RadioCSIRT - Edition Française

Nous ouvrons cette édition avec le dernier rapport de Group-IB, qui décrit comment les attaques par Supply Chain alimentent désormais une économie cybercriminelle auto-renforçante. La compromission de packages Open Source nourrit la distribution de Malware et le vol de credentials, tandis que l'abus de protocoles OAuth permet de compromettre des environnements SaaS et des pipelines CI/CD. Le Ransomware et l'extorsion interviennent en fin de chaîne, capitalisant sur les accès obtenus en amont. Plusieurs incidents récents illustrent cette dynamique, dont le worm NPM Shai-Hulud, l'affaire Salesloft et le Package Poisoning OpenClaw. Group-IB anticipe une accélération de ces attaques grâce à des outils assistés par intelligence artificielle.
L'actualité se poursuit avec la compromission massive de l'opérateur télécom néerlandais Odido, affectant six virgule deux millions de comptes clients. Les attaquants ont exfiltré des noms, adresses, coordonnées bancaires, dates de naissance et numéros de pièce d'identité depuis un système de contact client. La filiale Ben a également alerté ses propres clients. Détectée le week-end dernier, la compromission a été notifiée à l'autorité néerlandaise de protection des données. Aucun détail technique sur le vecteur d'attaque n'a été communiqué.
Un nouvel outil Open Source de Credential Testing baptisé Brutus fait son apparition sur GitHub. Écrit en Go sous forme de binaire unique sans dépendance, il prend en charge vingt-deux protocoles et embarque les collections de SSH Bad Keys de Rapid7 et HashiCorp Vagrant. Sa fonctionnalité expérimentale d'AI-Powered Credential Discovery combine vision par intelligence artificielle et Headless Browser pour identifier et tester automatiquement les Default Credentials de panneaux d'administration web non répertoriés.
Le groupe DragonForce poursuit son expansion en tant que fournisseur de Ransomware-as-a-Service, totalisant trois cent soixante-trois victimes revendiquées sur son Data Leak Site depuis décembre 2023, avec un pic à trente-cinq victimes en décembre 2025. S'appuyant sur du code fuité de LockBit 3.0 et Conti, le groupe propose des Payloads personnalisés via son service RansomBay et se distingue par une stratégie agressive envers ses concurrents, ayant défacé le site de BlackLock et revendiqué l'infrastructure de RansomHub.
Microsoft a corrigé un bug dans son service de contrôle parental Family Safety qui empêchait le lancement de Google Chrome et d'autres navigateurs sous Windows 10 22H2 et Windows 11 22H2 ou versions ultérieures. Le problème, reconnu fin juin 2025, a été résolu par un correctif côté serveur déployé début février 2026, près de huit mois après les premiers signalements.
Enfin, Cisco transfère son framework de sécurité Project CodeGuard à la Coalition for Secure AI hébergée par OASIS Open. Ce framework agnostique intègre des règles de sécurité directement dans les workflows des assistants de codage IA, compatible avec Cursor, GitHub Copilot, Windsurf et Claude Code. CoSAI rassemble désormais plus de quarante partenaires dont Google, Anthropic, OpenAI, NVIDIA, Microsoft et Amazon.
Sources :
The Register – Supply chain attacks now fuel a 'self-reinforcing' cybercrime economy : https://www.theregister.com/2025/02/12/supply_chain_attacks_fuel_cybercrime/
Security Affairs – Odido confirms massive breach; 6.2 Million customers impacted : https://securityaffairs.com/174491/data-breach/odido-confirms-massive-breach.html
Help Net Security – Brutus: Open-source credential testing tool for offensive security : https://www.helpnetsecurity.com/2026/02/13/brutus-open-source-credential-testing-tool/
Cyber Security News – DragonForce Ransomware Group Targets 363 Companies in Strategic Expansion : https://cybersecuritynews.com/dragonforce-ransomware-group/
BleepingComputer – Microsoft fixes bug that blocked Google Chrome from launching : https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bug-that-blocked-google-chrome-from-launching/
LeBigData – Cisco offre son framework de sécurité CodeGuard à la CoSAI d'OASIS : https://www.lebigdata.fr/cisco-codeguard-cosai-oasis/ 
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les travaux du chercheur Wietze Beukema, présentés lors du Wild West Hackin' Fest. Quatre techniques inédites de manipulation des fichiers raccourcis Windows LNK permettent de falsifier intégralement la cible affichée dans les propriétés du fichier tout en exécutant un programme entièrement différent. La variante la plus critique exploite la structure EnvironmentVariableDataBlock pour afficher une cible fictive tout en lançant PowerShell ou toute autre commande malveillante. Soumises au Microsoft Security Response Center, ces failles ont été rejetées au motif qu'elles ne franchissent pas de Security Boundary. Le parallèle avec le CVE-2025-9491, exploité en Zero-Day par au moins onze groupes APT dont Evil Corp, APT37, Kimsuky et Mustang Panda, souligne la persistance de ce vecteur d'attaque.
L'actualité se poursuit avec la perturbation massive du réseau d'anonymisation I2P par le botnet IoT Kimwolf. Selon KrebsOnSecurity, les opérateurs du botnet ont tenté de connecter environ 700 000 dispositifs infectés comme nœuds sur un réseau qui ne compte habituellement que 15 000 à 20 000 participants actifs, provoquant une Sybil Attack d'envergure. D'après Benjamin Brundage, fondateur de Synthient, l'objectif est de bâtir une infrastructure Command and Control résiliente face aux tentatives de Takedown. Le réseau I2P fonctionne actuellement à la moitié de sa capacité normale, tandis que des dissensions internes chez Kimwolf ont entraîné la perte de plus de 600 000 systèmes infectés.
Enfin, la CISA a ajouté quatre nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, sur la base de preuves d'exploitation active. Parmi elles, la CVE-2024-43468, une SQL Injection dans Microsoft Configuration Manager, la CVE-2025-15556, un défaut de vérification d'intégrité dans Notepad++, la CVE-2025-40536, un Security Control Bypass dans SolarWinds Web Help Desk, et la CVE-2026-20700, de multiples Buffer Overflow affectant des produits Apple. Leur inscription au catalogue KEV impose aux agences fédérales américaines l'application des correctifs selon les délais de la directive BOD 22-01.
Sources :
BleepingComputer – Microsoft: New Windows LNK spoofing issues aren't vulnerabilities : https://www.bleepingcomputer.com/news/microsoft/microsoft-new-windows-lnk-spoofing-issues-arent-vulnerabilities/
KrebsOnSecurity – Kimwolf Botnet Swamps Anonymity Network I2P : https://krebsonsecurity.com/2026/02/kimwolf-botnet-swamps-anonymity-network-i2p/
CISA – Known Exploited Vulnerabilities Catalog Update : https://www.cisa.gov/news-events/alerts/2026/02/12/cisa-adds-four-known-exploited-vulnerabilities-catalog
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

6 zero-day activement exploitées. 58 correctifs. Des failles GitHub Copilot déclenchables par prompt injection. Un deuxième zero-day Desktop Window Manager en deux mois. Un exploit professionnel découvert dans un dépôt de malware par ACROS Security. Une élévation de privilèges Remote Desktop identifiée par CrowdStrike.
Dans cet épisode, analyse factuelle et complète du Patch Tuesday de février 2026, des vulnérabilités critiques Azure aux recommandations opérationnelles pour les équipes CERT, CSIRT et SOC.
Article complet sur le blog :
https://blog.marcfredericgomez.fr/patch-tuesday-de-fevrier-2026/
Restez à l'écoute, restez protégés.

Nous ouvrons cette édition avec l'alerte critique de la CISA concernant les systèmes industriels Yokogawa FAST/TOOLS. Quatorze vulnérabilités, dont le score CVSS atteint 8.2, exposent les secteurs de l'énergie et de la fabrication à des risques majeurs de Path Traversal et de détournement de sessions. Selon le rapport ICSA-26-041-01, l'absence de contrôles d'intégrité sur certains Endpoints et l'utilisation d'algorithmes cryptographiques obsolètes permettent à des attaquants distants de mener des opérations de Man-in-the-Middle et d'exécuter des Payloads malveillants au cœur des réseaux OT.
L'actualité se poursuit avec le Patch Day massif de SAP. Le bulletin de sécurité AV26-107 détaille des correctifs critiques pour SAP S/4HANA, NetWeaver AS ABAP et BusinessObjects. Les vulnérabilités CVE-2026-0488 et CVE-2026-0509 sont particulièrement surveillées car elles affectent le Scripting Editor et les mécanismes de gestion de la Supply Chain. Le Centre canadien pour la cybersécurité exhorte les administrateurs à prioriser la mise à jour des instances SAP_BASIS pour prévenir toute compromission de l'intégrité des données d'entreprise.
Sur le front des infrastructures réseau, l'écosystème Fortinet fait face à deux failles majeures d'authentification. La première, CVE-2026-22153, concerne un Authentication Bypass dans FortiOS impactant les VPN Agentless et les politiques FSSO. Parallèlement, le PSIRT de l'éditeur signale la CVE-2026-21743 au sein de FortiAuthenticator, où un défaut d'autorisation (CWE-862) permet à un utilisateur en lecture seule de modifier des comptes locaux via un File Upload non sécurisé. Ces vecteurs facilitent une escalade de privilèges critique pour quiconque accède aux interfaces de gestion.
Enfin, nous abordons les réflexions du NCSC britannique sur l'évolution du Vulnerability Management. Alors que la CISA publie de nouvelles directives pour contrer le Spam et le Harvesting d'adresses via les messages HTML, les experts du NCSC plaident pour une approche basée sur le risque réel plutôt que sur le simple score CVSS. L'objectif est d'optimiser la remédiation en se concentrant sur les vulnérabilités exploitables en conditions réelles, tout en renforçant la segmentation des identités pour limiter l'efficacité des campagnes d'ingénierie sociale automatisées.
Sources :
CISA – ICS Advisory Yokogawa FAST/TOOLS (ICSA-26-041-01) : https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-01
Centre canadien pour la cybersécurité – Bulletin SAP (AV26-107) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-sap-correctif-cumulatif-mensuel-fevrier-2026-av26-107
CVEFeed – Fortinet FortiOS Authentication Bypass (CVE-2026-22153) : https://cvefeed.io/vuln/detail/CVE-2026-22153
CVEFeed – FortiAuthenticator Missing Authorization (CVE-2026-21743) : https://cvefeed.io/vuln/detail/CVE-2026-21743
NCSC – Improving your response to vulnerability management : https://www.ncsc.gov.uk/blog-post/improving-your-response-to-vulnerability-management
CISA – Reducing Spam and Cybersecurity Best Practices : https://www.cisa.gov/news-events/news/reducing-spam
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les révélations de Huntress Security sur l'exploitation active des vulnérabilités critiques de SolarWinds Web Help Desk. Les attaquants ciblent les failles CVE-2025-40551 et CVE-2025-26399 pour obtenir une exécution de code à distance via la désérialisation de données Java non fiables. Une fois l'accès initial établi, les opérateurs déploient des outils légitimes détournés, tels que l'agent Zoho ManageEngine et le framework de forensic Velociraptor, orchestrés via des tunnels Cloudflare. Ces intrusions, également observées par Microsoft, visent des infrastructures stratégiques pour mener des opérations de reconnaissance dans l'Active Directory.
L'actualité se poursuit avec l'annonce par la Commission européenne d'une intrusion cybernétique majeure ayant ciblé son infrastructure de gestion des terminaux mobiles. Détectée par le CERT-EU, l'attaque est liée à l'exploitation de failles critiques dans les solutions Ivanti Endpoint Manager Mobile (CVE-2026-1281 et CVE-2026-1340). Si la Commission affirme que l'incident a été contenu en moins de neuf heures sans compromission directe des appareils, les attaquants ont pu accéder aux noms et numéros de téléphone du personnel, s'inscrivant dans une vague d'attaques similaires frappant plusieurs institutions gouvernementales aux Pays-Bas et en Finlande.
Sur le front de l'espionnage, le groupe APT UNC3886, lié aux intérêts chinois, a mené une campagne sophistiquée contre le secteur des télécommunications à Singapour. L'agence de cybersécurité nationale, la CSA, rapporte que les quatre opérateurs majeurs ont été infiltrés via l'utilisation d'exploits Zero-Day et le déploiement de rootkits furtifs. L'adversaire s'est concentré sur les équipements réseau et les environnements de virtualisation VMware ESXi, parvenant à exfiltrer des données techniques critiques pour cartographier les infrastructures stratégiques de la cité-État.
Enfin, nous revenons sur les défis posés par les compilateurs modernes à la cryptographie. Lors du FOSDEM 2026, le mainteneur de la bibliothèque Botan a démontré comment les optimisations agressives de GCC 15.2 neutralisent les implémentations en temps constant destinées à prévenir les Side-Channel Attacks. En tentant de supprimer les branchements conditionnels, le compilateur réintroduit par inadvertance des vulnérabilités de timing, forçant les développeurs à utiliser de l'Inline Assembly pour masquer la logique de sécurité face à l'optimiseur.
Sources
BleepingComputer – Threat actors exploit SolarWinds WHD flaws : https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/
Hackread – Cyber Attack Hits European Commission : https://hackread.com/cyber-attack-european-commission-staff-mobile-systems/
The Hacker News – UNC3886 Targets Singapore Telecom : https://thehackernews.com/2026/02/china-linked-unc3886-targets-singapore.html
The Register – How GCC became the Clippy of cryptography : https://www.theregister.com/2026/02/09/compilers_undermine_encryption/
ZDNET – Linux, le socle invisible de l'IA moderne : https://www.zdnet.fr/actualites/cet-os-alimente-discretement-toute-lia-ainsi-que-la-plupart-des-futurs-emplois-delit-489808.htm
The Verge – Substack data breach exposed users' data : https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com