RadioCSIRT - Edition Française

Nous ouvrons cette édition avec l'alerte critique de la CISA concernant les systèmes industriels Yokogawa FAST/TOOLS. Quatorze vulnérabilités, dont le score CVSS atteint 8.2, exposent les secteurs de l'énergie et de la fabrication à des risques majeurs de Path Traversal et de détournement de sessions. Selon le rapport ICSA-26-041-01, l'absence de contrôles d'intégrité sur certains Endpoints et l'utilisation d'algorithmes cryptographiques obsolètes permettent à des attaquants distants de mener des opérations de Man-in-the-Middle et d'exécuter des Payloads malveillants au cœur des réseaux OT.
L'actualité se poursuit avec le Patch Day massif de SAP. Le bulletin de sécurité AV26-107 détaille des correctifs critiques pour SAP S/4HANA, NetWeaver AS ABAP et BusinessObjects. Les vulnérabilités CVE-2026-0488 et CVE-2026-0509 sont particulièrement surveillées car elles affectent le Scripting Editor et les mécanismes de gestion de la Supply Chain. Le Centre canadien pour la cybersécurité exhorte les administrateurs à prioriser la mise à jour des instances SAP_BASIS pour prévenir toute compromission de l'intégrité des données d'entreprise.
Sur le front des infrastructures réseau, l'écosystème Fortinet fait face à deux failles majeures d'authentification. La première, CVE-2026-22153, concerne un Authentication Bypass dans FortiOS impactant les VPN Agentless et les politiques FSSO. Parallèlement, le PSIRT de l'éditeur signale la CVE-2026-21743 au sein de FortiAuthenticator, où un défaut d'autorisation (CWE-862) permet à un utilisateur en lecture seule de modifier des comptes locaux via un File Upload non sécurisé. Ces vecteurs facilitent une escalade de privilèges critique pour quiconque accède aux interfaces de gestion.
Enfin, nous abordons les réflexions du NCSC britannique sur l'évolution du Vulnerability Management. Alors que la CISA publie de nouvelles directives pour contrer le Spam et le Harvesting d'adresses via les messages HTML, les experts du NCSC plaident pour une approche basée sur le risque réel plutôt que sur le simple score CVSS. L'objectif est d'optimiser la remédiation en se concentrant sur les vulnérabilités exploitables en conditions réelles, tout en renforçant la segmentation des identités pour limiter l'efficacité des campagnes d'ingénierie sociale automatisées.
Sources :
CISA – ICS Advisory Yokogawa FAST/TOOLS (ICSA-26-041-01) : https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-01
Centre canadien pour la cybersécurité – Bulletin SAP (AV26-107) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-sap-correctif-cumulatif-mensuel-fevrier-2026-av26-107
CVEFeed – Fortinet FortiOS Authentication Bypass (CVE-2026-22153) : https://cvefeed.io/vuln/detail/CVE-2026-22153
CVEFeed – FortiAuthenticator Missing Authorization (CVE-2026-21743) : https://cvefeed.io/vuln/detail/CVE-2026-21743
NCSC – Improving your response to vulnerability management : https://www.ncsc.gov.uk/blog-post/improving-your-response-to-vulnerability-management
CISA – Reducing Spam and Cybersecurity Best Practices : https://www.cisa.gov/news-events/news/reducing-spam
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les révélations de Huntress Security sur l'exploitation active des vulnérabilités critiques de SolarWinds Web Help Desk. Les attaquants ciblent les failles CVE-2025-40551 et CVE-2025-26399 pour obtenir une exécution de code à distance via la désérialisation de données Java non fiables. Une fois l'accès initial établi, les opérateurs déploient des outils légitimes détournés, tels que l'agent Zoho ManageEngine et le framework de forensic Velociraptor, orchestrés via des tunnels Cloudflare. Ces intrusions, également observées par Microsoft, visent des infrastructures stratégiques pour mener des opérations de reconnaissance dans l'Active Directory.
L'actualité se poursuit avec l'annonce par la Commission européenne d'une intrusion cybernétique majeure ayant ciblé son infrastructure de gestion des terminaux mobiles. Détectée par le CERT-EU, l'attaque est liée à l'exploitation de failles critiques dans les solutions Ivanti Endpoint Manager Mobile (CVE-2026-1281 et CVE-2026-1340). Si la Commission affirme que l'incident a été contenu en moins de neuf heures sans compromission directe des appareils, les attaquants ont pu accéder aux noms et numéros de téléphone du personnel, s'inscrivant dans une vague d'attaques similaires frappant plusieurs institutions gouvernementales aux Pays-Bas et en Finlande.
Sur le front de l'espionnage, le groupe APT UNC3886, lié aux intérêts chinois, a mené une campagne sophistiquée contre le secteur des télécommunications à Singapour. L'agence de cybersécurité nationale, la CSA, rapporte que les quatre opérateurs majeurs ont été infiltrés via l'utilisation d'exploits Zero-Day et le déploiement de rootkits furtifs. L'adversaire s'est concentré sur les équipements réseau et les environnements de virtualisation VMware ESXi, parvenant à exfiltrer des données techniques critiques pour cartographier les infrastructures stratégiques de la cité-État.
Enfin, nous revenons sur les défis posés par les compilateurs modernes à la cryptographie. Lors du FOSDEM 2026, le mainteneur de la bibliothèque Botan a démontré comment les optimisations agressives de GCC 15.2 neutralisent les implémentations en temps constant destinées à prévenir les Side-Channel Attacks. En tentant de supprimer les branchements conditionnels, le compilateur réintroduit par inadvertance des vulnérabilités de timing, forçant les développeurs à utiliser de l'Inline Assembly pour masquer la logique de sécurité face à l'optimiseur.
Sources
BleepingComputer – Threat actors exploit SolarWinds WHD flaws : https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/
Hackread – Cyber Attack Hits European Commission : https://hackread.com/cyber-attack-european-commission-staff-mobile-systems/
The Hacker News – UNC3886 Targets Singapore Telecom : https://thehackernews.com/2026/02/china-linked-unc3886-targets-singapore.html
The Register – How GCC became the Clippy of cryptography : https://www.theregister.com/2026/02/09/compilers_undermine_encryption/
ZDNET – Linux, le socle invisible de l'IA moderne : https://www.zdnet.fr/actualites/cet-os-alimente-discretement-toute-lia-ainsi-que-la-plupart-des-futurs-emplois-delit-489808.htm
The Verge – Substack data breach exposed users' data : https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les révélations de The Hacker News sur la sécurisation critique de l'écosystème OpenClaw. Face à la prolifération de skills malveillants sur sa marketplace ClawHub, la plateforme intègre désormais les capacités de VirusTotal Code Insight pour analyser chaque brique logicielle via leur empreinte SHA-256. Malgré cette mesure, les chercheurs alertent sur la persistance de vecteurs d'attaques par injection de prompts indirects et la découverte de plus de 30 000 instances exposées sur le port 18789, transformant potentiellement ces agents IA en véritables chevaux de Troie pour l'exfiltration de données d'entreprise.
L'actualité se poursuit avec le démantèlement par Cisco Talos du framework DKnife, un toolkit d'interception de haut vol utilisé par des acteurs liés à la Chine depuis 2019. Opérant directement au niveau des routeurs et des edge devices, ce framework utilise le Deep Packet Inspection pour détourner les mises à jour légitimes Windows et Android au profit de backdoors comme ShadowPad. DKnife se distingue par une capacité d'évasion active, capable d'identifier et de neutraliser les flux des solutions antivirus via l'injection de paquets TCP RST, compromettant ainsi l'intégrité de la couche réseau dès le périmètre.
Sur le front des vulnérabilités, le Centre canadien pour la cybersécurité relaie un avis critique concernant le scanner Nessus de Tenable. Les versions 10.10.1 et 10.11.1 ainsi que leurs itérations antérieures sont affectées par plusieurs failles de sécurité. Les administrateurs de SOC et les équipes de gestion des vulnérabilités sont invités à procéder sans délai à la mise à jour vers les versions 10.10.2 et 10.11.2 pour garantir la fiabilité de leurs campagnes de scan.
Enfin, nous revenons sur les défis de la Shadow AI. Le déploiement massif d'outils agentiques comme OpenClaw, souvent sans validation des directions informatiques, crée une surface d'attaque hybride où le prompt devient l'instruction d'exécution, rendant les outils de monitoring traditionnels inopérants face à des modèles capables d'interpréter le langage naturel pour contourner les politiques de sécurité.
Sources
The Hacker News – OpenClaw Integrates VirusTotal : https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html
Security Affairs – DKnife toolkit abuses routers : https://securityaffairs.com/187716/malware/dknife-toolkit-abuses-routers-to-spy-and-deliver-malware-since-2019.html
Cyber.gc.ca – Bulletin de sécurité Tenable (AV26-095) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-tenable-av26-095
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les Jeux Olympiques d'hiver de Milano Cortina, qui font face à une vague de cyberattaques attribuées à la Russie. Selon The Register, le ministre italien des Affaires étrangères confirme le ciblage de bureaux diplomatiques et d'infrastructures olympiques. La posture défensive de l'événement est par ailleurs fragilisée par des tensions Supply Chain : le CEO de Cloudflare menace de retirer ses services de protection pro bono suite à un différend réglementaire avec les autorités italiennes.
L’actualité se poursuit en France avec une affaire d'espionnage en Gironde révélée par ZDNet. Deux ressortissants chinois ont été mis en examen pour avoir opéré une station d'interception clandestine depuis une location Airbnb. L'équipement saisi, signalé par une antenne parabolique massive, était conçu pour le Sniffing de communications sur le réseau Starlink et l'interception de fréquences militaires, matérialisant une menace directe sur la couche physique des communications satellitaires.
Sur le front des vulnérabilités, le CERT-FR a publié deux avis critiques. Le premier concerne la solution VoIP Asterisk, affectée par des failles permettant la Remote Code Execution (RCE) et l'Escalation of Privileges. Le second alerte sur le noyau Linux de Red Hat, où une trentaine de CVE ont été corrigées pour prévenir, entre autres, des risques de Denial of Service et d'atteinte à l'intégrité des données sur les architectures x86_64, ARM et IBM z Systems.
Enfin, Microsoft annonce la disponibilité de SQL Server 2025 sur Ubuntu 24.04 LTS, introduisant de nouvelles Dynamic Management Views pour l'observabilité et le support natif des vecteurs pour l'IA. 
Nous terminons sur une note structurelle : une tribune rappelle l'urgence de la formation, citant une hausse de 15 % des incidents traités par l'ANSSI en 2024, dans un contexte de pénurie mondiale estimée à 4,8 millions de professionnels.
Sources 
The Register – Winter Olympics Russian attacks : https://www.theregister.com/2026/02/05/winter_olympics_russian_attacks/
ZDNet – Station d’interception clandestine en Gironde : https://www.zdnet.fr/actualites/station-dinterception-clandestine-dans-un-airbnb-en-gironde-deux-citoyens-chinois-mis-en-examen-489660.htm
CERT-FR – Avis Asterisk : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0123/
CERT-FR – Avis Red Hat Linux Kernel : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0130/
Ubuntu – SQL Server 2025 GA : https://ubuntu.com//blog/sql-server-2025-ubuntu-24-04-lts
GoodTech – Pénurie d'experts cyber : https://goodtech.info/pourquoi-il-faut-former-massivement-les-futurs-experts-cyber-francais/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une analyse publiée par KrebsOnSecurity sur le groupe d’extorsion Scattered Lapsus ShinyHunters. Les chercheurs décrivent un acteur cybercriminel instable combinant vol de données, social engineering et campagnes de harcèlement ciblant directement dirigeants et familles. Contrairement aux groupes de ransomware structurés, SLSH abuse de canaux Telegram, de menaces physiques, de swatting, de DDoS et de pression médiatique, sans garantie de suppression des données volées. L’article met en lumière des intrusions récentes basées sur du voice phishing MFA et l’enrôlement frauduleux de devices, selon des observations confirmées par Mandiant et Unit 221B.
L’actualité se poursuit en Europe, où la Commission européenne annonce que TikTok s’expose à une sanction majeure pour non-respect du Digital Services Act. Bruxelles estime que des mécanismes d’addictive design — infinite scroll, autoplay, push notifications et personalized recommendation systems — favorisent des usages compulsifs, notamment chez les mineurs. En cas de confirmation, l’amende pourrait atteindre 6 % du chiffre d’affaires mondial de la plateforme, dans un contexte de sanctions européennes répétées.
En Allemagne, les autorités de sécurité intérieure alertent sur des campagnes de compromission de comptes Signal visant des profils sensibles. Selon le BfV et le BSI, des attaquants, soupçonnés d’être étatiques, exploitent exclusivement du social engineering et des fonctionnalités légitimes comme le linked-device pairing par QR code, sans malware ni exploitation de vulnérabilités, afin d’accéder aux conversations et contact lists de responsables politiques, militaires et journalistes.
Enfin, la CISA annonce l’ajout de deux vulnérabilités activement exploitées à son Known Exploited Vulnerabilities Catalog. Sont concernées CVE-2025-11953, une OS Command Injection dans React Native Community CLI, et CVE-2026-24423, une faille de Missing Authentication for Critical Function affectant SmarterTools SmarterMail. Ces failles sont considérées comme des vecteurs d’attaque à haut risque pour les environnements institutionnels.
Sources
CISA – Known Exploited Vulnerabilities Catalog : https://www.cisa.gov/news-events/alerts/2026/02/05/cisa-adds-two-known-exploited-vulnerabilities-catalog
BleepingComputer – Signal account hijacking : https://www.bleepingcomputer.com/news/security/germany-warns-of-signal-account-hijacking-targeting-senior-figures/
BleepingComputer – TikTok et le Digital Services Act : https://www.bleepingcomputer.com/news/security/european-commission-says-tiktok-facing-fine-over-addictive-design/
KrebsOnSecurity – Scattered Lapsus ShinyHunters : https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com