AVI-0403 : sept CVE affectant toutes les branches actives d'OpenSSL, dont CVE-2026-31790 avec condition d'exploitation spécifique sur modules FIPS et architectures x86-64 AVX-512. Mise à jour immédiate requise.Le CERT-FR publie l'avis CERTFR-2026-AVI-0404 : cinq CVE affectant Firefox et Thunderbird, couvrant l'exécution de code arbitraire à distance. Cinq bulletins Mozilla publiés simultanément hors cycle habituel le 7 avril 2026.Le NCSC britannique expose les opérations de DNS hijacking d'APT28, unité 26165 du GRU, via exploitation de routeurs TP-Link et MikroTik. Le groupe déploie des serveurs DNS malveillants sur VPS pour conduire des attaques Adversary-in-the-Middle et voler credentials et tokens OAuth Microsoft 365.Sources :Alerte AA26-097A — Exploitation de PLCs par des acteurs affiliés à l'Iran : https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097aBulletin conjoint — Campagne d'exploitation de routeurs vulnérables par le GRU russe : https://www.cyber.gc.ca/fr/nouvelles-evenements/bulletin-conjoint-campagne-dexploitation-routeurs-vulnerables-menee-gru-russe-afin-voler-linformation-sensibleITSAP.10.071 — Évaluations des risques liés à l'intégrité de la chaîne d'approvisionnement : https://www.cyber.gc.ca/fr/orientation/evaluations-risques-lies-lintegrite-chaine-dapprovisionnement-criteres-devaluation-itsap10071CERTFR-2026-AVI-0403 — Multiples vulnérabilités dans OpenSSL : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0403/CERTFR-2026-AVI-0404 — Multiples vulnérabilités dans les produits Mozilla : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0404/NCSC — Le Royaume-Uni expose les opérations de détournement de routeurs par le renseignement militaire russe : https://www.ncsc.gov.uk/news/uk-exposes-russian-military-intelligence-hijacking-vulnerable-routers-for-cyber-attacksNCSC — APT28 exploite des routeurs pour des opérations de DNS hijacking : https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Iran #IRGC #PLC #OT #SCADA #HMI #RockwellAutomation #GRU #APT28 #FancyBear #DNSHijacking #RouterSOHO #ChaineDApprovisionnement #OpenSSL #CVE #Mozilla #Firefox #Thunderbird #CERTFR #MicrosoftOutlook #OAuthToken #AitM #NCSC #Infosec #CyberNews

Une campagne active cible plus de mille instances ComfyUI exposées sur internet : un scanner Python analyse en continu les plages IP cloud, installe des nodes malveillants via ComfyUI-Manager et déploie XMRig et lolMiner pour le cryptomining Monero et Conflux, ainsi que le botnet Hysteria V2, le tout piloté via un C2 Flask hébergé chez le bulletproof provider Aeza Group. Selon Censys, le script ghost.sh verrouille les binaires via chattr +i et redirige le output d'un botnet concurrent vers ses propres wallets.Un chercheur sous l'alias Nightmare-Eclipse a divulgué le 3 avril le zero-day Windows BlueHammer, une élévation de privilèges locale combinant TOCTOU et path confusion permettant d'atteindre le niveau SYSTEM via la base SAM. Aucun patch n'est disponible. L'expert Will Dormann a confirmé la validité de l'exploit. Selon Security Affairs, l'auteur reconnaît avoir introduit intentionnellement des bugs dans le PoC.Deux vulnérabilités critiques affectant CUPS, le système d'impression Linux, ont été découvertes et documentées par GBHackers : CVE-2026-34980, exécution de code à distance via injection de caractère newline dans une queue PostScript non authentifiée, et CVE-2026-34990, élévation de privilèges root par race condition. Chaînées, elles permettent une compromission complète sans authentification. Aucune release patchée n'est disponible à ce jour.Des chercheurs de l'Université de Toronto ont développé GPUBreach, une attaque exploitant des bit-flips Rowhammer sur mémoires GDDR6 pour corrompre les GPU page tables et obtenir un root shell sans désactivation de l'IOMMU. Selon BleepingComputer, les GPU grand public sans ECC restent entièrement exposés. Les détails techniques complets seront publiés le 13 avril à l'IEEE Symposium on Security and Privacy.Unit 42 de Palo Alto Networks documente une hausse de 282% des opérations malveillantes ciblant les environnements Kubernetes sur un an, avec 78% des alertes concentrées sur le secteur IT. Deux cas réels sont analysés : vol de service account tokens lié au groupe nord-coréen Slow Pisces, et exploitation de CVE-2025-55182 React2Shell dès le 5 décembre 2025, deux jours après sa divulgation, pour déployer backdoors et exfiltrer des credentials cloud.Une attaque DDoS de grande ampleur a ciblé lundi soir l'infrastructure de Rostelecom, perturbant les services internet dans une trentaine de villes russes. Selon The Record, le portail gouvernemental Gosuslugi, Rutube, Steam et plusieurs services bancaires sont devenus inaccessibles. Des perturbations persistaient mardi. L'incident survient une semaine après une panne distincte ayant paralysé les systèmes de paiement bancaires dans plusieurs régions russes.Cisco Talos documente une technique baptisée Platform-as-a-Proxy : des campagnes de phishing injectent des leurres malveillants dans les pipelines de notification de GitHub et Atlassian Jira. Les emails générés satisfont intégralement les contrôles SPF, DKIM et DMARC, contournant les passerelles de sécurité traditionnelles. Sur cinq jours d'observation, 2,89% du trafic journalier issu de [email protected] contenait un leurre de type facture au pic du 17 février 2026.Sources :https://thehackernews.com/2026/04/over-1000-exposed-comfyui-instances.htmlhttps://securityaffairs.com/190400/breaking-news/experts-published-unpatched-windows-zero-day-bluehammer.htmlhttps://gbhackers.com/cups-vulnerabilities-root-level-code-execution/https://www.bleepingcomputer.com/news/security/new-gpubreach-attack-enables-system-takeover-via-gpu-rowhammer/https://unit42.paloaltonetworks.com/modern-kubernetes-threats/https://therecord.media/rostelecom-cyberattack-disrupts-russian-internet-accesshttps://blog.talosintelligence.com/weaponizing-saas-notification-pipelines/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #ComfyUI #Cryptomining #Botnet #XMRig #BlueHammer #ZeroDay #Windows #LPE #CUPS #Linux #RCE #GPUBreach #Rowhammer #GDDR6 #GPU #Kubernetes #SlowPisces #Lazarus #React2Shell #CVE202555182 #Rostelecom #DDoS #Russia #Phishing #GitHub #Jira #SaaS #PaaP #CiscoTalos #Infosec #CyberNews

Une nouvelle vague de smishing aux États-Unis détourne l'image des tribunaux d'État : les messages contiennent désormais une image imitant un avis judiciaire avec QR code intégré, redirigeant via CAPTCHA vers des sites de Phishing imitant le DMV. Les domaines suivent le schéma [état].gov-[chaîne aléatoire].[tld]. Selon BleepingComputer, la technique vise à contourner les outils d'analyse automatisée.L'AhnLab Security Intelligence Center (ASEC) documente une évolution de la chaîne d'infection du groupe nord-coréen Kimsuky : l'infrastructure multi-scripts intègre des tâches planifiées XML (sch.db) et un Backdoor Python en deux variantes, dont une version interactive communiquant avec le C2 via protocole custom à taille fixe, avec auto-suppression sécurisée par écrasement aléatoire.Le Bundeskriminalamt (BKA) a publiquement identifié deux figures clés de REvil/Sodinokibi : Daniil Shchukin (alias UNKN), 31 ans, représentant du groupe depuis 2019, et Anatoly Kravchuk, 43 ans, développeur présumé. Les deux ressortissants russes sont soupçonnés de 130 attaques Ransomware en Allemagne pour un préjudice total dépassant 35,4 millions d'euros.Selon The Record, le CERT-UA documente un changement tactique des groupes russes APT28 et Void Blizzard : après une phase dominée par le "steal-and-go" en 2025, les attaquants revisitent désormais des infrastructures précédemment compromises pour vérifier la persistance des accès. Le vecteur Initial Access évolue vers l'ingénierie sociale par appel téléphonique avec numéros ukrainiens et maîtrise linguistique native, avant envoi de fichiers malveillants via messagerie instantanée.La CISA ajoute au KEV Catalog CVE-2026-35616, une vulnérabilité de contrôle d'accès inapproprié activement exploitée dans Fortinet FortiClient EMS. Sources :https://www.bleepingcomputer.com/news/security/traffic-violation-scams-switch-to-qr-codes-in-new-phishing-texts/https://cyberpress.org/kimsuky-lnks-drop-backdoor/https://thehackernews.com/2026/04/bka-identifies-revil-leaders-behind-130.htmlhttps://therecord.media/ukraine-warns-russian-hackers-revisiting-old-attacks⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Cisco Talos documente une campagne automatisée à grande échelle exploitant React2Shell (CVE-2025-55182) dans les applications Next.js via le framework NEXUS Listener, permettant l'extraction centralisée de tokens cloud, credentials de bases de données et clés SSH depuis des centaines d'hôtes compromis.Deux kits de Phishing sophistiqués usurpant Coca-Cola et Ferrari ciblent les chercheurs d'emploi : le kit Coca-Cola réalise un bypass MFA en temps réel via une architecture Adversary-in-the-Middle, ciblant exclusivement les comptes Google Workspace. Le kit Ferrari harvest des credentials Facebook via une fausse page OAuth.McAfee documente le ghost student scam : des identités volées via data breach sont utilisées pour inscrire frauduleusement des victimes dans des établissements universitaires américains, générant des dettes fiscalement recouvrables à leur nom.La FCC propose une amende de 4,5 millions de dollars contre l'opérateur Voxbeam Telecommunications pour avoir acheminé des dizaines de milliers de robocalls frauduleux usurpant Bank of America et Chase Bank, depuis le prestataire tchèque Axfone, absent de la Robocall Mitigation Database.Unit 42 publie une chaîne d'attaque complète contre les architectures multi-agents Amazon Bedrock, exploitant le Prompt Injection pour détecter le mode d'orchestration, découvrir les agents collaborateurs, extraire les instructions système et détourner des outils via des inputs malveillants.Trois alertes du CERT Santé : CVE-2026-35535, élévation de privilèges root dans sudo via exec_mailer() ; CVE-2026-3300, exécution de code PHP arbitraire sans authentification dans le plugin WordPress Everest Forms Pro ; CVE-2026-34982, contournement du sandbox de Vim permettant l'exécution de commandes OS à l'ouverture d'un fichier forgé.Sources :https://blog.talosintelligence.com/the-democratisation-of-business-email-compromise-fraud/https://www.malwarebytes.com/blog/threat-intel/2026/04/that-dream-job-offer-from-coca-cola-or-ferrari-its-a-trap-for-your-passwordshttps://www.mcafee.com/blogs/tips-tricks/ghost-student-scam-tax-refund-identity-theft/https://therecord.media/fcc-proposes-5-million-fine-robocallhttps://unit42.paloaltonetworks.com/amazon-bedrock-multiagent-applications/https://cyberveille.esante.gouv.fr/alertes/sudo-cve-2026-35535-2026-04-03https://cyberveille.esante.gouv.fr/alertes/wordpress-cve-2026-3300-2026-04-02https://cyberveille.esante.gouv.fr/alertes/vim-cve-2026-34982-2026-04-02⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Le 31 mars 2026, Anthropic expose accidentellement le code source complet de Claude Code via un fichier source map de 59,8 Mo inclus par erreur dans le package npm @anthropic-ai/claude-code. Plus de 513 000 lignes de TypeScript non obfusqué sont rendues publiques, révélant l'architecture interne de l'agent, ses mécanismes d'exécution et plus de vingt feature flags non publiés.En moins de 72 heures, des acteurs malveillants créent des dépôts GitHub frauduleux positionnés en tête des résultats Google via SEO poisoning. Le compte idbzoomh distribue une archive piégée déployant silencieusement un dropper Rust : ClaudeCode_x64.exe.Double payload : Vidar 18.7, Information Stealer ciblant credentials, tokens d'API, clés cloud et secrets CI/CD — et GhostSocks, proxy SOCKS5 Backconnect transformant le poste infecté en infrastructure réseau pour les attaquants.La campagne coïncide avec une attaque supply chain distincte sur npm, amplifiant le risque pour les environnements de développement actifs. Zscaler ThreatLabz documente l'intégralité de la chaîne.Sources : https://cybersecuritynews.com/claude-code-leak-exploited-by-hackers-to-deliver-vidar-and-ghostsocks/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Les attaques de type device code phishing explosent : Push Security recense une multiplication par 37,5 du nombre de kits détectés depuis le début de l'année 2026. EvilTokens, opérant en Phishing-as-a-Service, est identifié comme principal vecteur, aux côtés de dix autres plateformes actives exploitant des leurres SaaS et des infrastructures cloud légitimes.Fortinet publie un hotfix d'urgence pour CVE-2026-35616, une vulnérabilité Zero-Day critique dans FortiClient EMS versions 7.4.5 et 7.4.6, avec un score CVSSv3 de 9.1. L'exploitation active in-the-wild est confirmée par le vendeur. Les versions 7.2.x ne sont pas affectées.L'association Fairlinked e.V. publie l'investigation BrowserGate, accusant LinkedIn d'exécuter un script non documenté analysant les applications installées et extensions de navigateur sur les machines des visiteurs, sans consentement ni mention dans la politique de confidentialité.OpenSSH corrige plusieurs vulnérabilités dans sa version 10.3, dont une permettant l'exécution de code arbitraire à distance. Toutes les versions antérieures sont affectées. Avis CERTFR-2026-AVI-0391 et bulletin AV26-312 publiés le 2 avril 2026.Le CERT-FR publie l'avis CERTFR-2026-AVI-0393 pour CVE-2026-5129 affectant Synology Mail Station, versions antérieures à 30000001.3.19-20332 pour DSM. Atteinte à la confidentialité et à l'intégrité des données.Le tribunal judiciaire de Paris condamne un notaire à 48 025 euros dans une affaire de Business Email Compromise immobilier. Un attaquant avait substitué un IBAN dans un e-mail intercepté, détournant 96 400 euros. Décision du 25 mars 2026.Proofpoint documente le retour de TA416 sur les cibles diplomatiques européennes depuis mi-2025, avec extension au Moyen-Orient en mars 2026. La chaîne d'infection combine OAuth redirect abuse, MSBuild, fichiers C# malveillants et déploiement du Backdoor PlugX via DLL side-loading.Sources :https://www.bleepingcomputer.com/news/security/device-code-phishing-attacks-surge-37x-as-new-kits-spread-online/https://cybersecuritynews.com/fortinet-forticlient-ems-0-day/https://cyberpress.org/linkedin-accused-of-secretly-checking-device/https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-openssh-av26-312https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0391/https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0393/https://www.clubic.com/actualite-607711-arnaque-au-faux-rib-un-pirate-intercepte-un-e-mail-et-piege-l-acheteur-le-notaire-et-les-banques-la-justice-tranche.htmlhttps://thehackernews.com/2026/04/china-linked-ta416-targets-european.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Le CERT-EU attribue avec un niveau de confiance élevé la violation de données de la Commission européenne au groupe TeamPCP, via une compromission supply chain de l'outil Trivy. 92 gigaoctets de données ont été exfiltrés depuis l'infrastructure AWS hébergeant la plateforme Europa.eu, affectant au moins 29 entités de l'Union européenne. Les données ont été publiées le 28 mars sur la plateforme dark web de ShinyHunters.La Shadowserver Foundation recense plus de 14 000 instances F5 BIG-IP APM toujours exposées sur internet et non corrigées. La vulnérabilité CVE-2025-53521, initialement classifiée Denial-of-Service, a été reclassifiée en Remote Code Execution critique et inscrite au catalogue KEV de la CISA. L'exploitation active est confirmée en environnement réel.Les incidents Ransomware à double et triple extorsion ont progressé de 49 % en glissement annuel en 2025, atteignant 1 174 incidents confirmés. 124 groupes sont actifs, dont 73 apparus dans l'année. Le secteur de la santé et les infrastructures de paiement figurent parmi les cibles prioritaires.Cisco Talos documente une campagne automatisée de credential harvesting menée par UAT-10608, ayant compromis 766 hôtes en moins de 24 heures via CVE-2025-55182, une faille RCE pre-authentication dans les React Server Components. Le framework NEXUS Listener exfiltre clés SSH, tokens AWS, credentials de bases de données et clés API Stripe. Plusieurs hôtes exposent des fichiers d'authentification à des registres npm et pip, faisant peser un risque de supply chain.Sources :https://therecord.media/european-commission-cyberattack-teampcphttps://cybersecuritynews.com/14000-f5-big-ip-apm-exposed-online/https://www.bleepingcomputer.com/news/security/evolution-of-ransomware-multi-extortion-ransomware-attacks/https://blog.talosintelligence.com/uat-10608-inside-a-large-scale-automated-credential-harvesting-operation-targeting-web-applications/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSecurity #CERT #CSIRT #ThreatIntelligence #Ransomware #SupplyChain #F5 #CVE #KEV #CISA #CredentialHarvesting #TeamPCP #CiscoTalos #ReactJS

La CISA intègre deux nouvelles vulnérabilités à son catalogue KEV sur la base de preuves d'exploitation active : CVE-2026-5281, une faille Use-After-Free dans Google Dawn, et CVE-2026-3502, une absence de vérification d'intégrité dans le client TrueConf permettant l'injection de Payload malveillant.L'Australian Signals Directorate renouvelle son alerte haute sur le ciblage des dépôts de code en ligne. Les acteurs malveillants y mènent des opérations de supply-chain compromise en s'appuyant exclusivement sur des outils légitimes, une technique de Living Off the Land appliquée aux environnements de développement.Le CERT-FR alerte sur l'expiration imminente de trois certificats Microsoft utilisés par l'UEFI Secure Boot en juin 2026. Sans déploiement des certificats 2023, les systèmes Windows en domaine et certaines distributions Linux utilisant le chargeur Shim ne recevront plus de mises à jour de la séquence de démarrage.Cisco corrige deux vulnérabilités critiques notées 9.8 au CVSS : CVE-2026-20093 dans l'Integrated Management Controller, permettant à un attaquant non authentifié de contourner l'authentification et de prendre le contrôle de l'équipement, et CVE-2026-20160 dans le Smart Software Manager On-Prem, exposant un service interne autorisant l'exécution de commandes avec des privilèges root.GreyNoise analyse quatre milliards de sessions malveillantes sur trois mois et établit que 78% du trafic acheminé via des Residential Proxies échappe aux systèmes de réputation IP. Ces infrastructures, alimentées par des botnets IoT et des SDK intégrés dans des VPN gratuits, tournent sur 683 fournisseurs d'accès différents avec une durée de vie médiane inférieure à un mois.Sources :https://www.cisa.gov/news-events/alerts/2026/04/02/cisa-adds-one-known-exploited-vulnerability-cataloghttps://www.cisa.gov/news-events/alerts/2026/04/01/cisa-adds-one-known-exploited-vulnerability-cataloghttps://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/ongoing-targeting-of-online-code-repositorieshttps://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-014/https://thehackernews.com/2026/04/cisco-patches-98-cvss-imc-and-ssm-flaws.htmlhttps://www.bleepingcomputer.com/news/security/residential-proxies-evaded-ip-reputation-checks-in-78-percent-of-4b-sessions/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #KEV #CISA #SecureBoot #UEFI #SupplyChain #Cisco #CVE #ResidentialProxy #GreyNoise #RadioCSIRT

Selon Google Threat Intelligence Group, le package NPM axios avec plus de 100 millions de téléchargements hebdomadaires  a été compromis le 31 mars 2026 par UNC1069, acteur nord-coréen, via l'injection d'une dépendance malveillante déployant le Backdoor WAVESHAPER.V2 sur Windows, macOS et Linux.AWS annonce la disponibilité générale d'AWS Security Agent, un service de pentest autonome par agents IA combinant SAST, DAST et exploitation contextuelle, facturé 50 dollars par task-hour, disponible sur AWS, Azure, GCP et on-premises.Check Point Research documente l'opération TrueChaos : la CVE-2026-3502, Zero-Day CVSS 7.8 dans le mécanisme de mise à jour TrueConf, a été exploitée in-the-wild contre des entités gouvernementales d'Asie du Sud-Est par un acteur China-nexus, déployant le framework Havoc via DLL side-loading. Correctif disponible en version 8.5.3.Kaspersky GReAT analyse CrystalX, un RAT vendu en MaaS sur Telegram depuis janvier 2026, combinant Backdoor, Stealer, Keylogger, Clipper crypto et accès distant, sans restriction géographique et en développement actif.Le ministre roumain de la Défense confirme plus de 10 000 tentatives d'attaques quotidiennes contre les institutions gouvernementales, dans un contexte de pression hybride attribuée à des acteurs russes coïncidant avec les décisions politiques liées au soutien à l'Ukraine.Le FBI alerte via son site IC3 sur les risques posés par les applications mobiles d'origine chinoise, soumises aux lois chinoises de sécurité nationale, avec collecte de données hors session active et stockage sur serveurs en Chine.Sources :https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package?hl=enhttps://aws.amazon.com/fr/blogs/security/aws-security-agent-on-demand-penetration-testing-now-generally-available/https://research.checkpoint.com/2026/operation-truechaos-0-day-exploitation-against-southeast-asian-government-targets/https://securelist.com/crystalx-rat-with-prankware-features/119283/https://therecord.media/romania-cyberattacks-russia-defense-ministerhttps://unit42.paloaltonetworks.com/teampcp-supply-chain-attacks/https://www.bleepingcomputer.com/news/security/fbi-warns-against-using-chinese-mobile-apps-over-to-data-security-risks/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #SupplyChain #NPM #axios #UNC1069 #WAVESHAPER #TrueChaos #TrueConf #ZeroDay #CrystalX #MaaS #Romania #FBI #RadioCSIRT

Le CERT-FR publie le 31 mars 2026 un bulletin d'alerte concernant la CVE-2025-53521, une vulnérabilité de Remote Code Execution affectant F5 BIG-IP Access Policy Manager dans les branches 15.1.x, 16.1.x, 17.1.x et 17.5.x. Initialement divulguée par F5 en octobre 2025, la faille permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. Son exploitation active est confirmée depuis le 29 mars 2026. F5 documente plusieurs indicateurs de compromission : présence de fichiers suspects dans /run/, modification des binaires /usr/bin/umount et /usr/sbin/httpd, ainsi que des entrées spécifiques dans les journaux restjavad-audit et auditd révélant des appels iControl REST via l'utilisateur local f5hubblelcdadmin avec tentatives de désactivation de SELinux.Le NCSC britannique publie, conjointement avec des partenaires internationaux, une alerte relative au ciblage d'applications de messagerie par des acteurs affiliés à la Russie. Les individus à haut risque  responsables gouvernementaux, personnels disposant d'accès à des informations sensibles sont visés par des techniques incluant le vol de codes de vérification, l'ajout de dispositifs liés à l'insu de la victime, l'infiltration silencieuse de groupes de discussion, l'usurpation d'identité et le Phishing par QR code. Le NCSC rappelle avoir précédemment documenté des opérations similaires attribuées à APT31, à Star Blizzard du FSB russe et à l'IRGC iranien. Google et Microsoft ont publié des analyses complémentaires sur le ciblage actif de Signal par plusieurs acteurs alignés sur la Russie.OVHcloud annonce au Forum InCyber 2026 de Lille le lancement d'une offre cloud dédiée aux armées et organismes gouvernementaux européens. L'infrastructure, hébergée exclusivement en Europe et soumise au droit européen, vise à soustraire les données militaires sensibles au Cloud Act américain, qui autorise les autorités des États-Unis à accéder aux données hébergées par des entreprises américaines quel que soit le lieu physique des serveurs. L'offre intégrera des capacités d'intelligence artificielle pour l'analyse de données opérationnelles et la détection de cybermenaces, et ciblera les niveaux de classification les plus élevés, incluant les dispositifs de type secret défense.Selon Palo Alto Networks Unit 42, une faille de conception affecte la plateforme Vertex AI de Google Cloud. Le service agent associé aux agents déployés via l'Agent Development Kit — le P4SA — dispose par défaut de permissions excessives. Tout appel à un agent Vertex AI déclenche une requête vers le service de métadonnées Google, exposant les credentials du service agent ainsi que l'identité et les scopes de la machine hôte.Une mise à jour logicielle défectueuse déployée le 12 mars 2026 à 03h28 par Lloyds Banking Group a exposé les données transactionnelles de 447 936 utilisateurs de l'application mobile des enseignes Lloyds, Halifax et Bank of Scotland. La faille, corrigée à 08h08 le même jour, provoquait l'affichage des transactions d'autres clients lors d'accès simultanés à l'application. Sources :https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-004/https://www.ncsc.gov.uk/news/ncsc-warns-of-messaging-app-targetinghttps://www.clubic.com/actualite-607108-ovhcloud-veut-cibler-les-armees-europeennes-avec-une-offre-cloud-souveraine-inedite.htmlhttps://thehackernews.com/2026/03/vertex-ai-vulnerability-exposes-google.htmlhttps://securityaffairs.com/190213/data-breach/nearly-half-a-million-mobile-customers-of-lloyds-banking-group-affected-by-a-security-incident.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

La CISA ajoute le 30 mars 2026 la CVE-2026-3055 à son catalogue Known Exploited Vulnerabilities. La faille, de type Out-of-Bounds Read, affecte Citrix NetScaler et fait l'objet d'une exploitation active confirmée. Les agences fédérales civiles américaines sont soumises à une obligation de remédiation dans les délais fixés par la Binding Operational Directive 22-01.Selon ANY.RUN, une campagne Magecart active depuis au moins vingt-quatre mois cible des sites e-commerce WooCommerce, avec une concentration notable en Espagne, en France et aux États-Unis. Les attaquants déploient un framework de checkout hijacking en plusieurs étapes : un Loader JavaScript obfusqué injecté dans le site compromis charge dynamiquement un payload principal via une infrastructure de plus de cent domaines avec mécanisme de fallback. L'exfiltration des données de carte — numéro complet, date d'expiration, CVV — s'effectue via WebSocket vers un serveur C2 déguisé en domaine Redsys, contournant les outils de surveillance HTTP traditionnels. Le même payload distribue également un APK Android malveillant via ingénierie sociale.Selon Synthient Research, le botnet proxy Socks5Systemz, actif depuis 2013 et précédemment commercialisé sous la bannière PROXY[.]AM, opère désormais sous le nom ProxyBox après le sinkholing de son infrastructure en 2024. Le service maintient entre 32 000 et 35 000 adresses IP actives quotidiennement, concentrées en Russie, au Brésil et en Inde. La chaîne d'infection repose sur des sites de logiciels piratés distribuant un Loader en plusieurs étapes : auto-écrasement en mémoire, extraction d'une DLL chiffrée en RC4 depuis la section ressource, et persistance via service Windows ou clé de registre. La communication C2 utilise un User-Agent MSIE 9.0 falsifié et alterne HTTPS et HTTP avec mécanisme de fallback.Sources :https://www.cisa.gov/news-events/alerts/2026/03/30/cisa-adds-one-known-exploited-vulnerability-cataloghttps://any.run/cybersecurity-blog/banks-magecart-campaign/https://synthient.com/blog/proxybox-socks5systemz-lives-on⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Selon le bulletin de sécurité Docker publié le 30 mars 2026, une vulnérabilité de type Server-Side Request Forgery, référencée CVE-2026-33990, affecte Docker Desktop dans toutes les versions antérieures à la 4.67.0. La faille permet à un attaquant de forger des requêtes côté serveur, ouvrant potentiellement l'accès à des ressources internes normalement non exposées. Le CERT-FR a relayé cet avis le jour même. La version 4.67.0 de Docker Desktop intègre le correctif associé.Le projet Tails a publié le 26 mars 2026 la version 7.6 de son système d'exploitation orienté anonymat. La mise à jour introduit une fonctionnalité de bridges Tor automatiques directement intégrée à l'assistant de connexion : en cas de blocage du réseau Tor, le système interroge l'API Moat du Tor Project pour obtenir un bridge adapté à la région de l'utilisateur, en utilisant du domain fronting pour contourner la censure. Le gestionnaire de mots de passe KeePassXC est remplacé par GNOME Secrets, compatible avec le format de base existant. Les mises à jour embarquent également Tor Browser 15.0.8 et Thunderbird 140.8.0.Le CERT-UA a documenté fin mars 2026 une campagne d'ingénierie sociale conduite par le groupe UAC-0255, identifié sous le nom Cyber Serp. Des e-mails usurpant l'identité du CERT-UA invitaient les destinataires à télécharger depuis Files.fm un archive protégé par mot de passe contenant un outil présenté comme un logiciel de protection. Le payload déployé, un RAT développé en Go classifié AGEWHEEZE, communique via WebSockets avec son serveur C2 hébergé chez OVH sur le port 8443/tcp. Il supporte le contrôle d'écran, l'émulation clavier/souris, la gestion de fichiers et de processus, ainsi que la persistance via registre et tâches planifiées. Un site frauduleux cert-ua[.]tech reproduisait le contenu officiel du CERT-UA pour crédibiliser l'attaque. Selon le CERT-UA, la campagne n'a pas atteint ses objectifs, seuls quelques appareils personnels d'employés du secteur éducatif ayant été compromis.Selon SecurityScorecard et plusieurs médias dont TechCrunch, le groupe Handala, affilié à l'Iran et associé par le Département de Justice américain au ministère iranien du Renseignement, revendique la compromission du compte Gmail personnel du directeur du FBI Kash Patel. Des e-mails et fichiers exfiltrés, datant majoritairement de 2019, ont été rendus publics. TechCrunch a authentifié une partie des messages via l'analyse des en-têtes SMTP. Le FBI confirme l'incident, précisant qu'aucune donnée gouvernementale ou classifiée n'est concernée. Le vecteur d'intrusion et la présence éventuelle d'une authentification multifacteur sur le compte ne sont pas établis à ce stade. Le FBI offre jusqu'à dix millions de dollars pour toute information sur les membres du groupe Handala.Le FIRST Technical Colloquium organisé à Paris par Group-IB a réuni des équipes de CERT, CSIRT et opérateurs de sécurité pour examiner les limites actuelles de la défense collective. Les échanges ont mis en évidence un constat convergent : le partage de renseignement entre organisations est techniquement mature — MISP, STIX, TAXII sont opérationnels — mais la synchronisation opérationnelle en cas d'incident transfrontalier reste déficiente. Comme l'a formulé Manos Athanatos du FORTH, la Threat Intelligence circule à la vitesse de la lumière, mais la réponse coordonnée avance encore à la vitesse d'un fil de messagerie. Le signal structurant de l'événement : le défi de 2026 n'est plus la collecte de renseignement, mais la synchronisation opérationnelle entre organisations défensives.Sources :https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0374/https://tails.net/news/version_7.6/https://cert.gov.ua/article/6288047https://securityaffairs.com/190088/intelligence/iran-linked-group-handala-hacked-fbi-director-kash-patels-personal-email-account.htmlhttps://www.first.org/blog/20260323-Paris-TC ⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Quatre semaines après le déclenchement d'Operation Epic Fury et Operation Roaring Lion, le volet cyber du conflit entre les États-Unis, Israël et l'Iran entre dans une phase de consolidation institutionnelle et forensique. Cette édition spéciale couvre la semaine du 23 au 28 mars, avec la clôture forensique de l'affaire Stryker documentée par Unit 42, l'activation documentée de la dimension russe via NoName057(16) et la fourniture de renseignement militaire à Téhéran confirmée par le Washington Post, la création du Bureau of Emerging Threats par le Département d'État américain, le second incident AWS Bahreïn lié à une activité de drones, et le témoignage du directeur par intérim de la CISA devant le Congrès révélant que l'agence opère à 40 % de sa capacité normale alors que la menace iranienne s'intensifie.Sources :Update 28 Mars 2026 – Situation au Moyen-Orient – Blog de Marc Frédéric GOMEZhttps://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/https://flare.io/learn/resources/blog/cyberattacks-us-israel-iran-military-conflicthttps://www.securityweek.com/stryker-says-malicious-file-found-during-probe-into-iran-linked-attack/https://www.justice.gov/opa/pr/justice-department-disrupts-iranian-cyber-enabled-psychological-operationshttps://www.ic3.gov/CSA/2026/260320.pdfhttps://www.thenationalnews.com/future/2026/03/26/iran-hack-handala-fbi-breach/https://www.fdd.org/analysis/2026/03/27/iranian-cyber-operations-take-advantage-of-weakened-u-s-defenses/https://www.halcyon.ai/ransomware-alerts/iranian-use-of-cybercriminal-tactics-in-destructive-cyber-attacks-2026-updateshttps://www.nextgov.com/cybersecurity/2026/03/russia-linked-hackers-appear-iran-wars-cyber-front-their-impact-murky/412011/https://www.cybersecuritydive.com/news/pro-russia-actors-support-iran-nexus-hackers/813647/https://www.washingtonpost.com/national-security/2026/03/06/russia-iran-intelligence-us-targets/https://thesoufancenter.org/intelbrief-2026-march-17/https://www.centripetal.ai/threat-research/pre-positioned-access-cyber-threat-iran-conflicthttps://stackcyber.com/posts/cyber-dashboardhttps://unit42.paloaltonetworks.com/evolution-of-iran-cyber-threats/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Un consortium européen composé d'IONOS, Nextcloud, Proton, XWiki et Abilian lance Euro-Office, fork open source d'ONLYOFFICE publié sous licence AGPLv3, en réponse à la fermeture de l'offre cloud d'ONLYOFFICE et à des constats documentés de code obfusqué, de blobs binaires et de contributions systématiquement bloquées — le projet propose un composant d'édition web intégrable supportant les formats DOCX, PPTX, XLSX et ODT avec coédition en temps réel, avec une version stable attendue pour l'été 2026.La CISA ajoute la CVE-2025-53521 à son catalogue Known Exploited Vulnerabilities le 27 mars 2026 — une vulnérabilité de Remote Code Execution affectant F5 BIG-IP dont l'exploitation active est confirmée, exposant des équipements de périphérie réseau massivement déployés en environnement load balancer, proxy et WAF.Le Centre canadien pour la cybersécurité publie le bulletin AV26-291 couvrant quatre CVE affectant les branches FreeBSD 13.5, 14.x et 15.0 — dont la CVE-2026-4747 permettant une Remote Code Execution via validation défaillante de paquets RPCSEC_GSS, deux vecteurs de Denial of Service distants et la CVE-2026-4748 exposant une faille silencieuse dans le pare-feu pf.Le CERT-FR publie les avis CERTFR-2026-AVI-0367 et CERTFR-2026-AVI-0363 couvrant respectivement trois vulnérabilités dans Zabbix 7.0.22 — dont un Denial of Service distant et un contournement de politique de sécurité — et trois CVE affectant NetApp ONTAP 9 et Active IQ Unified Manager, exposant les baies de stockage à des atteintes à la confidentialité et à l'intégrité des données.Intoxalock, fournisseur américain d'éthylotests antidémarrage présent dans 46 États et revendiquant 150 000 utilisateurs, subit le 14 mars 2026 une attaque DDoS entraînant six jours d'indisponibilité — le blocage des opérations d'étalonnage provoque l'immobilisation physique de milliers de véhicules à travers les États-Unis, dans le premier cas documenté d'impact opérationnel direct d'une cyberattaque sur des dispositifs antidémarrage à caractère judiciaire.Push Security documente une campagne de Phishing de type AITM ciblant les comptes TikTok for Business — les attaquants utilisent des domaines fraîchement enregistrés hébergés derrière Cloudflare avec protection Turnstile, une redirection silencieuse depuis Google Storage, et exploitent le Single Sign-On pour compromettre simultanément les comptes TikTok et Google, détournés ensuite à des fins de malvertising et de fraude publicitaire.Sources :https://goodtech.info/euro-office-ionos-nextcloud-et-proton-lancent-le-fork-europeen-donlyoffice-qui-veut-en-finir-avec-microsoft-office/https://www.cisa.gov/news-events/alerts/2026/03/27/cisa-adds-one-known-exploited-vulnerability-cataloghttps://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-freebsd-av26-291https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0367/https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0363/https://www.01net.com/actualites/milliers-voitures-paralysees-cyberattaque.htmlhttps://securityaffairs.com/190058/security/new-aitm-phishing-wave-hijacks-tiktok-business-accounts.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site :https://www.radiocsirt.org📰 Newsletter :https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #EuroOffice #BIGIP #FreeBSD #Zabbix #NetApp #Intoxalock #AITM #TikTok #Malvertising #RadioCSIRT

Les systèmes d'IA agentique introduisent une surface d'attaque émergente dans les environnements financiers — selon AWS, les vecteurs identifiés incluent le privilege escalation via des agents mal scopés, la manipulation de contexte dans les workflows multi-agents et le behavior drift silencieux, dans un contexte réglementaire SR 11-7, SS1/23 et BCE imposant désormais une traçabilité complète des décisions automatisées.Elastic Security Labs publie une analyse technique du rootkit Linux VoidLink, attribué à un acteur sinophone — architecture hybride LKM-eBPF, quatre générations de développement itératif assisté par LLM, canal C2 covert en ICMP avec rotation de clé à la volée et masquage des connexions réseau via manipulation des buffers Netlink par bpf_probe_write_user.Selon Group-IB, des acteurs cybercriminels exploitent des cloud phones — dispositifs Android virtuels hébergés en datacenter — pour neutraliser les mécanismes de device fingerprinting des applications bancaires mobiles, en combinant social engineering, pré-chauffe comportementale et Authorized Push Payment fraud vers des comptes mules, pour un coût d'infrastructure inférieur à 0,50 dollar par heure.Le ministère de la Défense letton documente une campagne de désinformation russe coordonnée ciblant les trois États baltes, amplifiée par des bots ciblant les audiences russophones et les jeunes utilisateurs, avec pour objectifs le discrédit de l'OTAN et l'érosion de la confiance institutionnelle.La Commission européenne enquête sur une compromission de son infrastructure cloud Amazon — un acteur malveillant revendique l'exfiltration de 350 Go de données incluant bases de données et accès à un serveur mail, et annonce une publication ultérieure sans intention d'extorsion, deux mois après une première brèche liée à des vulnérabilités Ivanti EPMM.Selon Rapid7 Labs, le groupe APT Red Menshen, lié à la Chine, déploie des implants BPFDoor évolutifs dans des réseaux télécoms au Moyen-Orient et en Asie — les variants récents dissimulent les magic packets dans du trafic HTTPS légitime, intègrent un chiffrement RC4-MD5 et inspectent le trafic SCTP pour accéder aux systèmes de signalisation SS7 et Diameter.Sources :https://aws.amazon.com/fr/blogs/security/preparing-for-agentic-ai-a-financial-services-approach/https://www.elastic.co/security-labs/illuminating-voidlinkhttps://www.malwarebytes.com/blog/news/2026/03/criminals-are-renting-virtual-phones-to-bypass-bank-securityhttps://therecord.media/latvia-accuses-russia-of-disinformation-campaign-ukraine-warhttps://www.bleepingcomputer.com/news/security/european-commission-investigating-breach-after-amazon-cloud-hack/https://securityaffairs.com/190029/malware/china-linked-red-menshen-apt-deploys-stealthy-bpfdoor-implants-in-telecom-networks.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

La CISA ajoute la CVE-2026-33017 à son catalogue KEV — une vulnérabilité de type Code Injection affectant Langflow, plateforme open source de création de workflows IA, dont l'exploitation active dans la nature est confirmée et qui constitue un vecteur d'intrusion à portée étendue au-delà du périmètre fédéral américain.Le CERT-FR publie un avis sur quatre vulnérabilités affectant ISC BIND — CVE-2026-1519, CVE-2026-3104, CVE-2026-3119 et CVE-2026-3591 — exposant les branches 9.18.x, 9.20.x et 9.21.x à des dénis de service à distance, des atteintes à la confidentialité et des contournements de politique de sécurité sur des infrastructures DNS critiques.L'extinction progressive du réseau 2G en France, initiée par Orange dès le 31 mars 2026, soulève une problématique de continuité opérationnelle pour les équipements IoT industriels, systèmes d'alarme, terminaux M2M et dispositifs SCADA encore dépendants de cette technologie, dont la déconnexion non anticipée crée une surface d'exposition opérationnelle.Le propriétaire présumé de LeakBase est arrêté en Russie dans la région de Rostov, dans le prolongement de l'opération internationale « Operation Leak » coordonnée par Europol et le FBI en mars 2026 — la saisie du domaine et l'exploitation de la base de données du forum, incluant logs IP et messages privés, alimentent les procédures judiciaires en cours dans quinze pays.Sources :https://www.cisa.gov/news-events/alerts/2026/03/25/cisa-adds-one-known-exploited-vulnerability-cataloghttps://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0360/https://www.clubic.com/actualite-606448-orange-commence-l-arret-du-reseau-2g-a-partir-de-ce-coin-de-la-france.htmlhttps://www.bleepingcomputer.com/news/security/russia-arrests-suspected-owner-and-admin-of-leakbase-cybercrime-forum/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Le ressortissant russe Aleksei Volkov, Initial Access Broker de 26 ans, est condamné à 81 mois de prison aux États-Unis après avoir revendu des accès à au moins sept organisations américaines sur des forums criminels — dont au groupe Yanluowang — en touchant jusqu'à 20 % des rançons versées, pour 9 millions de dollars de pertes réelles documentées.Spamhaus recense plus de 21 000 serveurs C2 Mirai actifs au second semestre 2025, avec une croissance de 50 % sur l'année — la famille Aisuru-Kimwolf est liée à une attaque DDoS record à 31,4 Tbps et exploite des proxies résidentiels via IPIDEA pour infecter smart TVs et mobiles Android à des fins de credential stuffing et de fraude.La FCC intègre l'ensemble des routeurs grand public fabriqués à l'étranger à sa Covered List, les soumettant à une interdiction d'importation et de commercialisation sur le territoire américain — les campagnes Volt Typhoon, Flax Typhoon et Salt Typhoon sont explicitement citées comme cas documentés d'exploitation de ces équipements à des fins d'espionnage.TP-Link publie des correctifs pour sa gamme Archer NX — CVE-2025-15517 (CVSS 8.6) permet à un attaquant non authentifié d'uploader un firmware ou de modifier la configuration via des endpoints CGI exposés ; CVE-2025-15605 documente la présence d'une clé cryptographique codée en dur permettant le déchiffrement et la modification des fichiers de configuration.Kali Linux 2026.1 est disponible avec un kernel 6.18 et huit nouveaux outils dont AdaptixC2, MetasploitMCP, SSTImap et XSStrike — Kali NetHunter reçoit un premier patch d'injection sans fil pour chipsets Qualcomm QCACLD 3.0 ; l'écosystème GNU Radio est actuellement défaillant dans cette version.La NSA, le Centre canadien pour la cybersécurité, l'ACSC australienne et le NCSC néo-zélandais publient un guide conjoint sur la cybersécurité des systèmes LEO SATCOM, structuré autour de quatre segments de risque — spatial, terrestre, utilisateur final et liaisons RF — et identifiant le brouillage, le spoofing et l'interception comme vecteurs principaux sur des constellations dont la surface d'attaque croît avec le nombre de satellites déployés.Sources :https://www.theregister.com/2026/03/24/russian_iab_sentenced/https://gbhackers.com/mirai-botnets/https://securityaffairs.com/189959/security/fcc-targets-foreign-router-imports-amid-rising-cybersecurity-concerns.htmlhttps://www.bleepingcomputer.com/news/security/tp-link-warns-users-to-patch-critical-router-auth-bypass-flaw/https://www.bleepingcomputer.com/news/linux/kali-linux-20261-released-with-8-new-tools-new-backtrack-mode/https://www.cyber.gc.ca/fr/nouvelles-evenements/guide-conjoint-securite-spatiale-cybersecurite-telecommunications-satellite-orbite-terrestre-basseOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Le groupe iranien Pay2Key cible une organisation de santé américaine fin février avec un ransomware amélioré, sans exfiltration de données, compromettant un compte administrateur plusieurs jours avant chiffrement et effaçant les journaux post-intrusion — pattern cohérent avec une opération à finalité stratégique conduite en parallèle des hostilités militaires avec les États-Unis.Le CERT Esanté publie l'avis CVE-2026-30911 signalant une vulnérabilité Missing Authorization dans l'Execution API d'Apache Airflow sur les endpoints Human-in-the-Loop, permettant à tout utilisateur authentifié de lire, approuver ou rejeter des workflows d'autres instances sans vérification d'appartenance, affectant les versions 3.1.0 à 3.1.7, corrigée en 3.1.8.Le SANS Internet Storm Center documente deux méthodes de détection des IP KVM sur Linux — analyse USB via lsusb et interrogation des données EDID transmises par HDMI — et souligne qu'aucune solution de protection endpoint ne vérifie actuellement les chaînes EDID, vecteur exploité notamment par des acteurs nord-coréens pour accès furtif à distance.Microsoft résout un incident de synchronisation dans Classic Outlook affectant les comptes Gmail et Yahoo depuis le 26 février 2026, générant les codes d'erreur 0x800CCC0F et 0x80070057 sans prompt de reconnexion OAuth — deux incidents restent ouverts : erreurs EWS lors de création de groupes et disparition du curseur souris.Le ministère néerlandais des Finances confirme une intrusion détectée le 19 mars 2026 ciblant des systèmes du département politique, sans impact sur l'administration fiscale ni les douanes — nombre d'employés concernés, données potentiellement exfiltrées et durée de présence des attaquants non communiqués, aucune revendication à ce stade.Sources :https://therecord.media/iran-linked-ransomware-gang-targeted-us-healthcare-orghttps://cyberveille.esante.gouv.fr/alertes/apache-cve-2026-30911-2026-03-24https://isc.sans.edu/diary/rss/32824https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bug-causing-outlook-sync-issues-for-gmail-users/https://www.bleepingcomputer.com/news/security/dutch-ministry-of-finance-discloses-breach-affecting-employees/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Microsoft détecte une campagne de Phishing massive usurpant l'IRS ayant frappé 29 000 utilisateurs dans 10 000 organisations le 10 février 2026, distribuant via Amazon SES un ScreenConnect malveillant protégé par Cloudflare contre l'analyse automatisée.Le groupe TeamPCP déploie CanisterWorm, un Wiper ciblant les systèmes configurés sur le fuseau horaire iranien, propagé via Docker APIs et clusters Kubernetes exposés, avec une infrastructure C2 basée sur des canisters ICP blockchain, après avoir compromis les scanners Trivy et KICS via des supply chain attacks sur GitHub Actions.La Shadowserver Foundation identifie 511 000 instances Microsoft IIS en fin de vie exposées sur Internet, dont 227 000 en état End-of-Support complet sans aucun correctif disponible, majoritairement concentrées en Chine et aux États-Unis.Le CERT-FR publie l'avis CERTFR-2026-AVI-0338 signalant la CVE-2026-32746, permettant une exécution de code arbitraire à distance sur plusieurs branches DSM de Synology, sans correctif disponible pour DSMUC 3.1.Le CERT-FR publie l'avis CERTFR-2026-AVI-0337 concernant les CVE-2026-3055 et CVE-2026-4368 affectant NetScaler ADC et Gateway, permettant atteinte à la confidentialité et contournement de politique de sécurité.Le CERT-FR publie l'avis CERTFR-2026-AVI-0336 signalant douze CVE dans les composants QNAP — QuFTP Service, QuNetSwitch, QuRouter et QVR Pro — couvrant exécution de code arbitraire à distance, déni de service et injections XSS.Qualys révèle CrackArmor, neuf vulnérabilités dans le code AppArmor du noyau Linux permettant élévation de privilèges locale vers root et théoriquement une container escape dans les environnements conteneurisés, affectant toutes les versions Ubuntu supportées, avec correctifs disponibles pour le noyau, sudo et util-linux.Sources :https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.htmlhttps://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/https://gbhackers.com/511000-end-of-life-iis-instances-found-online/https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0338/https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0337/https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0336/https://canonical.com/blog/apparmor-vulnerability-fixes-availableOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

VoidStealer, infostealer distribué en Malware-as-a-Service depuis décembre 2025, contourne la protection Application-Bound Encryption de Chrome en exploitant des hardware breakpoints pour extraire la v20_master_key directement depuis la mémoire du navigateur, sans élévation de privilèges ni injection de code.Proton Mail a transmis aux autorités suisses des métadonnées de facturation associées à un compte anonyme, relayées au FBI pour identifier un militant du mouvement Stop Cop City à Atlanta, illustrant les limites opérationnelles des services de messagerie chiffrée face aux réquisitions légales.Une opération internationale coordonnée par Europol et Eurojust démantèle un service de proxy IP criminel actif dans 102 pays, ayant compromis 369 000 équipements via un malware installé sur des routeurs et modems, avec 24 serveurs neutralisés et 3,5 millions d'euros en cryptomonnaies saisis.L'analyse forensique de deux téléphones saisis en Suède déclenche le démantèlement d'un réseau criminel international de trafic de stupéfiants et de blanchiment, aboutissant à 15 arrestations dans quatre pays et la saisie de 1,2 tonne de drogues synthétiques.Une campagne active exploite Google Forms pour distribuer le RAT PureHVNC via des leurres professionnels diffusés sur LinkedIn, avec une chaîne d'infection en plusieurs étapes reposant sur le DLL hijacking, un shellcode Donut et l'injection dans SearchUI.exe.Un ressortissant américain plaide coupable pour une fraude au streaming musical ayant détourné plus de 8 millions de dollars en royalties entre 2017 et 2024, via le déploiement de 10 000 comptes bot simultanés générant artificiellement des milliards de streams sur les principales plateformes.Sources :https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/https://www.schneier.com/blog/archives/2026/03/proton-mail-shared-user-information-with-the-police.htmlhttps://www.eurojust.europa.eu/news/servers-used-cybercrime-around-world-taken-downhttps://www.eurojust.europa.eu/news/seized-phones-small-swedish-town-expose-major-international-criminal-networkhttps://www.malwarebytes.com/blog/threat-intel/2026/03/that-job-brief-on-google-forms-could-infect-your-devicehttps://therecord.media/man-pleads-guilty-8-million-ai-music-scheme On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

La CISA et le FBI alertent sur des campagnes de phishing menées par des acteurs liés aux services de renseignement russes visant Signal, WhatsApp et autres CMA, avec compromission de comptes utilisateurs pour accéder aux messages, contacts et propager des attaques sans casser le chiffrement.La CISA ajoute CVE-2026-20963 au KEV Catalog : une vulnérabilité critique de désérialisation dans Microsoft SharePoint permettant une Remote Code Execution sans authentification ni interaction, activement exploitée par des acteurs inconnus.Sansec révèle la vulnérabilité PolyShell dans Magento et Adobe Commerce : upload de fichiers non authentifié via API REST, exposant à Remote Code Execution ou stored XSS selon la configuration serveur, sans patch disponible pour les versions en production.Oracle publie une alerte critique sur CVE-2026-21992 affectant Identity Manager et Web Services Manager, permettant une Remote Code Execution sans authentification via requêtes réseau, avec impact direct sur les infrastructures d’identité et de services web.Sources :https://www.cisa.gov/resources-tools/resources/russian-intelligence-services-target-commercial-messaging-application-accountshttps://www.theregister.com/2026/03/19/unknown_attackers_exploit_yet_another/https://securityaffairs.com/189744/security/polyshell-flaw-exposes-magento-and-adobe-commerce-to-file-upload-attacks.htmlhttps://cyberpress.org/oracle-releases-urgent-patch-for-critical-rce-flaw/ On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Mandiant publie l'Exfiltration Framework, un modèle de détection comportementale documentant l'abus d'outils légitimes — PowerShell, rclone, AWS CLI, AzCopy — pour l'exfiltration de données, face à l'inefficacité croissante des IOCs statiques et des stratégies de blocage par liste blanche.Google identifie DarkSword, une chaîne d'exploitation iOS en six vulnérabilités ciblant les versions 18.4 à 18.7, utilisée par des acteurs étatiques et des éditeurs de spyware commercial dans des campagnes observées en Ukraine, Arabie Saoudite, Turquie et Malaisie. Le payload Ghostblade exfiltre l'intégralité des données personnelles et cible les applications de cryptomonnaies.McAfee Labs documente une campagne de faux téléchargements intégrant du code généré par LLM : 443 fichiers ZIP malveillants, 17 kill chains distinctes, distribution via Discord et SourceForge, avec déploiement de cryptomineurs et d'infostealers.Le FBI saisit quatre domaines opérés par le groupe Handala, attribué au MOIS iranien, en lien avec l'attaque wiper contre Stryker — plus de 200 000 appareils effacés via Microsoft Intune — et des opérations contre l'Albanie et des responsables israéliens.L'Opération Alice, coordonnée par Europol avec 23 pays, aboutit au démantèlement de plus de 373 000 sites dark web opérés par un unique individu basé en Chine, proposant du CSAM et des offres de Cybercrime-as-a-Service.Le SANS ISC publie l'analyse d'un script Bash déployant un backdoor GSocket multi-plateforme, combinant persistance via cron et .profile avec une technique anti-forensique de restauration de timestamps.Une analyse des TTPs du cluster Handala / Void Manticore détaille les vecteurs de Lateral Movement utilisés dans les campagnes wiper iraniennes et les stratégies de containment applicables.Un chercheur indépendant publie les détails d'une vulnérabilité critique dans les chipsets UNISOC T612, T616, T606 et T7250, permettant une Remote Code Execution unauthenticated via un simple appel cellulaire SIP/SDP — aucun patch disponible à ce jour.Le Département de Justice américain, avec le Canada et l'Allemagne, démantèle l'infrastructure de quatre botnets IoT — Aisuru, Kimwolf, JackSkid et Mossad — responsables de plus de 300 000 commandes d'attaque DDoS sur plus de trois millions d'appareils compromis.Office.eu est officiellement lancée à La Haye : une suite bureautique souveraine européenne basée sur Nextcloud, compatible avec les formats Microsoft et LibreOffice, avec déploiement grand public prévu au deuxième trimestre 2026.La CISA ajoute cinq vulnérabilités activement exploitées au KEV Catalog : trois affectant des produits Apple (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520), une dans Craft CMS (CVE-2025-32432) et une dans Laravel Livewire (CVE-2025-54068).Sources :Talos Intelligence — Exfiltration Framework : https://blog.talosintelligence.com/everyday-tools-extraordinary-crimes-the-ransomware-exfiltration-playbook/Malwarebytes — DarkSword iOS : https://www.malwarebytes.com/blog/mobile/2026/03/a-darksword-hangs-over-unpatched-iphonesMcAfee — AI-written malware : https://www.mcafee.com/blogs/internet-security/new-research-hackers-are-using-ai-written-code-to-spread-malware/The Record — FBI / Handala / MOIS : https://therecord.media/fbi-takes-down-leak-sites-iran-moisEuropol — Opération Alice : https://www.europol.europa.eu/media-press/newsroom/news/global-cybercrime-crackdown-over-373-000-dark-web-sites-shut-downSANS ISC — GSocket backdoor : https://isc.sans.edu/diary/rss/32816BleepingComputer — Wiper iraniens / CISOs : https://www.bleepingcomputer.com/news/security/how-cisos-can-survive-the-era-of-geopolitical-cyberattacks/GBHackers — UNISOC T612 RCE : https://gbhackers.com/critical-unisoc-t612-modem-flaw/KrebsOnSecurity — Botnets IoT DDoS : https://krebsonsecurity.com/2026/03/feds-disrupt-iot-botnets-behind-huge-ddos-attacks/GoodTech — Office.eu : https://goodtech.info/office-eu-suite-bureautique-souveraine-europeenne-nextcloud-alternative-microsoft-365/CISA — KEV 5 vulnérabilités : https://www.cisa.gov/news-events/alerts/2026/03/20/cisa-adds-five-known-exploited-vulnerabilities-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

La CISA ajoute deux vulnérabilités activement exploitées au KEV Catalog : CVE-2026-20131 affectant Cisco Secure Firewall via une faille de désérialisation, et CVE-2026-20963 impactant Microsoft SharePoint, confirmant l’exploitation active de ce vecteur critique.La CISA alerte également sur des activités malveillantes exploitant des solutions de gestion des endpoints, suite à l’attaque de Stryker, avec un abus des mécanismes Microsoft Intune et des accès privilégiés.Un bulletin de sécurité Ubiquiti signale une vulnérabilité critique dans UniFi Network affectant plusieurs versions, exposant les environnements de gestion réseau sans détails publics sur le vecteur d’exploitation.Le CERT-FR publie une série d’avis couvrant Microsoft, Roundcube, Mitel, Splunk, Python et VMware Tanzu. Les impacts incluent XSS, SSRF, CSRF et contournement de sécurité, avec plusieurs cas où l’impact reste non documenté.L’avis CERTFR-2026-AVI-0316 met en évidence plus de 100 CVE dans l’écosystème VMware Tanzu, illustrant un risque lié à la Supply Chain logicielle et aux dépendances Buildpack.Les chercheurs d’IBM X-Force et Flare Research révèlent une opération nord-coréenne impliquant jusqu’à 100 000 faux travailleurs IT infiltrant des entreprises occidentales, générant environ 500 millions de dollars annuels.Le NCSC publie des recommandations sur la sécurisation des outils de visioconférence, mettant en avant les risques liés aux accès non contrôlés, aux données partagées et aux fonctionnalités intégrant de l’IA.Sources :• CISA — KEV Cisco CVE-2026-20131 : https://www.cisa.gov/news-events/alerts/2026/03/19/cisa-adds-one-known-exploited-vulnerability-catalog• CISA — KEV SharePoint CVE-2026-20963 : https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-adds-one-known-exploited-vulnerability-catalog-0• CISA — Endpoint management attack : https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-urges-endpoint-management-system-hardening-after-cyberattack-against-us-organization• Cyber.gc.ca — Ubiquiti UniFi : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-ubiquiti-av26-258• CERT-FR — Microsoft : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0321/• CERT-FR — Roundcube : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0320/• CERT-FR — Mitel : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0319/• CERT-FR — Splunk : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0318/• CERT-FR — Python : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0317/• CERT-FR — VMware Tanzu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0316/• NCSC — Online meetings security : https://www.ncsc.gov.uk/guidance/how-to-secure-your-online-meetings• The Register — North Korea fake IT workers : https://www.theregister.com/2026/03/18/researchers_lift_the_lid_on/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Apple corrige une vulnérabilité WebKit référencée CVE-2026-20643 permettant un contournement de la same-origin policy via un problème cross-origin dans la Navigation API. Cette faille pourrait permettre l’accès à des données inter-domaines dans Safari et les composants associés.Une compromission majeure touche le fournisseur bancaire Marquis Software. Plus de 672 000 personnes sont affectées après exfiltration de données sensibles incluant identifiants fiscaux et informations financières, dans un scénario de Supply Chain impactant de multiples institutions.La CISA indique ne pas observer d’augmentation significative de l’activité cyber iranienne malgré les frappes récentes, maintenant une posture de vigilance face à un écosystème de menaces toujours actif.Les chercheurs de Unit 42 démontrent la fragilité persistante des LLM face aux attaques de prompt fuzzing. Des variantes automatisées permettent de contourner les guardrails avec des taux d’évasion élevés selon les modèles et les mots-clés.Le SANS Institute observe une augmentation des scans ciblant Adminer, avec une recherche automatisée de fichiers spécifiques incluant versions et variantes, indiquant une phase de reconnaissance active.Le CERT-FR publie un avis sur plusieurs vulnérabilités dans Suricata, affectant les versions antérieures à 7.0.15 et 8.0.4, avec un impact potentiel sur les capacités de détection réseau.Une vulnérabilité critique CVE-2026-3888 affecte Ubuntu Desktop 24.04+, permettant une élévation de privilèges root via une interaction entre snap-confine et systemd-tmpfiles.Le groupe Interlock exploite une zero-day dans Cisco Secure Firewall Management Center, CVE-2026-20131, permettant une Remote Code Execution non authentifiée sur des équipements exposés.La CISA ajoute CVE-2025-66376 au KEV Catalog. Cette vulnérabilité Cross-Site Scripting affecte Zimbra Collaboration Suite et est confirmée comme activement exploitée.Sources :Malwarebytes — WebKit CVE-2026-20643 : https://www.malwarebytes.com/blog/news/2026/03/apple-patches-webkit-bug-that-could-let-sites-access-your-dataThe Record — Marquis Software breach : https://therecord.media/marquis-bank-vendor-data-breachThe Record — CISA Iran cyber posture : https://therecord.media/cisa-official-says-agency-has-not-seen-uptick-cyber-threats-iranUnit 42 — LLM prompt fuzzing : https://unit42.paloaltonetworks.com/genai-llm-prompt-fuzzing/SANS ISC — Adminer scans : https://isc.sans.edu/diary/rss/32808CERT-FR — Suricata : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0309/Security Affairs — Ubuntu CVE-2026-3888 : https://securityaffairs.com/189614/security/cve-2026-3888-ubuntu-desktop-24-04-vulnerable-to-root-exploit.htmlBleepingComputer — Marquis breach details : https://www.bleepingcomputer.com/news/security/marquis-ransomware-gang-stole-data-of-672-000-people-in-2025-cyberattack/CISA — KEV Zimbra CVE-2025-66376 : https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-adds-one-known-exploited-vulnerability-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

La CISA ajoute CVE-2025-47813 à son catalogue KEV : la faille d'Information Disclosure dans Wing FTP Server est confirmée comme activement exploitée et exploitable en chaîne avec une Remote Code Execution critique référencée CVE-2025-47812. Les agences fédérales américaines disposent de deux semaines pour remédier.Le CERT-FR publie quatre avis simultanés : CVE-2026-3909 dans Google Chrome et CVE-2026-3910 dans Microsoft Edge sont toutes deux confirmées comme activement exploitées. OpenSSL est affecté par CVE-2026-2673 sur les branches 3.5.x et 3.6.x. Plusieurs composants Azure Linux — coredns, giflib, golang et azurelinux-image-tools — font l'objet de six CVE additionnelles.La startup Starcloud soumet à la FCC une demande de déploiement de 88 000 satellites en orbite héliosynchrone pour constituer une infrastructure de data centers orbitaux produisant 5 gigawatts. Soutenue par NVIDIA, la société a déjà démontré l'exécution d'inférences IA depuis l'orbite via un GPU H100 embarqué.Le groupe APT Laundry Bear, également référencé UAC-0190 et Void Blizzard, est suspecté d'utiliser un nouveau backdoor baptisé DRILLAPP contre des organisations ukrainiennes. La technique repose sur l'abus des paramètres de debug de Microsoft Edge en mode headless pour accéder au système de fichiers, au microphone, à la caméra et à l'écran sans déclencher d'alerte.Sources :CISA — Wing FTP Server KEV : https://www.cisa.gov/news-events/alerts/2026/03/16/cisa-adds-one-known-exploited-vulnerability-catalogBleepingComputer — Wing FTP Server flaw actively exploited : https://www.bleepingcomputer.com/news/security/cisa-flags-wing-ftp-server-flaw-as-actively-exploited-in-attacks/CERT-FR — OpenSSL CVE-2026-2673 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0296/CERT-FR — Google Chrome CVE-2026-3909 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0297/CERT-FR — Microsoft Edge multiples vulnérabilités : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0298/CERT-FR — Produits Microsoft Azure Linux : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0299/Clubic — Starcloud data centers orbitaux : https://www.clubic.com/actualite-604813-data-centers-dans-l-espace-lumiere-sur-le-projet-fou-de-la-startup-starcloud.htmlSecurity Affairs — DRILLAPP backdoor Laundry Bear : https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Meta supprime le chiffrement de bout en bout des messages privés Instagram à compter du 8 mai 2026. La fonctionnalité E2EE, disponible depuis trois ans en mode opt-in, est abandonnée au profit d'une architecture permettant à Meta d'analyser les contenus échangés. Les utilisateurs souhaitant maintenir un canal chiffré au sein de l'écosystème Meta sont redirigés vers WhatsApp.Le groupe Storm-2561, actif depuis mai 2025, distribue de faux clients VPN enterprise via SEO poisoning en usurpant les marques Cisco, Fortinet, CheckPoint, Ivanti, SonicWall, Sophos et WatchGuard. Les installeurs MSI malveillants sideloadent deux DLL — dwmapi.dll et inspector.dll — capturant les credentials saisis avant de rediriger silencieusement la victime vers le site officiel du vendor.Le cluster CL-STA-1087, suspecté d'origine chinoise, conduit depuis 2020 des opérations d'espionnage ciblant des organisations militaires d'Asie du Sud-Est. L'arsenal déployé comprend les backdoors AppleChris et MemFun, et le credential harvester Getpass. Les deux backdoors utilisent Pastebin comme dead drop resolver pour récupérer les adresses C2.Starbucks notifie une violation de données affectant 889 employés suite à une campagne de phishing ciblant le portail RH Partner Central entre le 19 janvier et le 11 février 2026. Les données exposées incluent numéros de sécurité sociale, dates de naissance et coordonnées bancaires.Le SDK web d'AppsFlyer a été compromis dans une attaque supply chain entre le 9 et le 11 mars 2026. Un payload JavaScript de clipboard hijacking a été distribué depuis websdk.appsflyer.com, ciblant les wallets Bitcoin, Ethereum, Solana, Ripple et TRON sur les applications de 15 000 entreprises clientes.Microsoft publie le hotpatch OOB KB5084597 pour corriger trois RCE dans le snap-in RRAS de Windows 11 Enterprise : CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111. Le correctif applique les fixes via in-memory patching sans redémarrage, exclusivement sur les endpoints gérés via Windows Autopatch.Sources :Clubic — Instagram supprime le chiffrement de bout en bout : https://www.clubic.com/actualite-604663-instagram-supprime-le-chiffrement-des-messages-de-bout-en-bout-vos-conversations-privees-bientot-lisibles.htmlThe Register — VPN clients spoofed by Storm-2561 : https://www.theregister.com/2026/03/13/vpn_clients_spoofed/The Hacker News — Chinese hackers target Southeast Asian militaries : https://thehackernews.com/2026/03/chinese-hackers-target-southeast-asian.htmlSecurity Affairs — Starbucks data breach 889 employees : https://securityaffairs.com/189438/security/starbucks-data-breach-impacts-889-employees.htmlBleepingComputer — AppsFlyer Web SDK crypto stealer : https://www.bleepingcomputer.com/news/security/appsflyer-web-sdk-used-to-spread-crypto-stealer-javascript-code/BleepingComputer — Microsoft Windows 11 OOB hotpatch RRAS RCE : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-11-oob-hotpatch-to-fix-rras-rce-flaw/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com