RadioCSIRT - Edition Française

Nous ouvrons cette édition avec l'ajout par la CISA d'une nouvelle vulnérabilité à son catalogue Known Exploited Vulnerabilities. La CVE-2026-1731, une faille de type OS Command Injection, affecte les produits BeyondTrust Remote Support et Privileged Remote Access. Activement exploitée dans la nature, elle s'ajoute aux quatre entrées référencées la veille, dont la CVE-2025-15556 ciblant Notepad++ et la CVE-2026-20700 visant Apple. La Binding Operational Directive 22-01 impose aux agences fédérales américaines de corriger les vulnérabilités inscrites au catalogue dans les délais prescrits.
L'actualité se poursuit avec la publication par le Google Threat Intelligence Group d'un rapport documentant une campagne d'extraction massive visant le modèle Gemini. Plus de cent mille requêtes ont été soumises au modèle dans le cadre d'une attaque par distillation, visant à reproduire sa logique interne via des accès API légitimes. D'après The Register, le groupe APT31, également connu sous les noms Violet Typhoon et Zirconium et attribué à la Chine, a utilisé Gemini pour planifier des cyberattaques contre des organisations américaines. Les requêtes portaient sur l'analyse de vulnérabilités d'exécution de code à distance et le contournement de Web Application Firewalls. Le rapport souligne que d'autres acteurs étatiques liés à l'Iran, à la Corée du Nord et à la Russie expérimentent également l'usage de Gemini à différents stades du cycle offensif.
Enfin, l'interpellation le 10 février d'un intérimaire de 19 ans sur le site Dassault Aviation de Cergy illustre la menace que représentent les objets connectés discrets pour la sûreté des installations industrielles sensibles. Selon RTL et l'AFP, l'homme, monteur-câbleur sur la chaîne d'assemblage du Rafale, portait des lunettes Ray-Ban Meta équipées d'une caméra. Placé en garde à vue pour atteinte aux intérêts fondamentaux de la Nation, il a été libéré le 12 février sans qu'aucune utilisation malveillante n'ait été établie. L'affaire, suivie par la DGSI, pose la question du contrôle d'accès physique et de la politique BYOD dans les environnements liés à la défense nationale.
Sources :
CISA – CISA Adds One Known Exploited Vulnerability to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/13/cisa-adds-one-known-exploited-vulnerability-catalog
01net – Cyberattaques chinoises sur Gemini : Google s'attend à un coup dur : https://www.01net.com/actualites/cyberattaques-chinoises-gemini-google-sattend-co
ZDNet France – Lunettes connectées au travail : pourquoi un simple gadget peut vous mener en garde à vue : https://www.zdnet.fr/actualites/lunettes-connectees-au-travail-pourquoi-un-simple-gadget-peut-vous-mener-en-garde-a-vue-490077.htm
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec le dernier rapport de Group-IB, qui décrit comment les attaques par Supply Chain alimentent désormais une économie cybercriminelle auto-renforçante. La compromission de packages Open Source nourrit la distribution de Malware et le vol de credentials, tandis que l'abus de protocoles OAuth permet de compromettre des environnements SaaS et des pipelines CI/CD. Le Ransomware et l'extorsion interviennent en fin de chaîne, capitalisant sur les accès obtenus en amont. Plusieurs incidents récents illustrent cette dynamique, dont le worm NPM Shai-Hulud, l'affaire Salesloft et le Package Poisoning OpenClaw. Group-IB anticipe une accélération de ces attaques grâce à des outils assistés par intelligence artificielle.
L'actualité se poursuit avec la compromission massive de l'opérateur télécom néerlandais Odido, affectant six virgule deux millions de comptes clients. Les attaquants ont exfiltré des noms, adresses, coordonnées bancaires, dates de naissance et numéros de pièce d'identité depuis un système de contact client. La filiale Ben a également alerté ses propres clients. Détectée le week-end dernier, la compromission a été notifiée à l'autorité néerlandaise de protection des données. Aucun détail technique sur le vecteur d'attaque n'a été communiqué.
Un nouvel outil Open Source de Credential Testing baptisé Brutus fait son apparition sur GitHub. Écrit en Go sous forme de binaire unique sans dépendance, il prend en charge vingt-deux protocoles et embarque les collections de SSH Bad Keys de Rapid7 et HashiCorp Vagrant. Sa fonctionnalité expérimentale d'AI-Powered Credential Discovery combine vision par intelligence artificielle et Headless Browser pour identifier et tester automatiquement les Default Credentials de panneaux d'administration web non répertoriés.
Le groupe DragonForce poursuit son expansion en tant que fournisseur de Ransomware-as-a-Service, totalisant trois cent soixante-trois victimes revendiquées sur son Data Leak Site depuis décembre 2023, avec un pic à trente-cinq victimes en décembre 2025. S'appuyant sur du code fuité de LockBit 3.0 et Conti, le groupe propose des Payloads personnalisés via son service RansomBay et se distingue par une stratégie agressive envers ses concurrents, ayant défacé le site de BlackLock et revendiqué l'infrastructure de RansomHub.
Microsoft a corrigé un bug dans son service de contrôle parental Family Safety qui empêchait le lancement de Google Chrome et d'autres navigateurs sous Windows 10 22H2 et Windows 11 22H2 ou versions ultérieures. Le problème, reconnu fin juin 2025, a été résolu par un correctif côté serveur déployé début février 2026, près de huit mois après les premiers signalements.
Enfin, Cisco transfère son framework de sécurité Project CodeGuard à la Coalition for Secure AI hébergée par OASIS Open. Ce framework agnostique intègre des règles de sécurité directement dans les workflows des assistants de codage IA, compatible avec Cursor, GitHub Copilot, Windsurf et Claude Code. CoSAI rassemble désormais plus de quarante partenaires dont Google, Anthropic, OpenAI, NVIDIA, Microsoft et Amazon.
Sources :
The Register – Supply chain attacks now fuel a 'self-reinforcing' cybercrime economy : https://www.theregister.com/2025/02/12/supply_chain_attacks_fuel_cybercrime/
Security Affairs – Odido confirms massive breach; 6.2 Million customers impacted : https://securityaffairs.com/174491/data-breach/odido-confirms-massive-breach.html
Help Net Security – Brutus: Open-source credential testing tool for offensive security : https://www.helpnetsecurity.com/2026/02/13/brutus-open-source-credential-testing-tool/
Cyber Security News – DragonForce Ransomware Group Targets 363 Companies in Strategic Expansion : https://cybersecuritynews.com/dragonforce-ransomware-group/
BleepingComputer – Microsoft fixes bug that blocked Google Chrome from launching : https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bug-that-blocked-google-chrome-from-launching/
LeBigData – Cisco offre son framework de sécurité CodeGuard à la CoSAI d'OASIS : https://www.lebigdata.fr/cisco-codeguard-cosai-oasis/ 
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les travaux du chercheur Wietze Beukema, présentés lors du Wild West Hackin' Fest. Quatre techniques inédites de manipulation des fichiers raccourcis Windows LNK permettent de falsifier intégralement la cible affichée dans les propriétés du fichier tout en exécutant un programme entièrement différent. La variante la plus critique exploite la structure EnvironmentVariableDataBlock pour afficher une cible fictive tout en lançant PowerShell ou toute autre commande malveillante. Soumises au Microsoft Security Response Center, ces failles ont été rejetées au motif qu'elles ne franchissent pas de Security Boundary. Le parallèle avec le CVE-2025-9491, exploité en Zero-Day par au moins onze groupes APT dont Evil Corp, APT37, Kimsuky et Mustang Panda, souligne la persistance de ce vecteur d'attaque.
L'actualité se poursuit avec la perturbation massive du réseau d'anonymisation I2P par le botnet IoT Kimwolf. Selon KrebsOnSecurity, les opérateurs du botnet ont tenté de connecter environ 700 000 dispositifs infectés comme nœuds sur un réseau qui ne compte habituellement que 15 000 à 20 000 participants actifs, provoquant une Sybil Attack d'envergure. D'après Benjamin Brundage, fondateur de Synthient, l'objectif est de bâtir une infrastructure Command and Control résiliente face aux tentatives de Takedown. Le réseau I2P fonctionne actuellement à la moitié de sa capacité normale, tandis que des dissensions internes chez Kimwolf ont entraîné la perte de plus de 600 000 systèmes infectés.
Enfin, la CISA a ajouté quatre nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, sur la base de preuves d'exploitation active. Parmi elles, la CVE-2024-43468, une SQL Injection dans Microsoft Configuration Manager, la CVE-2025-15556, un défaut de vérification d'intégrité dans Notepad++, la CVE-2025-40536, un Security Control Bypass dans SolarWinds Web Help Desk, et la CVE-2026-20700, de multiples Buffer Overflow affectant des produits Apple. Leur inscription au catalogue KEV impose aux agences fédérales américaines l'application des correctifs selon les délais de la directive BOD 22-01.
Sources :
BleepingComputer – Microsoft: New Windows LNK spoofing issues aren't vulnerabilities : https://www.bleepingcomputer.com/news/microsoft/microsoft-new-windows-lnk-spoofing-issues-arent-vulnerabilities/
KrebsOnSecurity – Kimwolf Botnet Swamps Anonymity Network I2P : https://krebsonsecurity.com/2026/02/kimwolf-botnet-swamps-anonymity-network-i2p/
CISA – Known Exploited Vulnerabilities Catalog Update : https://www.cisa.gov/news-events/alerts/2026/02/12/cisa-adds-four-known-exploited-vulnerabilities-catalog
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

6 zero-day activement exploitées. 58 correctifs. Des failles GitHub Copilot déclenchables par prompt injection. Un deuxième zero-day Desktop Window Manager en deux mois. Un exploit professionnel découvert dans un dépôt de malware par ACROS Security. Une élévation de privilèges Remote Desktop identifiée par CrowdStrike.
Dans cet épisode, analyse factuelle et complète du Patch Tuesday de février 2026, des vulnérabilités critiques Azure aux recommandations opérationnelles pour les équipes CERT, CSIRT et SOC.
Article complet sur le blog :
https://blog.marcfredericgomez.fr/patch-tuesday-de-fevrier-2026/
Restez à l'écoute, restez protégés.

Nous ouvrons cette édition avec l'alerte critique de la CISA concernant les systèmes industriels Yokogawa FAST/TOOLS. Quatorze vulnérabilités, dont le score CVSS atteint 8.2, exposent les secteurs de l'énergie et de la fabrication à des risques majeurs de Path Traversal et de détournement de sessions. Selon le rapport ICSA-26-041-01, l'absence de contrôles d'intégrité sur certains Endpoints et l'utilisation d'algorithmes cryptographiques obsolètes permettent à des attaquants distants de mener des opérations de Man-in-the-Middle et d'exécuter des Payloads malveillants au cœur des réseaux OT.
L'actualité se poursuit avec le Patch Day massif de SAP. Le bulletin de sécurité AV26-107 détaille des correctifs critiques pour SAP S/4HANA, NetWeaver AS ABAP et BusinessObjects. Les vulnérabilités CVE-2026-0488 et CVE-2026-0509 sont particulièrement surveillées car elles affectent le Scripting Editor et les mécanismes de gestion de la Supply Chain. Le Centre canadien pour la cybersécurité exhorte les administrateurs à prioriser la mise à jour des instances SAP_BASIS pour prévenir toute compromission de l'intégrité des données d'entreprise.
Sur le front des infrastructures réseau, l'écosystème Fortinet fait face à deux failles majeures d'authentification. La première, CVE-2026-22153, concerne un Authentication Bypass dans FortiOS impactant les VPN Agentless et les politiques FSSO. Parallèlement, le PSIRT de l'éditeur signale la CVE-2026-21743 au sein de FortiAuthenticator, où un défaut d'autorisation (CWE-862) permet à un utilisateur en lecture seule de modifier des comptes locaux via un File Upload non sécurisé. Ces vecteurs facilitent une escalade de privilèges critique pour quiconque accède aux interfaces de gestion.
Enfin, nous abordons les réflexions du NCSC britannique sur l'évolution du Vulnerability Management. Alors que la CISA publie de nouvelles directives pour contrer le Spam et le Harvesting d'adresses via les messages HTML, les experts du NCSC plaident pour une approche basée sur le risque réel plutôt que sur le simple score CVSS. L'objectif est d'optimiser la remédiation en se concentrant sur les vulnérabilités exploitables en conditions réelles, tout en renforçant la segmentation des identités pour limiter l'efficacité des campagnes d'ingénierie sociale automatisées.
Sources :
CISA – ICS Advisory Yokogawa FAST/TOOLS (ICSA-26-041-01) : https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-01
Centre canadien pour la cybersécurité – Bulletin SAP (AV26-107) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-sap-correctif-cumulatif-mensuel-fevrier-2026-av26-107
CVEFeed – Fortinet FortiOS Authentication Bypass (CVE-2026-22153) : https://cvefeed.io/vuln/detail/CVE-2026-22153
CVEFeed – FortiAuthenticator Missing Authorization (CVE-2026-21743) : https://cvefeed.io/vuln/detail/CVE-2026-21743
NCSC – Improving your response to vulnerability management : https://www.ncsc.gov.uk/blog-post/improving-your-response-to-vulnerability-management
CISA – Reducing Spam and Cybersecurity Best Practices : https://www.cisa.gov/news-events/news/reducing-spam
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com