RadioCSIRT : Edition Française

• RadioCSIRT – Votre actu cybersécurité du Samedi 13 décembre 2025 (Ép.516)

  Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Unit 42 de Palo Alto Networks expose Ashen Lepus, un acteur APT affilié au Hamas actif depuis 2018. Le groupe déploie une nouvelle suite malware modulaire .NET baptisée AshTag, ciblant des entités gouvernementales et diplomatiques au Moyen-Orient avec une expansion géographique confirmée vers Oman et Maroc. La chaîne d'infection multi-étapes s'initie via des leurres PDF en langue arabe sur des thématiques géopolitiques palestiniennes. Les victimes téléchargent des archives RAR contenant un binaire qui side-load le loader AshenLoader. Le groupe a abandonné son infrastructure C2 propriétaire au profit de sous-domaines API et authentification sur des domaines légitimes comme api.healthylifefeed.com, ce qui permet de masquer le trafic malveillant. L'architecture C2 intègre maintenant du géofencing et des vérifications anti-sandbox avant délivrance des payloads. Les modules secondaires sont encodés en Base64 et cachés dans des balises HTML commentées avec encryption AES-CTR-256. Ashen Lepus utilise Rclone pour exfiltrer les documents diplomatiques ciblés.Malwarebytes publie une analyse technique sur la confidentialité réelle des VPN suite à la hausse mondiale d'utilisation post-règles britanniques sur la vérification de l'âge. Le document expose l'écart massif entre promesses marketing et implémentation concrète, particulièrement critique pour les déploiements professionnels protégeant des données sensibles. La propriété complète de l'infrastructure élimine les intermédiaires non contrôlés contrairement à la location cloud. Les serveurs RAM-only détruisent instantanément toute trace en cas de coupure, ce qui annule tout vecteur de saisie physique. Le protocole WireGuard réduit drastiquement la surface d'attaque grâce à son codebase minimaliste auditable, alors qu'OpenVPN et IPSec représentent désormais des technologies legacy. Le risque majeur pour les organisations vient des employés utilisant des VPN commerciaux non validés qui créent des tunnels chiffrés contournant les contrôles DLP et exfiltrant les données corporate via des infrastructures tierces jamais auditées.Kali Linux publie la version 2025.4, dernière mise à jour de l'année, intégrant trois nouveaux outils de test d'intrusion, des améliorations majeures des environnements desktop et le support complet de Wayland sur GNOME. Les trois nouveaux outils incluent bpf-linker pour la compilation statique BPF, evil-winrm-py permettant l'exécution de commandes sur machines Windows distantes via WinRM, et hexstrike-ai qui autorise les agents IA à exécuter des outils de manière autonome via serveur MCP. GNOME passe en version 49 et supprime définitivement le support X11, fonctionnant désormais exclusivement sur Wayland avec support VM complet pour VirtualBox, VMware et QEMU. NetHunter étend le support Android 16 sur Samsung Galaxy S10 et OnePlus Nord, restaure le terminal avec compatibilité Magisk interactive, et intègre Wifipumpkin3 en preview avec templates de phishing Facebook, Instagram, iCloud et Snapchat.La CISA ajoute la CVE-2018-4063 au catalogue KEV le 12 décembre 2025 suite à la détection d'exploitation active. Cette vulnérabilité affecte Sierra Wireless AirLink ALEOS et permet l'upload non restreint de fichiers dangereux sans validation de type ou d'extension, conduisant à l'exécution de code arbitraire sur les routeurs cellulaires déployés dans les flottes véhicules, infrastructures IoT industrielles et réseaux M2M. Point critique : la CVE date de 2018 mais son ajout tardif au KEV confirme une recrudescence d'exploitation ciblant spécifiquement les équipements legacy non patchés. Les dispositifs AirLink assurent la connectivité cellulaire de systèmes SCADA, terminaux de paiement mobiles et plateformes télématiques.On ne réfléchit pas, on patch !Sources :Unit 42 : https://unit42.paloaltonetworks.com/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag/Malwarebytes : https://www.malwarebytes.com/blog/inside-malwarebytes/2025/12/how-private-is-your-vpnBleepingComputer : https://www.bleepingcomputer.com/news/security/kali-linux-20254-released-with-3-new-tools-desktop-updates/CISA : https://www.cisa.gov/news-events/alerts/2025/12/12/cisa-adds-one-known-exploited-vulnerability-catalogVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

  --------  

  9:22

  --------

  9:22
• RadioCSIRT – Votre actu cybersécurité du vendredi 12 décembre 2025 (Ép.515)

  Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Le MITRE publie l’édition 2025 du Top 25 des faiblesses CWE, fondée sur l’analyse de 31 770 vulnérabilités CVE observées dans des environnements réels. Ce classement identifie les faiblesses structurelles les plus fréquemment exploitées, indépendamment des produits ou éditeurs, et constitue un référentiel stratégique pour les équipes CERT, SOC et les directions SSI.Le classement confirme la persistance de faiblesses historiques telles que CWE-79 Cross-Site Scripting et CWE-89 Injection SQL, révélant des défaillances continues dans la gestion des entrées/sorties, la séparation des données et des commandes, et la sécurisation du cycle de développement applicatif. Malgré la maturité des frameworks modernes, ces faiblesses restent massivement exploitables, notamment dans les applications legacy, les portails métiers et les composants tiers.L’édition 2025 met également en évidence la montée des faiblesses liées aux contrôles d’autorisation, avec CWE-862 Missing Authorization parmi les premières positions. Cette catégorie reflète des erreurs de logique métier côté serveur, souvent invisibles pour les scans automatisés, mais critiques en termes d’accès non autorisé, de fraude et d’abus de privilèges.Les vulnérabilités mémoire demeurent fortement représentées, avec CWE-787 Out-of-Bounds Write, CWE-416 Use-After-Free et CWE-125 Out-of-Bounds Read. Ces faiblesses restent centrales dans les chaînes d’exploitation avancées, en particulier sur les composants natifs, navigateurs, bibliothèques système, firmware et appliances réseau, malgré les mécanismes modernes de protection mémoire.Les faiblesses de type injection de commandes et de code, notamment CWE-78 OS Command Injection et CWE-94 Code Injection, conservent un impact critique, conduisant fréquemment à des compromissions complètes des systèmes affectés. Elles sont encore observées dans des scripts d’administration, des outils internes et des environnements industriels.Enfin, le classement 2025 souligne une tendance structurelle forte : la majorité des vulnérabilités exploitées repose sur des erreurs fondamentales connues, documentées depuis plus de dix ans, traduisant une dette technique, organisationnelle et de gouvernance plutôt qu’un déficit d’outillage.Pour les équipes CERT et SOC, le Top 25 CWE 2025 constitue un outil de priorisation stratégique, à intégrer dans les audits applicatifs, les revues de conception, les analyses post-incident et la gouvernance SSI, afin d’agir sur les causes racines plutôt que sur les seuls symptômes.On ne réfléchit pas, on patch !Sources :Article d’analyse – Marc Frédéric Gomez :https://blog.marcfredericgomez.fr/top-25-des-failles-cwe-2025/MITRE – CWE Top 25 2025 :https://cwe.mitre.org/top25/Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : https://www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

  --------  

  9:34

  --------

  9:34
• RadioCSIRT – Votre actu cybersécurité du Jeudi 11 décembre 2025 (Ép.514)

  Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Le noyau Linux 5.4 atteint officiellement sa fin de vie. Après plusieurs années de support LTS, cette version massivement déployée dans Ubuntu, ChromeOS, Android et systèmes embarqués ne reçoit plus aucun correctif de sécurité upstream. Les équipements industriels, IoT et appliances réseau restent figés sur cette version sans voie de migration rapide. Techniquement, migrer vers les kernels 6.1 ou 6.6 LTS nécessite une validation des drivers propriétaires et modules personnalisés. L'exposition réglementaire concerne particulièrement les organisations sous contraintes RGPD ou sectorielles.Check Point publie une analyse complète du backdoor ValleyRAT incluant un rootkit kernel-mode. Le builder, leaked publiquement en mars 2025, révèle 19 plugins principaux dont le Driver Plugin embarquant un rootkit 64-bit signé. Basé sur le rootkit Hidden modifié, il implémente file hiding, registry filtering, process protection et injection APC user-mode. Capacité critique : suppression forcée de drivers EDR/AV et installation stealthy via technique MalSeclogon. Sept variantes de rootkit détectées en production avec certificats expirés mais signés avant 2015, donc chargeables via exceptions Windows Driver Signing Policy même sur Windows 11 fully patched. Statistique alarmante : 85% des 6000 samples ValleyRAT détectés apparaissent dans les six derniers mois, corrélés au leak public du builder.Google corrige la CVE-2025-13223, huitième zero-day Chrome activement exploité en 2025. Cette vulnérabilité de type type-confusion dans le moteur V8 JavaScript a été signalée par le Threat Analysis Group de Google. Les versions corrigées sont 144.0.7444.175 pour Windows et Linux, et 144.0.7444.176 pour macOS. L'année 2025 cumule déjà huit zero-days Chrome, majoritairement dans V8, exploités par des APTs et acteurs spyware avant déploiement des patches.Des hackers anonymes violent l'infrastructure de Mikord, développeur présumé du registre militaire russe unifié. Le groupe a contacté l'ONG russe anti-guerre Idite Lesom, transmettant documents internes incluant code source et dossiers techniques. Le site web Mikord est offline depuis plusieurs jours. Le média letton Important Stories a vérifié les matériaux volés confirmant la participation de Mikord au projet. Le Ministère de la Défense russe dément toute intrusion. Ce breach intervient dans un contexte d'escalade cyber bidirectionnelle, après les attaques russes présumées contre les registres d'État ukrainiens début décembre.Flare identifie 10456 images Docker Hub exposant des credentials actifs lors d'un scan en novembre 2025. Plus de 100 organisations sont affectées, incluant une Fortune 500 et une banque nationale majeure. 42% des containers exposent cinq secrets ou plus par image. La catégorie dominante : 4000 tokens API de modèles IA. Pattern critique : comptes personnels Docker Hub de développeurs ou contractors hors monitoring corporate. Statistique aggravante : 25% des développeurs suppriment le secret exposé sous 48 heures, mais 75% ne révoquent jamais la clé sous-jacente, laissant les credentials valides et exploitables.La CISA ajoute les CVE-2025-6218 et CVE-2025-62221 au catalogue KEV avec deadline au 30 décembre 2025. La CVE-2025-6218 est une vulnérabilité path traversal dans WinRAR avec score CVSS de 7.8, permettant l'exécution de code arbitraire. La CVE-2025-62221 est un use-after-free dans Windows Cloud Files Mini Filter Driver, également CVSS 7.8, permettant une élévation de privilèges vers SYSTEM. L'inclusion au KEV signale une exploitation active confirmée.On ne réfléchit pas, on patch !Sources :Linux Journal : https://www.linuxjournal.com/content/linux-kernel-54-reaches-end-life-time-retire-workhorseCheck Point Research : https://research.checkpoint.com/2025/cracking-valleyrat-from-builder-secrets-to-kernel-rootkits/Malwarebytes : https://www.malwarebytes.com/blog/news/2025/12/another-chrome-zero-day-under-attack-update-nowThe Record : https://therecord.media/hackers-reportedly-breach-developer-involved-in-russian-military-databaseBleepingComputer / Flare : https://flare.io/learn/resources/docker-hub-secrets-exposed/Security Affairs : https://securityaffairs.com/185523/security/u-s-cisa-adds-microsoft-windows-and-winrar-flaws-to-its-known-exploited-vulnerabilities-catalog.htmlVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

  --------  

  5:54

  --------

  5:54
• RadioCSIRT – Votre actu cybersécurité du Mercredi 10 décembre 2025 (Ép.513)

  Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Microsoft refuse de corriger une vulnérabilité RCE critique dans le framework .NET affectant la classe SoapHttpClientProtocol. Révélée lors de Black Hat Europe par le chercheur Piotr Bazydło de WatchTowr, la faille permet l'écriture arbitraire de fichiers via manipulation d'URLs SOAP. L'exploitation repose sur le support inattendu des protocoles FILE et FTP par une classe censée gérer uniquement HTTP. Les produits vulnérables confirmés incluent Ivanti Endpoint Manager, Umbraco 8 CMS et Barracuda Service Center, mais le nombre réel d'applications affectées est probablement massif.Le CERT-FR publie l'avis CERTFR-2025-AVI-1088 concernant quatre vulnérabilités critiques dans Ivanti Endpoint Manager 2024. Les CVE-2025-10573, CVE-2025-13659, CVE-2025-13661 et CVE-2025-13662 permettent l'exécution de code arbitraire à distance, le contournement de la politique de sécurité et l'injection XSS. Seules les versions antérieures à 2024 SU4 SR1 sont affectées. Le patch est disponible depuis le 9 décembre 2025.Le CERT-FR émet également l'avis CERTFR-2025-AVI-1084 concernant 17 bulletins de sécurité Fortinet couvrant 18 CVE. L'intégralité du portefeuille Fortinet est affecté : FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiWeb, FortiSandbox, FortiExtender, FortiAuthenticator, FortiVoice, FortiSOAR, FortiPAM, FortiSRA, FortiSASE, FortiSwitchManager et FortiPortal. Les vulnérabilités critiques incluent l'exécution de code à distance, l'élévation de privilèges et l'injection SQL.Enfin, la Police Nationale espagnole arrête un individu de 19 ans à Igualada pour vol et commercialisation de 64 millions d'enregistrements de données personnelles provenant de neuf entreprises. Les données exfiltrées incluent numéros DNI, adresses, téléphones, emails et codes IBAN. Le suspect utilisait six comptes en ligne et cinq pseudonymes pour vendre les bases de données sur des forums underground. Les autorités ont saisi du matériel électronique et gelé un portefeuille crypto.On ne réfléchit pas, on patch !Sources :The Register : https://www.theregister.com/2025/12/10/microsoft_wont_fix_net_rce/CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1088/CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1084/The Record : https://therecord.media/spain-arrests-teen-suspect-data-theft-and-saleVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

  --------  

  9:48

  --------

  9:48
• RadioCSIRT - Flash Info

  La CISA, le FBI et la NSA publient l'avis conjoint AA25-343A le 9 décembre 2025, alertant sur des campagnes actives de quatre groupes hacktivistes pro-russes exploitant des vulnérabilités VNC dans les systèmes OT/ICS à l'échelle mondiale.ACTEURS DE MENACE IDENTIFIÉS :Cyber Army of Russia Reborn (CARR) - Lien confirmé GRU unité 74455NoName057(16) - Création du CISM KremlinZ-Pentest - Fusion CARR/NoName, spécialisé OTSector16 - Émergence janvier 2025VECTEUR D'ATTAQUE :Exploitation massive de services VNC exposés (ports 5900-5910) avec identifiants par défaut/faibles sur dispositifs HMI. Accès direct SCADA causant modifications de paramètres, désactivation d'alarmes et perturbations opérationnelles dans les secteurs eau, énergie et agriculture.ACTIONS IMMÉDIATES :Scanner la surface d'attaque externe, éliminer les identifiants par défaut, implémenter la MFA, appliquer la segmentation IT/OT, déployer une surveillance continue des connexions VNC non autorisées.PUBLIC CIBLE :CERT, CSIRT, Équipes SOC, RSSI, Opérateurs d'Infrastructures CritiquesDURÉE : 12 minutes pour comprendre l'alerte#Cybersécurité #OT #ICS #SCADA #ThreatIntelligence #InfrastructuresCritiques #CISA #SecNum

  --------  

  12:19

  --------

  12:19

Plus de podcasts Actualités

Podcasts tendance de Actualités

À propos de RadioCSIRT : Edition Française

RadioCSIRT : Edition Française: Podcasts du groupe