RadioCSIRT - Edition Française

Apple corrige une vulnérabilité WebKit référencée CVE-2026-20643 permettant un contournement de la same-origin policy via un problème cross-origin dans la Navigation API. Cette faille pourrait permettre l’accès à des données inter-domaines dans Safari et les composants associés.
Une compromission majeure touche le fournisseur bancaire Marquis Software. Plus de 672 000 personnes sont affectées après exfiltration de données sensibles incluant identifiants fiscaux et informations financières, dans un scénario de Supply Chain impactant de multiples institutions.
La CISA indique ne pas observer d’augmentation significative de l’activité cyber iranienne malgré les frappes récentes, maintenant une posture de vigilance face à un écosystème de menaces toujours actif.
Les chercheurs de Unit 42 démontrent la fragilité persistante des LLM face aux attaques de prompt fuzzing. Des variantes automatisées permettent de contourner les guardrails avec des taux d’évasion élevés selon les modèles et les mots-clés.
Le SANS Institute observe une augmentation des scans ciblant Adminer, avec une recherche automatisée de fichiers spécifiques incluant versions et variantes, indiquant une phase de reconnaissance active.
Le CERT-FR publie un avis sur plusieurs vulnérabilités dans Suricata, affectant les versions antérieures à 7.0.15 et 8.0.4, avec un impact potentiel sur les capacités de détection réseau.
Une vulnérabilité critique CVE-2026-3888 affecte Ubuntu Desktop 24.04+, permettant une élévation de privilèges root via une interaction entre snap-confine et systemd-tmpfiles.
Le groupe Interlock exploite une zero-day dans Cisco Secure Firewall Management Center, CVE-2026-20131, permettant une Remote Code Execution non authentifiée sur des équipements exposés.
La CISA ajoute CVE-2025-66376 au KEV Catalog. Cette vulnérabilité Cross-Site Scripting affecte Zimbra Collaboration Suite et est confirmée comme activement exploitée.
Sources :
Malwarebytes — WebKit CVE-2026-20643 : https://www.malwarebytes.com/blog/news/2026/03/apple-patches-webkit-bug-that-could-let-sites-access-your-data
The Record — Marquis Software breach : https://therecord.media/marquis-bank-vendor-data-breach
The Record — CISA Iran cyber posture : https://therecord.media/cisa-official-says-agency-has-not-seen-uptick-cyber-threats-iran
Unit 42 — LLM prompt fuzzing : https://unit42.paloaltonetworks.com/genai-llm-prompt-fuzzing/
SANS ISC — Adminer scans : https://isc.sans.edu/diary/rss/32808
CERT-FR — Suricata : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0309/
Security Affairs — Ubuntu CVE-2026-3888 : https://securityaffairs.com/189614/security/cve-2026-3888-ubuntu-desktop-24-04-vulnerable-to-root-exploit.html
BleepingComputer — Marquis breach details : https://www.bleepingcomputer.com/news/security/marquis-ransomware-gang-stole-data-of-672-000-people-in-2025-cyberattack/
CISA — KEV Zimbra CVE-2025-66376 : https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-adds-one-known-exploited-vulnerability-catalog
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

La CISA ajoute CVE-2025-47813 à son catalogue KEV : la faille d'Information Disclosure dans Wing FTP Server est confirmée comme activement exploitée et exploitable en chaîne avec une Remote Code Execution critique référencée CVE-2025-47812. Les agences fédérales américaines disposent de deux semaines pour remédier.
Le CERT-FR publie quatre avis simultanés : CVE-2026-3909 dans Google Chrome et CVE-2026-3910 dans Microsoft Edge sont toutes deux confirmées comme activement exploitées. OpenSSL est affecté par CVE-2026-2673 sur les branches 3.5.x et 3.6.x. Plusieurs composants Azure Linux — coredns, giflib, golang et azurelinux-image-tools — font l'objet de six CVE additionnelles.
La startup Starcloud soumet à la FCC une demande de déploiement de 88 000 satellites en orbite héliosynchrone pour constituer une infrastructure de data centers orbitaux produisant 5 gigawatts. Soutenue par NVIDIA, la société a déjà démontré l'exécution d'inférences IA depuis l'orbite via un GPU H100 embarqué.
Le groupe APT Laundry Bear, également référencé UAC-0190 et Void Blizzard, est suspecté d'utiliser un nouveau backdoor baptisé DRILLAPP contre des organisations ukrainiennes. La technique repose sur l'abus des paramètres de debug de Microsoft Edge en mode headless pour accéder au système de fichiers, au microphone, à la caméra et à l'écran sans déclencher d'alerte.
Sources :
CISA — Wing FTP Server KEV : https://www.cisa.gov/news-events/alerts/2026/03/16/cisa-adds-one-known-exploited-vulnerability-catalog
BleepingComputer — Wing FTP Server flaw actively exploited : https://www.bleepingcomputer.com/news/security/cisa-flags-wing-ftp-server-flaw-as-actively-exploited-in-attacks/
CERT-FR — OpenSSL CVE-2026-2673 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0296/
CERT-FR — Google Chrome CVE-2026-3909 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0297/
CERT-FR — Microsoft Edge multiples vulnérabilités : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0298/
CERT-FR — Produits Microsoft Azure Linux : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0299/
Clubic — Starcloud data centers orbitaux : https://www.clubic.com/actualite-604813-data-centers-dans-l-espace-lumiere-sur-le-projet-fou-de-la-startup-starcloud.html
Security Affairs — DRILLAPP backdoor Laundry Bear : https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Meta supprime le chiffrement de bout en bout des messages privés Instagram à compter du 8 mai 2026. La fonctionnalité E2EE, disponible depuis trois ans en mode opt-in, est abandonnée au profit d'une architecture permettant à Meta d'analyser les contenus échangés. Les utilisateurs souhaitant maintenir un canal chiffré au sein de l'écosystème Meta sont redirigés vers WhatsApp.
Le groupe Storm-2561, actif depuis mai 2025, distribue de faux clients VPN enterprise via SEO poisoning en usurpant les marques Cisco, Fortinet, CheckPoint, Ivanti, SonicWall, Sophos et WatchGuard. Les installeurs MSI malveillants sideloadent deux DLL — dwmapi.dll et inspector.dll — capturant les credentials saisis avant de rediriger silencieusement la victime vers le site officiel du vendor.
Le cluster CL-STA-1087, suspecté d'origine chinoise, conduit depuis 2020 des opérations d'espionnage ciblant des organisations militaires d'Asie du Sud-Est. L'arsenal déployé comprend les backdoors AppleChris et MemFun, et le credential harvester Getpass. Les deux backdoors utilisent Pastebin comme dead drop resolver pour récupérer les adresses C2.
Starbucks notifie une violation de données affectant 889 employés suite à une campagne de phishing ciblant le portail RH Partner Central entre le 19 janvier et le 11 février 2026. Les données exposées incluent numéros de sécurité sociale, dates de naissance et coordonnées bancaires.
Le SDK web d'AppsFlyer a été compromis dans une attaque supply chain entre le 9 et le 11 mars 2026. Un payload JavaScript de clipboard hijacking a été distribué depuis websdk.appsflyer.com, ciblant les wallets Bitcoin, Ethereum, Solana, Ripple et TRON sur les applications de 15 000 entreprises clientes.
Microsoft publie le hotpatch OOB KB5084597 pour corriger trois RCE dans le snap-in RRAS de Windows 11 Enterprise : CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111. Le correctif applique les fixes via in-memory patching sans redémarrage, exclusivement sur les endpoints gérés via Windows Autopatch.
Sources :
Clubic — Instagram supprime le chiffrement de bout en bout : https://www.clubic.com/actualite-604663-instagram-supprime-le-chiffrement-des-messages-de-bout-en-bout-vos-conversations-privees-bientot-lisibles.html
The Register — VPN clients spoofed by Storm-2561 : https://www.theregister.com/2026/03/13/vpn_clients_spoofed/
The Hacker News — Chinese hackers target Southeast Asian militaries : https://thehackernews.com/2026/03/chinese-hackers-target-southeast-asian.html
Security Affairs — Starbucks data breach 889 employees : https://securityaffairs.com/189438/security/starbucks-data-breach-impacts-889-employees.html
BleepingComputer — AppsFlyer Web SDK crypto stealer : https://www.bleepingcomputer.com/news/security/appsflyer-web-sdk-used-to-spread-crypto-stealer-javascript-code/
BleepingComputer — Microsoft Windows 11 OOB hotpatch RRAS RCE : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-11-oob-hotpatch-to-fix-rras-rce-flaw/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le CA/Browser Forum a voté en 2024 la réduction progressive de la durée de vie maximale des certificats TLS publics : 200 jours en mars 2026, 100 jours en mars 2027, 47 jours en mars 2029. À cette échéance, la période de réutilisation des données de validation DCV sera réduite à 10 jours. Le renouvellement manuel devient structurellement impossible à l'échelle — l'automatisation via le protocole ACME (RFC 8555) n'est plus une option, c'est une exigence opérationnelle.
Cet épisode spécial, suggéré par Cédric, auditeur du podcast, couvre le cycle de vie complet des certificats TLS publics, le fonctionnement du protocole ACME et ses implémentations en production (Certbot, acme.sh, win-acme, cert-manager, Vault), les implications opérationnelles de la réduction des durées de vie pour les équipes de gestion de certificats, et les premiers jalons de la migration PKI post-quantique issue des standards NIST finalisés en août 2024 : ML-KEM (FIPS 203), ML-DSA (FIPS 204) et SLH-DSA (FIPS 205).
Pour les équipes cyber, les chantiers sont identifiés : inventaire cryptographique, agilité cryptographique, certificats hybrides, mise à jour des bibliothèques cryptographiques (OpenSSL 3.x, liboqs). L'horizon de migration fixé par la NSA, le CISA et l'ANSSI est 2030 — les organisations qui commencent maintenant disposent d'une fenêtre opérationnelle.
Sources :
CA/Browser Forum — Ballot SC-081 : https://cabforum.org/working-groups/server/ballots/sc-081/
RFC 8555 — ACME Protocol (IETF) : https://www.rfc-editor.org/rfc/rfc8555
NIST FIPS 203 — ML-KEM (CRYSTALS-Kyber) : https://csrc.nist.gov/pubs/fips/203/final
NIST FIPS 204 — ML-DSA (CRYSTALS-Dilithium) : https://csrc.nist.gov/pubs/fips/204/final
NIST FIPS 205 — SLH-DSA (SPHINCS+) : https://csrc.nist.gov/pubs/fips/205/final
ANSSI — Guide de migration vers la cryptographie post-quantique : https://www.ssi.gouv.fr/guide/migration-vers-la-cryptographie-post-quantique/
CISA — Post-Quantum Cryptography Initiative : https://www.cisa.gov/quantum
Open Quantum Safe — liboqs : https://openquantumsafe.org
Certbot — Documentation officielle : https://certbot.eff.org
cert-manager — Documentation Kubernetes : https://cert-manager.io/docs/
Let's Encrypt — Réduction durée de vie 90 jours : https://letsencrypt.org/2025/01/22/shorter-lived-certs/
Apple — Proposition réduction 47 jours CA/B Forum : https://github.com/cabforum/servercert/pull/553
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le 28 février 2026, les États-Unis et Israël lancent les opérations Epic Fury et Roaring Lion contre l'Iran. En quinze jours, le conflit produit l'effondrement délibéré de l'internet iranien à 1-4 % de connectivité pendant plus de 216 heures, le hack de l'application de prière BadeSaba (5 millions d'utilisateurs), le détournement de l'agence IRNA, et la frappe physique des quartiers généraux cyber de l'IRGC à Téhéran.
Côté iranien, plus de 60 groupes hacktivist s'activent dès J+3, dont le groupe pro-russe NoName057(16) qui rejoint la coalition sous le banner #OpIsrael. MuddyWater (MOIS) révèle des backdoors pré-positionnés depuis début février dans une banque américaine, un aéroport et une filiale israélienne d'un éditeur logiciel défense, via deux nouveaux implants : Dindoor et Fakeset. Le 12 mars, Handala revendique un wiper attack contre Stryker, fabricant américain de dispositifs médicaux, qui confirme une perturbation globale de son environnement Microsoft.
Le Koweït, la Jordanie, Bahreïn, les Émirats et le Qatar figurent parmi les cibles secondaires documentées. La France est directement concernée : la FAD Team a exfiltré des données d'établissements français via une campagne d'injection SQL globale.
Cet épisode spécial couvre la chronologie complète jour par jour, le portrait des 15 groupes actifs, les TTPs référencées MITRE ATT&CK, le périmètre géographique et sectoriel, ainsi que les recommandations défensives issues des advisories CISA, FBI, NSA et CCCS.
Sources :
Axios – Iran war, Trump, Israel, AI, cyberattack : https://www.axios.com/2026/03/11/iran-war-trump-israel-ai-cyberattack
SOCRadar – Live Iran-Israel Cyber Conflict Dashboard : https://socradar.io/iran-israel-cyber-conflict-dashboard/
SOCRadar – Blog Operation Epic Fury : https://socradar.io/blog/cyber-reflections-us-israel-iran-war/
CSIS – How Will Cyber Warfare Shape the US-Israel Conflict with Iran : https://www.csis.org/analysis/how-will-cyber-warfare-shape-us-israel-conflict-iran
Centre canadien pour la cybersécurité (CCCS) : https://www.cyber.gc.ca/en/guidance/cyber-threat-bulletin-iranian-cyber-threat-response-usisrael-strikes-february-2026
Palo Alto Networks Unit 42 – Threat Brief March 2026 : https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
Sophos – Cyber Advisory Increased Cyber Risk : https://www.sophos.com/en-us/blog/cyber-advisory-increased-cyber-risk-amid-u-s-israel-iran-escalation
Industrial Cyber – Cyber retaliation surges : https://industrialcyber.co/reports/cyber-retaliation-surges-after-us-israel-strikes-on-iran-as-hacktivists-hit-governments-defense-critical-sectors/
CloudSEK – Middle East Escalation Situation Report : https://www.cloudsek.com/blog/middle-east-escalation-israel-iran-us-cyber-war-2026
Flare.io – Monitoring Cyberattacks US-Israel-Iran Military Conflict : https://flare.io/learn/resources/blog/cyberattacks-us-israel-iran-military-conflict
Flashpoint – Escalation in the Middle East Operation Epic Fury : https://flashpoint.io/blog/escalation-in-the-middle-east-operation-epic-fury/
The Hacker News – MuddyWater Dindoor Backdoor : https://thehackernews.com/2026/03/iran-linked-muddywater-hackers-target.html
ICT – Operation Epic Fury SITREP 10 mars 2026 : https://ict.org.il/operation-epic-fury-sitrep-10-mar-2026/
AttackIQ – Defending Against Iranian Cyber Threats : https://www.attackiq.com/2026/03/05/operation-epic-fury/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com