RadioCSIRT - Edition Française

Nous ouvrons cet épisode avec la révélation de la CIRO concernant une brèche massive affectant 750 000 investisseurs canadiens. L'organisation canadienne de réglementation des placements confirme que l'incident résulte d'une attaque phishing sophistiquée survenue en août 2025. Plus de 9 000 heures d'investigation forensique ont été nécessaires pour déterminer l'ampleur complète. Les données compromises incluent dates de naissance, numéros d'assurance sociale, numéros de compte de placement et relevés. La CIRO offre deux ans de surveillance du crédit et de protection contre le vol d'identité. Aucune preuve d'utilisation malveillante n'a été détectée sur le dark web. Une action collective a été déposée au Québec.

Microsoft a publié des correctifs out-of-band d'urgence le 17 janvier 2026 pour adresser deux régressions critiques introduites par le Patch Tuesday du 13 janvier. Le premier problème bloque l'accès aux sessions Microsoft 365 Cloud PC avec des échecs d'authentification Remote Desktop sur Windows 11, Windows 10 et Windows Server. Le second empêche certains PC Windows 11 version 23H2 avec Secure Launch activé de s'éteindre ou d'entrer en hibernation, provoquant des redémarrages intempestifs. Les packages KB5077744 et KB5077797 ont été publiés pour restaurer les flux d'authentification et corriger la régression d'extinction. Microsoft recommande la commande shutdown /s /t 0 comme solution temporaire.

Check Point rapporte une exploitation massive de la CVE-2025-37164 affectant HPE OneView, attribuée au botnet RondoDox. La vulnérabilité obtient un score CVSS de 10 sur 10 et permet l'exécution de code à distance sur cette plateforme de gestion de data center. Entre 5h45 et 9h20 UTC le 7 janvier, plus de 40 000 tentatives d'attaque ont été enregistrées. L'activité provient principalement d'une adresse IP néerlandaise connue. Les cibles incluent organisations gouvernementales, services financiers et fabricants industriels aux États-Unis, Australie, France, Allemagne et Autriche. RondoDox utilise une approche exploit shotgun pour construire des réseaux de botnets destinés au DDoS et au cryptomining.

Enfin, des chercheurs de l'Université de Louvain révèlent WhisperPair, un ensemble d'attaques ciblant les accessoires audio Bluetooth utilisant Google Fast Pair. La CVE-2025-36911, classée critique, affecte des centaines de millions d'appareils de 10 fabricants incluant Sony, JBL, Google, Jabra et Marshall. Fast Pair omet de vérifier si un appareil est en mode appairage, permettant un hijacking silencieux même lorsque les écouteurs sont portés. L'attaquant peut diffuser du bruit, enregistrer l'audio via microphone, et dans certains cas suivre la localisation via le réseau Find Hub de Google. Sur 25 appareils testés, 68% ont été compromis avec succès. Le correctif nécessite une mise à jour firmware du fabricant.

Sources :

CIRO – Brèche 750 000 investisseurs : https://www.ciro.ca/newsroom/publications/canadian-investment-regulatory-organization-update-regarding-unauthorized-access-some-canadian
The Globe and Mail – CIRO data breach : https://www.theglobeandmail.com/business/article-securities-regulator-says-data-breach-last-summer-affected-750000/
BleepingComputer – Microsoft OOB updates : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-oob-windows-updates-to-fix-shutdown-cloud-pc-bugs/
The Register – RondoDox botnet HPE OneView : https://www.theregister.com/2026/01/16/rondodox_botnet_hpe_oneview
Malwarebytes – WhisperPair Bluetooth : https://www.malwarebytes.com/blog/news/2026/01/whisperpair-exposes-bluetooth-earbuds-and-headphones-to-tracking-and-eavesdropping

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com

Nous ouvrons cet épisode avec le CERT-FR qui a publié quatre avis de sécurité. L'avis CERTFR-2026-AVI-0047 concerne une vulnérabilité dans F5 NGINX Ingress Controller. La CVE-2025-14727 permet un contournement de la politique de sécurité sur les versions 5.x antérieures à 5.3.1. F5 a publié le bulletin K000158176 avec les correctifs disponibles. L'avis CERTFR-2026-AVI-0048 signale de multiples vulnérabilités dans Wireshark permettant un déni de service à distance. Quatre bulletins wnpa-sec-2026-01 à 04 ont été publiés le 15 janvier pour les versions 4.4.x antérieures à 4.4.13 et 4.6.x antérieures à 4.6.3. L'avis CERTFR-2026-AVI-0054 adresse deux vulnérabilités dans Centreon Infra Monitoring. La CVE-2025-43864 et la CVE-2025-43865 permettent un contournement de la politique de sécurité et un déni de service à distance sur les versions 25.10.x. Enfin, l'avis CERTFR-2026-AVI-0057 concerne de multiples vulnérabilités dans le noyau Linux de Debian LTS. Le bulletin DLA-4436-1 adresse 120 CVE distinctes pour Debian bullseye versions antérieures à 6.1.159-1, incluant la CVE-2024-47666 et les CVE-2025-37899 à CVE-2025-68734.

CVEFeed.io référence la CVE-2025-10484, une vulnérabilité d'authentication bypass affectant le plugin WordPress Registration & Login with Mobile Phone Number for WooCommerce. Le score CVSS 3.1 atteint 9.8, classant cette faille comme critique. Toutes les versions jusqu'à 1.3.1 sont vulnérables. Le plugin ne vérifie pas correctement l'identité des utilisateurs avant de les authentifier via la fonction fma_lwp_set_session_php_fun. Un attaquant non authentifié peut ainsi s'authentifier comme n'importe quel utilisateur du site, y compris les administrateurs, sans mot de passe valide. La vulnérabilité est classée CWE-288, authentication bypass using an alternate path or channel.

Enfin, Linux Journal annonce le lancement de Loss32, une distribution Linux légère développée pour redonner vie au matériel ancien et aux systèmes à ressources limitées. La distribution supporte les CPU 32 bits et 64 bits avec un minimum de 512 Mo de RAM et 4 Go d'espace disque. Loss32 embarque un environnement de bureau customisé basé sur un hybride Xfce/XF-Lite, offrant une empreinte mémoire réduite. L'installateur utilise une interface guidée facilitant la migration depuis Windows ou macOS. La roadmap inclut l'amélioration du support des adaptateurs wireless, des optimisations pour le gaming sur hardware legacy, et la localisation multilingue.

Sources : 

CERT-FR – Noyau Linux Debian LTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0057/
CVEFeed.io – CVE-2025-10484 : https://cvefeed.io/vuln/detail/CVE-2025-10484
Linux Journal – Loss32 : https://www.linuxjournal.com/content/introducing-loss32-new-lightweight-linux-distro-focus-legacy-hardware
CERT-FR – F5 NGINX Ingress Controller : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0047/
CERT-FR – Wireshark : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0048/
CERT-FR – Centreon Infra Monitoring : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0054/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une sanction de la California Privacy Protection Agency contre Datamasters, courtier en données texan condamné à 45 000 dollars d'amende pour avoir commercialisé des informations de 435 245 patients Alzheimer ainsi que des millions de profils sensibles incluant personnes malvoyantes, personnes souffrant d'addiction et indicateurs de vulnérabilité financière. L'entreprise n'était pas enregistrée comme courtier en données comme l'exige le Delete Act californien depuis janvier 2025.
L'Allemagne et Israël ont signé un accord de coopération cybersécurité pour construire une version allemande du cyber dome israélien, système semi-automatisé de détection et réponse aux cyberattaques en temps réel. Le pacte signé à Jérusalem par le ministre de l'Intérieur allemand Dobrindt et le Premier ministre israélien Netanyahu prévoit l'échange d'expertise, le développement conjoint d'outils de cyberdéfense et la création d'un centre d'innovation en IA et cybersécurité. L'accord intervient dans un contexte de menaces croissantes contre l'Allemagne, notamment des acteurs alignés sur la Russie.
Cisco a publié des correctifs pour CVE-2025-20393, vulnérabilité zero-day de sévérité maximale dans AsyncOS exploitée depuis novembre 2025 par le groupe APT chinois UAT-9686. La faille affecte les appliances Secure Email Gateway et Secure Email and Web Manager avec configurations non standard exposant la fonctionnalité Spam Quarantine sur Internet. Les attaquants ont déployé des outils de tunneling ReverseSSH et Chisel, l'utilitaire de nettoyage AquaPurge et le backdoor Python AquaShell. Les correctifs sont disponibles pour toutes les versions affectées.
Enfin, des chercheurs ont découvert CodeBreach, vulnérabilité critique dans la chaîne d'approvisionnement AWS Console exploitant une mauvaise configuration dans les pipelines CI AWS CodeBuild. Deux caractères manquants dans un filtre regex ont permis le contournement de l'authentification via manipulation des ID utilisateur GitHub, donnant accès administrateur au dépôt aws-sdk-js-v3 et aux identifiants du compte aws-sdk-js-automation. AWS a remédié aux problèmes et introduit un portail d'approbation manuelle pour les builds de pull requests non fiables.
Sources : 
Malwarebytes – Amende Datamasters : https://www.malwarebytes.com/blog/news/2026/01/data-broker-fined-after-selling-alzheimers-patient-info-and-millions-of-sensitive-profiles
The Record – Accord Allemagne-Israël : https://therecord.media/germany-cyber-dome-israel
BleepingComputer – Cisco AsyncOS CVE-2025-20393 : https://www.bleepingcomputer.com/news/security/cisco-finally-fixes-asyncos-zero-day-exploited-since-november/
CyberPress – Vulnérabilité CodeBreach AWS : https://cyberpress.org/aws-console-supply-chain-attack-github-hijackingcyber/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une analyse de Cisco Talos Intelligence sur UAT-8837, un acteur APT lié à la Chine ciblant les infrastructures critiques nord-américaines depuis 2025. Le groupe exploite des vulnérabilités zero-day, notamment CVE-2025-53690 dans SiteCore, et utilise des outils open-source pour la post-compromission : DWAgent, SharpHound, Earthworm et Certipy. Talos évalue qu'UAT-8837 fonctionne comme courtier d'accès initial pour des opérations ultérieures.
Malwarebytes a identifié une campagne de phishing sur LinkedIn utilisant de faux commentaires de restriction de compte. Les attaquants créent des profils imitant LinkedIn pour publier des réponses affirmant une non-conformité et rediriger vers des pages de phishing volant les identifiants. LinkedIn a confirmé être au courant et travailler sur des contre-mesures.
Le département de police d'Anchorage a mis ses serveurs hors ligne suite à une cyberattaque chez Whitebox Technologies, son prestataire de migration de données, alerté le 7 janvier. Le département informatique a désactivé tous les accès tiers et supervisé la suppression des données. Aucune compromission des systèmes APD n'a été détectée à ce stade.
Enfin, le CERT Santé a publié une alerte sur CVE-2026-0227, une vulnérabilité de déni de service dans GlobalProtect et Portal de Palo Alto Networks avec un score CVSS de 7.5. L'exploitation ne nécessite aucun privilège ni interaction utilisateur. Les versions 10.1, 10.2, 11.1, 11.2, 12.1 et Prisma Access sont affectées. Des correctifs sont disponibles.
Sources : 
Cisco Talos Intelligence – UAT-8837 : https://blog.talosintelligence.com/uat-8837/
Malwarebytes – Phishing LinkedIn : https://www.malwarebytes.com/blog/news/2026/01/phishing-scammers-are-posting-fake-account-restricted-comments-on-linkedin
The Record – Anchorage Police : https://therecord.media/anchorage-police-takes-servers-offline-after-third-party-attack
CERT Santé – CVE-2026-0227 : https://cyberveille.esante.gouv.fr/alertes/palo-alto-cve-2026-0227-2026-01-15
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Cette année marque une étape symbolique pour la cybersécurité en Principauté : l’Agence Monégasque de Sécurité Numérique (AMSN) a été créée le 23 décembre 2015 et fête donc 10 ans d’action au service de la sécurité numérique de Monaco. L’AMSN est l’autorité nationale en charge de la sécurité des systèmes d’information, et un centre d’expertise, de réponse et de traitement des attaques numériques pour l’État et les Opérateurs d’Importance Vitale (OIV).

🛡️ Ce que met en œuvre l’AMSN, concrètement :

Prévenir, détecter et traiter les cyberattaques (détection, alerte, traitement des incidents)

Réagir en situation de crise et coordonner la réponse opérationnelle

Encadrer et contrôler le niveau de sécurité des OIV

Évaluer / certifier produits, systèmes et prestataires, et contribuer à la confiance numérique (liste de confiance, services qualifiés)

Représenter Monaco dans les instances et coopérations internationales de sécurité numérique

🚨 Zoom opérationnel : le CERT-MC
Le CERT-MC est l’équipe de réponse à incident de l’AMSN. Sa doctrine et ses missions sont décrites selon le standard RFC 2350, et il s’inscrit dans les pratiques internationales des CSIRT/CERT.

🌍 Coopération et écosystème

Partenariat structurant avec l’ANSSI (France) via un programme de coopération en cybersécurité.

Participation à la communauté internationale : présence de l’AMSN et du CERT-MC à la conférence annuelle FIRST (Forum of Incident Response and Security Teams) et à la TF-CSIRT.

🔗 Sources (liens complets) :

AMSN – Présentation : https://amsn.gouv.mc/decouvrir-l-amsn/presentation
CERT-MC – Présentation / RFC 2350 : https://amsn.gouv.mc/cert-mc
Gouvernement Princier – Missions AMSN (annuaire) : https://www.gouv.mc/Gouvernement-et-Institutions/Le-Gouvernement/Ministere-d-Etat/Agence-Monegasque-de-Securite-Numerique
Légimonaco – Ordonnance Souveraine n° 5.664 du 23/12/2015 (création AMSN) : https://legimonaco.mc/tnc/ordonnance/2015/12-23-5.664/
ANSSI / cyber.gouv.fr – Programme de coopération AMSN–ANSSI : https://cyber.gouv.fr/actualites/signature-dun-nouveau-programme-de-cooperation-entre-lagence-monegasque-de-securite
Gouvernement Princier – Participation AMSN à la conférence FIRST : https://www.gouv.mc/Action-Gouvernementale/La-Securite/Actualites/L-Agence-Monegasque-de-Securite-Numerique-participe-a-la-36eme-conference-annuelle-du-Forum-of-Incident-Response-and-Security-Teams