RadioCSIRT - Edition Française

Episoade

• Ep.657 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 3 juin 2026 03.06.2026 17min

  🐧 La CISA ajoute deux vulnérabilités activement exploitées à son catalogue KEV. La CVE-2022-0492 vise le noyau Linux via les cgroups : authentification incorrecte, élévation de privilèges et évasion de conteneurs à la clé. La CVE-2025-48595, elle, frappe l'Android Framework avec un Integer Overflow.🐬 La fondation OurSQL voit le jour pour porter l'écosystème MySQL. Structure 501(c)(6), indépendante et vendor-neutral, présidée par Vadim Tkachenko de Percona. Au menu : base de bugs publique, transparency log des correctifs et formations. Oracle n'en est pas membre.🦊 Le CERT-FR signale de multiples vulnérabilités dans Mozilla Firefox (avis AVI-0684). Toutes les versions antérieures à 151.0.3 sont concernées. Risque non spécifié par l'éditeur, deux CVE au compteur. On met à jour le navigateur.🩺 Un acteur sous le pseudo « Lagui » revendique le vol des données de 34 millions d'assurés via le DMP. Méthode annoncée : usurpation d'une e-CPS de médecin, puis énumération en modifiant un paramètre d'URL. Les chercheurs flairent un agrégat de fuites recyclées ; l'Assurance Maladie dément toute intrusion.🗂️ Stored XSS dans GLPI, référencée CVE-2026-5385. Un payload persistant se loge dans la base de connaissances, score CVSS 8,4. Correctif en version 11.0.7. D'après l'advisory Fluid Attacks.🤖 Des attaquants pro-iraniens détournent des comptes Instagram, dont ceux de l'Obama White House et de l'U.S. Space Force. L'astuce : pousser l'assistant IA de support de Meta à relier le compte à une nouvelle adresse, puis déclencher un reset. Les comptes protégés par MFA ont tenu.🎮 WeedHack, un Malware-as-a-Service ciblant Minecraft, infecte plus de 116 000 systèmes depuis janvier. Distribution par YouTube et SEO poisoning, infostealer gratuit, accès distant en premium dès 5 dollars. McAfee a tracé 3 820 fichiers JAR malveillants.📶 Acer corrige deux zero-day de sévérité maximale sur ses routeurs Wave 7. La CVE-2026-49200 expose des identifiants en clair sans authentification ; la CVE-2026-49201 repose sur une clé AES codée en dur ouvrant un backdoor persistant. Patch visé fin juin.🇬🇭 Le FIRST détaille le modèle ghanéen de CERT sectoriels, hébergés au sein des régulateurs pour s'appuyer sur leurs pouvoirs. Le secteur bancaire affiche 100 % de couverture via le FICSOC. Seuls les logs sont collectés, pas les données métier.🏴‍☠️ Opération KRATOS 2 : Europol et la Bulgarie frappent le streaming illégal. Bilan : 29 arrestations, neuf groupes criminels démantelés, plus de 27 000 URL retirées. Infrastructure éclatée sur plusieurs pays pour échapper à la détection.🪖 Aux États-Unis, une commission chiffre à 11 milliards de dollars la création d'une Cyber Force militaire dédiée, forte de 30 000 personnels. Première nouvelle branche depuis la Space Force de 2019. Travaux portés par le CSIS et la FDD.Sources :CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://mail.google.com/mail/u/0/?ogbl#inbox/FMfcgzQgMChRndDxBfJTkBkrWvHzVjGbOurSQL Foundation Launches to Support MySQL Users, Developers, and Companies — OurSQL / GlobeNewswire : https://www.globenewswire.com/news-release/2026/05/27/3302305/0/en/oursql-foundation-launches-to-support-mysql-users-developers-and-companies.htmlMultiples vulnérabilités dans Mozilla Firefox — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0684/Fuite massive ou coup de bluff ? Un pirate revendique le vol des données médicales de 34 millions de Français — 01net : https://www.01net.com/actualites/fuite-massive-coup-bluff-pirate-revendique-vol-donnees-medicales-34-millions-francais-assurance-maladie-dement.htmlCVE-2026-5385 : GLPI Stored XSS in Knowledge Base — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-5385Hackers Used Meta's AI Support Bot to Seize Instagram Accounts — Krebs on Security : https://krebsonsecurity.com/2026/06/hackers-used-metas-ai-support-bot-to-seize-instagram-accounts/Malware Campaign Targeting Minecraft Users Infects Over 116,000 Systems — Help Net Security : https://www.helpnetsecurity.com/2026/06/03/weedhack-minecraft-malware-campaign/Acer Working to Patch Max Severity Zero-Days in Wave 7 Routers — BleepingComputer : https://www.bleepingcomputer.com/news/security/acer-warns-of-max-severity-zero-days-affecting-wave-7-routers/Sector CERTs and How To Build Them — FIRST : https://www.first.org/blog/20260525-Sector-CERTs-and-how-to-build-them29 Arrested as Law Enforcement Strikes Criminal Networks Behind Illegal Streaming — Europol : https://www.europol.europa.eu/media-press/newsroom/news/29-arrested-law-enforcement-strikes-criminal-networks-behind-illegal-streamingNew Cyber Force Would Cost Up to $11 Billion to Start, Commission Says — The Record : https://therecord.media/new-cyber-force-would-cost-11-billion-commission⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #LinuxKernel #CVE20220492 #Android #CVE202548595 #MySQL #OurSQL #OpenSource #CERTFR #Firefox #Mozilla #DMP #AssuranceMaladie #DataBreach #eCPS #GLPI #StoredXSS #CVE20265385 #Meta #Instagram #AISecurity #SocialEngineering #Minecraft #WeedHack #MaaS #Infostealer #Acer #Wave7 #ZeroDay #Router #FIRST #SectorCERT #Ghana #Europol #Kratos2 #IPTV #CyberForce #Pentagon #RadioCSIRT
• Ep.656 - RadioCSIRT Édition Française - Flash info cybersécurité du lundi 1er juin 2026 01.06.2026 6min

  ⚠️ La CISA ajoute la CVE-2024-21182 à son catalogue KEV : une vulnérabilité non spécifiée dans Oracle WebLogic Server, sur preuve d'exploitation active. Peu de détails techniques publiés, mais l'inscription au KEV impose aux agences fédérales de corriger sans délai.📬 Le CERT-FR alerte sur une vulnérabilité dans Laravel (avis AVI-0670). Contournement de la politique de sécurité référencé CVE-2026-48019. Versions 12.x antérieures à 12.60.0 et 13.x antérieures à 13.10.0 du framework PHP. On patche.🎮 Près de 2 000 sites WordPress compromis dans une campagne qui planque son command and control dans des commentaires de profils Steam Community. Six caractères Unicode invisibles encodent la charge, parfois maquillée en ASCII art, et reconstruisent une URL vers hello-mywordl[.]info. Une backdoor PHP attend ensuite un cookie tEcaKKXEsb. C2 hébergé chez Valve, détection compliquée.🚓 Aux Pays-Bas, le FIOD frappe fort. Deux arrestations le 18 mai et plus de 800 serveurs saisis. L'infrastructure visée hébergeait les actifs de Stark Industries Solutions, sanctionné par l'UE, via the[.]hosting et WorkTitans BV. Cyberattaques et désinformation pro-russes au cœur de l'enquête.Sources :CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2024-21182) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/01/cisa-adds-one-known-exploited-vulnerability-catalogVulnérabilité dans Laravel — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0670/WordPress malware campaign hides payloads in Steam profiles — BleepingComputer : https://www.bleepingcomputer.com/news/security/wordpress-malware-campaign-hides-payloads-in-steam-profiles/Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks — Krebs on Security : https://krebsonsecurity.com/2026/05/netherlands-seizes-800-servers-arrests-2-for-aiding-cyberattacks/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #Oracle #WebLogic #CVE202421182 #CERTFR #Laravel #PHP #CVE202648019 #WordPress #Steam #Malware #Backdoor #C2 #GoDaddy #FIOD #StarkIndustries #MIRhosting #WorkTitans #Sanctions #Russia #PatchManagement #RadioCSIRT
• Ep.655 - RadioCSIRT Édition Française - Flash info cybersécurité du samedi 30 mai 2026 30.05.2026 12min

  🐝 Perplexity ouvre le code de Bumblebee, un scanner en lecture seule écrit en Go et sans dépendance. Sur les postes de développeurs macOS et Linux, il traque paquets, extensions et configs d'outils d'IA compromis, là où ni les scanners SBOM ni les EDR ne regardent. Windows non couvert au lancement.⚠️ La CISA ajoute la CVE-2026-48172 à son catalogue KEV : une élévation de privilèges dans le plugin LiteSpeed pour cPanel. N'importe quel compte cPanel peut exécuter des scripts arbitraires avec les droits root. Déjà activement exploitée.🔓 Rebelote le 29 mai : la CVE-2026-0257 entre au KEV. Contournement d'authentification dans PAN-OS de Palo Alto, permettant d'établir une connexion VPN non autorisée. Échéance de patch fédérale : 1er juin.📬 Le CERT-FR alerte sur de multiples vulnérabilités dans Roundcube (avis AVI-0644). Exécution de code à distance, injection SQL et SSRF au menu. Versions 1.6.x antérieures à 1.6.16 et 1.7.x antérieures à 1.7.1. On patche le webmail.🏗️ Le NCSC publie un guide de conception pour le ZTNA. Le constat qui pique : la plupart des déploiements échouent non par manque de fonctionnalités, mais parce qu'ils reconduisent la vieille hypothèse « position réseau = confiance ». Outils neufs, réflexes anciens.👻 Nightmare Eclipse remet une pièce contre Microsoft. Après le retrait de son dépôt public, le chercheur annonce « Bitskrieg » : une faille qui briserait les garanties de Secure Boot et contournerait entièrement BitLocker. Divulgation annoncée pour juin. Revendications non confirmées par l'éditeur.⚽ À l'approche de la Coupe du monde 2026, Group-IB démasque GHOST STADIUM : plus de 4 300 domaines clonant la FIFA au pixel près, avec le SSO PingIdentity détourné via de vrais identifiants clients. Fraude aux billets premium estimée entre 71 et 474 millions de dollars.📡 ShinyHunters publie les données de Charter Communications après un refus de rançon. L'acteur revendique plus de 42 millions d'enregistrements ; Have I Been Pwned en retient 4,9 millions d'adresses e-mail. Charter confirme l'incident mais dément toute exfiltration de données sensibles ou de CPNI.Sources : Perplexity Is Open-Sourcing Bumblebee — Perplexity : https://www.perplexity.ai/fr/hub/blog/perplexity-is-open-sourcing-bumblebee CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-48172) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/26/cisa-adds-one-known-exploited-vulnerability-catalog CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-0257) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/29/cisa-adds-one-known-exploited-vulnerability-catalog Multiples vulnérabilités dans Roundcube — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0644/ Designing secure access with ZTNA — NCSC : https://www.ncsc.gov.uk/blogs/designing-secure-access-with-ztna Announcing Bitskrieg / July 14th — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/announcing-bitskrieg.html 300+ Fake Domains Used in GHOST STADIUM Campaign Targeting World Cup Fans — CyberPress : https://cyberpress.org/ghost-stadium-targets-fans/ ShinyHunters Leaks Charter Communications Data, Potentially Impacting 5 Million Customers — Security Affairs : https://securityaffairs.com/192907/uncategorized/shinyhunters-leaks-charter-communications-data-potentially-impacting-5-million-customers.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09 📩 Email : radiocsirt@gmail.com 🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com
• Ep.654 - RadioCSIRT Édition Française - Flash info cybersécurité du samedi 23 mai 2026 23.05.2026 9min

  🕹️ 570 systèmes d'exploitation, de 1948 à aujourd'hui, réunis dans une seule VM Linux. Le Virtual OS Museum vous fait passer du Manchester Baby à UNIX System V en un clic. Un voyage temporel dans le silicium, jouable directement depuis votre navigateur.⚠️ La CISA ajoute la CVE-2026-9082 à son catalogue KEV : une SQL Injection dans le cœur de Drupal, déjà activement exploitée. Le compte à rebours du patch est lancé.🛠️ Sept bulletins d'un coup pour Mattermost. Le CERT-FR alerte : Desktop App et Server sont touchés. On vérifie sa version, on patche.💥 CVSS 10. Microsoft publie la CVE-2026-42901 sur Entra ID : Elevation of Privilege, exploitable à distance, sans authentification, et un scope Changed qui déborde du périmètre vulnérable.🔓 Dans la foulée, la CVE-2026-33843 frappe Azure AD B2C : Elevation of Privilege critique en CVSS 9,1, exploitable à distance et confirmée par Microsoft comme par MITRE.🤖 Un russophone, un Gemini jailbreaké et 73 clés d'API volées : voilà toute la « stack » d'une campagne qui a vidé le wallet d'au moins une victime MAGA. Faux wallet StellarMonster, RAT GoToResolve, brute-force WordPress assisté par IA. Le cybercrime à acteur unique, dopé au LLM.🏛️ Comble de l'ironie : l'agence chargée de protéger les États-Unis laisse fuiter ses propres clés AWS GovCloud sur un GitHub public. Le Congrès exige des réponses, la CISA peine encore à révoquer les credentials.Sources : Hackers Compromise Laravel-Lang Packages via 700 GitHub Repos — GBHackers : https://gbhackers.com/compromise-laravel-lang-packages/L'arche de Noé du code : 570 systèmes d'exploitation dans une seule machine — GoodTech : https://goodtech.info/interim-computer-museum-sdf-570-systemes-exploitation-retro/CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/05/22/cisa-adds-one-known-exploited-vulnerability-catalogMultiples vulnérabilités dans les produits Mattermost — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0632/CVE-2026-42901 Microsoft Entra ID Elevation of Privilege Vulnerability — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-42901CVE-2026-33843 Microsoft Azure Active Directory B2C Elevation of Privilege Vulnerability — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-33843Jailbroken Gemini helped Russian-speaking fraudster target MAGA crypto users — The Register : https://www.theregister.com/cyber-crime/2026/05/22/jailbroken-gemini-helped-russian-speaking-fraudster-target-maga-crypto-users/ Lawmakers Demand Answers as CISA Tries to Contain Data Leak — KrebsOnSecurity : https://krebsonsecurity.com/2026/05/lawmakers-demand-answers-as-cisa-tries-to-contain-data-leak/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #SupplyChain #LaravelLang #RCE #CredentialStealer #VirtualOSMuseum #RetroComputing #CISA #KEV #Drupal #SQLInjection #CVE20269082 #CERTFR #Mattermost #Microsoft #EntraID #CVE202642901 #CVSS10 #AzureADB2C #CVE202633843 #PrivilegeEscalation #Gemini #LLM #Jailbreak #CryptoFraud #RAT #WordPress #GitHub #GovCloud #DataLeak #PatchManagement #RadioCSIRT
• Ep.653 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 22 mai 2026 22.05.2026 9min

  Cisco a publié un correctif pour une vulnérabilité de sévérité maximale affectant Secure Workload, permettant à un attaquant distant non authentifié d'accéder à des données sensibles. Référencée CVE-2026-20223 et scorée 10.0 en CVSS, la faille provient d'une validation et d'une authentification insuffisantes lors de l'accès aux endpoints de l'API REST. En envoyant une requête API spécialement conçue à un endpoint vulnérable, un attaquant peut lire des informations sensibles et modifier des configurations au-delà des frontières entre tenants, avec les privilèges du compte Site Admin. La faille touche Cisco Secure Workload Cluster Software, en déploiement SaaS comme on-prem, indépendamment de la configuration, et aucun workaround n'est disponible. Les versions corrigées sont la 3.10.8.3 et la 4.0.3.17, les branches 3.9 et antérieures devant migrer vers une release corrigée. Cisco indique avoir découvert la faille lors de tests internes, sans exploitation observée à ce jour. La divulgation intervient une semaine après l'exploitation active de la CVE-2026-20182, un contournement d'authentification dans Catalyst SD-WAN Controller, attribuée au threat actor UAT-8616.Flipper Devices a officiellement dévoilé le Flipper One, un cyberdeck modulaire basé sur Linux, distinct du Flipper Zero et destiné aux opérations IP de niveau Layer 1 : networking, transfert de données et tâches de calcul intensives. Le matériel repose sur le SoC Rockchip RK3576, doté d'un CPU ARM 8 cœurs, d'un GPU Mali-G52, d'un NPU pour les charges IA locales et de 8 Go de RAM. Une architecture à co-processeur associe ce CPU à un microcontrôleur RP2350, qui maintient le contrôle bas niveau de l'affichage, des entrées et du boot même lorsque l'environnement Linux est hors ligne. La connectivité inclut deux ports Gigabit Ethernet, du Wi-Fi 6E supportant monitor mode et packet injection, et un slot M.2 acceptant modems 5G/LTE, modules SDR ou stockage NVMe. L'appareil fonctionne en toolkit réseau multi-interfaces avec jusqu'à cinq uplinks simultanés, autorisant le sniffing inline, l'analyse man-in-the-middle, le déploiement de VPN gateway et le multi-WAN. Il embarque Flipper OS, système Debian à profils, et l'interface FlipCTL. Flipper Devices collabore avec Collabora pour intégrer le support du RK3576 au kernel Linux mainline.On apprend que  la CISA, l'agence américiane a mis en ligne le 21 mai 2026 un nouveau Nomination Form permettant aux chercheurs, éditeurs et partenaires industriels de signaler des Known Exploited Vulnerabilities. Ce dispositif vise à renforcer la capacité de la CISA à identifier, valider et diffuser rapidement les KEV. Le formulaire s'inscrit dans le prolongement de la Vulnerability Disclosure Policy Platform et du programme de Coordinated Vulnerability Disclosure de l'agence, qui encadrent la recherche de sécurité de bonne foi et la remédiation coordonnée. Chris Butera, Acting Executive Assistant Director for Cybersecurity, souligne que la détection précoce et la divulgation coordonnée figurent parmi les leviers les plus efficaces pour réduire le risque à grande échelle. Le catalogue KEV demeure la source de référence des vulnérabilités confirmées comme activement exploitées, assorties de consignes de remédiation. La soumission reste possible par e-mail à l'adresse vulnerability@cisa.dhs.gov, en complément du formulaire en ligne accessible depuis le portail KEV de la CISA.D'après une recherche du rnbo, organisme ukrainien de cybersécurité, des groupes russes étatiques et criminels exploitent de manière croissante les services RDP exposés et les VPN gateways vulnérables pour pénétrer discrètement les réseaux cibles, avant de revendre ou d'instrumentaliser cet accès à des fins d'espionnage et de Ransomware. Ces erreurs de configuration d'accès distant deviennent des points d'entrée à forte valeur, négociés par des Initial Access Brokers sur les forums underground russophones. Les chercheurs ont observé des botnets mobilisant plus de 100 000 adresses IP uniques pour mener timing attacks et énumération de logins contre les services RDP, rendant le blocage par IP inopérant. Les opérations combinent credential stuffing, brute-force et exploitation de vulnérabilités connues d'appliances VPN. Une fois l'endpoint compromis, les courtiers taguent les identifiants valides selon la taille, la géographie et les privilèges de la cible, puis les vendent aux affiliés Ransomware et APT. Contre les réseaux gouvernementaux et d'infrastructures critiques européens et ukrainiens, les groupes pro-russes chaînent Phishing, exploitation VPN et abus RDP post-compromission, déployant des familles comme X2 et LockBit 3.0 après plusieurs jours de Lateral Movement silencieux.Sources : Cisco Patches CVSS 10.0 Secure Workload REST API Flaw Enabling Data Access — The Hacker News : https://thehackernews.com/2026/05/cisco-patches-cvss-100-secure-workload.htmlFlipper Introduces Flipper One as a Modular Linux-Based Cyberdeck — GBHackers : https://gbhackers.com/flipper-introduces-flipper-one-as-a-modular-linux-based-cyberdeck/Flipper One: We Need Your Help — Flipper Devices : https://blog.flipper.net/flipper-one-we-need-your-help/CISA to allow researchers to report vulnerabilities for KEV — The Record : https://therecord.media/cisa-to-allow-researchers-to-report-vulnerabilities-kevCISA Enhances Known Exploited Vulnerabilities Catalog to Include New Nomination Form — CISA : https://www.cisa.gov/news-events/news/cisa-enhances-known-exploited-vulnerabilities-catalog-include-new-nomination-formRussian Hackers Exploit RDP and VPNs to Breach Target Networks — Cyber Press : https://cyberpress.org/russian-hackers-exploit-access/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Cisco #SecureWorkload #CVE202620223 #CVSS10 #RESTAPI #UAT8616 #CatalystSDWAN #FlipperOne #FlipperDevices #Cyberdeck #Linux #RK3576 #SDR #WiFi6E #PacketInjection #FlipperOS #Collabora #CISA #KEV #NominationForm #CVD #VDP #RDP #VPN #InitialAccessBroker #Ransomware #LockBit #CredentialStuffing #BruteForce #LateralMovement #PatchManagement #RadioCSIRT
• Ep.652 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 21 mai 2026 21.05.2026 12min

  Selon le CERT-UA, le cluster UAC-0057, également suivi sous le nom UNC1151, mène depuis le printemps 2026 une campagne de Phishing visant des organisations gouvernementales ukrainiennes. Les courriels, envoyés depuis des comptes compromis, exploitent la thématique de l'obtention de certificats via la plateforme Prometheus. Le vecteur d'Initial Access repose sur un PDF en pièce jointe contenant un lien menant au téléchargement d'une archive ZIP, laquelle embarque un fichier JS identifié comme OYSTERFRESH. Ce Loader affiche un document leurre, inscrit dans le registre une version obfusquée du Payload OYSTERBLUES, puis télécharge OYSTERSHUCK, son décodeur. Le décodage combine un reverse de chaîne, une transformation ROT13 et un URL-decoding. OYSTERBLUES collecte ensuite le nom de la machine, le compte utilisateur, la version de l'OS et la liste des processus, données transmises au serveur C2 par requête HTTP POST. En retour, le serveur renvoie du code JS exécuté via la fonction eval. À l'étape suivante, un composant Cobalt Strike peut être déployé. L'infrastructure reste masquée derrière Cloudflare, avec une forte proportion de domaines en TLD .icu.Selon le blog du chercheur opérant sous le pseudonyme Nightmare Eclipse, un conflit ouvert oppose ce dernier au MSRC autour de la divulgation de vulnérabilités Windows. Le chercheur a publié plusieurs Proof of Concept en Full Disclosure sur GitHub, dont les exploits baptisés BlueHammer et RedSun, ce dernier répondant au correctif de la CVE-2026-33825. Le différend cristallise autour de la CVE-2026-45585, surnommée YellowKey, un security feature bypass affectant Windows. Microsoft affirme que la publication du Proof of Concept enfreint les bonnes pratiques de Coordinated Vulnerability Disclosure. Le chercheur conteste cette qualification, qu'il juge diffamatoire, et accuse l'éditeur d'avoir révoqué puis intégralement supprimé son compte MSRC, sans réponse de la direction à ses demandes d'explication. Il évoque par ailleurs un silent patch appliqué par Microsoft sur la vulnérabilité YellowKey, sans attribution de CVE initiale. Les publications, signées en PGP avec un hash SHA512, s'inscrivent dans une série d'au moins sept billets diffusés en mai 2026, marquant une escalade revendiquée du mode de divulgation.Selon BleepingComputer, Google a accidentellement exposé les détails d'une faille Chromium non corrigée permettant à du JavaScript de continuer à s'exécuter en arrière-plan après la fermeture du navigateur, ouvrant la voie à une exécution de code à distance. Rapportée par la chercheuse Lyra Rebane et reconnue dès décembre 2022, la vulnérabilité repose sur l'abus d'un Service Worker qui ne se termine jamais, transformant le navigateur en membre permanent d'un botnet relié à un C2. Tous les navigateurs basés sur Chromium sont concernés : Chrome, Edge, Brave, Opera, Vivaldi et Arc. Le 20 mai, les restrictions d'accès sur le Chromium Issue Tracker ont été levées automatiquement, le bug ayant été marqué comme corrigé, alors qu'aucun patch n'avait été livré. En testant, Rebane a constaté que l'exploit fonctionne toujours sur Chrome Dev 150 et Edge 148. Sur Edge, l'exécution est désormais totalement silencieuse, la fenêtre de téléchargement ayant disparu. Les scénarios incluent attaques DDoS distribuées, proxy de trafic malveillant et redirection arbitraire. La faille ne franchit pas les barrières de sécurité du navigateur.Selon Cyber Security News, une vulnérabilité zero-day d'exécution de code à distance, baptisée nginx-poolslip, affecterait NGINX 1.31.0, dernière version stable du serveur web. La découverte est attribuée à un chercheur opérant sous le nom Vega, au sein de l'équipe NebSec, et a été divulguée publiquement via X le 21 mai 2026. La faille viserait le mécanisme interne de gestion du memory pool de NGINX et permettrait une exécution de code à distance sans authentification préalable, via un contournement de l'ASLR. NebSec indique que le correctif d'une vulnérabilité antérieure, nginx-rift, n'a pas traité la surface d'attaque désormais exploitée. NGINX équipant 30 à 40 % des serveurs web mondiaux, reverse proxies, load balancers et API gateways inclus, les organisations ayant migré vers 1.31.0 resteraient exposées. À la publication, aucun CVE n'est attribué et aucun patch F5/NGINX n'est disponible. NebSec applique une responsible disclosure de 30 jours et retient les détails techniques du contournement ASLR jusqu'à correctif officiel. Cette information demeure non confirmée par F5 et appelle vérification.Selon le SANS Internet Storm Center, dans une note signée Johannes Ullrich, il n'existe pas encore d'équivalent générique sous Linux à Proxifier, l'outil capable d'intercepter le trafic de processus spécifiques sous Windows, macOS et Android, utile pour le debugging et le reverse engineering en limitant le bruit d'analyse. Trois méthodes permettent toutefois de cibler le proxying par processus sous Linux. La première s'appuie sur les variables d'environnement http_proxy et https_proxy, définies dans un shell avant de lancer le logiciel à inspecter. La deuxième repose sur iptables, qui peut rediriger le trafic d'un utilisateur donné via l'option owner et le ciblage par UID, plutôt que par PID, ces derniers étant trop instables et multiples pour les processus multithreadés. La troisième utilise les network namespaces, qui créent des tables de routage distinctes par processus, en assignant explicitement les interfaces réseau au namespace. Ullrich qualifie cette dernière approche de plus polyvalente, notamment lorsque les variables d'environnement échouent, la solution iptables restant plus simple mais susceptible de générer du trafic résiduel non désiré.Sources : Оновлений інструментарій UAC-0057 : OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES — CERT-UA : https://cert.gov.ua/article/6315762I have been profusely crying — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/i-have-been-profusely-crying-i-will.htmlDear Microsoft — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/dear-microsoft.htmlGoogle accidentally exposed details of unfixed Chromium flaw — BleepingComputer : https://www.bleepingcomputer.com/news/security/google-accidentally-exposed-details-of-unfixed-chromium-flaw/Selective HTTP Proxying in Linux — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33002New NGINX 0-Day RCE nginx-poolslip Affects Millions of NGINX Servers — Cyber Security News : https://cybersecuritynews.com/nginx-0-day-rce-nginx-poolslip/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CERTUA #UAC0057 #UNC1151 #OYSTERFRESH #OYSTERSHUCK #OYSTERBLUES #CobaltStrike #Phishing #Cloudflare #NightmareEclipse #ChaoticEclipse #Microsoft #MSRC #YellowKey #CVE202645585 #BlueHammer #RedSun #FullDisclosure #CVD #Google #Chromium #Chrome #Edge #ServiceWorker #Botnet #DDoS #JavaScript #SANS #ISC #Linux #Proxy #NetworkNamespaces #iptables #NGINX #nginxpoolslip #ZeroDay #RCE #ASLR #F5 #PatchManagement #RadioCSIRT
• Ep.651 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 20 mai 2026 20.05.2026 7min

  Selon la CISA, sept vulnérabilités ont été ajoutées au catalogue Known Exploited Vulnerabilities ce 20 mai 2026. Le lot mêle cinq failles Windows datant de 2008 à 2010 et deux vulnérabilités très récentes touchant Microsoft Defender : CVE-2026-41091, élévation de privilèges, et CVE-2026-45498, déni de service. D'après Barracuda Networks, ces deux failles s'inscrivent dans la campagne ouverte depuis avril 2026 par le chercheur Chaotic Eclipse, alias Nightmare-Eclipse, auteur de six zero-days successifs visant Microsoft en représailles d'un différend avec le MSRC. Les premiers exploits du même auteur, BlueHammer, RedSun et UnDefend, ont déjà été observés en exploitation hands-on-keyboard par Huntress, après initial access via SSL-VPN compromis. L'infrastructure observée est géolocalisée en Russie.D'après le Drupal Security Team, l'avis SA-CORE-2026-004 corrige CVE-2026-9082, une injection SQL critique scorée 20 sur 25 dans l'API d'abstraction de base de données du core. La faille permet à un utilisateur anonyme de déclencher une injection SQL arbitraire conduisant à divulgation d'information, escalade de privilèges ou exécution de code à distance. Seuls les sites utilisant PostgreSQL sont exposés au vecteur SQL. Les releases intègrent toutefois des correctifs upstream coordonnés Symfony et Twig qui concernent l'ensemble du parc, indépendamment du moteur de base de données. Les versions corrigées sont 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 et 10.4.10.L'Internet Systems Consortium publie un lot de quatre vulnérabilités affectant BIND 9, relayé par le Centre canadien pour la cybersécurité sous la référence AV26-490. La plus notable est CVE-2026-3593, une heap use-after-free dans l'implémentation DNS-over-HTTPS, exploitable à distance via du trafic HTTP/2 spécialement conçu, et scorée 7.4. La corruption mémoire touche serveurs autoritaires et résolveurs, sans authentification. Les versions concernées sont BIND 9.20.0 à 9.20.22 et 9.21.0 à 9.21.21. La branche 9.18 n'est pas affectée. Le bulletin couvre également CVE-2026-3039, CVE-2026-5947 et CVE-2026-5946 portant respectivement sur GSS-API TKEY, SIG(0) sous query flood et la gestion des classes DNS.Le projet OpenBSD publie le 19 mai 2026 la version 7.9, soixantième release du système. Côté OpenSSH, dont OpenBSD est l'amont, sshd_config introduit une pénalité configurable applicable aux tentatives de connexion avec utilisateur invalide, mécanisme natif de mitigation du brute force SSH. Le packet filter pf intègre un limiteur de création d'états par source pour contenir les floods. Le mécanisme pledge, qui restreint les appels système d'un processus, bénéficie de plusieurs améliorations renforçant la mitigation des vulnérabilités exploitables. La version embarque également le support des VLAN dans les ponts Ethernet virtuels veb, le support des certificats par IP dans acme-client et le passage à 255 processeurs amd64.Sources :CISA Adds Seven Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalogDrupal core - Highly critical - SQL injection - SA-CORE-2026-004 — Drupal.org : https://www.drupal.org/sa-core-2026-004Bulletin de sécurité ISC BIND (AV26-490) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-isc-bind-av26-490Sortie de la 60ᵉ version d'OpenBSD — LinuxFR : https://linuxfr.org/news/sortie-de-la-60-version-d-openbsd⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #ChaoticEclipse #NightmareEclipse #MicrosoftDefender #BlueHammer #RedSun #UnDefend #Huntress #Barracuda #ZeroDay #Drupal #SACORE2026004 #CVE20269082 #SQLInjection #PostgreSQL #Symfony #Twig #ISC #BIND #DNS #DoH #DNSOverHTTPS #UseAfterFree #OpenBSD #OpenSSH #pf #pledge #LibreSSL #PatchManagement #RadioCSIRT
• Ep.650 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 19 mai 2026 19.05.2026 15min

  Linus Torvalds publie Linux 7.1-rc4 et durcit la politique du noyau face à l'afflux massif de rapports de bugs générés par IA. La security list étant submergée par des doublons issus des mêmes outils d'analyse automatisée, Torvalds tranche : les bugs détectés par IA ne sont pas secrets par définition et leur traitement sur une liste privée constitue une perte de temps. Trois patches de Willy Tarreau et Jonathan Corbet clarifient les exigences applicables aux rapports assistés par IA.Canonical publie un avis sur CVE-2026-46333, alias ssh-keysign-pwn, une race condition exploitable via ptrace permettant à un utilisateur local non privilégié de lire les fichiers ouverts par un exécutable suid ou sgid. Le PoC démontre la lecture de /etc/shadow via /usr/bin/chage et des clés privées hôtes OpenSSH via /usr/lib/openssh/ssh-keysign. Score CVSS 5.5, priorité Ubuntu High. Toutes les LTS sont affectées, mitigation par sysctl kernel.yama.ptrace_scope=2.Selon Socket, une nouvelle vague Shai-Hulud a compromis 639 versions malveillantes sur 323 packages npm en une heure le 19 mai 2026. L'attaque exploite le compte mainteneur atool de l'écosystème @antv et touche notamment echarts-for-react et jest-canvas-mock. Exfiltration via le réseau P2P Session, génération d'attestations Sigstore valides via abus de tokens OIDC, persistance inédite via backdoors implantés dans les configurations VS Code et Claude Code.INTERPOL annonce les résultats d'Operation Ramz dans la région MENA : plus de 200 arrestations, 382 suspects supplémentaires identifiés sur 13 pays, 53 serveurs phishing et malware saisis, 3 867 victimes confirmées. Collaboration avec Kaspersky, Group-IB, The Shadowserver Foundation, Team Cymru et TrendAI. Démantèlement notable d'une plateforme phishing-as-a-service en Algérie et d'une opération d'investment scam en Jordanie.Selon Recorded Future News, la panne nationale des télécoms luxembourgeois du 23 juillet 2025 résulte d'une attaque zero-day visant les routeurs entreprise Huawei. Un trafic réseau spécialement forgé plaçait les équipements en boucle de redémarrage continue, coupant fixe, 4G et 5G pendant trois heures. Dix mois après les faits, aucun CVE n'a été publié, aucune alerte publique n'a été émise par Huawei.Microsoft démantèle Fox Tempest, une plateforme de malware-signing-as-a-service active depuis mai 2025 qui abusait Microsoft Artifact Signing. Plus de 1 000 certificats révoqués, des centaines de tenants Azure mis hors ligne. Les affiliés Rhysida, INC, Qilin et Akira utilisaient le service pour signer Oyster, Lumma Stealer et Vidar, maquillés en AnyDesk, Teams, PuTTY ou Webex.Cisco Talos divulgue onze vulnérabilités. Huit ciblent le routeur TP-Link Archer AX53, dont CVE-2026-30814, un stack-based buffer overflow conduisant à de l'arbitrary code execution, et plusieurs OS command injection dans les fonctions OpenVPN configuration restore. CVE-2026-34632 vise le processus d'installation d'Adobe Photoshop via Microsoft Store, CVE-2026-35058 frappe OpenVPN via une reachable assertion, et CVE-2025-58074 affecte Norton VPN.Sources :Linus Torvalds, Linux 7.1-rc4, LKML : https://lkml.org/lkml/2026/5/17/896Luci Stanescu, CVE-2026-46333 ssh-keysign-pwn Linux kernel vulnerability mitigations, Canonical : https://ubuntu.com//blog/ssh-keysign-pwn-linux-vulnerability-fixes-availableBill Toulas, New Shai-Hulud malware wave compromises 600 npm packages, BleepingComputer : https://www.bleepingcomputer.com/news/security/new-shai-hulud-malware-wave-compromises-600-npm-packages/Bill Toulas, INTERPOL Operation Ramz seizes 53 malware phishing servers, BleepingComputer : https://www.bleepingcomputer.com/news/security/interpol-operation-ramz-seizes-53-malware-phishing-servers/Huawei zero-day attack behind last year's crash of Luxembourg's entire telecoms network, The Record : https://therecord.media/huawei-zero-day-behind-last-year-luxembourg-telecom-outageMicrosoft disrupts Fox Tempest malware-signing-as-a-service platform tied to ransomware gangs, The Record : https://therecord.media/microsoft-disrupts-fox-tempest-malware-signing-serviceKri Dontje, TP-Link, Photoshop, OpenVPN, Norton VPN vulnerabilities, Cisco Talos : https://blog.talosintelligence.com/tp-link-photoshop-openvpn-norton-vpn-vulnerabilities/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09 📩 Email : radiocsirt@gmail.com 🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #LinuxKernel #LinusTorvalds #AI #CVE #ssh-keysign-pwn #ptrace #Ubuntu #Canonical #Qualys #ShaiHulud #npm #SupplyChain #Session #Sigstore #OIDC #VSCode #ClaudeCode #INTERPOL #OperationRamz #MENA #Huawei #ZeroDay #Luxembourg #POST #Microsoft #FoxTempest #MSaaS #ArtifactSigning #Rhysida #Qilin #Akira #LummaStealer #Vidar #CiscoTalos #TPLink #ArcherAX53 #Photoshop #OpenVPN #NortonVPN #PatchManagement #RadioCSIRT
• Ep.649 - RadioCSIRT Édition Française - Flash info cybersécurité du lundi 18 mai 2026 18.05.2026 8min

  Le CERT-FR a publié le 18 mai 2026 l'avis CERTFR-2026-AVI-0608 sur de multiples vulnérabilités dans Microsoft Azure Linux. L'avis consolide dix-huit bulletins de sécurité Microsoft datés des 3, 7 et 10 mai 2026, couvrant les composants binutils, coredns, fio, gdb, httpd, python-mistune et telegraf dans la distribution AZL3. Le risque est non spécifié par l'éditeur. Exemples de saut de version : httpd 2.4.66-1 vers 2.4.67-1, coredns 1.11.4-15 vers 1.11.4-16, telegraf 1.31.0-19 vers 1.31.0-20. Dix-sept CVE référencées au total. Les opérateurs Azure Linux sont invités à appliquer les correctifs via les canaux Microsoft habituels selon leur cycle de patch.Le CERT-FR a également publié l'avis CERTFR-2026-AVI-0607 concernant Microsoft Edge, consolidant plus de soixante-quinze bulletins de sécurité Microsoft Edge publiés le 15 mai 2026. Les risques identifiés sont l'exécution de code arbitraire à distance, le contournement de la politique de sécurité et un risque non spécifié par l'éditeur. La version corrective est Microsoft Edge 148.0.3967.70, toutes versions antérieures concernées. L'avis ne distingue pas la criticité par CVE, ce qui invite à traiter l'ensemble comme prioritaire. Les administrateurs Intune et Configuration Manager sont incités à pousser la mise à jour sans délai et à vérifier le déploiement effectif via leurs canaux de reporting habituels.Selon le National Cyber Security Centre britannique, dans un article du 11 mai 2026 signé Ruth C, responsable du Vulnerability Management Group, l'usage de l'intelligence artificielle pour rechercher des vulnérabilités appelle dix questions préalables. Le NCSC rappelle que sur les quarante mille CVE attribués en 2025, seuls quatre cents environ ont été activement exploités selon la CISA KEV, dont une quarantaine en zero-day initial. Trouver des vulnérabilités ne suffit pas à améliorer la sécurité, et sans processus de gestion en aval, la posture défensive peut se dégrader. Le NCSC recommande de combiner capacités IA et expertise humaine, et de prioriser l'asset management, le dependency management et la surface d'attaque externe.D'après un guest diary du SANS Internet Storm Center publié le 15 mai 2026 par Gokul Prema Thangavel, étudiant SANS.edu, le botnet Outlaw connu sous le marqueur mdrfckr est entré dans sa troisième génération de client SSH. Entre le 14 et le 21 avril 2026, un capteur DShield a logué 24 IPs uniques écrivant le SHA-256 a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 dans des fichiers authorized_keys, hash inchangé depuis 2018. Nouveauté : le hassh 03a80b21afa810682a776a7d42e5e6fb correspondant à libssh 0.11.1, après libssh 0.6 documentée en 2022 et libssh 0.9 documentée en 2023. Les règles de détection adossées aux hassh précédents manqueront cette génération. L'auteur recommande d'épingler la détection sur le SHA-256 du fichier, le blob de clé publique, la chaîne mdrfckr et la séquence de commandes de reconnaissance, plutôt que sur une valeur hassh donnée.Sources :Multiples vulnérabilités dans Microsoft Azure Linux — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0608/Multiples vulnérabilités dans Microsoft Edge — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0607/10 questions to ask when using AI models to find vulnerabilities — NCSC UK : https://www.ncsc.gov.uk/blogs/10-questions-ask-using-ai-models-find-vulnerabilitiesNew Malware Libraries means New Signatures — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32986⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #CERTFR #ANSSI #Microsoft #AzureLinux #MicrosoftEdge #PatchTuesday #PatchManagement #CVE #NCSC #UK #AI #LLM #VulnerabilityManagement #CISAKEV #ZeroDay #SANS #InternetStormCenter #DShield #Outlaw #mdrfckr #Botnet #SSH #libssh #hassh #DetectionEngineering #ThreatHunting #RadioCSIRT
• Ep.648 - RadioCSIRT Édition Française - Flash info cybersécurité du dimanche 17 mai 2026 17.05.2026 13min

  Selon Microsoft, le groupe russe Secret Blizzard, lié au FSB et recoupant Turla, a transformé son backdoor historique Kazuar en un botnet peer-to-peer modulaire. La nouvelle architecture repose sur trois modules — Kernel, Bridge et Worker — avec élection d'un leader parmi les systèmes infectés, seul à communiquer avec le C2 via HTTP, WebSockets ou Exchange Web Services. Les autres hôtes passent en mode silencieux pour réduire la surface de détection. Les communications internes s'appuient sur IPC Windows natif, chiffrement AES et sérialisation Protobuf. Kazuar offre désormais 150 options de configuration, incluant bypass AMSI, ETW et Windows Lockdown Policy.D'après GBHackers et Malwarebytes, le site officiel de JDownloader a été compromis entre le 6 et le 7 mai 2026 via l'exploitation d'une vulnérabilité CMS permettant la modification non authentifiée des Access Control Lists. Les attaquants ont substitué des installeurs trojanisés à l'Alternative Installer Windows et au shell installer Linux. L'installeur Windows déployait un Remote Access Trojan Python assurant un accès persistant. Les builds macOS, JAR, Flatpak, Snap, Winget et les mises à jour in-app n'ont pas été affectés.Fortinet a publié 11 advisories lors de son Patch Tuesday de mai 2026, dont deux failles critiques de Remote Code Execution non authentifié. CVE-2026-44277, CVSS 9.1, vise FortiAuthenticator via un défaut d'improper access control, ouvrant la voie au contournement du MFA et à l'interception des flux RADIUS, LDAP et SAML. CVE-2026-26083, CVSS 9.1, frappe FortiSandbox via une missing authorization sur l'interface WEB UI. À noter également CVE-2026-44278, clé de chiffrement codée en dur exposant les mots de passe VPN sauvegardés dans FortiClientWindows.D'après un rapport publié par Hunt.io, dans le contexte d'escalade géopolitique entre les États-Unis, Israël et l'Iran, 19 groupes liés à Téhéran sont actuellement suivis, dont MuddyWater, VoidManticore, APT42, APT35 et Infy. L'analyse révèle une préférence marquée de MuddyWater pour les hébergeurs NameCheap et Hosterdaddy Private Limited, AS136557. Le pivot sur le hash SHA-256 du binaire de tunneling FMAPP.exe a permis d'identifier un Sliver C2 exposé sur le port 31337, ainsi qu'un dropper PowerShell reset.ps1 utilisant ethers.js et WebSocket, suggérant une composante de communication adossée à Ethereum. Concernant Dark Scepter, recoupant APT34 OilRig, Hunt.io documente le contournement du fronting Cloudflare via pivot sur les Subject Alternative Names des certificats.D'après le rapport AI Threat Tracker publié le 11 mai 2026 par le Google Threat Intelligence Group, des chercheurs ont identifié pour la première fois un exploit zero-day développé avec l'assistance d'un LLM. La vulnérabilité, un contournement de la double authentification dans un outil d'administration web open source non divulgué, repose sur un Semantic Logic Flaw : le développeur a codé en dur une hypothèse de confiance que les scanners SAST et fuzzers ne peuvent détecter. GTIG attribue l'exploit à un LLM avec haute confiance, sur la base de docstrings éducatifs, scores CVSS hallucinés et formatage textbook. Gemini n'est pas impliqué. Le rapport documente également CANFAIL et LONGSTREAM, malwares Russia-nexus utilisant du decoy code généré par LLM, et PROMPTSPY, backdoor Android intégrant l'API Gemini.Sources :Russian hackers turn Kazuar backdoor into modular P2P botnet — BleepingComputer : https://www.bleepingcomputer.com/news/security/russian-hackers-turn-kazuar-backdoor-into-modular-p2p-botnet/JDownloader Website Hack Exposes Windows and Linux Users to Malicious Installers — GBHackers : https://gbhackers.com/jdownloader-website-hack-exposes-windows-and-linux-users/Fortinet Patch Tuesday – May 2026 — TheCyberThrone : https://thecyberthrone.in/2026/05/16/fortinet-patch-tuesday-may-2026/Iranian APT Infrastructure in Focus: Mapping State-Aligned Clusters During Geopolitical Escalation — Hunt.io : https://hunt.io/blog/iranian-apt-infrastructure-state-aligned-clustersCyberattaques IA : Google révèle que des hackers ont trouvé le moyen de contourner la double authentification — 01net : https://www.01net.com/actualites/cyberattaques-ia-google-revele-hackers-trouve-moyen-contourner-double-authentification-premiere.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #SecretBlizzard #Turla #Kazuar #Botnet #P2P #FSB #JDownloader #SupplyChain #RAT #Python #Malwarebytes #Fortinet #PatchTuesday #FortiAuthenticator #FortiSandbox #FortiClient #CVE #RCE #MFA #HuntIO #IranianAPT #MuddyWater #DarkScepter #APT34 #OilRig #APT35 #APT42 #Sliver #C2 #GTIG #Google #AIThreatTracker #ZeroDay #LLM #2FA #PROMPTSPY #CANFAIL #LONGSTREAM #Gemini #PatchManagement #RadioCSIRT
• Ep.647 - RadioCSIRT Édition Française - Veille cybersécurité du samedi 16 mai 2026 16.05.2026 25min

  Le chercheur Chaotic Eclipse, alias Nightmare-Eclipse sur GitHub, publie le vendredi 15 mai 2026 une cinquième divulgation publique non coordonnée en six semaines. Baptisée MiniPlasma, la vulnérabilité cible le driver Windows Cloud Files Mini Filter, cldflt.sys, chargé par défaut sur l'ensemble des installations Windows depuis Windows 10 1809. Le PoC public sur GitHub revendique l'obtention d'un shell SYSTEM sur Windows 11 et Windows Server 2025 entièrement patchés. Aucune CVE n'a été attribuée à ce jour, aucun correctif n'est en cours de publication par le Microsoft Security Response Center.L'allégation centrale du chercheur est extraordinaire et requiert vérification : le patch de CVE-2020-17103, publié par Microsoft en décembre 2020 dans le cadre d'une série de quatre vulnérabilités découvertes par James Forshaw de Project Zero, ne serait, selon le message PGP signé, simplement pas présent sur les versions actuelles du driver. Trois hypothèses techniques sont actuellement sur la table sans qu'aucune ne soit définitivement écartée. Première hypothèse, la plus probable a priori, une variante du défaut d'origine non couverte par le patch initial, sur le modèle du bypass CVE-2025-55680 identifié par Exodus Intelligence sur le même driver. Deuxième hypothèse, une régression silencieuse du correctif au fil des refactorings successifs du driver. Troisième hypothèse intermédiaire, un correctif appliqué sur certaines branches du code mais non propagé après divergence vers Windows 11 et Windows Server 2025.L'historique récent de cldflt.sys soutient l'analyse. Quatre CVE majeures en 18 mois sur le même driver. CVE-2025-55680 patchée en octobre 2025, dérivée d'une race TOCTOU découverte dès mars 2024. CVE-2025-62221 patchée en décembre 2025 alors qu'elle était déjà exploitée in-the-wild, sans publication d'indicateurs de compromission détaillés. Et désormais MiniPlasma. Le composant est manifestement structurellement fragile et continue d'attirer les chercheurs.En l'absence de correctif éditeur, les équipes CERT et CSIRT disposent de plusieurs leviers de mitigation. Pour les serveurs sans usage cloud et les hôtes administrateurs, la désactivation conditionnelle du service CldFlt via la commande sc.exe config cldflt start= disabled supprime la surface d'attaque, sous réserve de validation fonctionnelle (impact sur OneDrive, SharePoint, certains workflows tiers). Pour les flottes utilisant intensivement OneDrive Files On-Demand, cette option n'est pas applicable. La détection EDR doit cibler les DeviceIoControl avec code 0x903BC vers le device \\.\HsmFlt\Hsm provenant de processus non privilégiés, et la création de DLL dans System32 ou SysWOW64 par des processus non SYSTEM. Le correctif officiel est à anticiper pour le Patch Tuesday de juin 2026, qui correspond également à la prochaine divulgation annoncée par Chaotic Eclipse.Sources :Chaotic Eclipse, blog deadeclipse666, MiniPlasma a powerful LPE : https://deadeclipse666.blogspot.com/GitHub Nightmare-Eclipse/MiniPlasma : https://github.com/Nightmare-Eclipse/MiniPlasmaMicrosoft Security Response Center, CVE-2020-17103 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17103James Forshaw, Project Zero, Hunting for Bugs in Windows Mini-Filter Drivers : https://googleprojectzero.blogspot.com/2021/01/hunting-for-bugs-in-windows-mini-filter.htmlExodus Intelligence, Microsoft Windows Cloud Files Minifilter TOCTOU Privilege Escalation, CVE-2025-55680 : https://blog.exodusintel.com/2025/10/20/microsoft-windows-cloud-files-minifilter-toctou-privilege-escalation/Microsoft Security Response Center, CVE-2025-62221 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62221Analyse complète sur le blog : https://blog.marcfredericgomez.fr/miniplasma-chaotic-eclipse-rouvre-cldflt-sys-et-relance-la-question-de-la-durabilite-des-patches-microsoft/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #Windows #cldflt #CloudFiles #PrivilegeEscalation #LPE #ChaoticEclipse #NightmareEclipse #MiniPlasma #YellowKey #Microsoft #MSRC #SilentPatching #PatchTuesday #VulnerabilityManagement #RadioCSIRT
• Ep.646 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 15 mai 2026 15.05.2026 10min

  Le 12 mai 2026, AMD publie l'avis AMD-SB-7052 décrivant la vulnérabilité CVE-2025-54518 dans le cache d'opcodes des processeurs Zen 2. CVSS 4.0 de 7.3, CWE-1189, élévation locale et évasion guest vers host confirmée par Xen XSA-490 et Qubes QSB-113. Le périmètre couvre EPYC 7002, Ryzen 3000/4000 Desktop, Ryzen 5000 Mobile, Threadripper PRO 3000 WX et Ryzen Embedded V2000. Mitigation via microcode AGESA diffusé aux OEM entre octobre 2025 et décembre 2025, divulgation publique coordonnée après sept mois d'embargo.Simon Kelley, mainteneur unique de dnsmasq, fait face à un afflux massif de bug reports générés par IA. Six CVE remontent à des rapports automatisés, posant la question de la soutenabilité de la maintenance open source face à la submersion par découvertes IA convergentes. Le cas illustre une érosion du modèle CVD classique sur les composants à mainteneur unique.Microsoft confirme l'exploitation active de CVE-2026-40361, vulnérabilité zero-click use-after-free dans le moteur de rendu Outlook wwlib.dll. L'exploitation se déclenche au simple chargement du panneau de prévisualisation, sans interaction utilisateur. Le correctif est intégré au Patch Tuesday de mai 2026.D'après BleepingComputer, la deuxième journée du concours Pwn2Own Berlin 2026 a livré 15 zero-days uniques pour 385 750 dollars de récompenses. Orange Tsai (DEVCORE) a chaîné trois bugs pour obtenir un Remote Code Execution SYSTEM sur Microsoft Exchange, empochant 200 000 dollars. Siyeon Wi a exploité un integer overflow sur Windows 11, et Ben Koo (Team DDOS) a élevé ses privilèges en root sur Red Hat Enterprise Linux for Workstations via un use-after-free.Le 14 mai 2026, CISA ajoute CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities. La faille, CVSS 10.0, est un authentication bypass dans le mécanisme de peering de Cisco Catalyst SD-WAN Controller et SD-WAN Manager. L'exploitation active est attribuée par Cisco Talos au cluster UAT-8616, déjà responsable de l'exploitation de CVE-2026-20127. Les agences fédérales américaines ont jusqu'au 17 mai 2026 pour appliquer les correctifs.Le 15 mai 2026, CISA ajoute CVE-2026-42897 au catalogue KEV. La vulnérabilité, CVSS 8.1, est un cross-site scripting dans Microsoft Exchange Server affectant Outlook Web Access. L'exploitation se fait via l'envoi d'un email spécialement conçu permettant l'exécution de JavaScript arbitraire dans le contexte du navigateur. Les versions concernées sont Exchange Server 2016, 2019 et Subscription Edition. Microsoft fournit une mitigation temporaire via l'Exchange Emergency Mitigation Service en attendant un correctif définitif.Sources : Une vulnérabilité dans le cache d'opcodes des processeurs AMD Zen 2 — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/une-vulnerabilite-dans-le-cache-dopcodes-des-processeurs-amd-zen-2/Six CVE dnsmasq, un mainteneur épuisé par le tsunami de bug reports générés par IA — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/six-cve-dnsmasq-un-mainteneur-epuise-par-le-tsunami-de-bug-reports-generes-par-ia/CVE-2026-40361 : vulnérabilité zero-click use-after-free dans le moteur de rendu Outlook (wwlib.dll) — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/cve-2026-40361-vulnerabilite-zero-click-use-after-free-dans-le-moteur-de-rendu-outlook-wwlib-dll/Pwn2Own Day Two: hackers demo Microsoft Exchange, Windows 11, Red Hat Enterprise Linux zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/security/pwn2own-day-two-hackers-demo-microsoft-exchange-windows-11-red-had-enterprise-linux-zero-days/ CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-20182) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-42897) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/15/cisa-adds-one-known-exploited-vulnerability-catalog⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #AMD #Zen2 #OpcodeCache #CVE #XenProject #QubesOS #dnsmasq #OpenSource #AIBugReports #Outlook #ZeroClick #UseAfterFree #wwlib #Pwn2Own #P2OBerlin #Exchange #Windows11 #RedHat #DEVCORE #OrangeTsai #CISA #KEV #Cisco #CatalystSDWAN #UAT8616 #MicrosoftExchange #OWA #XSS #PatchTuesday #RadioCSIRT
• Ep.645 - RadioCSIRT Édition Française - Épisode spécial du jeudi 14 mai 2026 14.05.2026 15min

  Cet épisode spécial revient en détail sur l'affaire YellowKey et GreenPlasma, deux vulnérabilités zero-day Windows divulguées publiquement le 12 mai 2026 par un chercheur indépendant opérant sous les pseudonymes Chaotic Eclipse et Nightmare-Eclipse, sans coordination préalable avec Microsoft. Aucun identifiant CVE n'a été attribué à ce jour, aucun correctif éditeur n'est disponible, et des codes proof-of-concept fonctionnels sont publiquement accessibles sur GitHub.Le chercheur Chaotic Eclipse mène depuis avril 2026 une campagne de divulgations non coordonnées contre Microsoft, motivée selon ses propres déclarations par une rupture de confiance avec le Microsoft Security Response Center et par le recours présumé au silent patching. Trois zero-day Windows Defender ont été publiés précédemment : BlueHammer (CVE-2026-33825, corrigé), RedSun (correctif silencieux selon le chercheur, sans CVE), et UnDefend. Le chercheur annonce la poursuite de la campagne lors du Patch Tuesday de juin 2026 et déclare disposer d'un dead man switch contenant d'autres exploits.YellowKey permet le contournement complet du chiffrement BitLocker sur Windows 11, Windows Server 2022 et Windows Server 2025 en cas d'accès physique à la machine. L'attaque consiste à déposer des fichiers spécialement formatés dans un répertoire FsTx placé dans System Volume Information sur une clé USB, à brancher cette clé sur la machine cible, à redémarrer dans le Windows Recovery Environment et à maintenir la touche CTRL pendant le boot. Le système ouvre alors un shell cmd.exe avec accès intégral au volume protégé par BitLocker, sans demande de recovery key ni de PIN. L'analyse technique de Will Dormann (Tharros Labs) montre que le mécanisme exploité repose sur la capacité d'un répertoire System Volume Information FsTx situé sur un volume à modifier le contenu d'un autre volume lors du replay transactionnel NTFS. Le chercheur indique également que la vulnérabilité reste exploitable sur les configurations BitLocker avec TPM et PIN, sans publier le proof-of-concept pour cette variante.GreenPlasma est une élévation de privilèges locale vers SYSTEM exploitant le processus CTFMON, composant du Collaborative Translation Framework qui s'exécute en SYSTEM dans chaque session interactive Windows. Le mécanisme repose sur la création par un utilisateur non privilégié d'un memory section object arbitraire dans un directory object writable par SYSTEM, au sein du namespace de l'Object Manager Windows. Le proof-of-concept publié sur GitHub est volontairement incomplet, le chercheur ayant retiré le composant final permettant d'obtenir un shell SYSTEM. GreenPlasma est confirmée fonctionnelle sur Windows 11, Windows Server 2022 et Windows Server 2026.La reproductibilité de YellowKey a été confirmée par plusieurs chercheurs indépendants reconnus, dont Kevin Beaumont, Will Dormann, KevTheHermit et JaGoTu. Microsoft a déclaré être engagé dans l'investigation des vulnérabilités rapportées et soutenir le principe de Coordinated Vulnerability Disclosure, sans publier de correctif, d'avis MSRC ni d'attribution CVE à la date de cet épisode. RadioCSIRT suivra l'évolution de ce dossier dans les prochains numéros.Sources :The Register, Disgruntled researcher releases two more Microsoft zero-days : https://www.theregister.com/security/2026/05/13/disgruntled-researcher-releases-two-more-microsoft-zero-days/BleepingComputer, Windows BitLocker zero-day gives access to protected drives : https://www.bleepingcomputer.com/news/security/windows-bitlocker-zero-day-gives-access-to-protected-drives-poc-released/SecurityWeek, Researcher Drops YellowKey, GreenPlasma Windows Zero-Days : https://www.securityweek.com/researcher-drops-yellowkey-greenplasma-windows-zero-days/The Hacker News, Windows Zero-Days Expose BitLocker Bypasses And CTFMON Privilege Escalation : https://thehackernews.com/2026/05/windows-zero-days-expose-bitlocker.htmlTom's Hardware, YellowKey zero-day exploit demonstrates an apparent backdoor : https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoorCybernews, BitLocker bypass zero-day exploit released by disgruntled researcher : https://cybernews.com/security/researcher-releases-bitlocker-bypass-and-privilege-escalation-exploit/GitHub, Nightmare-Eclipse, GreenPlasma repository : https://github.com/Nightmare-Eclipse/GreenPlasmaChaotic Eclipse blog, deadeclipse666 : https://deadeclipse666.blogspot.com/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #YellowKey #GreenPlasma #ChaoticEclipse #NightmareEclipse #BitLocker #Windows11 #WindowsServer #WinRE #CTFMON #TPM #SecureBoot #BlueHammer #RedSun #UnDefend #Microsoft #MSRC #ZeroDay #PrivilegeEscalation #EncryptionBypass #PatchTuesday #VulnerabilityDisclosure #RadioCSIRT
• Ep.644 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 13 mai 2026 13.05.2026 9min

  Le 13 mai 2026, cPanel publie une série de bulletins de sécurité corrigeant des vulnérabilités dans cPanel & WebHost Manager. Sont concernées les versions antérieures à 86.0.44, 11.94.0.31, 11.102.0.42, 11.110.0.118, 11.118.0.67, 11.124.0.38, 11.126.0.59, 11.130.0.23, 11.132.0.32, 11.134.0.26, 11.136.0.10, ainsi que WP Squared 11.136.1.12. Le Centre canadien pour la cybersécurité recommande l'application immédiate des correctifs.Red Hat publie un article décrivant comment ses Hardened Images, combinées à la plateforme Anchore, réduisent la fatigue CVE en sécurité conteneurs. L'approche repose sur des images minimales produites selon le standard SLSA3, une génération continue de SBOM, et un policy engine appliquant les référentiels NIST 800-53, 800-190 et FedRAMP tout au long du cycle CI/CD.Palo Alto Networks publie plusieurs bulletins critiques visant PAN-OS. Trois CVE majeures sont à retenir : CVE-2026-0263 Remote Code Execution dans le traitement IKEv2, CVE-2026-0264 heap-based buffer overflow non authentifié dans DNS Proxy et DNS Server, et CVE-2026-0265 authentication bypass lorsque Cloud Authentication Service est activé. Les branches PAN-OS 12.1, 11.2, 11.1 et 10.2 sont concernées.F5 publie sa Quarterly Security Notification de mai 2026, référencée K000160932. Le périmètre couvre BIG-IP tous modules, APM, Advanced WAF/ASM, DDoS Hybrid Defender, Next CNF, Next SPK, Next for Kubernetes, BIG-IQ Centralized Management, ainsi que la gamme NGINX (App Protect WAF et DoS, Gateway Fabric, Ingress Controller, Instance Manager, Open Source jusqu'à 1.30.0, NGINX Plus de R32 à R36). Plusieurs correctifs sont qualifiés de critiques.Le 12 mai 2026, l'équipe Exim publie l'avis EXIM-Security-2026-05-01.1 corrigeant une vulnérabilité affectant les versions 4.97 à 4.99.2 du Mail Transfer Agent. Le Centre canadien pour la cybersécurité recommande d'appliquer la mise à jour et de suivre les mesures d'atténuation publiées sur exim.org.n8n publie plusieurs bulletins de sécurité visant la plateforme d'automatisation no-code. Cinq classes de vulnérabilités sont corrigées : Pagination Prototype Pollution, Dynamic Credential OAuth Endpoints, Source Control, XML Node Prototype Pollution et Git Node. Plusieurs versions sont concernées, le patching est à traiter sans délai compte tenu de la manipulation de credentials OAuth tiers par la plateforme.Google publie une mise à jour Stable Channel pour Chrome Desktop. Les versions antérieures à 148.0.7778.167/168 sur Windows et macOS, et 148.0.7778.167 sur Linux sont concernées. Les détails complets des CVE corrigées sont publiés sur le blog officiel Chrome Releases.Exploit-DB publie sous référence EDB-ID 52559 un exploit ciblant Glances 4.5.2 et versions antérieures, identifié CVE-2026-33641 et classé CWE-78. La méthode Config.get_value() exécute comme commandes système toute chaîne placée entre backticks dans un fichier de configuration, via system_exec(). La CVSS v3.1 est évaluée à 7.8 HIGH. Le correctif est intégré à Glances 4.5.3, qui supprime le mécanisme d'exécution dynamique.CloudLinux publie un avis détaillant Fragnesia, troisième vulnérabilité de la classe Dirty Frag affectant le sous-système XFRM/ESP du kernel Linux. La faille concerne le ULP ESP-in-TCP : lorsqu'une socket TCP bascule en mode espintcp après un splice(2) ou sendfile(2), le kernel déchiffre les pages du page cache comme du ciphertext ESP, produisant une primitive d'écriture déterministe. Le PoC public de William Bowling et l'équipe V12 écrase /usr/bin/su pour obtenir root en une commande. CloudLinux 7h, 8, 9 et 10 sont affectés, l'attribution CVE est en cours.Sources : Bulletin de sécurité cPanel AV26-464, Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-cpanel-av26-46Reducing CVE fatigue with Red Hat Hardened Images and Anchore : https://www.redhat.com/fr/blog/reducing-cve-fatigue-red-hat-hardened-images-and-anchoreBulletin de sécurité Palo Alto Networks AV26-462 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-palo-alto-networks-av26-462Bulletin de sécurité F5 AV26-461 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-f5-av26-461Bulletin de sécurité Exim AV26-460 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-exim-av26-460Bulletin de sécurité n8n AV26-459 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-n8n-av26-459Bulletin de sécurité Google Chrome AV26-458 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-google-chrome-av26-458Glances 4.5.2 Command Injection CVE-2026-33641, Exploit Database : https://www.exploit-db.com/exploits/52559Fragnesia Mitigation and Kernel Update, CloudLinux Blog : https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #cPanel #WHM #RedHat #HardenedImages #Anchore #SBOM #SLSA3 #PaloAlto #PANOS #IKEv2 #DNSProxy #F5 #BIGIP #NGINX #Exim #MTA #n8n #PrototypePollution #OAuth #Chrome #Glances #CommandInjection #Fragnesia #DirtyFrag #LinuxKernel #XFRM #ESP #CloudLinux #CVE #PatchTuesday #RadioCSIRT
• Ep.643 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 12 mai 2026 12.05.2026 13min

  Une nouvelle vague de l'opération Shai-Hulud, attribuée au groupe TeamPCP, a compromis des centaines de packages npm et PyPI dont TanStack, Mistral AI, Guardrails AI, UiPath et OpenSearch. Les attaquants ont détourné des tokens OpenID Connect valides pour publier des versions malveillantes avec attestation de provenance SLSA Build Level 3, exfiltrant credentials GitHub, npm, AWS, Vault et Kubernetes via le réseau P2P Session.Le CERT-FR a publié l'avis CERTFR-2026-AVI-0553 couvrant onze CVE dans PHP, exploitables pour déni de service à distance, injection SQL et XSS. Sont concernées les branches 8.2.x antérieures à 8.2.31, 8.3.x antérieures à 8.3.31, 8.4.x antérieures à 8.4.21 et 8.5.x antérieures à 8.5.6.OpenAI lance Daybreak, plateforme cybersécurité défensive bâtie sur GPT-5.5 et Codex. Elle couvre secure code review, threat modeling, malware analysis et patch validation, et se décline en trois niveaux d'accès dont un tier GPT-5.5-Cyber réservé aux opérations de penetration testing et red teaming sous accès contrôlé.La FCC prolonge jusqu'au 1er janvier 2029 le waiver autorisant les mises à jour logicielles et firmware des routeurs étrangers inscrits sur la Covered List. Le waiver couvre désormais les Class II permissive changes. TP-Link et DJI restent en attente d'exemption.La vulnérabilité Copy Fail, CVE-2026-31431, divulguée par Theori, est une LPE déterministe et universelle dans l'interface AF_ALG du noyau Linux. L'écriture de quatre octets dans le page cache permet de modifier un binaire setuid en mémoire et d'obtenir root. Inscrite au catalogue KEV de la CISA avec échéance fédérale au 15 mai.Le CERT Polska divulgue CVE-2026-5029, une remote code execution non authentifiée affectant toutes les versions de Code Runner MCP Server lancé avec l'option --transport http. Le endpoint /mcp sur port 3088 est exposé sans authentification, permettant l'exécution de code arbitraire via child_process.exec(). Aucun correctif disponible.L'entreprise brésilienne Huge Networks, spécialisée dans la mitigation DDoS, héberge un botnet Mirai ciblant des ISP locaux via des routeurs TP-Link Archer AX21 vulnérables à CVE-2023-1389. Les scripts Python exposés exploitaient les clés SSH du CEO Erick Nascimento pour orchestrer des attaques par DNS reflection et amplification.D'après le SANS Internet Storm Center, Apple a publié 84 correctifs couvrant iOS, iPadOS, macOS, tvOS, watchOS et visionOS. Aucune des failles n'est exploitée à ce jour. Plusieurs CVE permettent une exécution de code kernel via Wi-Fi, des élévations vers root et des bypass de Gatekeeper via ZIP ou disk image piégés.Sources :BleepingComputer Shai-Hulud TanStack Mistral : https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/CERT-FR PHP CERTFR-2026-AVI-0553 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0553/01net OpenAI Daybreak : https://www.01net.com/actualites/openai-lance-daybreak-lia-qui-detecte-et-corrige-les-failles-de-securite-en-quelques-minutes.htmlThe Cyber Express OpenAI Daybreak : https://thecyberexpress.com/openai-daybreak-introduces-gpt-5-5/Ars Technica FCC routeurs étrangers : https://arstechnica.com/tech-policy/2026/05/fcc-slightly-relaxes-foreign-router-ban-allows-software-updates-until-2029/CloudLinux Copy Fail CVE-2026-31431 : https://blog.cloudlinux.com/cve-2026-31431-copy-fail-patching-kernels-without-rebootingCERT Polska Code Runner MCP CVE-2026-5029 : https://cert.pl/en/posts/2026/05/CVE-2026-5029/KrebsOnSecurity Huge Networks : https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/SANS ISC Apple Patches : https://isc.sans.edu/diary/rss/32976⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #ShaiHulud #TeamPCP #TanStack #MistralAI #SupplyChain #npm #PyPI #SLSA #OIDC #PHP #CERTFR #OpenAI #Daybreak #GPT55 #ClaudeMythos #FCC #TPLink #DJI #CopyFail #LinuxKernel #CISA #KEV #MCP #CodeRunner #CERTPolska #HugeNetworks #Mirai #TPLinkArcher #DDoS #Apple #iOS #macOS #Gatekeeper #WebKit #RadioCSIRT
• Ep.642 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 8 mai 2026 08.05.2026 8min

  La CISA a ajouté trois vulnérabilités à son catalogue Known Exploited Vulnerabilities en trois jours. Le 6 mai, la CVE-2026-0300, Out-of-bounds Write affectant Palo Alto Networks PAN-OS. Le 7 mai, la CVE-2026-6973, faille d'Improper Input Validation sur Ivanti Endpoint Manager Mobile. Le 8 mai, la CVE-2026-42208, SQL Injection ciblant BerriAI LiteLLM, framework d'orchestration pour LLM en environnement entreprise. Les trois failles sont activement exploitées et soumises à la BOD 22-01.Le CERT-FR a publié trois avis majeurs cette semaine. L'avis CERTFR-2026-AVI-0530 documente onze vulnérabilités dans Apache HTTP Server avec exécution de code arbitraire à distance, toutes versions antérieures à 2.4.67. L'avis CERTFR-2026-AVI-0551 couvre sept failles dans GLPI exposant à des attaques SSRF et XSS. L'avis CERTFR-2026-AVI-0552 traite cinq CVE sur Ivanti EPMM, dont la CVE-2026-6973 activement exploitée. Le CERT-FR alerte sur un risque de chaînage avec les CVE-2026-1281 et CVE-2026-1340 antérieures, des credentials administrateurs compromis pouvant être réutilisés si les mots de passe locaux EPMM n'ont pas été réinitialisés.Selon Ars Technica, Mozilla a identifié 271 vulnérabilités dans Firefox sur deux mois grâce à Anthropic Mythos, couplé à un agent harness maison utilisant le sanitizer build de Firefox comme signal de succès déterministe. Un second LLM filtre les hallucinations. Mozilla revendique « almost no false positives », avec 180 failles sec-high, 80 sec-moderate, 11 sec-low. Claude Opus 4.6 a également été utilisé en complément.Selon Canonical, deux LPE divulguées le 7 mai dans le noyau Linux sont regroupées sous l'appellation Dirty Frag. La CVE-2026-43284 cible le module ESP utilisé par IPsec, la seconde, en attente de CVE, vise le module RxRPC d'AFS. Score CVSS 7.8 HIGH, exploit public en circulation, scénarios de container escape possibles. Toutes les releases Ubuntu de Trusty 14.04 LTS à Resolute Raccoon 26.04 LTS sont impactées.Selon GoodTech, Sonatype et les principaux registres de paquets — Maven Central, PyPI, npm, NuGet — ont créé le Sustaining Package Registries Working Group sous la Linux Foundation. Brian Fox parle de « tragédie des communs » avec 10 000 milliards de téléchargements en 2025, dont 80 % du trafic Maven Central généré par les trois principaux cloud providers. L'enjeu dépasse la bande passante : signature des paquets, réponse aux attaques supply chain et conformité au Cyber Resilience Act européen.Sources :CISA KEV LiteLLM 8 mai : https://www.cisa.gov/news-events/alerts/2026/05/08/cisa-adds-one-known-exploited-vulnerability-catalogCISA KEV Ivanti EPMM 7 mai : https://www.cisa.gov/news-events/alerts/2026/05/07/cisa-adds-one-known-exploited-vulnerability-catalogCISA KEV Palo Alto PAN-OS 6 mai : https://www.cisa.gov/news-events/alerts/2026/05/06/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR Apache HTTP Server CERTFR-2026-AVI-0530 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0530/CERT-FR GLPI CERTFR-2026-AVI-0551 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0551/CERT-FR Ivanti EPMM CERTFR-2026-AVI-0552 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0552/Ars Technica Mozilla Mythos : https://arstechnica.com/information-technology/2026/05/mozilla-says-271-vulnerabilities-found-by-mythos-have-almost-no-false-positives/Ubuntu Dirty Frag : https://ubuntu.com//blog/dirty-frag-linux-vulnerability-fixes-availableGoodTech Linux Foundation Registres : https://goodtech.info/linux-foundation-financement-registres-open-source-sonatype/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #CISA #KEV #PaloAlto #PANOS #IvantiEPMM #BerriAI #LiteLLM #ApacheHTTPServer #GLPI #Mozilla #Firefox #Mythos #ClaudeOpus #DirtyFrag #LinuxKernel #Ubuntu #IPsec #RxRPC #LinuxFoundation #Sonatype #MavenCentral #PyPI #npm #NuGet #SupplyChain #CyberResilienceAct #RadioCSIRT
• Ep.641 - RadioCSIRT Édition Française - Veille cybersécurité du lundi 4 mai 2026 04.05.2026 10min

  🎙️Édition spéciale Star Wars Day. Votre flash info cyber est livré aujourd'hui par les forces de la Cyber Threat Intelligence Impériale.Le côté obscur n'altère pas les faits, il les éclaire.Le CERT-FR signale plusieurs vulnérabilités dans la plateforme MISP dans toutes les versions antérieures à 2.5.37 : contournement de la politique de sécurité, injection SQL et élévation de privilèges. Vecteur sensible compte tenu du rôle central de MISP dans le partage de Threat Intelligence entre CERT, CSIRT et SOC.Le CERT-FR consolide plus de 80 vulnérabilités découvertes dans les produits Microsoft entre le 22 avril et le 02 mai 2026, concentrées sur le composant azl3 kernel d'Azure Linux dans toutes les versions antérieures à 6.6.137.1-1. Plus de soixante CVE émises sur la seule journée du 26 avril.Microsoft Edge fait l'objet de 27 vulnérabilités identifiées sur la seule journée du 1er mai, affectant l'ensemble des versions antérieures à 147.0.3912.98. Périmètre client-side plaçant les postes utilisateurs en première ligne d'exposition.Securonix documente la campagne VENOMOUS HELPER, active depuis avril 2025 et ayant frappé plus de 80 organisations principalement aux États-Unis. Phishing usurpant la Social Security Administration, déploiement de SimpleHelp RMM avec persistance Safe Mode, élévation SYSTEM via AdjustTokenPrivileges, architecture dual-channel résiliente avec ConnectWise ScreenConnect en repli. Recoupement avec STAC6405 documenté par Sophos. Attribution à un Initial Access Broker financièrement motivé ou à une opération précurseur de ransomware.La CISA ajoute la faille Copy Fail (CVE-2026-31431) à son catalogue KEV le 02 mai 2026. La vulnérabilité affecte l'interface algif_aead du noyau Linux et permet à un utilisateur local non privilégié d'obtenir les privilèges root en écrivant quatre octets contrôlés dans le page cache. Exploit Python 100% fiable contre Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 et SUSE 16. Périmètre couvrant tous les kernels Linux compilés depuis 2017. Échéance de patch BOD 22-01 fixée au 15 mai pour les agences fédérales américaines.Lightning AI publie un avis de sécurité sur la version 2.6.3 du package PyTorch Lightning distribuée sur PyPI, contenant une chaîne d'exécution cachée déclenchée à l'import. Téléchargement du runtime Bun 1.3.13 depuis GitHub puis exécution d'un payload JavaScript obfusqué de 11,4 mégaoctets. Microsoft Threat Intelligence identifie la souche comme ShaiWorm, ciblant fichiers .env, clés API, secrets, tokens GitHub, données navigateurs Chrome, Firefox et Brave, avec interaction sur les API AWS, Azure et GCP. PyPI a basculé sur la version 2.6.1.Sources :CERT-FR MISP CERTFR-2026-AVI-0515 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0515/CERT-FR Microsoft CERTFR-2026-AVI-0526 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0526/CERT-FR Microsoft Edge CERTFR-2026-AVI-0525 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0525/The Hacker News VENOMOUS HELPER : https://thehackernews.com/2026/05/phishing-campaign-hits-80-orgs-using.htmlBleepingComputer Copy Fail : https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/BleepingComputer PyTorch Lightning : https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/⚡️ Que la Force du patch soit avec vous. On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #StarWarsDay #MayThe4th #MISP #Microsoft #MicrosoftEdge #VENOMOUSHELPER #SimpleHelp #ScreenConnect #STAC6405 #CopyFail #LinuxKernel #CVE202631431 #KEV #CISA #PyTorchLightning #PyPI #ShaiWorm #SupplyChain #RadioCSIRT
• Ep.640 - RadioCSIRT Édition Française - flash info cybersécurité du samedi 2 mai 2026 02.05.2026 14min

  Au sommaire de cette édition, huit dossiers couvrant la stratégie IA d'Ubuntu, une élévation de privilèges critique du noyau Linux, deux guides CISA sur l'agentic AI et le Zero Trust OT, deux billets du NCSC britannique sur la métrologie SOC et la patch wave à venir, ainsi que deux ajouts au KEV Catalog.Canonical détaille sa stratégie d'intégration de l'intelligence artificielle dans Ubuntu pour 2026. La distribution s'oriente vers l'inférence locale, des harnesses open source et des modèles à poids ouverts. Canonical distingue l'IA implicite, qui enrichit des fonctions existantes comme le speech-to-text, et l'IA explicite, axée sur des workflows agentiques. Le déploiement s'appuiera sur les inference snaps, soumis aux règles de confinement habituelles. Des modèles comme Gemma 4 et Qwen-3.6-35B-A3B sont cités pour leurs capacités de tool-calling.Canonical a divulgué publiquement le 29 avril 2026 la vulnérabilité CVE-2026-31431, baptisée Copy Fail. La faille affecte le module algif_aead du noyau Linux, fournissant des fonctions cryptographiques accélérées matériellement. Score CVSS 3.1 de 7.8, classé HIGH. Un exploit fonctionnel d'élévation locale de privilèges vers root est déjà publié, et un risque de container escape est identifié sur les déploiements conteneurisés. Toutes les versions d'Ubuntu antérieures à Resolute 26.04 sont concernées. Canonical distribue une mitigation via le paquet kmod, qui désactive le module vulnérable.La CISA, conjointement avec l'ASD ACSC australien et plusieurs partenaires internationaux, a publié le 1er mai 2026 le guide Careful Adoption of Agentic Artificial Intelligence Services. Le document cible les développeurs, vendeurs et opérateurs d'agentic AI déployant ces systèmes dans des environnements critical infrastructure et défense. Quatre risques majeurs sont identifiés : expanded attack surface, privilege creep, behavioral misalignment et opacité des event records générés par les agents.Dans une publication conjointe du 29 avril 2026, la CISA, en partenariat avec le Department of War, le Department of Energy, le FBI et le Department of State, a diffusé le guide Adapting Zero Trust Principles to Operational Technology. La CISA rappelle avoir observé des acteurs comme Volt Typhoon ciblant des systèmes industriels dans une logique de pre-positioning. Trois axes techniques structurent les recommandations : zones and conduits, supply chain risks et identity and access management.Le NCSC britannique, dans un billet signé Dave Chismon le 27 avril 2026, alerte sur le choix des métriques appliquées à un Security Operations Center. Quatre indicateurs sont jugés contre-productifs : nombre de tickets traités, temps de clôture d'un ticket, nombre de detection rules et volume de logs collectés. Le NCSC préconise le Time To Detect, le Time To Respond, le hypothesis-led threat hunting et une couverture alignée sur MITRE ATT&CK.Toujours côté NCSC, dans un billet du 1er mai 2026 signé Ollie Whitehouse, l'agence appelle les organisations à se préparer à une vulnerability patch wave. Le NCSC anticipe une correction forcée de l'écosystème logiciel, provoquée par la capacité de l'intelligence artificielle à exploiter à grande échelle la dette technique accumulée. Trois priorités : réduire les surfaces d'attaque externes, traiter les technologies en end of life et déployer les mises à jour rapidement, fréquemment et à l'échelle.La CISA a ajouté le 1er mai 2026 la CVE-2026-31431 à son Known Exploited Vulnerabilities Catalog, sur la base de preuves d'exploitation active. Cette inscription intervient deux jours après la divulgation publique par Canonical.Enfin, la CISA a ajouté le 30 avril 2026 la CVE-2026-41940 au KEV Catalog. La faille, de type Missing Authentication for Critical Function, affecte les produits WebPros cPanel & WHM ainsi que WP2, WordPress Squared. cPanel & WHM étant largement déployé dans l'hébergement web mutualisé, l'exploitation ouvre la voie à des compromissions massives de comptes hébergés.Sources :CISA, CISA Adds One Known Exploited Vulnerability to Catalog (1er mai 2026) : https://www.cisa.gov/news-events/alerts/2026/05/01/cisa-adds-one-known-exploited-vulnerability-catalogLinux Journal, Canonical Unveils Ubuntu AI Strategy: Local Models, User Control, and Smarter Workflows : https://www.linuxjournal.com/content/canonical-unveils-ubuntu-ai-strategy-local-models-user-control-and-smarter-workflowsUbuntu Discourse, The future of AI in Ubuntu : https://discourse.ubuntu.com/t/the-future-of-ai-in-ubuntu/81130Canonical, Fixes available for CVE-2026-31431 (Copy Fail) Linux Kernel Local Privilege Escalation Vulnerability : https://ubuntu.com/blog/copy-fail-vulnerability-fixes-availableCISA, CISA, US and International Partners Release Guide to Secure Adoption of Agentic AI : https://www.cisa.gov/news-events/news/cisa-us-and-international-partners-release-guide-secure-adoption-agentic-aiCISA, CISA and U.S. Government Partners Unveil Guide to Accelerate Zero Trust Adoption in Operational Technology : https://www.cisa.gov/news-events/news/cisa-and-us-government-partners-unveil-guide-accelerate-zero-trust-adoption-operational-technologyNCSC, Could your choice of metrics be harming your SOC? : https://www.ncsc.gov.uk/blogs/could-your-choice-of-metrics-be-harming-your-socNCSC, Preparing for a 'vulnerability patch wave' : https://www.ncsc.gov.uk/blogs/prepare-for-vulnerability-patch-waveCISA, CISA Adds One Known Exploited Vulnerability to Catalog (30 avril 2026) : https://www.cisa.gov/news-events/alerts/2026/04/30/cisa-adds-one-known-exploited-vulnerability-catalog⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #Ubuntu #Canonical #AI #AgenticAI #InferenceSnaps #CopyFail #CVE202631431 #LinuxKernel #algif_aead #LPE #ContainerEscape #CISA #KEV #ZeroTrust #OT #VoltTyphoon #ASD #ACSC #NCSC #SOCMetrics #TimeToDetect #ThreatHunting #PatchWave #CHERI #SSVC #cPanel #WHM #WordPress #CVE202641940 #DFIR #Hardening #Infosec #CyberNews
• Ep.639 - RadioCSIRT Édition Française - flash info cybersécurité du mardi 28 avril 2026 28.04.2026 13min

  Au sommaire de cette édition, six dossiers couvrant le ransomware, la sécurité cloud, la menace électorale, la supply chain logicielle, la dépréciation TLS et le paysage botnet.Check Point Research publie une analyse approfondie du ransomware VECT 2.0, opéré en Ransomware-as-a-Service depuis décembre 2025 et associé au groupe TeamPCP. Les variantes Windows, Linux et ESXi partagent une faille critique d'implémentation du cipher ChaCha20-IETF : pour tout fichier supérieur à 131 072 octets, seul le dernier des quatre nonces générés est conservé sur disque, rendant les trois quarts du contenu de chaque large file irrécupérables, y compris pour l'opérateur. Le malware fonctionne donc en pratique comme un wiper.L'AWS Customer Incident Response Team détaille la mise à jour de mars 2026 du Threat Technique Catalog, avec trois nouvelles techniques observées en réponse à incident : abus de refresh tokens Amazon Cognito via cognito-idp:GetTokensFromRefreshToken pour maintenir une persistance silencieuse, suppression d'Amazon Machine Images via ec2:DeregisterImage pour entraver la restauration, et modification furtive de trust policies par UpdateAssumeRolePolicy pour contourner les détections positionnées sur la création de rôles IAM.Le général Joshua Rudd, chef de l'US Cyber Command et de la NSA, alerte le Senate Armed Services Committee sur la probabilité d'opérations d'ingérence étrangère lors des élections de mi-mandat de 2026. Il reconnaît ignorer si l'Election Security Group, task force interagences active depuis 2018, a été reconstituée pour ce cycle, dans un contexte de réduction du périmètre de CISA.Unit 42 documente la nouvelle vague Shai-Hulud: The Third Coming visant l'écosystème npm. Le package malveillant @bitwarden/cli version 2026.4.0, attribué à TeamPCP, exfiltre les credentials cloud, CI/CD et workstations puis se propage en backdoorant les packages publiables par la victime. Trois shifts majeurs sont identifiés : wormable propagation, infrastructure-level persistence dans les pipelines CI/CD et multi-stage payloads avec dépendances dormantes.Microsoft annonce le blocage des connexions TLS 1.0 et TLS 1.1 pour les clients POP3 et IMAP4 d'Exchange Online à partir de juillet 2026. Seules les sessions négociées en TLS 1.2 ou supérieur seront acceptées. L'impact concerne principalement les applications héritées et les systèmes embarqués ayant explicitement opté pour les legacy endpoints lors d'une précédente phase de transition.ANY.RUN analyse Kamasers, un botnet hybride combinant DDoS multi-vecteurs et fonction de loader. Le malware s'appuie sur les loaders d'initial access GCleaner et Amadey, et utilise un Dead Drop Resolver via GitHub Gist, Telegram, Dropbox et Bitbucket — voire l'API api.etherscan.io — pour résoudre dynamiquement son adresse C2. L'infrastructure repose sur l'ASN de Railnet LLC, identifiée comme façade du bulletproof hoster Virtualine.Sources :Check Point Research, VECT: Ransomware by design, Wiper by accident : https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/AWS Security Blog, What the March 2026 Threat Technique Catalog update means for your AWS environment : https://aws.amazon.com/fr/blogs/security/what-the-march-2026-threat-technique-catalog-update-means-for-your-aws-environment/The Record by Recorded Future, Cyber Command, NSA chief warns foreign adversaries likely to target midterms : https://therecord.media/cyber-command-nsa-chief-midterm-election-threatUnit 42 Palo Alto Networks, Monitoring npm Supply Chain Attacks : https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/BleepingComputer, Microsoft to deprecate legacy TLS in Exchange Online starting July : https://www.bleepingcomputer.com/news/microsoft/microsoft-to-deprecate-legacy-tls-in-exchange-online-starting-july/Cyber Press, Kamasers DDoS Botnet With Loader Capabilities Attacking Organizations to Deploy Ransomware : https://cyberpress.org/kamasers-ddos-botnet-loader-threat/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #Ransomware #VECT #ChaCha20 #Wiper #ESXi #AWS #ThreatTechniqueCatalog #Cognito #IAM #AMI #ElectionSecurity #CyberCommand #NSA #ShaiHulud #npm #SupplyChain #TeamPCP #Bitwarden #ExchangeOnline #TLS #POP3 #IMAP #Kamasers #Botnet #DDoS #Loader #DeadDropResolver #Railnet #Virtualine #DFIR #Hardening #Infosec #CyberNews
• Ep.638 - RadioCSIRT Édition Française - flash info cybersécurité du lundi 27 avril 2026 27.04.2026 5min

  Au Royaume-Uni, l'association caritative UK Biobank a signalé au gouvernement britannique la mise en vente sur la plateforme chinoise Alibaba des données médicales de 500 000 volontaires britanniques. Les enquêteurs ont remonté la fuite à trois instituts de recherche disposant d'un accès contractuel légitime ; UK Biobank leur a retiré l'accès et suspendu toute nouvelle attribution. La cohorte 2006-2010 inclut séquences génétiques, échantillons sanguins, imagerie médicale et indicateurs socio-économiques, formellement anonymisés mais ré-identifiables par recoupement. Le Guardian rapportait l'an dernier qu'une demande d'accès acceptée sur cinq émanait d'entités chinoises, dont BGI, inscrite sur l'Entity List américaine. Alibaba et les autorités chinoises ont supprimé les annonces avant toute confirmation de vente.Aux États-Unis, la Federal Trade Commission a publié son bilan 2025 des arnaques sur les réseaux sociaux avec 2,1 milliards de dollars de pertes déclarées au Consumer Sentinel Network. Près de 30 % des Américains ayant signalé une perte à un scam ont été contactés via une plateforme sociale, soit une multiplication par huit depuis 2020. Facebook concentre les pertes les plus élevées tous âges confondus, devant WhatsApp et Instagram. Meta indique avoir retiré 159 millions de publicités frauduleuses et fermé 10,9 millions de comptes en 2025. Le rapport IC3 du FBI fait par ailleurs état de plus d'un million de plaintes et de 21 milliards de dollars de pertes cyber-enabled sur l'année.Le Centre canadien pour la cybersécurité a publié le 27 avril 2026 le bulletin AV26-395 concernant Notepad++. Une vulnérabilité critique affecte la version 8.9.3 et toutes les versions antérieures. La correction est intégrée dans la release 8.9.4 publiée par l'éditeur le 26 avril. Le Centre recommande aux utilisateurs comme aux administrateurs d'appliquer la mise à jour sans délai et renvoie vers les pages communautaires officielles de l'éditeur.Tails, la distribution Linux orientée préservation de la confidentialité numérique, a publié sa version 7.7 le 23 avril 2026. La nouveauté principale concerne la détection des certificats Secure Boot obsolètes : depuis 2023, Microsoft remplace les certificats émis en 2011, dont l'expiration commence en juin 2026. Tails notifie désormais l'utilisateur lorsque la machine hôte présente des certificats expirés nécessitant une mise à jour firmware. La version embarque Tor Browser 15.0.10 et Thunderbird 140.9.1, et restreint le dossier /root au seul utilisateur root.J'ai également mis en ligne sur mon blog une analyse stratégique du Vulnerability Summary CISA pour la semaine du 20 avril 2026. Le bulletin présente une physionomie atypique : 35 des 51 vulnérabilités publiées portent un CVE-ID de la plage 2018-25xxx, attribués rétroactivement par VulnCheck en sa qualité de CNA. L'article traite ce phénomène de régularisation et ses effets sur les programmes de vulnerability management, avec études de cas sur ThinkPHP 5.0.23, Seeyon OA A8, Fortra GoAnywhere MFT, OpenSC libopensc et GitLab.Sources :UK Biobank data on Alibaba — Malwarebytes :https://www.malwarebytes.com/blog/news/2026/04/uk-biobank-data-on-alibabaFTC: Americans lost over $2.1 billion to social media scams in 2025 — BleepingComputer :https://www.bleepingcomputer.com/news/security/ftc-americans-lost-over-21-billion-to-social-media-scams-in-2025/Bulletin de sécurité Notepad++ (AV26-395) — Centre canadien pour la cybersécurité :https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-notepad-av26-395Tails 7.7 — Tails :https://tails.net/news/version_7.7/Analyse stratégique du Vulnerability Summary CISA — Semaine du 20 avril 2026 — Marc-Frédéric Gomez :https://blog.marcfredericgomez.fr/analyse-strategique-du-vulnerability-summary-cisa-semaine-du-20-avril-2026/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #UKBiobank #Alibaba #BGI #DataLeak #GenomicData #FTC #SocialMediaScams #Meta #Facebook #WhatsApp #Instagram #FBI #IC3 #Notepadplusplus #CCCS #Canada #Tails #SecureBoot #Microsoft #TorBrowser #Thunderbird #CISA #VulnCheck #CNA #CVE #VulnerabilityManagement #ThinkPHP #Seeyon #FortraGoAnywhere #OpenSC #GitLab #Infosec #CyberNews