RadioCSIRT - Edition Française

Microsoft ouvre l'année 2026 avec un Patch Tuesday substantiel, corrigeant 114 vulnérabilités dont trois zero-days. Parmi ces failles, la CVE-2026-20805 fait l'objet d'une exploitation active en conditions réelles et a été ajoutée au catalogue KEV de la CISA avec une date limite de correction fixée au 3 février 2026.Cette faille de type Information Disclosure affecte Desktop Window Manager et permet à un attaquant authentifié de lire des adresses mémoire associées au port ALPC distant. Microsoft attribue la découverte de cette vulnérabilité au Microsoft Threat Intelligence Center et au Microsoft Security Response Center, mais ne précise pas les détails de son exploitation.Sur les 114 vulnérabilités corrigées, huit sont classées critiques, incluant six failles d'exécution de code à distance et deux d'élévation de privilèges. Les applications Microsoft Office présentent plusieurs vulnérabilités critiques, notamment dans Word et Excel, exploitables via documents malveillants dans le cadre de campagnes de phishing.Microsoft procède à la suppression des drivers Agere Soft Modem vulnérables, agrsm64.sys et agrsm.sys, qui sont livrés nativement avec les systèmes Windows supportés. L'éditeur avertit également que les certificats Windows Secure Boot émis en 2011 approchent de leur date d'expiration. Les systèmes non mis à jour présentent un risque accru de contournement du Secure Boot par des acteurs malveillants.Les 57 vulnérabilités d'élévation de privilèges corrigées ce mois-ci concernent principalement les drivers kernel Windows et les services de gestion. Windows Server Update Services fait l'objet d'une attention particulière avec la CVE-2026-20856, permettant l'exécution de code à distance sur les systèmes exposés.Les équipes de sécurité doivent prioriser les systèmes exposés sur internet, en commençant par WSUS, suivi des serveurs SMB et des endpoints Office. Les mises à jour Windows 11 sont disponibles via KB5074109 et KB5073455, tandis que Windows 10 reçoit la mise à jour étendue KB5073724.Sources :Krebs on Security – Patch Tuesday janvier 2026 : https://krebsonsecurity.com/2026/01/patch-tuesday-january-2026-edition/Cisco Talos Intelligence – Microsoft Patch Tuesday janvier 2026 : https://blog.talosintelligence.com/microsoft-patch-tuesday-january-2026/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une analyse de Check Point Research sur Sicarii, une nouvelle opération de Ransomware-as-a-Service apparue fin 2025. Le groupe se distingue par un branding explicitement israélien et juif, utilisant symboles historiques et références idéologiques inhabituelles pour une opération criminelle. L'analyse révèle de multiples incohérences : l'activité underground est conduite en russe, le contenu en hébreu contient des erreurs suggérant une traduction automatique, et le ransomware intègre un geo-fencing actif pour éviter les systèmes israéliens. Les capacités techniques incluent exfiltration de données, collecte de credentials, exploitation de vulnérabilités Fortinet via CVE-2025-64446, et chiffrement avec extension .sicarii. Check Point conclut que l'identité affichée par Sicarii ne correspond pas nécessairement à ses véritables motivations, suggérant une possible opération de false-flag.La CNIL a infligé une amende de 48 millions de dollars à Free et Free Mobile suite à une faille de sécurité d'octobre 2024. Un attaquant avait compromis les systèmes d'information et accédé aux données personnelles, incluant les IBAN, de 24 millions d'abonnés. L'autorité française a identifié des violations du RGPD, notamment des mesures de sécurité inadéquates avec authentification VPN faible et absence de détection d'activité anormale. Free a été sanctionné à hauteur de 31 millions de dollars et Free Mobile 17 millions. La CNIL a également relevé des manquements dans la notification de violation et la conservation excessive de données d'anciens abonnés.Enfin, Pax8, marketplace cloud pour fournisseurs de services managés, a accidentellement exposé des données de 1800 partenaires MSP. Un email envoyé le 13 janvier par un account manager EMEA à moins de 40 destinataires britanniques contenait un fichier CSV avec plus de 56000 entrées détaillant informations de pricing interne Microsoft, portfolios clients et empreintes de licences. Selon BleepingComputer, des acteurs malveillants proposent déjà d'acheter copies du dataset aux MSP affectés. Ces données permettraient des campagnes de phishing ciblées, compromission d'emails professionnels ou extorsion. Pax8 a contacté les destinataires pour demander suppression du fichier et lancé une revue interne de l'incident.Sources : Check Point Research – Sicarii Ransomware : https://research.checkpoint.com/2026/sicarii-ransomware-truth-vs-myth/The  Record – CNIL amende Free : https://therecord.media/france-data-regulator-fineBleepingComputer – Pax8 exposition données MSP : https://www.bleepingcomputer.com/news/security/cloud-marketplace-pax8-accidentally-exposes-data-on-1-800-msp-partners/ On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec l'ajout par la CISA de la CVE-2026-20805 à son catalogue Known Exploited Vulnerabilities. Cette faille de type Information Disclosure affecte Microsoft Windows et fait l'objet d'une exploitation active en conditions réelles. Le Binding Operational Directive 22-01 impose aux agences fédérales civiles de corriger les vulnérabilités du catalogue KEV dans les délais impartis.Le CERT-FR a publié cinq avis de sécurité le 13 janvier 2026. MISP est touché par une vulnérabilité XSS corrigée en version 2.5.32. VMware Tanzu GemFire fait l'objet de quatre CVE permettant l'exécution de code arbitraire à distance, avec des correctifs dans les versions 10.1.6 et 10.2.1. MariaDB publie des correctifs pour quatre vulnérabilités affectant six branches de versions. NetApp ONTAP est concerné par la CVE-2026-22050, une faille de contournement de politique de sécurité sur les versions 9.16 et 9.17.Enfin, Google déploie un correctif pour la CVE-2025-48647, une vulnérabilité d'élévation de privilèges affectant l'ensemble de la gamme Pixel dans le bulletin de sécurité Android de janvier 2026.Sources : CISA – CVE-2026-20805 KEV : https://www.cisa.gov/news-events/alerts/2026/01/13/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR – Avis MISP : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0030/CERT-FR – Avis VMware Tanzu GemFire : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0029/CERT-FR – Avis MariaDB : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0028/CERT-FR – Avis NetApp ONTAP : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0027/CERT-FR – Avis Google Pixel : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0026/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec le Government Cyber Action Plan du Royaume-Uni publié le 6 janvier 2026. Le gouvernement britannique investit 210 millions de livres sterling pour transformer la cybersécurité du secteur public. Le plan crée une nouvelle Government Cyber Unit au sein du Department for Science, Innovation and Technology pour centraliser la gestion des risques et la réponse aux incidents. Le National Cyber Security Centre rapporte une augmentation de 50 pourcent des incidents hautement significatifs en 2025. Un nouveau Software Security Ambassador Scheme inclut Cisco, Palo Alto Networks et Santander, répondant aux 59 pourcent d'organisations ayant subi des attaques de la chaîne d'approvisionnement logicielle.La Cybersecurity and Infrastructure Security Agency américaine a ajouté le 12 janvier 2026 la vulnérabilité CVE-2025-8110 à son catalogue Known Exploited Vulnerabilities. Cette faille de path traversal avec un score CVSS de 8.7 affecte Gogs, un service Git auto-hébergé. Elle permet à un utilisateur authentifié d'écrire des fichiers hors de l'arborescence prévue via des liens symboliques, conduisant potentiellement à l'exécution de code à distance. Les versions inférieures ou égales à 0.13.3 sont affectées. CISA confirme une exploitation active dans la nature. Les agences fédérales doivent corriger la vulnérabilité selon le Binding Operational Directive 22-01.Enfin, Endesa, le plus grand fournisseur d'électricité en Espagne avec 22 millions de clients, a divulgué une violation de données selon BleepingComputer. Un accès non autorisé à la plateforme commerciale a compromis les informations d'identification, coordonnées, numéros de carte d'identité nationale, détails de contrats et IBAN. Les mots de passe n'ont pas été exposés. L'acteur menaçant spain propose à la vente une base de données de plus de 20 millions d'enregistrements totalisant 1.05 téraoctets. Endesa indique qu'aucune preuve d'utilisation frauduleuse n'a été identifiée et a informé l'Institut National de Cybersécurité et l'Agence Espagnole de Protection des Données.Sources : NCSC UK – Government Cyber Action Plan : https://www.ncsc.gov.uk/blog-post/government-cyber-action-plan-strengthening-resilience-across-ukCISA – CVE-2025-8110 KEV : https://www.cisa.gov/news-events/alerts/2026/01/12/cisa-adds-one-known-exploited-vulnerability-catalogBleepingComputer – Endesa data breach : https://www.bleepingcomputer.com/news/security/spanish-energy-giant-endesa-discloses-data-breach-affecting-customers/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une nouvelle campagne d'escroquerie par courrier physique ciblant les usagers bancaires en France selon Planet.fr. Le mode opératoire débute par la réception d'une lettre à l'entête d'un établissement financier contenant une carte bancaire factice équipée d'une puce. Le document demande au destinataire de scanner un QR code pour activer la carte. Cette technique baptisée "quishing" redirige la victime vers un site malveillant conçu pour exfiltrer les données personnelles et coordonnées bancaires. Le phénomène, déjà observé chez les voisins européens, gagne du terrain en France. Les cartes présentent un niveau de contrefaçon élevé avec reproduction de l'identité graphique des banques. La vérification de l'URL affichée après scan constitue le premier indicateur de légitimité. En cas de saisie d'informations sur un site frauduleux, la procédure recommandée comprend l'opposition immédiate sur la carte bancaire, la modification de l'ensemble des mots de passe et le signalement via la plateforme Perceval du ministère de l'Intérieur.Microsoft a publié le CVE-2026-0628 dans son Security Update Guide concernant une vulnérabilité haute sévérité affectant le composant WebView tag de Chromium selon Neowin. La faille technique classifiée "Insufficient policy enforcement" permet à un attaquant ayant convaincu un utilisateur d'installer une extension malveillante d'injecter des scripts ou du HTML dans une page privilégiée. Le chercheur Gal Weizman a signalé la vulnérabilité à Google fin novembre. La version Chrome 143.0.7499.192 contient le correctif upstream intégré par Microsoft dans Edge le 10 janvier 2026. Microsoft enregistre le CVE dans son Security Update Guide pour fournir le statut downstream autoritatif aux clients Edge. Les trackers canoniques de vulnérabilités confirment que la limite de remédiation upstream a été placée dans la mise à jour stable Chrome 143. L'inventaire et la remédiation doivent couvrir tous les runtimes Chromium embarqués et applications Electron car une mise à jour du navigateur hôte ne protège pas ces applications.Le forum de hacking BreachForums a subi une fuite de données exposant sa table de base de données utilisateurs selon BleepingComputer. Le 9 janvier 2026, un site nommé d'après le gang d'extorsion ShinyHunters a publié une archive 7Zip nommée breachedforum.7z. L'archive contient le fichier databoose.sql, une table de base de données MyBB comprenant 323 988 enregistrements de membres incluant noms d'affichage, dates d'enregistrement, adresses IP et autres informations internes. L'analyse montre que la majorité des adresses IP renvoient vers une adresse IP loopback locale, mais 70 296 enregistrements contiennent des adresses IP publiques. La dernière date d'enregistrement correspond au 11 août 2025, jour de fermeture du précédent BreachForums suite à l'arrestation de certains opérateurs présumés. L'administrateur actuel connu sous le pseudonyme N/A a reconnu la fuite, indiquant qu'une sauvegarde de la table utilisateurs MyBB a été temporairement exposée dans un dossier non sécurisé et téléchargée une seule fois.Enfin, une fuite de données majeure a compromis les informations personnelles d'environ 17,5 millions d'utilisateurs Instagram selon CyberPress. La fuite, initialement signalée par les chercheurs en cybersécurité de Malwarebytes, expose des informations de contact rendant des millions d'utilisateurs vulnérables au vol d'identité et aux attaques de phishing ciblées. Le dataset est apparu cette semaine sur un forum de hacking, publié par l'acteur de menace "Solonik". Le listing intitulé "INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK" contient 17,5 millions d'enregistrements formatés en fichiers JSON et TXT. Les données ont été collectées fin 2024 via une API Leak contournant les mesures de sécurité standard. La base de données divulguée contient noms complets, pseudonymes, adresses email vérifiées, numéros de téléphone, identifiants utilisateurs et données de localisation partielle. La fuite est classifiée comme scraping, la collecte automatisée de données via des interfaces publiques. Au 10 janvier 2026, Meta n'a pas émis de déclaration formelle concernant cette fuite.Sources : Planet.fr – Arnaque carte bancaire : https://www.planet.fr/societe-arnaque-a-la-fausse-carte-bancaire-par-courrier-le-mecanisme-du-quishing-qui-vise-vos-coordonnees.2992374.29336.htmlMicrosoft Security Update Guide – CVE-2026-0628 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0628BleepingComputer – BreachForums : https://www.bleepingcomputer.com/news/security/breachforums-hacking-forum-database-leaked-exposing-324-000-accounts/CyberPress – Instagram leak : https://cyberpress.org/instagram-data-leak/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com