RadioCSIRT - Edition Française

Microsoft publie le 10 mars 2026 son Patch Tuesday mensuel : 79 vulnérabilités corrigées, dont deux zero-days publiquement divulgués avant la mise à disposition des correctifs. Deux failles critiques d'exécution de code à distance dans Microsoft Office (CVE-2026-26113 et CVE-2026-26110) peuvent être déclenchées par simple visualisation d'un message dans le volet de prévisualisation, sans aucune interaction de l'utilisateur.
Une troisième vulnérabilité critique affecte Microsoft Excel (CVE-2026-26144) : elle exploite Copilot Agent Mode pour exfiltrer des données via un trafic réseau non prévu, réalisant une attaque de divulgation d'informations sans clic.
Sur les zero-days, CVE-2026-21262 permet à un attaquant authentifié d'élever ses privilèges jusqu'au niveau sysadmin sur SQL Server 2016 et versions ultérieures (CVSS 8.8). CVE-2026-26127 expose le framework .NET à un déni de service réseau sans authentification préalable.
Six vulnérabilités supplémentaires qualifiées Important sont signalées comme prioritaires par Cisco Talos et Tenable : Windows Graphics Component, Windows Kernel, Windows Accessibility Infrastructure, Windows SMB Server, Ancillary Function Driver for WinSock et Winlogon, cette dernière découverte par Google Project Zero.
Ce cycle marque une première dans l'histoire des CVE : CVE-2026-21536, notée 9.8 Critical dans le composant Microsoft Devices Pricing Program, a été découverte par XBOW, un agent de test de pénétration entièrement autonome basé sur l'intelligence artificielle, sans accès au code source. Microsoft a corrigé la vulnérabilité côté serveur, sans action requise des utilisateurs.
Sources :
Krebs on Security – Microsoft Patch Tuesday, March 2026 Edition : https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/
BleepingComputer – Microsoft March 2026 Patch Tuesday Fixes 2 Zero-Days, 79 Flaws : https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2026-patch-tuesday-fixes-2-zero-days-79-flaws/
Cisco Talos – Microsoft Patch Tuesday for March 2026 : https://blog.talosintelligence.com/microsoft-patch-tuesday-march-2026/
Blog Marc-Frédéric Gomez – Microsoft Patch Tuesday Mars 2026 : 79 vulnérabilités corrigées, deux zero-days divulgués : https://blog.marcfredericgomez.fr/microsoft-patch-tuesday-mars-2026-79-vulnerabilites-corrigees-deux-zero-days-divulgues/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

L'ANSSI publie son Panorama de la cybermenace 2025 (CERTFR-2026-CTI-002). 1 366 incidents confirmés sur l'exercice, niveau stable par rapport à 2024 mais structurellement plus élevé que les années précédentes. Quatre secteurs concentrent 76 % des incidents : éducation et recherche (34 %), ministères et collectivités (24 %), santé (10 %), télécommunications (9 %).
Le nombre d'attaques par ransomware est en légère baisse (128 en 2025, contre 141 en 2024), tandis que les incidents d'exfiltration de données progressent de 51 % : 196 incidents contre 130 en 2024. La bascule est structurelle : les groupes criminels abandonnent partiellement le chiffrement au profit de l'extorsion par la donnée seule, modèle plus silencieux et plus difficile à détecter. Qilin, Akira et LockBit 3.0 dominent le paysage ransomware. Cl0p maintient son modèle d'exfiltration pure, avec l'exploitation en août 2025 de CVE-2025-6182 dans Oracle E-Business Suite.
La frontière entre acteurs étatiques et cybercriminels s'efface structurellement. Des modes opératoires réputés liés à la Russie, la Chine, l'Iran et la Corée du Nord adoptent des outils criminels commerciaux, tandis que des groupes cybercriminels utilisent des techniques d'espionnage étatique. APT28, Turla, Callisto, Sandworm côté russe. Salt Typhoon, APT31, RedDelta, UNC5221 côté chinois. Scattered Spider côté cybercriminel pur, avec plusieurs entités françaises du secteur du luxe compromises en 2025.
La généralisation du Living off the Land est la tendance technique dominante de l'année. Les outils RMM légitimes, AnyDesk, MeshAgent, ScreenConnect, et les services cloud grand public, Google Drive, Dropbox, MEGA, sont détournés comme vecteurs offensifs et canaux de command and control. La détection par signature ne suffit plus.
Les équipements de bordure restent la surface d'exposition prioritaire : Ivanti Connect Secure (CVE-2025-0282, CVE-2025-22457), Fortinet, SharePoint Toolshell (CVE-2025-49704, CVE-2025-49706), VMware ESXi (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226). Plus de 6 200 actifs français restent exposés à des vulnérabilités exploitées depuis 2023 et 2024.
Sources :
ANSSI / cyber.gouv.fr – Panorama de la cybermenace 2025 : https://cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025/
Blog Marc-Frédéric Gomez – Analyse complète du Panorama de la cybermenace 2025 de l'ANSSI (CERTFR-2026-CTI-002) : https://blog.marcfredericgomez.fr/analyse-complete-du-panorama-de-la-cybermenace-2025-de-lanssi-certfr-2026-cti-002/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

L'ACSC, le CERT Tonga et le NCSC néo-zélandais publient un advisory conjoint sur INC Ransom, groupe Ransomware-as-a-Service ciblant prioritairement le secteur de la santé en Australie, en Nouvelle-Zélande et dans les États insulaires du Pacifique. Les affiliés combinent spear-phishing, exploitation de vulnérabilités sur équipements exposés et achat de credentials auprès d'Initial Access Brokers, avec double extorsion systématique via Data Leak Site Tor.

La CISA ajoute trois entrées à son catalogue KEV : une Server-Side Request Forgery dans Omnissa Workspace ONE (CVE-2021-22054), une désérialisation de données non fiables dans SolarWinds Web Help Desk (CVE-2025-26399), et un Authentication Bypass dans Ivanti Endpoint Manager (CVE-2026-1603), toutes trois activement exploitées.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0257 sur une faille de contournement de politique de sécurité dans Mozilla Focus for iOS, corrigée en version 148.2 (CVE-2026-2919).

Le bulletin SAP de mars 2026 est relayé par le CERT-FR via l'avis CERTFR-2026-AVI-0256 : de multiples vulnérabilités affectant NetWeaver, Business Warehouse, Supply Chain Management et d'autres composants SAP exposent à une exécution de code arbitraire à distance, des injections SQL et des attaques SSRF.

Curl est également concerné avec quatre CVE publiées le 11 mars 2026, toutes les versions antérieures à 8.19.0 étant vulnérables à un déni de service, une atteinte à la confidentialité et un contournement de politique de sécurité (CERTFR-2026-AVI-0269).

Enfin, l'ANSSI livre son Panorama de la cybermenace 2025 (CERTFR-2026-CTI-002) : effacement des frontières entre acteurs étatiques et cybercriminels, montée de l'exfiltration de données au détriment des Ransomwares, et persistance des campagnes d'espionnage liées à la Russie et à la Chine contre les entités diplomatiques.

Sources :

ACSC – INC Ransom Affiliate Model Enabling Targeting of Critical Networks : https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/inc-ransom-affiliate-model-enabling-targeting-of-critical-networks
CISA – Adds Three Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/03/09/cisa-adds-three-known-exploited-vulnerabilities-catalog
CERT-FR – Vulnérabilité dans Mozilla Focus : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0257/
CERT-FR – Multiples vulnérabilités dans les produits SAP : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0256/
CERT-FR – Multiples vulnérabilités dans Curl : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0269/
CERT-FR – Panorama de la cybermenace 2025 : https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-002/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com

Le SANS Internet Storm Center signale une campagne active de brute-force ciblant les instances CrushFTP exposées, testant les identifiants par défaut crushadmin/crushadmin via des requêtes POST. L'ensemble du trafic malveillant est attribué à une IP française, 5.189.139.225, active depuis février 2026.
Europol annonce le démantèlement de LeakBase, forum criminel spécialisé dans le trafic de bases de données volées et de stealer logs, actif depuis 2021 avec plus de 142 000 utilisateurs enregistrés. L'opération coordonnée dans 14 pays a conduit à environ 100 actions coercitives, dont des arrestations et perquisitions visant 37 utilisateurs actifs. Le domaine a été saisi le 4 mars.
Des chercheurs de Socket identifient plusieurs packages PHP malveillants sur Packagist, publiés sous le compte nhattuanbl, déployant un RAT dans les environnements Laravel via les packages lara-helper, simple-queue et lara-swagger. Le Payload établit une connexion C2 chiffrée AES-128-CTR vers helper.leuleu.net sur le port 2096.
OX Security publie les détails de Mail2Shell, CVE-2026-28289, une vulnérabilité zero-click non authentifiée dans FreeScout permettant une RCE complète via un contournement du patch CVE-2026-27636 basé sur un caractère Zero-Width Space. La version 1.8.207 corrige la faille.
Google et Cloudflare présentent leur stratégie de sécurisation post-quantique des certificats HTTPS dans Chrome, reposant sur l'algorithme ML-DSA et les Merkle Tree Certificates pour contenir l'inflation de taille des chaînes cryptographiques. L'IETF coordonne la normalisation internationale via le groupe de travail PKI, Logs, and Tree Signatures.
Cisco divulgue CVE-2026-20131, une vulnérabilité critique CVSS 10.0 dans le Secure Firewall Management Center permettant une RCE non authentifiée via désérialisation Java non sécurisée. Aucun workaround disponible, le patch est distribué via l'advisory mars 2026.
Des frappes de drones iraniennes ont physiquement détruit deux data centers AWS en UAE et endommagé un troisième à Bahreïn les 1er et 2 mars 2026, affectant plus de 60 services cloud dans les régions ME-CENTRAL-1 et ME-SOUTH-1. Amazon conseille la migration des workloads vers des régions Europe, États-Unis ou Asie-Pacifique.
Sources :
SANS ISC – Bruteforce Scans for CrushFTP : https://isc.sans.edu/diary/rss/32762
Europol – Major data leak forum dismantled : https://www.europol.europa.eu/media-press/newsroom/news/major-data-leak-forum-dismantled-in-global-action-against-cybercrime-forum
CyberPress – Malicious Laravel Packages Deploy PHP RAT : https://cyberpress.org/malicious-laravel-packages-deploy-rat/
CybersecurityNews – Hackers Hijack FreeScout Mail Servers : https://cybersecuritynews.com/hackers-hijack-freescout-mail-servers/
Clubic – Sécurité quantique, Google et Cloudflare renforcent HTTPS : https://www.clubic.com/actualite-603328-securite-quantique-google-et-cloudflare-renforcent-les-certificats-https-dans-chrome.html
CyberPress – Critical Cisco Secure Firewall Management Vulnerability : https://cyberpress.org/firewall-management-vulnerability/
The Record – Iranian drone strikes hit Amazon data centers : https://therecord.media/iran-drone-strikes-hit-amazon-data-centers-gulf
AWS Health – Service Status : https://health.aws.amazon.com/health/status
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le CERT-FR publie l'avis CERTFR-2026-AVI-0230 concernant de multiples vulnérabilités dans Docker Desktop. Les versions antérieures à 4.62.0 sont affectées. Deux CVE sont référencées : CVE-2026-2664 et CVE-2026-28400. L'éditeur n'a pas précisé la nature exacte des risques. La mise à jour vers Docker Desktop 4.62.0 corrige les deux failles.
Free Mobile annonce des mesures exceptionnelles pour ses abonnés français bloqués aux Émirats arabes unis, à Oman et au Qatar dans le contexte du conflit au Moyen-Orient. L'opérateur accorde automatiquement 15 Go de data supplémentaires et un tarif d'appel réduit à 0,22 euro par minute. La mesure couvre les forfaits Forfait 2 euros, Série Free et Forfait Free 5G+, et reste valable jusqu'au 31 mars 2026.
Le général Dan Caine, chairman du Joint Chiefs of Staff, confirme le rôle du U.S. Cyber Command dans l'opération Epic Fury. Les opérations coordonnées du Cyber Command et du U.S. Space Command ont perturbé les réseaux de communications et les systèmes de capteurs iraniens, privant l'adversaire de sa capacité à détecter, coordonner et riposter. Washington et Jérusalem se préparent à d'éventuelles représailles cyber de groupes proxy iraniens. La Jordanie a annoncé avoir contré une cyberattaque iranienne ciblant ses systèmes de stockage de blé.
Cisco Talos publie une analyse de la situation cyber liée au conflit au Moyen-Orient. À ce stade, aucune augmentation significative d'activité cyber émanant de groupes étatiques n'est observée. Les incidents relevés restent limités à des Web Defacements et des attaques DDoS de faible envergure. Talos alerte sur l'exploitation opportuniste du conflit par des cybercriminels utilisant des lures géopolitiques et du Social Engineering pour propager des Infostealers et des Backdoors. Les groupes iraniens historiquement actifs dans l'espionnage, les attaques destructives et le Hack-and-Leak sont identifiés comme les menaces principales à court terme.
Le régulateur russe de l'internet Roskomnadzor et le ministère russe de la Défense confirment avoir été frappés par une attaque DDoS qualifiée de multi-vecteurs, avec un trafic malveillant provenant de Botnets localisés principalement en Russie, ainsi qu'aux États-Unis, en Chine, au Royaume-Uni et aux Pays-Bas. Les infrastructures du Main Radio Frequency Center ont également été affectées. Aucun groupe n'a revendiqué l'opération.
Enfin, Check Point Research dévoile Silver Dragon, un groupe APT Chinese-nexus opérant sous l'ombrelle d'APT41, actif depuis mi-2024 contre des organisations gouvernementales en Asie du Sud-Est et en Europe. Le groupe déploie trois chaînes d'infection aboutissant au déploiement de Cobalt Strike via DNS Tunneling, utilisant deux Loaders personnalisés : MonikerLoader et BamboLoader. L'élément central est GearDoor, un Backdoor .NET inédit utilisant Google Drive comme canal C2. Le toolkit inclut également SilverScreen pour la capture d'écran et SSHcmd pour l'exécution de commandes à distance.
Sources :
CERT-FR – Multiples vulnérabilités dans Docker Desktop (CERTFR-2026-AVI-0230) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0230/
Clubic – Free accompagne ses abonnés bloqués dans le Golfe : https://www.clubic.com/actualite-603094-bloques-dans-le-golfe-a-cause-de-la-guerre-les-abonnes-free-recoivent-une-bonne-nouvelle.html
The Record – Cyber Command disrupted Iranian comms, sensors : https://therecord.media/iran-cyber-us-command-attack
Talos Intelligence – Talos on the developing situation in the Middle East : https://blog.talosintelligence.com/talos-developing-situation-in-the-middle-east/
The Record – Cyberattack briefly disrupts Russian internet regulator and defense ministry websites : https://therecord.media/cyberattack-briefly-takes-down-russian-government-websites
Check Point Research – Silver Dragon Targets Organizations in Southeast Asia and Europe : https://research.checkpoint.com/2026/silver-dragon-targets-organizations-in-southeast-asia-and-europe/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com