RadioCSIRT - Edition Française

RadioCSIRT - Edition Française

Marc Frédéric GOMEZ
Država Francija
Jezik FR
Epizode 659
Zadnja 18.07.2026

Marc Frédéric Gomez, expert en cybersécurité, présente chaque jour l'essentiel des menaces, attaques et stratégies de défense. Le podcast décrypte les cyberattaques et vulnérabilités critiques, offrant une veille stratégique pour les CSIRT, CERT et professionnels de la cybersécurité. Il fournit des sources et références pour approfondir chaque sujet. L'objectif est de permettre aux auditeurs de rester à jour en quelques minutes par jour et d'anticiper les menaces avec des informations fiables et techniques.

Epizode

  • Ep.699 RadioCSIRT : Épisode spécial menace quantique 18.07.2026 47min
    De l'ordinateur quantique à la transition post-quantique, du décideur au protocole.L'ordinateur quantique n'est plus une hypothèse de laboratoire mais une échéance de planification. Cet épisode spécial part du général pour aller au particulier : comprendre la technologie, mesurer la menace, prioriser l'action, puis descendre dans le détail de trois protocoles omniprésents.🧠 Ce qu'est un ordinateur quantique : qubits, superposition, intrication, décohérence, la feuille de route matérielle 2029-2035 (IBM Starling puis Blue Jay), le coût et les investissements en cours.⏳ Pourquoi la menace est déjà active : l'algorithme de Shor, la vulnérabilité de la cryptographie asymétrique, et les attaques « store now, decrypt later » qui consistent à collecter aujourd'hui pour décrypter demain.📊 Les cinq risques métiers de l'analyse de risque de haut niveau de l'ANSSI : décryptement rétroactif, décryptement en temps réel, falsification de documents signés, prise de contrôle d'équipements à long cycle de vie, attaque par la chaîne d'approvisionnement.🗺️ La méthode de priorisation P1-P3 croisant criticité et longévité, et la feuille de route ANSSI en quatre étapes, de l'inventaire à la gouvernance continue.🔐 Trois cas protocolaires concrets : IPsec avec IKEv2 et le défi de la fragmentation sur UDP, TLS 1.3 le plus déployé avec clé pré-partagée native et hybridation déjà en production (OpenSSL, Chrome, Fizz), SSHv2 sans PSK possible et l'hybridation par défaut dans OpenSSH. Partout : ML-KEM, hybridation, et le chantier encore ouvert de l'authentification par signature.Le fil conducteur de l'ANSSI : hybridation partout où une protection contre la menace quantique est nécessaire, et crypto-agilité pour pouvoir évoluer.Sources :Qu'est-ce que l'informatique quantique. IBM Think : https://www.ibm.com/fr-fr/think/topics/quantum-computing Ordinateur quantique, définition, prix, fonctionnement. Geekom : https://www.geekom.fr/ordinateur-quantique-definition/Feuille de route IBM Quantum. IBM : https://www.ibm.com/quantum/technology#roadmapIBM va investir 10 milliards de dollars dans l'informatique quantique sur 5 ans. ZoneBourse via AFP : https://www.zonebourse.com/actualite-bourse/ibm-va-investir-10-milliards-de-dollars-dans-l-informatique-quantique-sur-5-ans-ce7f5ddadf8fff27IBM va investir 150 milliards de dollars aux États-Unis, notamment pour l'informatique quantique. KultureGeek : https://kulturegeek.fr/news-330875/ibm-investir-150-milliards-dollars-etats-unis-notamment-linformatique-quantiqueIBM crée la filiale Anderon et vise Starling en 2029. Developpez : https://quantique.developpez.com/actu/384630/Transition Post-Quantique d'IPsec, ANSSI-FT-117. ANSSI : https://messervices.cyber.gouv.fr/guides/Transition-post-quantique-protocole-IPsecTransition Post-Quantique de TLS 1.3, ANSSI-FT-115. ANSSI : https://messervices.cyber.gouv.fr/guides/Transition-post-quantique-protocole-TLS-1-3Transition Post-Quantique de SSHv2, ANSSI-FT-116. ANSSI : https://messervices.cyber.gouv.fr/guides/Transition-post-quantique-protocole-SSHv2Mécanismes cryptographiques (guides v3.00 et sélection v1.0). ANSSI : https://messervices.cyber.gouv.fr/guides/mecanismes-cryptographiques FaQ sur la cryptographie post-quantique. ANSSI : https://cyber.gouv.fr/enjeux-technologiques/cryptographie-post-quantique/faq-pqc/Recommandations de sécurité relatives à TLS. ANSSI : https://cyber.gouv.fr/publications/recommandations-de-securite-relatives-tls Avis de l'ANSSI sur la migration vers la cryptographie post-quantique. ANSSI : https://cyber.gouv.fr/publications/avis-de-lanssi-sur-la-migration-vers-la-cryptographie-post-quantique-0A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography. Commission européenne : https://digital-strategy.ec.europa.eu/en/library/coordinated-implementation-roadmap-transition-post-quantum-cryptographyPQC migration handbook. TNO : https://publications.tno.nl/publication/34643386/fXcPVHsX/TNO-2024-pqc-en.pdfModule-Lattice-Based Key-Encapsulation Mechanism Standard, FIPS 203 (ML-KEM). NIST : https://csrc.nist.gov/pubs/fips/203/final Module-Lattice-Based Digital Signature Standard, FIPS 204 (ML-DSA). NIST : https://csrc.nist.gov/pubs/fips/204/finalStateless Hash-Based Digital Signature Standard, FIPS 205 (SLH-DSA). NIST : https://csrc.nist.gov/pubs/fips/205/final⚡️ On ne réfléchit pas, on patch ! (tm) 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#Cybersécurité #PostQuantique #PQC #Cryptographie #ANSSI #Quantum #IPsec #TLS #SSHv2 #MLKEM #RadioCSIRT
  • Ep.698 - RadioCSIRT Flash info cybersécurité du vendredi 17 juillet 2026 17.07.2026 16min
    🐧 GhostLock, CVE-2026-43499, est un Use-After-Free dans l'implémentation des futex du noyau Linux, découvert par Nebula Security via sa plateforme VEGA assistée par IA. La faille affecte les noyaux depuis la 2.6.39 publiée en 2011, soit quinze ans d'exposition, et provient d'un traitement incorrect de remove_waiter() laissant un pointeur noyau pendant. Un utilisateur local standard obtient root en environ cinq secondes, avec un taux de réussite annoncé de 97 pour cent. L'évasion de conteneur est également possible, ce qui concerne Kubernetes, Docker, les runners CI/CD et les infrastructures multi-tenant. Les correctifs sont disponibles.🇺🇦 Le CERT-UA publie l'état des vecteurs de compromission initiale du cluster UAC-0145, sous-cluster de UAC-0002 alias Sandworm, APT44 et Seashell Blizzard. Aux installateurs Windows et Office backdoorés diffusés par torrent et aux lures antivirus distribuées via Signal, s'ajoutent depuis le printemps 2026 des chaînes ClickFix déposant le VBS GHETTOVIBE dans le Startup, puis le script de reconnaissance SCOUTCURL. SMARTAXE récupère le domaine du C2 depuis un smart contract via un appel eth_call, tandis que COWARDDUCK, backdoor Android en APK, exfiltre fichiers et géolocalisation via l'API Dropbox. Les loaders FLUIDLEECH et LOADLOOP ainsi que le backdoor Python FREAKYPOLL complètent l'outillage.🐛 Le blog Project Nightcrawler publie le 14 juillet la divulgation publique de LegacyHive, réduite à trois liens de dépôts, GitHub sous le compte MSNightmare, serveur Git de Project Nightcrawler et git.churchofmalware.org, sans description technique ni référence CVE. Un second billet du 16 juillet, signé avec la même clé PGP, est adressé à Microsoft et renvoie à une échéance du 14 juillet ainsi qu'à une réunion à venir. Aucun détail technique ni périmètre affecté n'est communiqué dans l'un ou l'autre billet.🎣 Ernst & Young notifie ses clients d'une violation de données provoquée par la compromission d'un système tiers de gestion de tickets utilisé par ses équipes IT. Les tickets pouvaient contenir des documents renfermant des informations fiscales clients. L'activité anormale a été détectée le 23 avril, l'accès non autorisé s'étant déroulé entre le 28 mars et le 12 avril, avec téléchargement de plusieurs documents. Le cabinet propose vingt-quatre mois de surveillance d'identité via Experian, avec inscription avant le 31 octobre 2026. Aucun groupe d'extorsion ou de ransomware n'a revendiqué l'attaque.🪟 Notepad++ 8.9.7 corrige plusieurs vulnérabilités à fort impact sur Windows. L'installateur voit son traitement des commandes PowerShell durci contre l'injection de commandes. CVE-2026-54758 est un stack Buffer Overflow dans expandNppEnvironmentStrs pouvant mener à une exécution de code, CVE-2026-57233 une traversée Zip Slip dans l'updater WinGUp permettant l'écrasement de fichiers arbitraires, CVE-2026-52886 un contournement de validation de chemin via session.xml et la vérification starts_with de backupFilePath. Une faille non référencée du système de macros autorisait l'exécution sans vérification HMAC via shortcuts.xml. Installation manuelle recommandée.🛡️ Le CERT Santé alerte sur CVE-2026-34150, un dépassement de tampon en tas dans wazuh-analysisd, fonction W_JSON_ParseRootcheck du fichier json_extended.c, classé CWE-122. La configuration par défaut de l'image wazuh/wazuh-docker place use_password à no sur authd, autorisant un enrôlement d'agent sans authentification, puis l'injection via remoted d'événements rootcheck dont les motifs dépassent 30 octets. Le processus s'arrête, tandis que le tableau de bord et l'API affichent des données obsolètes sans signaler l'interruption. Versions jusqu'à 4.14.4 concernées, correctif en 4.14.5, PoC publique.🚨 Le FIRST publie CIRCUIT, framework open source de gouvernance de l'interprétabilité des modèles d'IA proposé par Eric Zielinski de Jumpmind sous licence Apache 2.0. Il repose sur un Interpretability Maturity Score de 0 à 5, un registre YAML en huit sections versionnable dans Git, et un Circuit Risk Score assorti de dix règles bloquantes. Des correspondances sont établies avec le NIST AI RMF, l'AI Act européen, l'ISO 42001, SR 11-7, SOC 2 et MITRE ATLAS, et un questionnaire fournisseur de 29 questions est fourni. Les obligations haut risque de l'AI Act s'appliquent en août 2026.☁️ Check Point Research publie son AI Security Report 2026 et décrit le passage de l'IA du rôle d'assistant à celui d'opérateur dans les intrusions en cours. Le rapport cite VoidLink, framework offensif de Command and Control de 88 000 lignes produit en moins d'une semaine, et une préférence des attaquants pour les modèles commerciaux jailbreakés, avec persistance via un fichier de configuration chargé par un agent d'une session à l'autre. Les détections liées au prompt injection indirect sont multipliées par cinq entre mars et mai 2026, approchant 1 pour cent des prompts en mai. Les prompts à risque élevé passent de 2 à 4 pour cent sur un an.Sources : AI Uncovers a 15-Year-Old Linux Kernel Root Vulnerability Hidden Since 2011. Linux Journal : https://www.linuxjournal.com/content/ai-uncovers-15-year-old-linux-kernel-root-vulnerability-hidden-2011 Вектори первинної компрометації UAC-0145 станом на липень 2026 року. CERT-UA : https://cert.gov.ua/article/6318437LegacyHive public disclosure. Project Nightcrawler Blog : https://blog.projectnightcrawler.dev/posts/2026-07-14-legacyhive-public-disclosure/Microsoft Please. Project Nightcrawler Blog : https://blog.projectnightcrawler.dev/posts/2026-07-16-microsoft-please/Ernst & Young discloses data breach after support system hack. BleepingComputer : https://www.bleepingcomputer.com/news/security/ernst-and-young-discloses-data-breach-after-support-system-hack/Critical Notepad++ Bugs Could Lead to Code Execution, Patch Available. The Cyber Express : https://thecyberexpress.com/notepad-vulnerabilities-v897/Wazuh CVE-2026-34150. CERT Santé : https://cyberveille.esante.gouv.fr/alertes/wazuh-cve-2026-34150-2026-07-17You Cannot Defend What You Cannot Inspect. FIRST : https://www.first.org/blog/20260714-FIRSTCON26-CIRCUITAI Security Report 2026. Check Point Research : https://research.checkpoint.com/2026/ai-security-report-2026/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #LinuxKernel #GhostLock #PrivilegeEscalation #UseAfterFree #ContainerEscape #NebulaSecurity #CERTUA #UAC0145 #Sandworm #APT44 #SeashellBlizzard #ClickFix #GHETTOVIBE #SCOUTCURL #SMARTAXE #COWARDDUCK #FREAKYPOLL #LegacyHive #Microsoft #ErnstYoung #DataBreach #ThirdPartyRisk #NotepadPlusPlus #Windows #ZipSlip #BufferOverflow #Wazuh #SIEM #CERTSante #DoS #FIRST #FIRSTCON26 #CIRCUIT #AIGovernance #Interpretability #EUAIAct #NISTAIRMF #MITREATLAS #CheckPoint #AISecurityReport2026 #VoidLink #PromptInjection #ShadowAI #CVE-2026-43499 #CVE-2026-52886 #CVE-2026-54758 #CVE-2026-57233 #CVE-2026-34150 #RadioCSIRT
  • Ep.697 - RadioCSIRT Flash info cybersécurité du jeudi 16 juillet 2026 16.07.2026 12min
    🚨 La CISA ajoute le 16 juillet trois vulnérabilités exploitées activement à son catalogue KEV. CVE-2026-25089 et CVE-2026-39808 visent FortiSandbox de Fortinet, deux injections de commande système sur une appliance d'analyse de fichiers positionnée en coupure des flux de messagerie et de navigation. CVE-2026-58644 est une désérialisation de données non fiables dans Microsoft SharePoint, deuxième référence SharePoint inscrite au catalogue en trois jours après CVE-2026-56164. La directive BOD 26-04 s'applique à ces trois références.⚠️ La veille, le 15 juillet, la CISA avait ajouté deux vulnérabilités exploitées activement. CVE-2023-4346 affecte le protocole KNX de la KNX Association, avec un mécanisme de verrouillage de compte trop restrictif sur l'option 1 d'autorisation de connexion, exposant les déploiements de domotique et de gestion technique de bâtiment. CVE-2026-46817 est une gestion de privilèges inappropriée dans Oracle E-Business Suite. La directive BOD 26-04 impose aux agences fédérales civiles de prioriser la remédiation sur les actifs exposés publiquement et de vérifier une éventuelle compromission antérieure au correctif.🛡️ Le 14 juillet, la CISA avait ajouté quatre autres références au KEV. CVE-2026-15409 et CVE-2026-15410 visent les appliances SonicWall SMA1000, respectivement une Server-Side Request Forgery et une injection de code, en cohérence avec l'alerte de l'éditeur sur deux zero-days exploités. CVE-2026-56155 affecte Microsoft Active Directory Federation Services via une granularité insuffisante du contrôle d'accès. CVE-2026-56164 affecte Microsoft SharePoint Server par absence d'authentification sur une fonction critique, dans une série continue de compromissions on-premise.📘 La CISA, la NSA et des partenaires internationaux publient un guide conjoint sur la mise en place d'un programme de divulgation coordonnée des vulnérabilités. Il s'adresse aux éditeurs et fournisseurs de services en ligne et couvre la politique de divulgation, le triage, la remédiation et l'attribution d'identifiants CVE. Le document traite aussi du recours à des intermédiaires tiers, CISA ou CSIRT nationaux, en substitut ou en complément d'un programme interne.🐛 Zoom corrige CVE-2026-53412, une validation d'entrée incorrecte cotée CVSS 9.8 affectant Workplace, le client VDI et le Meeting SDK pour Windows. Un utilisateur non authentifié peut réaliser une prise de contrôle de compte via un accès réseau. Trois failles d'élévation de privilèges locales cotées 8.8 sont également corrigées : CVE-2026-53410, CVE-2026-53409 et CVE-2026-53411. Découverte par l'équipe Offensive Security de l'éditeur, aucune exploitation constatée. En janvier, CVE-2026-22844 cotée 9.9 touchait les Node Multimedia Routers.🎣 La commissaire australienne à la vie privée attribue la fuite Qantas de 2025 à une arnaque au support technique. Un attaquant se faisant passer pour le service informatique a fait connecter le CRM à un outil d'extraction de données par un agent de centre de contact, permettant le siphonnage de 5,7 millions d'enregistrements clients. Carly Kind conclut à l'absence de manquement aux Australian Privacy Principles et n'ouvre pas d'enquête formelle. Des actions collectives restent en cours, Scattered Spider est évoqué sans attribution formelle.🇹🇴 Le FIRST consacre un billet aux dix ans du CERT Tonga, premier CERT du Pacifique, créé en un mois sous l'impulsion du vice-Premier ministre de l'époque Siaosi Sovaleni après l'échec d'une structure régionale calquée sur le modèle traditionnel. L'équipe fondatrice réunissait Siosaia Vaipuna, Paula Latapu et Pelenita Atoa. Une cyber week est prévue en octobre, ainsi qu'un premier exercice national de cyberdéfense motivé par deux attaques par Ransomware majeures. Le CERT Tonga est membre de PaCSON, APCERT et GFCE et vise l'adhésion au FIRST.Sources : CISA Adds Three Known Exploited Vulnerabilities to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/16/cisa-adds-three-known-exploited-vulnerabilities-catalogCISA Adds Two Known Exploited Vulnerabilities to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/15/cisa-adds-two-known-exploited-vulnerabilities-catalogCISA Adds Four Known Exploited Vulnerabilities to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/14/cisa-adds-four-known-exploited-vulnerabilities-catalogEstablishing a Coordinated Vulnerability Disclosure Program to Work With Security Researchers. CISA : https://www.cisa.gov/resources-tools/resources/establishing-coordinated-vulnerability-disclosure-program-work-security-researchersZoom Fixes CVE-2026-53412, a Critical Account Takeover Bug. Security Affairs : https://securityaffairs.com/195454/security/zoom-fixes-cve-2026-53412-a-critical-account-takeover-bug.htmlTech support scam caused massive data breach at Australian airline Qantas. The Register : https://www.theregister.com/cyber-crime/2026/07/16/tech-support-scam-caused-massive-data-breach-at-australian-airline-qantas/5272267 CERT Tonga: Pioneers in the Pacific. FIRST : https://www.first.org/blog/20260714-CERT-Tonga-Pioneers-in-the-Pacific⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #BOD2604 #Fortinet #FortiSandbox #CommandInjection #KNX #Oracle #EBusinessSuite #SonicWall #SMA1000 #Microsoft #ADFS #SharePoint #NSA #CVD #VDP #Zoom #ZoomWorkplace #Windows #AccountTakeover #Qantas #Vishing #SocialEngineering #DataBreach #ScatteredSpider #FIRST #CERTTonga #Pacific #Ransomware #ZeroDay #CVE-2026-25089 #CVE-2026-39808 #CVE-2026-58644 #CVE-2023-4346 #CVE-2026-46817 #CVE-2026-15409 #CVE-2026-15410 #CVE-2026-56155 #CVE-2026-56164 #CVE-2026-53412 #CVE-2026-53410 #CVE-2026-53409 #CVE-2026-53411 #CVE-2026-22844 #RadioCSIRT
  • Ep.696 - RadioCSIRT Édition Spéciale Patch Tuesday 14 juillet 2026 14.07.2026 17min
    🪟 Microsoft publie la plus importante livraison de correctifs de son histoire. Le décompte de la Zero Day Initiative retient 621 CVE pour le mois de juillet, dont 63 classées critiques, six modérées et une basse. Deux vulnérabilités sont activement exploitées, CVE-2026-56155 dans Active Directory Federation Services et CVE-2026-56164 dans SharePoint Server, cette dernière étant une authentification manquante atteignable sans compte sur le réseau malgré une sévérité modérée. La troisième, CVE-2026-50661, contourne BitLocker par accès physique et a été divulguée publiquement avant correctif.🐛 Au-delà des Zero-Day, le risque réel du cycle tient aux exécutions de code à distance non authentifiées. La Zero Day Initiative pointe CVE-2026-57092 dans VMSwitch, un use-after-free noté CVSS 9.9, le plus haut score du mois, permettant la compromission complète de l'hôte à travers la frontière de machine virtuelle. La paire SharePoint CVE-2026-50522 et CVE-2026-58644 atteint CVSS 9.8 par désérialisation de données non fiables, sans authentification ni interaction, CVE-2026-50522 ayant été démontrée au Pwn2Own Berlin. S'ajoutent CVE-2026-56190 dans le Remote Desktop Protocol, CVE-2026-56188 dans le Server Network driver, potentiellement wormable, CVE-2026-50518 dans le serveur DHCP et CVE-2026-55944 dans Dynamics NAV, toutes en CVSS 9.8. CVE-2026-55008 est titrée Spoofing par Microsoft mais constitue un XSS stocké dans Outlook Web Access, exécuté à la simple lecture du message.Sources :Patch Tuesday Juillet 2026. Blog de Marc-Frédéric Gomez : https://blog.marcfredericgomez.fr/patch-tuesday-juillet-2026/The July 2026 Security Update Review. Zero Day Initiative : https://www.zerodayinitiative.com/blog/2026/7/14/the-july-2026-security-update-review⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #SharePoint #ActiveDirectory #HyperV #VMSwitch #RDP #Exchange #BitLocker #DHCP #ZeroDay #Pwn2Own #CVE-2026-56155 #CVE-2026-56164 #CVE-2026-50661 #CVE-2026-57092 #CVE-2026-50522 #CVE-2026-58644 #CVE-2026-56190 #CVE-2026-56188 #CVE-2026-50518 #CVE-2026-55944 #CVE-2026-55008 #RadioCSIRT
  • Ep.695 - RadioCSIRT Flash info cybersécurité du lundi 13 juillet 2026 13.07.2026 9min
    🐧 FOSS Force rapporte la publication de debvulns-exporter par Vasudeva Kamath, un exportateur Prometheus des vulnérabilités Debian bâti sur debsecan. L'outil expose les données de vulnérabilité en métriques Prometheus visualisables dans Grafana, au sein d'un ensemble debvulns qui inclut une CLI et un composant MCP. Le développeur a fait évoluer un serveur MCP expérimental vers cet exportateur, jugeant l'exécution permanente d'un serveur MCP coûteuse en tokens. Disponible sur PyPI.🇫🇷 Le CERT-FR publie le rapport CERTFR-2026-CTI-004 sur le ciblage et la compromission d'entités françaises via le mode opératoire Turla, attribué au 16ème Centre du FSB russe. Actif depuis au moins 2004, ce mode opératoire vise des ministères et des entités des secteurs diplomatique, de la défense, de la justice et des technologies. La France et l'Union européenne ont publié ce 13 juillet 2026 deux déclarations formelles d'attribution à la Russie.🎣 Selon BleepingComputer, Lidl, filiale du groupe Schwarz, a notifié des clients en Allemagne, en Belgique et aux Pays-Bas d'une fuite de données après la compromission d'un prestataire. Les données volées de la boutique en ligne incluent civilité, nom, téléphone, email, date de naissance et numéro client. Lidl n'exclut pas que mots de passe et informations bancaires soient concernés, et met en garde contre le phishing.🚨 The Register rapporte que Progress Software a ordonné l'arrêt d'urgence des serveurs ShareFile Storage Zone Controllers face à une menace externe crédible, sans correctif ni contournement disponible. L'accès au service cloud a été rétabli le 12 juillet, mais les composants sur site doivent rester hors ligne. Progress avait corrigé quelques mois plus tôt deux failles critiques de ce composant chaînables en RCE non authentifiée, sans lien établi.🔓 Le SANS Internet Storm Center documente des scans internet à la recherche de serveurs Model Context Protocol, de configurations d'assistants IA et de points LLM exposés. Les sondes POST /mcp émettent un appel JSON-RPC initialize valide, et la campagne recherche des fichiers comme /.claude/mcp.json ou /.claude/.credentials.json, ainsi que les points /v1/models et /api/tags, avec des tentatives SSRF sur les métadonnées cloud.Sources : Deb Dev Builds Graphical Debian Vulnerability Exporter for Prometheus. FOSS Force : https://fossforce.com/2026/07/deb-dev-builds-graphical-debian-vulnerability-exporter-for-prometheus/Ciblage et compromission d'entités françaises au moyen du mode opératoire d'attaque Turla. CERT-FR : https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-004/ Lidl discloses online shop breach after service provider hack. BleepingComputer : https://www.bleepingcomputer.com/news/security/lidl-discloses-online-shop-breach-after-service-provider-hack/Progress orders emergency ShareFile server shutdown over mystery security threat. The Register : https://www.theregister.com/security/2026/07/13/progress-orders-emergency-sharefile-server-shutdown-over-mystery-security-threat/5270281 Someone Is Scanning for Your MCP Servers and AI Assistant Credentials. SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33150⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Debian #Prometheus #Grafana #debsecan #OpenSource #MCP #EPSS #Turla #FSB #Russie #Espionnage #CERTFR #France #UE #Lidl #DataBreach #SchwarzGroup #Phishing #Progress #ShareFile #RCE #Clop #SANS #ISC #AISecurity #Ollama #SSRF #LLM #Cursor #RadioCSIRT
  • Ep.694 - RadioCSIRT Flash info cybersécurité du dimanche 12 juillet 2026 12.07.2026 12min
    🐧 Le projet Debian met fin au suivi de sécurité normal de Debian 12 Bookworm le 12 juillet 2026 et le confie à son équipe de suivi à long terme, jusqu'au 30 juin 2028. Pour la première fois, l'architecture ppc64el entre dans le périmètre LTS. Les utilisateurs sont invités à migrer vers Debian 13 Trixie.🪟 Microsoft Edge basé sur Chromium est affecté par CVE-2026-58596, une élévation de privilèges par déréférencement de pointeur non fiable, notée 8,3 en CVSS. L'exploitation requiert une interaction de l'utilisateur, et un correctif officiel est disponible.🚨 L'ACSC alerte sur une campagne mondiale déployant des webshells contre des CMS et des plugins vulnérables, dont de nombreux modules WordPress, Craft CMS avec CVE-2025-32432 et Joomla JCE avec CVE-2026-48907. De nombreuses PME australiennes sont déjà touchées.🔐 Dell est concerné par CVE-2026-40639, un stockage des mots de passe BIOS reposant sur un XOR défaillant qui permet de récupérer les identifiants en clair depuis la SPI flash, sans force brute. Les Latitude, le XPS 15 9560 et le client léger Wyse 5070 sont confirmés vulnérables.🐛 Un cheval de Troie documenté par Doctor Web infecte les fichiers de projet Visual Studio en C++ et C sharp via des pre-build events, propageant Backdoor, voleur d'identifiants et cryptomineur dans la chaîne de développement, avec un C2 hébergé sur GitHub, Steam et YouTube.🔓 Squidbleed, CVE-2026-47729, est une lecture hors limites du proxy Squid qui divulgue les requêtes HTTP en clair d'autres utilisateurs, identifiants compris. Présente depuis 1997 dans la configuration par défaut et notée 6,5, elle se neutralise en désactivant le FTP.🔒 L'Unit 42 documente le Ransomware-as-a-Service The Gentlemen, deuxième programme le plus actif de 2026 avec 580 victimes dans 77 pays, un partage de 90 pour cent pour les affiliés et un EDR killer maison. Les CVE-2024-55591, CVE-2025-32433 et CVE-2025-7771 figurent parmi les accès exploités.Sources :La prise en charge de sécurité de Bookworm transmise à l'équipe LTS. Debian : https://www.debian.org/News/2026/20260712CVE-2026-58596 : Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability. CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-58596Australia warns of global campaign targeting vulnerable CMS platforms. BleepingComputer : https://www.bleepingcomputer.com/news/security/australia-warns-of-global-campaign-targeting-vulnerable-cms-platforms/Dell BIOS Flaw Lets Attackers Recover Passwords From SPI Flash. Cyber Press : https://cyberpress.org/dell-bios-recover-passwords-spi-flash/Hackers Infect C++ and C# Project Files to Spread Multi-Stage Windows Backdoor. GBHackers : https://gbhackers.com/c-c-project-files-windows-backdoor/29-Year-Old Squid Proxy Bug Squidbleed Can Leak Cleartext HTTP Requests. The Hacker News : https://thehackernews.com/2026/06/29-year-old-squid-proxy-bug-squidbleed.htmlNo Manners Here: The Ruthless Rise of The Gentlemen Ransomware. Unit 42 : https://unit42.paloaltonetworks.com/the-gentlemen-ransomware/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Debian #LTS #Bookworm #MicrosoftEdge #WordPress #CraftCMS #Joomla #ACSC #Dell #BIOS #VisualStudio #DoctorWeb #Squid #Squidbleed #Ransomware #TheGentlemen #Qilin #Unit42 #CVE-2026-58596 #CVE-2026-40639 #CVE-2026-47729 #CVE-2025-32432 #CVE-2026-48907 #CVE-2024-55591 #CVE-2025-32433 #CVE-2025-7771 #RadioCSIRT
  • RadioCSIRT Épisode 693 : Édition Spéciale Project Glasswing du Samedi 11 Juillet 2026 11.07.2026 29min
    En 2026, un modèle d'intelligence artificielle a poussé son propre créateur à ne pas le publier, puis à bâtir autour de lui un vaste programme de défense, avant de se retrouver deux fois en confrontation directe avec le gouvernement des États-Unis. Ce modèle s'appelle Mythos. Le programme s'appelle Project Glasswing. L'éditeur, c'est Anthropic, la société qui développe Claude.Dans cette édition spéciale, RadioCSIRT prend de la hauteur pour raconter l'une des histoires les plus révélatrices de l'année en cybersécurité. Nous expliquons d'abord, sans jargon et sans emballement, ce que sont Mythos, Fable et Project Glasswing. Nous déroulons ensuite la chronologie du double bras de fer entre Anthropic et l'administration américaine, de la désignation comme risque pour la chaîne d'approvisionnement par le Pentagone jusqu'aux contrôles à l'export qui ont coupé l'accès aux modèles Fable 5 et Mythos 5. Fidèles à notre ligne, nous séparons les faits vérifiables des interprétations, en attribuant chaque position à son auteur : Anthropic, le gouvernement, la justice, les chercheurs.L'épisode se referme sur une question ouverte, que nous laissons à votre jugement : tout cela relève-t-il d'une opération de communication brillamment orchestrée, ou du premier signe d'une arme cyber d'un genre nouveau, celle qui, dans l'imaginaire collectif, annonce Skynet ?Au sommaire :🧩 Mythos, Fable, Glasswing : ce que c'est, et ce que ce n'est pas🛡️ Le programme de défense : partenaires, chiffres revendiqués et critiques⚖️ Le double bras de fer avec le gouvernement américain : supply chain risk et contrôles à l'export🎧 La question de clôture : opération marketing ou arme cyber ?📌 Sources utilisées:Project Glasswing. Anthropic : https://www.anthropic.com/glasswingProject Glasswing, partenaires fondateurs. Anthropic : https://www.anthropic.com/project/glasswingProject Glasswing: An initial update. Anthropic : https://www.anthropic.com/research/glasswing-initial-updateExpanding Project Glasswing. Anthropic : https://www.anthropic.com/news/expanding-project-glasswingStatement on the US government directive to suspend access to Fable 5 and Mythos 5. Anthropic : https://www.anthropic.com/news/fable-mythos-accessAnthropic Project Glasswing: Mythos Preview gets limited release. NBC News : https://www.nbcnews.com/tech/security/anthropic-project-glasswing-mythos-preview-claude-gets-limited-release-rcna267234On Anthropic's Mythos Preview and Project Glasswing. Schneier on Security : https://www.schneier.com/blog/archives/2026/04/on-anthropics-mythos-preview-and-project-glasswing.htmlProject Glasswing: The 10 Consequences Nobody's Writing About Yet. Forrester : https://www.forrester.com/blogs/project-glasswing-the-10-consequences-nobodys-writing-about-yet/Anthropic expands Mythos to 150 additional organizations in more than 15 countries. CNBC : https://www.cnbc.com/2026/06/02/anthropic-mythos-ai-project-glasswing.htmlAnthropic scales Claude Mythos to critical infrastructure in 15+ countries. TechCrunch : https://techcrunch.com/2026/06/02/anthropic-scales-claude-mythos-to-critical-infrastructure-in-15-countries/Judge temporarily blocks Trump administration's Anthropic ban. NPR : https://www.npr.org/2026/03/26/nx-s1-5762971/judge-temporarily-blocks-anthropic-banJudge blocks Trump administration from limiting Anthropic's contracts with federal government. NBC News : https://www.nbcnews.com/news/us-news/anthropic-trump-national-security-rcna265399Judge blocks Pentagon's effort to punish Anthropic by labeling it a supply chain risk. CNN Business : https://edition.cnn.com/2026/03/26/business/anthropic-pentagon-injunction-supply-chain-riskAnthropic loses appeals court bid to temporarily block Pentagon blacklisting. CNBC : https://www.cnbc.com/2026/04/08/anthropic-pentagon-court-ruling-supply-chain-risk.htmlFederal Government and Anthropic: Considerations for AI Innovation and Competition. Congressional Research Service, Congress.gov : https://www.congress.gov/crs-product/IF13217Anthropic Disabled Fable 5 And Mythos 5 After A U.S. Export-Control Order. Forbes : https://www.forbes.com/sites/anishasircar/2026/06/16/anthropic-disabled-fable-5-and-mythos-5-after-a-us-export-control-order-heres-what-happened/Anthropic disables Fable and Mythos AI models after U.S. government bars foreign access. Fortune : https://fortune.com/2026/06/13/anthropic-disables-fable-mythos-export-controls-national-security-threat/US lifts restrictions on Anthropic's powerful AI models Fable and Mythos. Al Jazeera : https://www.aljazeera.com/economy/2026/7/1/us-lifts-restrictions-on-powerful-ai-models-fable-mythos-anthropic-saysAnthropic says Trump admin has lifted export controls on Claude Fable 5 and Mythos 5. CNBC : https://www.cnbc.com/2026/06/30/anthropic-says-trump-admin-has-lifted-export-controls-on-claude-fable-5-and-mythos-5.htmlUS Lifts Export Curbs on Anthropic AI Models. BankInfoSecurity : https://www.bankinfosecurity.com/us-lifts-export-curbs-on-anthropic-ai-models-a-32123On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09✉️ radiocsirt@gmail.com🌐 radiocsirt.org📰 radiocsirt.substack.com#RadioCSIRT #ProjectGlasswing #Mythos #Fable5 #Anthropic #Claude #CyberSécurité #CTI #IA #ThreatIntelligence #Cybersecurity
  • Ep.692 - RadioCSIRT Flash info cybersécurité du vendredi 10 juillet 2026 10.07.2026 15min
    🔑 La CISA publie le retour d'expérience d'un incident interne du 15 mai 2026 : un prestataire avait copié un dépôt de build et de déploiement, avec des identifiants d'administration, vers son GitHub personnel, exposant des clés AWS GovCloud. Dépôt retiré, identifiants réinitialisés, accès révoqués. Les journaux confirment aucune utilisation externe des clés ni compromission de données client ou de mission.🐧 FOSS Force rapporte le sabotage de l'infrastructure d'OpenMandriva par le développeur Davide Beatrici, qui conservait des droits d'administration après avoir migré les dépôts vers son instance privée OneDev. À la suite d'un conflit interne, il a supprimé une partie du dépôt GitHub et publié un paquet vide rendant obsolètes tous les paquets Gnome et Cosmic. L'équipe restaure les dépôts et renonce à des poursuites.🐧 Le CERT-FR publie deux avis Linux datés du 10 juillet. CERTFR-2026-AVI-0862 couvre de multiples vulnérabilités du noyau Linux de Debian LTS (bookworm, bullseye, trixie), avec élévation de privilèges, atteinte à la confidentialité et déni de service. CERTFR-2026-AVI-0866 porte sur Microsoft Azure Linux, impact non spécifié, composants azl3 kernel, libarchive, libreswan, libtiff et nginx.🪟 Le chercheur NightmareEclipse détaille une découverte dans Windows Defender sur le blog ProjectNightcrawler. Les mitigations récentes de mpengine.dll peuvent provoquer une fuite de huit octets vers les pilotes. Il décrit surtout un contournement de la limite de taille via les fichiers ADS Zone.Identifier : un serveur SMB malveillant qui bloque ses réponses provoque le blocage de Defender et l'épuisement de l'espace disque, reproduit sur Windows 11 25H2 et Windows Server 2025. Référence au correctif CVE-2026-50656 lié à RoguePlanet.🔓 BleepingComputer rapporte que Zimbra corrige une faille critique stored XSS du Classic Web Client, sans identifiant CVE à ce jour, via la version 10.1.19. L'exploitation repose sur des courriels conçus dont le code s'exécute à l'ouverture, permettant le vol de données de session. Signalée par le Google Threat Analysis Group. Rappel des campagnes russes visant Zimbra, dont CVE-2025-66376 et CVE-2025-48700.📱 Cyber Press relaie une étude des universités du Michigan et du Nouveau-Mexique : sur 281 applications VPN Android gratuites auditées avec le cadre MVPNalyzer, 61 transmettent des données en clair et 5 leur fichier de configuration en clair, ouvrant à une attaque de détournement de tunnel démontrée. 29 applications laissent fuir du trafic hors tunnel, dont 24 des requêtes DNS cumulant 360 millions d'installations.☁️ AWS introduit la prise en charge d'OAuth pour l'AWS MCP Server, réutilisant les identifiants IAM existants via le navigateur. Nouveaux contrôles de gouvernance : clés de condition globales OAuth, introspection et révocation de jetons, Dynamic Client Registration, éléments CloudTrail. Deux modèles d'autorisation, interactif et headless. L'implémentation s'appuie sur les RFC 9728, 8414 et 7591.🐛 Cisco Talos divulgue des vulnérabilités corrigées dans plusieurs produits. WolfSSL : CVE-2026-28739, CVE-2026-25106 et CVE-2026-33091. GeoVision : quatorze avis couvrant trente-sept CVE, dont injections de commandes, dépassements de tampon, élévations de privilèges et XSS. VTK-DICOM : CVE-2026-22879, dépassement de tampon dans le tas. Détection possible via règles Snort.🚨 La CISA ajoute deux vulnérabilités à son catalogue KEV sur preuves d'exploitation active : CVE-2026-48939 dans iCagenda et CVE-2026-56291 dans Balbooa Forms, toutes deux des téléversements sans restriction de fichier de type dangereux. La directive BOD 26-04 impose aux agences fédérales civiles la remédiation prioritaire des failles à haut risque du KEV sur les actifs exposés.Sources : Lessons from CISA's Cyber Incident. CISA : https://www.cisa.gov/news-events/news/lessons-cisas-cyber-incidentIn an Angry Fit, Dev Sabotages OpenMandriva Repository. FOSS Force : https://fossforce.com/2026/07/in-an-angry-fit-dev-sabotages-openmandriva-repository/Multiples vulnérabilités dans le noyau Linux de Debian LTS. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0862/Multiples vulnérabilités dans Microsoft Azure Linux. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0866/July updates. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-03-july-updates/Ranting Post. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-07-ranting-post/Some Interesting Findings in Windows Defender. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-09-some-interesting-findings-in-windows-defender/Zimbra urges customers to patch critical web client XSS flaw. BleepingComputer : https://www.bleepingcomputer.com/news/security/zimbra-urges-customers-to-patch-critical-web-client-xss-flaw/281 Google Play VPN Apps Expose Sensitive Information Through Cleartext Data Transmission. Cyber Press : https://cyberpress.org/281-google-play-vpn-apps-exposed/Introducing OAuth Support for AWS MCP Server. AWS Security Blog : https://aws.amazon.com/fr/blogs/security/introducing-oauth-support-for-aws-mcp-server/WolfSSL, GeoVision, VTK vulnerabilities. Cisco Talos : https://blog.talosintelligence.com/wolfssl-vulnerabilities/CISA Adds Two Known Exploited Vulnerabilities to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/10/cisa-adds-two-known-exploited-vulnerabilities-catalog⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #OpenMandriva #Linux #Debian #AzureLinux #WindowsDefender #NightmareEclipse #RoguePlanet #Zimbra #XSS #VPN #Android #AWS #OAuth #MCP #Talos #WolfSSL #GeoVision #ZeroDay #KEV #CVE-2026-50656 #CVE-2025-66376 #CVE-2025-48700 #CVE-2026-28739 #CVE-2026-25106 #CVE-2026-33091 #CVE-2026-22879 #CVE-2026-48939 #CVE-2026-56291 #RadioCSIRT
  • Ep.691 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 9 juillet 2026 09.07.2026 13min
    🛡️ Red Hat et IBM lancent commercialement Lightwell, défense de la chaîne d'approvisionnement open source assistée par IA, élargie à Palo Alto Networks pour le virtual patching, avec Lightwell Network (dépôts signés, backports) et Lightwell Clearinghouse (correctifs sous embargo).📡 Le CERT-FR publie l'avis CERTFR-2026-AVI-0852 sur de multiples vulnérabilités Juniper Networks (Junos OS, cRPD, CTPView, Junos Space, Network Director), dont CVE-2026-33801, CVE-2026-33799 et CVE-2020-7450, permettant RCE, déni de service et fuite de données.🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0853 sur plusieurs centaines de vulnérabilités Palo Alto Networks (PAN-OS, Prisma Access, Prisma Browser, Cortex XDR Broker VM), avec RCE à distance, élévation de privilèges, SSRF et XSS.🐛 Le CERT-FR publie l'avis CERTFR-2026-AVI-0849 sur de multiples vulnérabilités Wireshark (branches antérieures à 4.6.7 et 4.4.17), référençant CVE-2026-15163 à CVE-2026-15174, permettant déni de service et atteinte à la confidentialité.🪟 Microsoft corrige le zero-day Defender RoguePlanet (CVE-2026-50656), divulgué par Nightmare Eclipse, une race condition donnant les privilèges SYSTEM sur Windows 10 et 11 à jour, corrigée via le Malware Protection Engine 1.1.26060.3008.🇫🇷 Vincent Strubel, DG de l'ANSSI, alerte les sénateurs sur le mur du patch lié aux vulnérabilités découvertes par l'IA, évoque le cas Mythos 5 d'Anthropic et rappelle que cloisonnement, gestion des accès et mises à jour restent la meilleure protection.🕵️ The Register et Proofpoint détaillent la campagne d'espionnage chinoise UNK_MassTraction contre des serveurs Roundcube d'universités, exploitant CVE-2024-42009 et CVE-2025-49113 pour déployer le stealer IceCube, le webshell SquareShell et l'implant VShell.🚨 The Hacker News et Symantec décrivent le ransomware GodDamn, rebranding de Beast, qui utilise le driver noyau signé PoisonX en attaque BYOVD pour désactiver les défenses, avec AnyDesk, NirSoft et PsExec.🎣 KrebsOnSecurity enquête sur IRIS C2 et Calvexa Group, startup de rachat de zero-days offrant jusqu'à 7 millions de dollars, associée à Jack Burkman et Jacob Wohl, aux lourds antécédents judiciaires.Sources :Lightwell: Red Hat's and IBM's AI Defense Against AI-Based Attacks. FOSS Force : https://fossforce.com/2026/07/lightwell-red-hats-and-ibms-ai-defense-against-ai-based-attacks/Multiples vulnérabilités dans les produits Juniper Networks. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0852/Multiples vulnérabilités dans les produits Palo Alto Networks. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0853/Multiples vulnérabilités dans Wireshark. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0849/Microsoft patches RoguePlanet Defender zero-day vulnerability. BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-rogueplanet-defender-zero-day-vulnerability/L'avertissement de Vincent Strubel face au mur du patch. ZDNET : https://www.zdnet.fr/actualites/ca-va-secouer-pendant-les-trois-prochaines-annees-au-moins-lavertissement-de-vincent-strubel-face-au-mur-du-patch-498468.htm Suspected Chinese snoops caught breaking into universities' Roundcube mailservers. The Register : https://www.theregister.com/security/2026/07/08/suspected-chinese-snoops-caught-breaking-into-universities-roundcube-mailservers/GodDamn Ransomware Uses PoisonX Driver to Disable Endpoint Defenses. The Hacker News : https://thehackernews.com/2026/07/goddamn-ransomware-uses-poisonx-driver.htmlFelons, Fraudsters Flog Offensive Cybersecurity Startup. KrebsOnSecurity : https://krebsonsecurity.com/2026/07/felons-fraudsters-flog-offensive-cybersecurity-startup/⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Lightwell #RedHat #IBM #PaloAltoNetworks #SupplyChain #Juniper #JunosOS #Wireshark #Microsoft #Defender #ZeroDay #RoguePlanet #NightmareEclipse #ANSSI #MurDuPatch #Roundcube #Proofpoint #UNKMassTraction #IceCube #VShell #Ransomware #GodDamn #PoisonX #BYOVD #IRISC2 #Krebs #CVE-2026-50656 #CVE-2024-42009 #CVE-2025-49113 #CVE-2026-33801 #CVE-2026-33799 #CVE-2020-7450 #CVE-2026-15163 #RadioCSIRT
  • Ep.690 - RadioCSIRT : Flash info cybersécurité du mercredi 8 juillet 2026 08.07.2026 10min
    🚨 La CISA ajoute au catalogue KEV la vulnérabilité CVE-2026-48282, un Path Traversal dans Adobe ColdFusion activement exploité, dans le cadre de la directive BOD 26-04 de priorisation par le risque.🚨 La CISA ajoute trois vulnérabilités exploitées au catalogue KEV : CVE-2026-48908 dans JoomShaper SP Page Builder (upload de fichier dangereux), CVE-2026-55255 dans Langflow (contournement d'autorisation) et CVE-2026-56290 dans Joomlack Page Builder (contrôle d'accès défaillant).🐧 Canonical fait de l'ARM64 une priorité pour Ubuntu 26.04 LTS : migration des paquets vers archive.ubuntu.com, Livepatch sur ARM64, émulation Steam via FEX, Widevine dans Chrome ARM64 et Secure Boot sur Snapdragon X Elite via stubble.🚔 La police espagnole arrête à Palencia, sur renseignement du FBI, un homme soupçonné de soutenir les groupes hacktivistes pro-russes CARR, Z-Pentest et NoName057(16), et d'avoir aidé un hacker ukrainien à fuir vers la Russie.🐛 Unit 42 analyse une campagne diffusant Vidar Stealer et le mineur XMRig via malvertising et faux cracks : loader Factory-v3 en Go, certificats Authenticode contrefaits (JustWatch, Bleacher Report), inflation de fichiers à 491 Mo, bypass AMSI, notifications Telegram X3D MINER.☁️ Une analyse revient sur la campagne supply chain du groupe TeamPCP (UNC6780) : cascade partie de Trivy vers Checkmarx KICS, LiteLLM et Telnyx à travers PyPI, npm, Docker Hub et OpenVSX, avec CVE-2026-33634 et CVE-2026-45321.🛡️ Le FIRST présente PR3TACK, framework ouvert dévoilé à FIRSTCON26 qui catalogue des TTP plausibles mais non observées et les associe à des contre-mesures préventives, en complément de MITRE ATT&CK et D3FEND.Sources : CISA Adds One Known Exploited Vulnerability to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/07/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds Three Known Exploited Vulnerabilities to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/07/cisa-adds-three-known-exploited-vulnerabilities-catalogLe grand bouleversement d'Ubuntu : ARM64 en priorité. GoodTech : https://goodtech.info/ubuntu-26-04-lts-arm64-canonical-processeur/Spain arrests alleged supporter of pro-Russian hacktivist groups after FBI tip. The Record : https://therecord.media/spain-arrest-alleged-supporter-noname-carr-zpentestVidar Stealer Unmasked: Code Signing Abuse, Go Loaders and File Inflation. Unit 42 : https://unit42.paloaltonetworks.com/vidar-stealer-xmrig-miner-campaign-analysis/TeamPCP : anatomie d'une campagne d'attaques de la chaîne d'approvisionnement logicielle. Blog de Marc-Frédéric Gomez : https://blog.marcfredericgomez.fr/teampcp-anatomie-dune-campagne-dattaques-de-la-chaine-dapprovisionnement-logicielle/PR3TACK: The Preemptive Tactics and Countermeasures Knowledgebase. FIRST : https://www.first.org/blog/20260708-FIRSTCON26-PR3TACK⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #BOD2604 #AdobeColdFusion #Langflow #Joomla #JoomShaper #Ubuntu #ARM64 #Canonical #Hacktivism #NoName05716 #CARR #ZPentest #VidarStealer #XMRig #Malvertising #Factoryv3 #Monero #TeamPCP #UNC6780 #SupplyChain #PR3TACK #FIRSTCON26 #MITRE #CVE-2026-48282 #CVE-2026-48908 #CVE-2026-55255 #CVE-2026-56290 #CVE-2026-33634 #CVE-2026-45321 #RadioCSIRT
  • Ep.689 - RadioCSIRT - Flash info cybersécurité du mardi 7 juillet 2026 07.07.2026 12min
    🛡️ Une chercheuse a accédé au panneau de gestion du streaming en production de la Coupe du monde 2026 via un simple compte public FIFA. La faille : une autorisation NO_ROLES vérifiée uniquement côté client, tandis que les serveurs répondaient à toutes les requêtes. Étaient exposés les clés de flux RTMP, les contrôles start/stop et le Commentator Information System d'un événement diffusé à trois milliards de téléspectateurs. La faille a été corrigée.🐘 Le CERT-FR publie l'avis CERTFR-2026-AVI-0843 sur de multiples vulnérabilités dans PHP (branches 8.2 à 8.5), référençant CVE-2026-12184 et CVE-2026-14355.📧 Le CERT-FR publie l'avis CERTFR-2026-AVI-0842 sur de multiples vulnérabilités dans Postfix, permettant un déni de service, avec un large éventail de branches affectées jusqu'à postfix-3.11.5.📡 L'Internet Storm Center analyse l'usage croissant des enregistrements DNS NAPTR pour le protocole RCS, avec le service SIPS+D2T et un mécanisme d'expressions régulières encore inexploité.🇨🇦 Le Communications Security Establishment canadien révèle trois opérations cyber offensives menées en 2025 contre un groupe extrémiste, des trafiquants de fentanyl et un gang de ransomware-as-a-service, plus des perturbations contre dix gangs majeurs.🎣 Malwarebytes documente une campagne de phishing usurpant Netflix, Coca-Cola, Adidas et la FIFA, avec au moins 34 domaines et de fausses fenêtres Google, abusant de PeopleForce et Salesforce Marketing Cloud pour cibler le marketing.🐛 Cisco Talos détaille le nouvel arsenal de l'acteur China-nexus UAT-7810 (réseau ORB LapDogs) : LONGLEASH, DOGLEASH et JARLEASH, avec exploitation n-day des routeurs Ruckus et ASUS AiCloud.☁️ AWS présente un modèle d'autorisation least-privilege en trois couches pour les chaînes multi-agents d'IA, basé sur Cedar, OAuth 2.0, HMAC-SHA256 et Amazon Verified Permissions, contre le risque OWASP ASI03.Sources : Une hackeuse a pris le contrôle du streaming du Mondial 2026. Clubic : https://www.clubic.com/actualite-619945-une-hackeuse-a-pris-le-controle-du-streaming-du-mondial-2026-et-a-failli-troller-3-milliards-de-telespectateurs.htmlMultiples vulnérabilités dans PHP. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0843/Multiples vulnérabilités dans Postfix. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0842/RCS and DNS: The NAPTR Record. SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33124Canadian spy agency reports hacking three criminal groups in 2025. The Record : https://therecord.media/canada-cse-2025-cyber-operations-ransomware-drugs-extremismFake Netflix, Coca-Cola, and FIFA job scams target marketers. Malwarebytes : https://www.malwarebytes.com/blog/scams/2026/07/fake-netflix-coca-cola-and-fifa-job-scams-target-marketersUAT-7810 continues building ORB networks using new malware. Cisco Talos : https://blog.talosintelligence.com/uat-7810/Enforce least-privilege authorization in multi-agent AI chains using Cedar. AWS Security Blog : https://aws.amazon.com/fr/blogs/security/enforce-least-privilege-authorization-in-multi-agent-ai-chains-using-cedar/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FIFA #WorldCup2026 #RTMP #BrokenAccessControl #PHP #Postfix #CERTFR #DNS #NAPTR #RCS #SIP #CSE #Canada #Ransomware #Phishing #JobScam #PeopleForce #UAT7810 #ORB #LapDogs #LONGLEASH #DOGLEASH #JARLEASH #Ruckus #ASUS #AWS #Cedar #OAuth #OWASP #CVE-2026-12184 #CVE-2026-14355 #CVE-2020-22653 #CVE-2020-22658 #CVE-2023-25717 #CVE-2025-2492 #RadioCSIRT
  • Ep.688 - RadioCSIRT Flash info cybersécurité du lundi 6 juillet 2026 06.07.2026 10min
    🕵️ Check Point Research documente Cavern, framework C2 modulaire opéré par le groupe iranien Cavern Manticore, avec liens vers MuddyWater et Lyceum, contre fournisseurs IT et entités gouvernementales israéliennes. Chaîne via abus de la mise à jour SysAid, DLL side-loading vers uxtheme.dll trojanisée, cinq modules DLL couvrant fichiers, SQL, Active Directory, réseau et tunneling SOCKS5. Trois formats de compilation .NET dont Native AOT comme couche anti-analyse.🖥️ Vulnérabilité use-after-free CVE-2026-53359, baptisée Januscape, dans le shadow MMU de KVM, permettant une évasion guest-to-host sur Intel et AMD. PoC public provoquant un panic de l'hôte, exploit privé menant à l'exécution de code. Passée inaperçue seize ans, corrigée le 19 juin, versions stables publiées le 4 juillet. Contournement : désactiver la virtualisation imbriquée.🇯🇵 La police de Tokyo arrête un lycéen de 15 ans ayant exploité une faille des serveurs de Bandai Channel pour annuler plus de 46 000 abonnements. Il aurait analysé le trafic réseau puis automatisé l'attaque avec ChatGPT. Données frauduleuses envoyées en novembre 2025, service suspendu plus d'un mois. Persistance par changement d'adresse IP après blocage.🔐 L'ANSSI cessera de certifier les produits de sécurité sans chiffrement résistant au quantique dès 2027, avec un objectif d'achats exclusivement quantum-safe d'ici 2030. Mesure motivée par le risque harvest now, decrypt later. Certification requise pour agences et infrastructures critiques françaises. Plan quantique national de trois milliards d'euros ; menace située au milieu des années 2030.🛠️ Flipper Devices maintiendra le firmware du Flipper Zero avec une équipe réduite et davantage de contributions communautaires, le développement de fonctionnalités à temps plein étant terminé. Recentrage sur Flipper One et Busy Bar. Nouvelle approche : demandes évaluées chaque semaine, communication via GitHub Discussions avec votes, pull requests sous revue stricte, tests obligatoires. Vigilance sur le code généré par IA.📱 Qualcomm publie son bulletin de sécurité de juillet 2026. Faille critique CVE-2026-25268 : stack-based buffer overflow dans WLAN Host, CVSS 8,8, vecteur distant. Trois failles élevées : CVE-2026-21379 (buffer over-read, Windows Compute), CVE-2026-21383 (réutilisation de nonce AES-GCM, HLOS), CVE-2026-25271 (race condition TOCTOU, DSP Service). Correctifs partagés avec les OEM.Sources :Iran-Linked Hackers Use New Cavern C2 Framework to Target Israeli Organizations : The Hacker News : https://thehackernews.com/2026/07/iran-linked-hackers-use-new-cavern-c2.html16-Year-Old Linux KVM Flaw Lets Guest VMs Escape to Host on Intel and AMD x86 Systems : The Hacker News : https://thehackernews.com/2026/07/16-year-old-linux-kvm-flaw-lets-guest.htmlJapanese teen arrested over cyberattack that disrupted anime streaming service : The Record : https://therecord.media/japanese-teen-arrested-over-attack-disrupted-streaming-serviceFrance to stop certifying non-quantum-safe encryption : Schneier on Security : https://www.schneier.com/blog/archives/2026/07/france-to-stop-certifying-non-quantum-safe-encryption.htmlFrance to stop certifying products without quantum-safe encryption : Reuters : https://www.reuters.com/legal/litigation/france-stop-certifying-products-without-quantum-safe-encryption-2026-06-16/Flipper Zero firmware development continues with community help : BleepingComputer : https://www.bleepingcomputer.com/news/security/flipper-zero-firmware-development-continues-with-community-help/July 2026 Security Bulletin : Qualcomm : https://docs.qualcomm.com/securitybulletin/july-2026-bulletin.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Iran #CavernManticore #MuddyWater #OilRig #KVM #Linux #Januscape #Hyperviseur #Qualcomm #Snapdragon #ANSSI #QuantumSafe #PQC #FlipperZero #ChatGPT #BandaiChannel #CVE-2026-53359 #CVE-2026-25268 #RadioCSIRT
  • Ep.687 - RadioCSIRT Flash info cybersécurité du dimanche 5 juillet 2026 05.07.2026 11min
    🐧 Seconde vague d'attaques contre le dépôt AUR d'Arch Linux, quelques heures après la clôture d'un incident ayant conduit au retrait de plus de 1 500 paquets malveillants. La nouvelle campagne utilise du code obfusqué exécuté après installation, qui télécharge silencieusement du JavaScript depuis Internet. Plus de 50 paquets infectés recensés, créations de comptes AUR temporairement bloquées.🖥️ Le projet NsCDE, environnement de bureau rétro reproduisant le Common Desktop Environment des UNIX des années 90 sur base FVWM, annonce le retour de son développement actif à l'automne après trois ans de pause. Au programme : reprise des thèmes Firefox et Thunderbird devenus incompatibles et corrections diverses. Dernière version publiée : 2.3, juin 2023.🐛 Vulnérabilité critique CVE-2026-59509 dans cve-search, outil open source utilisé par les CERT et CSIRT. Le point de terminaison POST /fetch_cve_data permet à un attaquant distant non authentifié de lire des collections MongoDB arbitraires, dont la collection mgmt_users contenant identifiants administrateurs et empreintes de mots de passe. Score CVSS 4.0 de 9,2. Correctif proposé via pull request sur GitHub.🔓 The Register publie une tribune sur les banques laissant le MFA optionnel, à travers le récit d'un vol de 30 000 dollars subi par une cliente de 84 ans. Réutilisation de mots de passe, compromission de Gmail avec filtres masquant les alertes bancaires : le FIDO Alliance plaide pour les passkeys résistantes au phishing face aux OTP jugés inadéquats.🎣 Securelist documente Armored Likho, groupe APT inédit ciblant gouvernements et secteur électrique en Russie, au Brésil et au Kazakhstan. Spear-Phishing avec droppers NSIS et fichiers LNK piégés, déploiement de l'infostealer Python BusySnake protégé par PyArmor, persistance par tâches planifiées et loaders de premier étage générés par IA.Sources : AUR to Arch: 'Houston, We've Got a Problem…We're Under Attack Again' : FOSS Force : https://fossforce.com/2026/06/aur-to-arch-houston-weve-got-a-problem-were-under-attack-again/ Not so Common Desktop Environment (NsCDE) : GitHub : https://github.com/NsCDE/NsCDE CVE-2026-59509 : Unauthenticated arbitrary MongoDB collection read in cve-search : CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-59509 MFA-optional banks leave safe doors (and accounts) wide open for thieves to pillage : The Register : https://www.theregister.com/security/2026/07/05/mfa-optional-banks-leave-safe-doors-and-accounts-wide-open-for-thieves-to-pillage/5266161 Armored Likho APT Deploys BusySnake Stealer Against Government and Power Sector Targets : GBHackers : https://gbhackers.com/busysnake-stealer-malware/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #ArchLinux #AUR #NsCDE #FVWM #CVESearch #MongoDB #MFA #Passkeys #FIDO #ArmoredLikho #BusySnake #Infostealer #Phishing #APT #Securelist #CVE-2026-59509 #RadioCSIRT
  • Ep.686 - RadioCSIRT : Flash info cybersécurité du samedi 4 juillet 2026 04.07.2026 14min
    🛡️ Le Centre canadien pour la cybersécurité publie le bulletin AV26-649 relayant les correctifs WatchGuard du 2 juillet. Plusieurs branches de Fireware OS sont concernées, ainsi que le client Mobile VPN with SSL pour Windows. Les avis couvrent une Race Condition avec Use-After-Free dans Mobile VPN with IKEv2 et une élévation de privilèges locale dans le client SSL Windows.🔓 Cisco Talos dissèque ARToken, un panneau d'affiliation Phishing-as-a-Service lié à EvilTokens et ciblant Microsoft 365. Plus de 80 points d'API couvrent le Device Code Phishing, la persistance par Primary Refresh Token résistante aux changements de mot de passe et les opérations BEC. Le kit embarque un système anti-analyse en sept couches et des charges chiffrées en XOR.🎣 Malwarebytes documente une publicité sponsorisée sur X, publiée depuis un compte vérifié, qui imite l'utilitaire macOS DynamicLake pour installer Atomic Stealer via des commandes Terminal. La technique ConsentFix vole en parallèle des jetons de session Microsoft 365 sans malware ni mot de passe, en contournant la MFA par un simple glisser de lien localhost.🤖 Unit 42 décrit le phantom squatting, l'enregistrement préventif de domaines hallucinés par les LLM. Sur 2,1 millions d'URL générées pour 913 marques, 13 229 étaient déjà malveillantes et 250 000 domaines restent enregistrables par des attaquants. Le cas Montana Empire montre un kit de Phishing développé avec un assistant IA sur un domaine prédit 23 jours avant son enregistrement.🕵️ WatchGuard analyse une campagne TimbreStealer visant des entreprises mexicaines par DLL side-loading des binaires EdgeUpdate et GoogleUpdater. Les DLL malveillantes de 45 à 50 Mo utilisent des déchiffreurs RC4, un géorepérage UTC-5 à UTC-8 et exfiltrent les données de navigateurs, messageries et dossiers cloud.💰 Security Affairs relaie le rapport Ransom-ISAC sur une entité gouvernementale américaine ayant versé environ 1 million de dollars en Bitcoin au groupe Kairos, sans qu'aucun Ransomware n'ait jamais été relié au groupe. Extorsion fondée uniquement sur le vol de 2 To de données, preuve de suppression invérifiable et traçage blockchain vers ByBit, OKX et BELQI.🇰🇵 The Hacker News détaille la campagne nord-coréenne PolinRider, liée à Contagious Interview : 108 paquets et extensions malveillants sur npm, Packagist, Go et Chrome, 1 951 dépôts GitHub compromis, tâches VS Code à exécution automatique, réécriture d'historique Git et charges finales DEV#POPPER RAT et OmniStealer via des infrastructures blockchain.Sources : Bulletin de sécurité WatchGuard (AV26-649) : Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-watchguard-av26-649 ARToken: Inside an EvilTokens affiliate panel targeting Microsoft 365 : Cisco Talos : https://blog.talosintelligence.com/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365/Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts : Malwarebytes : https://www.malwarebytes.com/blog/news/2026/07/verified-x-ad-spreads-mac-malware-while-consentfix-steals-microsoft-accountsPhantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector : Palo Alto Networks Unit 42 : https://unit42.paloaltonetworks.com/phantom-squatting-hallucinated-web-domains/Hackers Abuse EdgeUpdate and GoogleUpdater to Deploy TimbreStealer Infostealer : Cyber Press : https://cyberpress.org/timbrestealer-infostealer-attack/U.S. Government Agency Paid $1M to Data Extortion Group Kairos : Security Affairs : https://securityaffairs.com/194750/security/u-s-government-agency-paid-1m-to-data-extortion-group-kairos.htmlNorth Korean Hackers Publish 108 Malicious Packages and Extensions in PolinRider Campaign : The Hacker News : https://thehackernews.com/2026/07/north-korean-hackers-publish-108.html⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #WatchGuard #Fireware #PhaaS #EvilTokens #ARToken #Microsoft365 #ClickFix #ConsentFix #macOS #AtomicStealer #PhantomSquatting #LLM #SupplyChain #TimbreStealer #Infostealer #Kairos #Extortion #ContagiousInterview #PolinRider #npm #BeaverTail #RadioCSIRT
  • Ep.685 : RadioCSIRT Édition Française : Flash info cybersécurité du vendredi 3 juillet 2026 03.07.2026 9min
    🇫🇷 Le CERT-FR publie un avis sur une vulnérabilité dans FreeBSD affectant les séries 14.x et 15.0 avec risque d'atteinte à la confidentialité. La CVE-2026-49424 nécessite application des correctifs depuis le bulletin FreeBSD-SA-26:47.💰 Un développeur accuse Google Cloud d'avoir facturé onze mille dollars de frais frauduleux liés à Gemini après compromission de Firebase Admin SDK, malgré suspension de compte et preuves de piratage.🕸️ Google et le FBI ont dégradé le botnet NetNut comptant environ deux millions d'appareils proxies résidentiels utilisés par trois cents clusters menaçants distincts durant une seule semaine en juin 2026.🚨 Citizen Lab révèle qu'un ancien député européen enquêteur sur Pegasus a été hacké avec l'espion NSO Group via zero-click exploit PWNYOURHOME alors qu'il siégeait au comité PEGA entre 2022 et 2023.🤖 Anthropic précise que Claude Fable 5 sera temporairement restreint aux subscriptions au-delà du 7 juillet pour raisons de capacité, mais promet un retour complet sous forme standard quand les capacités le permettront.Sources :Vulnérabilité dans FreeBSD : CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0830/Dev says Google warned him about account hijack then charged him eleven thousand anyway : The Register : https://www.theregister.com/cyber-crime/2026/07/03/dev-says-google-warned-him-about-account-hijack-then-charged-him-11000-anyway/5266234NetNut cracked as Google and FBI target two million device botnet : The Register : https://www.theregister.com/security/2026/07/03/netnut-cracked-as-google-and-fbi-target-2-million-device-botnet/5266414European Parliament Member Investigating Spyware Was Hacked With Pegasus : The Hacker News : https://thehackernews.com/2026/07/european-parliament-member.htmlClaude Fable 5 isn't permanently leaving subscriptions : BleepingComputer : https://www.bleepingcomputer.com/news/artificial-intelligence/claude-fable-5-isnt-permanently-leaving-subscriptions-anthropic-says/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FreeBSD #CVE-2026-49424 #GoogleCloud #Gemini #NetNut #FBI #Botnet #Pegasus #NSOGroup #CitizenLab #PEGA #Anthropic #Claude #Fable #RadioCSIRT
  • Ep.684 - RadioCSIRT - Flash info cybersécurité du jeudi 2 juillet 2026 02.07.2026 13min
    🐧 Anthropic publie une version bêta officielle de Claude Desktop pour Linux, prenant en charge Ubuntu 22.04 et supérieur et Debian 12 et supérieur, sur x86_64 et arm64. Installation par dépôt apt ou fichier .deb, avec les environnements Chat, Claude Cowork et Claude Code. La fonction Computer Use, la saisie vocale et les raccourcis Wayland restent exclus de cette préversion.📱 Clubic rapporte une faille non corrigée dans la fonction Masquer mon e-mail d'Apple. Selon le chercheur Tyler Murphy, une rétro-ingénierie permet de remonter d'une adresse relais au compte Apple d'origine, avec un taux de réussite de cent pour cent selon 404 Media. Signalée en juin 2025, la faille persiste, tandis qu'Apple migre les alias vers @private.icloud.com.🎣 The Hacker News détaille ChocoPoC, un RAT documenté par YesWeHack et Sekoia. Il se cache dans une dépendance Python (frint puis skytext) de faux dépôts de PoC sur GitHub ciblant les chercheurs. Il vole identifiants, cookies et fichiers, et pilote son C2 via Mapbox, DNS-over-HTTPS et domain fronting. Sept faux dépôts identifiés, liés à une campagne active depuis fin 2025.🚨 Security Affairs signale l'exploitation active de CVE-2026-46817 dans Oracle E-Business Suite. La faille touche Oracle Payments 12.2.3 à 12.2.15 et permet une prise de contrôle non authentifiée via HTTP. Oracle a corrigé lors de son dernier Critical Patch Update. Shadowserver dénombre environ 950 instances encore exposées, majoritairement aux États-Unis.🕵️ Schneier on Security décrit une campagne publicitaire fondée sur la surveillance, menée par Papa John's avec NBCUniversal, Instacart et Carat. En s'appuyant sur les achats de produits de base réalisés sur Instacart, l'opération prédit les jours où les consommateurs sont à court de provisions pour diffuser des publicités ciblées sur le streaming NBCUniversal.🛡️ BleepingComputer relie la campagne FortiBleed aux rançongiciels INC et Lynx. Selon SOCRadar, un outil FortiGate Sniffer interceptait les identifiants VPN sur les pare-feu compromis. La campagne aurait visé plus de 430 000 pare-feu FortiGate et déployé des sniffers sur environ 19 000 équipements. Un Zero-Day Nextcloud non divulgué et des comptes backdoor adminin sont évoqués.🐛 Check Point Research documente une technique de Ransomware exécutée uniquement dans le navigateur, dérivée d'un échantillon attribué à DeepSeek. Elle exploite la File System Access API des navigateurs Chromium, disponible sous Android depuis Chrome 132, sans payload natif ni exploitation de vulnérabilité. Le PoC, déguisé en outil d'amélioration d'images, cible les répertoires de photos.Sources : Anthropic déploie l'application Claude Desktop sur Linux : GoodTech : https://goodtech.info/claude-desktop-linux-beta-anthropic-developpeurs/Masquer mon e-mail : la faille d'Apple qui révèle vos vraies adresses : Clubic : https://www.clubic.com/actualite-619570-masquer-mon-e-mail-la-faille-d-apple-qui-revele-vos-vraies-adresses-depuis-plus-d-un-an.htm l New ChocoPoC RAT Targets Vulnerability Researchers via Fake PoC Exploit Repos : The Hacker News : https://thehackernews.com/2026/07/new-chocopoc-rat-targets-vulnerability.htmlOracle E-Business Suite Flaw Under Active Attack, 950 Systems Exposed : Security Affairs : https://securityaffairs.com/194599/security/oracle-e-business-suite-flaw-under-active-attack-950-systems-exposed.htmlPapa Johns Surveillance-Based Advertising : Schneier on Security : https://www.schneier.com/blog/archives/2026/07/papa-johns-surveillance-based-advertising.htmlFortiBleed credential-theft campaign linked to Lynx ransomware : BleepingComputer : https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique : Check Point Research : https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Anthropic #Claude #Linux #Ubuntu #Debian #Apple #HideMyEmail #ChocoPoC #RAT #SupplyChain #YesWeHack #Sekoia #GitHub #PyPI #Oracle #EBusinessSuite #Shadowserver #Privacy #Surveillance #Instacart #FortiBleed #Fortinet #FortiGate #INCRansom #Lynx #Ransomware #Nextcloud #ZeroDay #CheckPoint #DeepSeek #Chromium #FileSystemAccessAPI #CVE-2026-46817 #RadioCSIRT
  • Ep.683 - RadioCSIRT  - Flash info cybersécurité du mercredi 1er juillet 2026 01.07.2026 10min
    🔐 Proton met en avant Lumo AI, son assistant conversationnel positionné sur la confidentialité. Selon Proton, le service n'entraîne pas ses modèles sur les données des utilisateurs, ne journalise pas les conversations et ne les partage pas. Code open source, hébergement européen, mode Ghost, historique chiffré de bout en bout et intégration Proton Drive figurent parmi les fonctions annoncées.🛠️ Git 2.55.0 est disponible. La version apporte la sous-commande git-history fixup, un daemon fsmonitor sous Linux via inotify, la prise en charge des groupes de remotes par git-push, l'option --graph-lane-limit, un batching des blobs pour git-grep et git-cherry en partial clone, et rend Rust requis pour compiler Git depuis les sources.🐧 Linux Magazine rapporte un gain d'environ 5 pour cent d'IOPS sur ext4 et XFS. Le correctif, signé Fengnan Chang (ByteDance) et intégré par Christian Brauner, déplace un memset de iomap_iter pour l'exécuter après l'itération, supprimant un gaspillage de bande passante mémoire dans les scénarios NVMe io_uring.🔓 CISA a ajouté le 29 juin 2026 CVE-2026-48558 à son catalogue KEV, sur preuve d'exploitation active. Il s'agit d'un Authentication Bypass affectant SimpleHelp. La Binding Operational Directive 26-04 impose aux agences fédérales civiles une remédiation prioritaire des vulnérabilités KEV sur les actifs exposés.🚨 CISA a ajouté le 1er juillet 2026 CVE-2026-45659 à son catalogue KEV, également sur preuve d'exploitation active. La faille, de type Deserialization of Untrusted Data, affecte Microsoft SharePoint Server. Elle relève des exigences de remédiation prioritaire prévues par la directive 26-04.💾 Le CERT-FR publie l'avis CERTFR-2026-AVI-0819 sur de multiples vulnérabilités dans Synology MailPlus Server (CVE-2025-15660, CVE-2026-13135, CVE-2026-13136). Elles permettent déni de service à distance, atteinte à la confidentialité et à l'intégrité des données. Versions antérieures à 4.0.1-21663 (DSM 7.2.1/7.2.2) et 4.0.1-31663 (DSM 7.3) affectées.🐛 CVEFeed documente CVE-2026-50521, une faille de type Remote Code Execution dans Microsoft Edge basé sur Chromium, publiée le 1er juillet 2026. Score CVSS 3.1 de 8,3 (sévérité élevée), exploitable à distance, sans interaction utilisateur. Le vecteur mentionne un exploit non prouvé et un correctif officiel disponible.Sources :Get 23% off Lumo AI : Proton : https://proton.me/l/lumo/partner-discount What's new in Git 2.55.0? : GitLab : https://about.gitlab.com/blog/whats-new-in-git-2-55-0/Three Lines of Code Improve Linux Storage Performance : Linux Magazine : https://www.linux-magazine.com/Online/News/Three-Lines-of-Code-Improve-Linux-Storage-PerformanceCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-48558) : CISA : https://www.cisa.gov/news-events/alerts/2026/06/29/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-45659) : CISA : https://www.cisa.gov/news-events/alerts/2026/07/01/cisa-adds-one-known-exploited-vulnerability-catalogMultiples vulnérabilités dans Synology MailPlus Server : CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0819/CVE-2026-50521 Microsoft Edge Remote Code Execution : CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-50521⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Proton #Lumo #Git #GitLab #Rust #Linux #ext4 #XFS #NVMe #CISA #KEV #BOD2604 #SimpleHelp #Microsoft #SharePoint #Edge #Chromium #CERTFR #Synology #MailPlus #RCE #AuthenticationBypass #CVE-2026-48558 #CVE-2026-45659 #CVE-2025-15660 #CVE-2026-13135 #CVE-2026-13136 #CVE-2026-50521 #RadioCSIRT
  • Ep.682 - RadioCSIRT Édition Française - Flash info cybersécurité du Mardi 30 juin 2026 30.06.2026 10min
    🐧 Kali Linux 2026.2 est disponible. La distribution met à niveau GNOME 50 et KDE Plasma 6.6, retire le firmware graphique des images de machine virtuelle pour des démarrages environ trois fois plus rapides sous QEMU, et passe au format deb822 pour les sources APT. Elle embarque le noyau Linux 6.19 et neuf nouveaux outils orientés pentest et OSINT, dont legba, penelope et tookie-osint.🪟 La CISA signale l'exploitation par des groupes de ransomware de CVE-2026-33825, surnommée BlueHammer, une élévation de privilèges locale dans Microsoft Defender. La faille donne accès à la base SAM puis aux privilèges SYSTEM. Divulguée début avril par Nightmare Eclipse avec un PoC, corrigée le 14 avril, elle avait déjà été exploitée en zero-day et figure au catalogue KEV depuis le 22 avril.🧩 Microsoft a retiré 119 extensions Edge liées à la campagne StegoAd, jusqu'à 2,6 millions d'utilisateurs potentiellement exposés. Le code malveillant était dissimulé par stéganographie dans des fichiers image et police, restait inactif trois à cinq jours, et ouvrait une porte dérobée. Vol d'identifiants Google avec codes 2FA, identifiants WordPress, cookies de session et fraude publicitaire. Activité attribuée à l'acteur chinois DarkSpectre depuis 2021.🍎 Apple corrige plus de trente failles dans iOS, iPadOS, macOS et Safari 26.5.2. Quatre vulnérabilités WebKit ont été identifiées via des outils d'IA, Claude d'Anthropic et OpenAI Codex Security. CVE-2026-43715, un use-after-free, est créditée à Anthropic. Aucune des failles n'est décrite comme activement exploitée. Apple dit accélérer ses correctifs face à l'accélération du développement d'exploits par l'IA.🤖 Le 0DIN de Mozilla documente une attaque par prompt injection indirecte contre Claude Code. Un faux projet GitHub nommé Axiom enchaîne trois éléments anodins, dont un script récupérant une charge via un enregistrement DNS TXT exécuté par bash. La charge Base64 est un reverse shell sans signature sur disque ni réseau. L'agent exécute l'initialisation comme une récupération d'erreur, ouvrant un shell avec les droits du développeur et exposant les secrets d'environnement.🛡️ CVEFeed documente deux vulnérabilités critiques de contournement d'AWS WAF, CVE-2026-13762 pour Amazon CloudFront et CVE-2026-13763 pour l'Application Load Balancer. Une interprétation incohérente des requêtes HTTP/2 permet de fragmenter le corps pour n'en faire inspecter qu'une partie. Score CVSS 3.1 de 9,8. CloudFront corrigé côté serveur sans action client, ALB nécessitant l'activation de l'inspection après données suffisantes sur les groupes cibles HTTP/2.Sources : Kali Linux 2026.2 Released With New Tools for Pentesting and OSINT Workflows, CyberPress : https://cyberpress.org/kali-linux-2026-2-released/ CISA: Windows BlueHammer flaw now exploited by ransomware gangs, BleepingComputer : https://www.bleepingcomputer.com/news/security/cisa-windows-bluehammer-flaw-now-exploited-by-ransomware-gangs/ Microsoft retire 119 extensions Edge piégées, jusqu'à 2,6 millions d'utilisateurs exposés, Clubic : https://www.clubic.com/actualite-619159-microsoft-fait-le-menage-et-retire-119-extensions-edge-malveillantes.html Apple Patches 30+ iOS, macOS, Safari Flaws, Including AI-Discovered WebKit Bugs, The Hacker News : https://thehackernews.com/2026/06/apple-patches-30-ios-macos-safari-flaws.htmlClaude Code Attack Uses DNS TXT Payload to Compromise Developer Machines, CyberPress : https://cyberpress.org/claude-code-dns-txt-payload/  CVE-2026-13762 HTTP/2 Body-Inspection Bypass in Amazon CloudFront with AWS WAF, CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-13762 CVE-2026-13763 HTTP/2 Body-Inspection Bypass in AWS Application Load Balancer with AWS WAF, CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-13763  ⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #KaliLinux #Pentest #OSINT #Windows #MicrosoftDefender #Ransomware #KEV #Edge #StegoAd #Apple #WebKit #iOS #macOS #ClaudeCode #Anthropic #PromptInjection #AWS #AWSWAF #CloudFront #HTTP2 #CVE-2026-33825 #CVE-2026-43707 #CVE-2026-43716 #CVE-2026-43745 #CVE-2026-43715 #CVE-2026-13762 #CVE-2026-13763 #RadioCSIRT
  • Ep.681 - RadioCSIRT - Flash info cybersécurité du lundi 29 juin 2026 29.06.2026 12min
    🚨 La CISA ajoute deux vulnérabilités activement exploitées à son catalogue KEV : la CVE-2026-12569 dans PTC Windchill et FlexPLM, et la CVE-2026-20230, une faille SSRF dans Cisco Unified Communications Manager. Les agences fédérales doivent prioriser la remédiation selon la BOD 26-04.🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0814 sur la CVE-2026-55204, une vulnérabilité Null Pointer Dereference dans le traitement HPACK de HAProxy, permettant un déni de service à distance. Correctifs disponibles pour les branches ALOHA et Enterprise.🔐 Le CERT-FR signale cinq vulnérabilités dans Stormshield Management Center (CERTFR-2026-AVI-0816), dont une exécution de code arbitraire. La mise à jour vers la version 3.9.2 corrige les CVE-2026-6473, CVE-2026-6475, CVE-2026-6477, CVE-2026-6637 et CVE-2026-6638.🔥 Les vagues de chaleur menacent les data centers : 40 % de leur consommation est dédiée au refroidissement, et 79 % des installations mondiales sont exposées à des aléas climatiques graves. L'IA amplifie le défi thermique avec des GPU à haute densité.🪟 Le chercheur NightmareEclipse annonce pour juillet 2026 la publication de failles dans des composants Microsoft. Il évoque également un contournement facilité de Windows Defender après des modifications récentes du moteur mpengine.dll.🪟 Microsoft prolonge le hotpatching de Windows Server 2022 Datacenter Azure Edition jusqu'en octobre 2027. Les mises à jour de sécurité continueront à être appliquées sans redémarrage pour les systèmes inscrits.🐛 La CVE-2026-55200, une faille critique (CVSS v4 : 9.2) dans libssh2, permet une exécution de code à distance via un out-of-bounds write dans ssh2_transport_read(). Toutes les versions jusqu'à 1.11.1 sont affectées. Correctif disponible.🇨🇳 Mustang Panda cible le gouvernement indien et le secteur hydroélectrique avec trois nouveaux outils : SHARDLOADER, MINIRECON et ZOHOMURK. Ce dernier exploite Zoho WorkDrive comme canal C2 via des identifiants OAuth codés en dur. Activité observée du 12 au 22 juin 2026.Sources :CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/25/cisa-adds-two-known-exploited-vulnerabilities-catalogVulnérabilité dans HAProxy — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0814/Multiples vulnérabilités dans Stormshield Management Center — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0816/Canicule : les vagues de chaleur menacent aussi les data centers — Clubic : https://www.clubic.com/actualite-619033-canicule-les-data-centers-ia-sous-pression-face-au-risque-climatique.htmlMicrosoft is an interesting company — Project Nightcrawler : https://blog.projectnightcrawler.dev/posts/2026-06-22-microsoft-is-an-interesting-company/Microsoft extends Windows Server 2022 hotpatching until October 2027 — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-extends-windows-server-2022-hotpatching-until-october-2027/CVE-2026-55200: Critical libssh2 Flaw Opens Remote Code Execution Path — TheCyberThrone : https://thecyberthrone.in/2026/06/29/cve-2026-55200-critical-libssh2-flaw-opens-remote-code-execution-path/Mustang Panda Uses Zoho WorkDrive as Command Channel in Indian Government Attacks — The Hacker News : https://thehackernews.com/2026/06/mustang-panda-uses-zoho-workdrive-as.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #CVE-2026-12569 #CVE-2026-20230 #PTC #Windchill #Cisco #CERTFR #HAProxy #CVE-2026-55204 #Stormshield #CVE-2026-6473 #CVE-2026-6475 #CVE-2026-6477 #CVE-2026-6637 #CVE-2026-6638 #DataCenter #Canicule #IA #Microsoft #WindowsDefender #WindowsServer #Hotpatch #libssh2 #CVE-2026-55200 #RCE #MustangPanda #Zoho #APT #ThreatIntelligence #Inde #Espionnage #RadioCSIRT
  • Ep. 680- RadioCSIRT Édition Spéciale - Réponse à un auditeur : peut-on encore faire confiance à Trivy ? 28.06.2026 13min
    🔍 Cet épisode spécial répond à la question d'un auditeur de RadioCSIRT sur la confiance à accorder à Trivy après les deux compromissions de mars 2026. Rappel factuel des incidents TeamPCP : exploitation d'une misconfiguration GitHub Actions, vol de credentials, tag poisoning de 76 tags trivy-action, publication de binaires malveillants (v0.69.4 à v0.69.6) et déploiement du ver auto-propagatif CanisterWorm sur plus de 60 paquets npm.🛡️ Analyse de la confiance : la faille ne portait pas sur le moteur de scan mais sur l'infrastructure de distribution. Aqua Security a depuis activé les releases immuables, renforcé la signature Cosign/Sigstore et restauré les pipelines de bases de données. La version actuelle 0.71.2 est publiée sous régime immutable.🔧 Alternatives et diversification : le combo Syft/Grype (Anchore) offre une approche SBOM-first complémentaire à Trivy. Autres options : Clair (Red Hat), Docker Scout, Snyk, Dependency-Track. La diversification des moteurs de scan reste la meilleure stratégie.🎓 Questions philo/cyber : la transparence post-incident est une nécessité opérationnelle pour les outils open source massivement déployés, mais doit être séquencée (contenir, puis divulguer). L'absence de vulnérabilité connue dans un produit fermé ne signifie pas l'absence de vulnérabilité : un outil attaqué puis durci inspire davantage confiance qu'un produit non veillé.Sources :Aqua Security, Trivy Supply Chain Attack: What You Need to Know : https://www.aquasec.com/blog/trivy-supply-chain-attack-what-you-need-to-know/CrowdStrike, From Scanner to Stealer: Inside the trivy-action Supply Chain Compromise : https://www.crowdstrike.com/en-us/blog/from-scanner-to-stealer-inside-the-trivy-action-supply-chain-compromise/Microsoft, Guidance for detecting, investigating, and defending against the Trivy supply chain compromise : https://www.microsoft.com/en-us/security/blog/2026/03/24/detecting-investigating-defending-against-trivy-supply-chain-compromise/Aikido Security, TeamPCP deploys CanisterWorm on NPM following Trivy compromise : https://www.aikido.dev/blog/teampcp-deploys-worm-npm-trivy-compromiseThe Hacker News, Trivy Supply Chain Attack Triggers Self-Spreading CanisterWorm Across 47 npm Packages : https://thehackernews.com/2026/03/trivy-supply-chain-attack-triggers-self.htmlPalo Alto Networks, When Security Scanners Become the Weapon : https://www.paloaltonetworks.com/blog/cloud-security/trivy-supply-chain-attack/StepSecurity, Trivy Compromised a Second Time : https://www.stepsecurity.io/blog/trivy-compromised-a-second-time---malicious-v0-69-4-releaseGitHub Security Advisory, GHSA-69fq-xp46-6x23 : https://github.com/aquasecurity/trivy/security/advisories/GHSA-69fq-xp46-6x23DPO Partage, Trivy empoisonné : quand l'outil de sécurité devient lui-même la menace : https://www.dpo-partage.fr/trivy-empoisonne-quand-loutil-de-securite-devient-lui-meme-la-menace/Stéphane Robert, Trivy Aqua : réponse supply chain : https://blog.stephane-robert.info/post/trivy-aqua-reponse-supply-chain/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Trivy #AquaSecurity #SupplyChain #TeamPCP #CanisterWorm #CVE-2026-33634 #GitHubActions #CICD #Syft #Grype #Anchore #SBOM #CycloneDX #SPDX #Cosign #Sigstore #npm #OpenSource #RadioCSIRT

Priljubljen v

Ta podkast je tudi v lestvicah podkastov teh držav.