RadioCSIRT - Edition Française

Bienvenue sur votre podcast quotidien de cybersécurité.Avant d’entrer dans l’actualité, je vous adresse mes meilleurs vœux pour cette nouvelle année 2026. Merci à toutes celles et ceux qui suivent RadioCSIRT au quotidien. Le podcast a désormais dépassé les 800.000 écoutes , toutes plateformes confondues, depuis son lancement sans publicité juste grâce à vous. Merci à vous toutes et vous tous qui font de cette aventure un moment de folie dans notre univers impitoyable. Nous ouvrons cette édition avec un avis publié par le CERT-FR le 31 décembre 2025 concernant de multiples vulnérabilités affectant les serveurs de périphériques Moxa NPort. Référencé CERTFR-2025-AVI-1142, cet avis indique que certaines vulnérabilités permettent une élévation de privilèges, un déni de service à distance ainsi qu’une atteinte à l’intégrité et à la confidentialité des données. Les systèmes concernés incluent l’ensemble des équipements NPort série 5000 en l’absence de protection d’accès physique, ainsi que les NPort 6100 dans des versions antérieures à la 1.1.0. Ces vulnérabilités sont documentées dans plusieurs bulletins de sécurité publiés par l’éditeur Moxa et sont associées à plusieurs identifiants CVE.Nous poursuivons avec une information relayée par BleepingComputer concernant l’interdiction explicite de certains dispositifs matériels lors de l’inauguration du maire de New York prévue en 2026. Parmi les objets interdits figurent notamment le Flipper Zero et le Raspberry Pi. Ces dispositifs, capables d’interagir avec des protocoles RFID, NFC, Bluetooth, infrarouge ou radio, sont couramment utilisés pour l’analyse de protocoles et les tests de sécurité. Leur mention spécifique dans la liste des objets prohibés illustre la perception croissante de ces outils comme des dispositifs techniquement sensibles dans des environnements soumis à de fortes contraintes de sécurité.Nous terminons cette édition avec un incident affectant des infrastructures critiques de télécommunications en Europe du Nord. Selon The Record, les autorités finlandaises ont annoncé la saisie d’un navire soupçonné d’avoir endommagé un câble de télécommunications sous-marin en mer Baltique. Le défaut a été détecté sur un câble appartenant à l’opérateur Elisa, traversant la zone économique exclusive de l’Estonie, avec des dommages également signalés sur un câble exploité par l’opérateur suédois Arelion. Les premières constatations indiquent que le navire suspect circulait avec sa chaîne d’ancre immergée, un mécanisme déjà observé lors d’incidents similaires impliquant des câbles sous-marins dans la région.Sources:CERT-FR – Multiples vulnérabilités dans Moxa NPort : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1142/BleepingComputer – NYC mayoral inauguration bans Flipper Zero, Raspberry Pi devices : https://www.bleepingcomputer.com/news/security/nyc-mayoral-inauguration-bans-flipper-zero-raspberry-pi-devices/The Record – Finland seizes ship suspected of damaging undersea cable : https://therecord.media/finland-seizes-ship-suspected-damaging-undersea-cableOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition avec une alerte publiée par la CISA le 29 décembre 2025 concernant l’ajout d’une nouvelle vulnérabilité activement exploitée au catalogue Known Exploited Vulnerabilities. La vulnérabilité référencée CVE-2025-14847 affecte MongoDB et MongoDB Server et concerne une gestion incorrecte des incohérences liées aux paramètres de longueur. Ce type de vulnérabilité constitue un vecteur d’attaque fréquent et représente un risque significatif pour les systèmes exposés. Dans le cadre de la directive opérationnelle BOD 22-01, les agences fédérales américaines sont tenues de corriger cette vulnérabilité dans les délais impartis. La CISA recommande également à l’ensemble des organisations de prioriser la remédiation des vulnérabilités listées dans le catalogue KEV dans leurs processus de gestion des vulnérabilités.Nous poursuivons avec la découverte d’un nouveau service cybercriminel baptisé ErrTraffic, analysé par Hudson Rock et relayé par BleepingComputer. ErrTraffic permet d’automatiser les attaques de type ClickFix en générant de faux dysfonctionnements visuels sur des sites web compromis. Le service fonctionne comme un système de distribution de trafic auto-hébergé, vendu pour un paiement unique de 800 dollars et promu sur des forums russophones. Il repose sur la modification dynamique du DOM afin d’afficher des anomalies telles que du texte corrompu, de fausses mises à jour de navigateur ou des erreurs système. Les victimes sont incitées à exécuter des commandes copiées automatiquement dans le presse-papiers, conduisant au téléchargement de charges malveillantes comme Lumma, Vidar, Cerberus ou AMOS, selon le système ciblé.Nous terminons cette édition avec le seizième anniversaire de KrebsOnSecurity.com, publié le 29 décembre 2025. L’année 2025 a été marquée par des enquêtes approfondies sur les infrastructures facilitant le cybercrime à grande échelle, notamment les hébergeurs bulletproof, les services financiers complaisants et les réseaux de diffusion criminels. Le site revient sur plusieurs dossiers majeurs, dont les sanctions européennes contre Stark Industries Solutions Ltd., l’amende record infligée à Cryptomus par les autorités canadiennes, les conséquences de la fuite LastPass de 2022, ainsi que l’évolution des campagnes de phishing, de smishing et des botnets géants. Une attention particulière est portée aux botnets Aisuru et Kimwolf, ce dernier étant décrit comme le plus vaste botnet connu à ce jour avec environ 1,83 million d’appareils compromis.SourceCISA – CISA Adds One Known Exploited Vulnerability to Catalog :https://www.cisa.gov/news-events/alerts/2025/12/29/cisa-adds-one-known-exploited-vulnerability-catalogBleepingComputer – New ErrTraffic service enables ClickFix attacks via fake browser glitches :https://www.bleepingcomputer.com/news/security/new-errtraffic-service-enables-clickfix-attacks-via-fake-browser-glitches/KrebsOnSecurity – Happy 16th Birthday, KrebsOnSecurity.com! :https://krebsonsecurity.com/2025/12/happy-16th-birthday-krebsonsecurity-com/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition avec une analyse publiée par FIRST point org le 29 décembre 2025, présentant le bilan annuel des prévisions de vulnérabilités pour l'année 2025. L'article, rédigé par Éireann Leverett, confirme la validation des prévisions du projet Vuln4Cast avec 49 183 CVEs publiées au 29 décembre, se situant dans l'intervalle de confiance de 41 142 à 49 868 CVEs établi en février 2025. La MAPE de 1 virgule 39 pour cent par rapport à la borne supérieure démontre une excellente précision des modèles de prévision.Les prévisions trimestrielles pour Q4 2025 sont également validées avec 12 359 CVEs publiées, dans l'intervalle de confiance de 11 815 à 14 129 CVEs. Cette précision inférieure à 5% démontre que les prévisions trimestrielles sont suffisamment fiables pour la planification opérationnelle des équipes de patch management, SOC et CERT.L'article souligne l'expansion de l'écosystème de prévision des vulnérabilités avec CVEForecast point org développé par Jerry Gamblin chez Cisco utilisant XGBoost, et la plateforme Vulnerability-Lookup de CIRCL Luxembourg qui ajoute le suivi des observations et des statistiques complètes. Les développements futurs porteront sur la prévision des distributions par fournisseur, des vecteurs CVSS, des CWEs et de l'exploitabilité des vulnérabilités. Des améliorations sont en cours dans six domaines : analyse des causes racines CWE, prédiction d'exploits, prédiction d'exploitation, prévision par CNA, prévision des vecteurs CVSS et prédiction des scores CVSS.FIRST annonce la conférence VulnOptiCon 2026 au Luxembourg, hébergée par CIRCL, pour permettre à la communauté de partager les méthodologies et faire progresser collectivement la science de l'exposition et la sécurité prédictive.SourceFIRST – Bilan annuel des prévisions de vulnérabilités 2025 : https://www.first.org/blog/20251229-Vulnerability-Forecast-ReviewOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par plusieurs avis de sécurité publiés par le CERT-FR concernant des vulnérabilités critiques affectant des composants majeurs de l’écosystème Linux et des environnements d’entreprise. Les bulletins portent notamment sur Ubuntu, Red Hat et des produits IBM, exposés à des failles permettant des élévations de privilèges, des exécutions de code arbitraire ou des atteintes à la confidentialité. Ces vulnérabilités concernent des composants largement déployés dans les infrastructures serveurs et cloud, soulignant l’importance d’une gestion rigoureuse des correctifs dans les environnements critiques.Nous analysons ensuite une vulnérabilité affectant le webmail Roundcube, référencée CVE-2025-68461. Cette faille permet à un attaquant distant d’exploiter des mécanismes de traitement des entrées utilisateur afin de compromettre la sécurité des sessions ou d’exécuter du code malveillant dans le contexte de l’utilisateur ciblé. Compte tenu de la large adoption de Roundcube dans les infrastructures de messagerie, cette vulnérabilité représente un risque significatif pour les organisations exposées sur Internet.Enfin, nous revenons sur une vulnérabilité de sécurité corrigée par Microsoft, identifiée sous la référence CVE-2025-13699. Cette faille affecte un composant du système Windows et peut être exploitée pour contourner des mécanismes de sécurité ou obtenir des privilèges élevés. Microsoft a publié des correctifs dans le cadre de son guide de mises à jour, et recommande une application rapide afin de réduire les risques d’exploitation active.SourcesCERT-FR – Vulnérabilités Ubuntu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/CERT-FR – Vulnérabilités Red Hat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/CERT-FR – Vulnérabilités produits IBM : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/Vulnérabilité Roundcube – CVE-2025-68461 : https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26Microsoft – CVE-2025-13699 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par une affaire mêlant cybercriminalité et renseignement en Europe de l’Est. En Géorgie, l’ancien chef du contre-espionnage a été arrêté dans le cadre d’une enquête portant sur des centres d’escroquerie opérant à grande échelle. Les autorités le soupçonnent d’avoir facilité ou couvert des activités frauduleuses structurées, notamment des opérations de type scam centers visant des victimes internationales, illustrant une nouvelle fois l’imbrication entre criminalité organisée, corruption et cyberfraude.Nous analysons ensuite une campagne de phishing ciblant les utilisateurs de cryptomonnaies via de faux courriels se faisant passer pour Grubhub. Les messages promettent un rendement multiplié par dix sur des cryptomonnaies envoyées par les victimes. Les fonds transférés sont immédiatement redirigés vers des portefeuilles contrôlés par les attaquants, sans possibilité de récupération, démontrant une exploitation classique mais toujours efficace de l’ingénierie sociale appliquée aux actifs numériques.Enfin, nous revenons sur une opération attribuée à Evasive Panda, un groupe lié à la Chine, qui a mené des activités d’espionnage via une infrastructure DNS détournée. Les attaquants ont utilisé des techniques avancées de résolution DNS et de redirection de trafic afin de déployer des charges malveillantes furtives, tout en contournant plusieurs mécanismes de détection réseau. Cette campagne illustre l’évolution continue des TTP des groupes APT dans le domaine du cyberespionnage étatique.SourcesArrestation en Géorgie – centres d’escroquerie :https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centersCampagne de phishing crypto – faux emails Grubhub :https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/APT Evasive Panda – infrastructure DNS malveillante :https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com