RadioCSIRT - Edition Française

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition avec une analyse publiée par FIRST point org le 29 décembre 2025, présentant le bilan annuel des prévisions de vulnérabilités pour l'année 2025. L'article, rédigé par Éireann Leverett, confirme la validation des prévisions du projet Vuln4Cast avec 49 183 CVEs publiées au 29 décembre, se situant dans l'intervalle de confiance de 41 142 à 49 868 CVEs établi en février 2025. La MAPE de 1 virgule 39 pour cent par rapport à la borne supérieure démontre une excellente précision des modèles de prévision.Les prévisions trimestrielles pour Q4 2025 sont également validées avec 12 359 CVEs publiées, dans l'intervalle de confiance de 11 815 à 14 129 CVEs. Cette précision inférieure à 5% démontre que les prévisions trimestrielles sont suffisamment fiables pour la planification opérationnelle des équipes de patch management, SOC et CERT.L'article souligne l'expansion de l'écosystème de prévision des vulnérabilités avec CVEForecast point org développé par Jerry Gamblin chez Cisco utilisant XGBoost, et la plateforme Vulnerability-Lookup de CIRCL Luxembourg qui ajoute le suivi des observations et des statistiques complètes. Les développements futurs porteront sur la prévision des distributions par fournisseur, des vecteurs CVSS, des CWEs et de l'exploitabilité des vulnérabilités. Des améliorations sont en cours dans six domaines : analyse des causes racines CWE, prédiction d'exploits, prédiction d'exploitation, prévision par CNA, prévision des vecteurs CVSS et prédiction des scores CVSS.FIRST annonce la conférence VulnOptiCon 2026 au Luxembourg, hébergée par CIRCL, pour permettre à la communauté de partager les méthodologies et faire progresser collectivement la science de l'exposition et la sécurité prédictive.SourceFIRST – Bilan annuel des prévisions de vulnérabilités 2025 : https://www.first.org/blog/20251229-Vulnerability-Forecast-ReviewOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par plusieurs avis de sécurité publiés par le CERT-FR concernant des vulnérabilités critiques affectant des composants majeurs de l’écosystème Linux et des environnements d’entreprise. Les bulletins portent notamment sur Ubuntu, Red Hat et des produits IBM, exposés à des failles permettant des élévations de privilèges, des exécutions de code arbitraire ou des atteintes à la confidentialité. Ces vulnérabilités concernent des composants largement déployés dans les infrastructures serveurs et cloud, soulignant l’importance d’une gestion rigoureuse des correctifs dans les environnements critiques.Nous analysons ensuite une vulnérabilité affectant le webmail Roundcube, référencée CVE-2025-68461. Cette faille permet à un attaquant distant d’exploiter des mécanismes de traitement des entrées utilisateur afin de compromettre la sécurité des sessions ou d’exécuter du code malveillant dans le contexte de l’utilisateur ciblé. Compte tenu de la large adoption de Roundcube dans les infrastructures de messagerie, cette vulnérabilité représente un risque significatif pour les organisations exposées sur Internet.Enfin, nous revenons sur une vulnérabilité de sécurité corrigée par Microsoft, identifiée sous la référence CVE-2025-13699. Cette faille affecte un composant du système Windows et peut être exploitée pour contourner des mécanismes de sécurité ou obtenir des privilèges élevés. Microsoft a publié des correctifs dans le cadre de son guide de mises à jour, et recommande une application rapide afin de réduire les risques d’exploitation active.SourcesCERT-FR – Vulnérabilités Ubuntu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/CERT-FR – Vulnérabilités Red Hat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/CERT-FR – Vulnérabilités produits IBM : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/Vulnérabilité Roundcube – CVE-2025-68461 : https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26Microsoft – CVE-2025-13699 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par une affaire mêlant cybercriminalité et renseignement en Europe de l’Est. En Géorgie, l’ancien chef du contre-espionnage a été arrêté dans le cadre d’une enquête portant sur des centres d’escroquerie opérant à grande échelle. Les autorités le soupçonnent d’avoir facilité ou couvert des activités frauduleuses structurées, notamment des opérations de type scam centers visant des victimes internationales, illustrant une nouvelle fois l’imbrication entre criminalité organisée, corruption et cyberfraude.Nous analysons ensuite une campagne de phishing ciblant les utilisateurs de cryptomonnaies via de faux courriels se faisant passer pour Grubhub. Les messages promettent un rendement multiplié par dix sur des cryptomonnaies envoyées par les victimes. Les fonds transférés sont immédiatement redirigés vers des portefeuilles contrôlés par les attaquants, sans possibilité de récupération, démontrant une exploitation classique mais toujours efficace de l’ingénierie sociale appliquée aux actifs numériques.Enfin, nous revenons sur une opération attribuée à Evasive Panda, un groupe lié à la Chine, qui a mené des activités d’espionnage via une infrastructure DNS détournée. Les attaquants ont utilisé des techniques avancées de résolution DNS et de redirection de trafic afin de déployer des charges malveillantes furtives, tout en contournant plusieurs mécanismes de détection réseau. Cette campagne illustre l’évolution continue des TTP des groupes APT dans le domaine du cyberespionnage étatique.SourcesArrestation en Géorgie – centres d’escroquerie :https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centersCampagne de phishing crypto – faux emails Grubhub :https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/APT Evasive Panda – infrastructure DNS malveillante :https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.htmlOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Nous ouvrons cette édition par une séquence géopolitique marquant une nouvelle étape dans les tensions transatlantiques autour de la régulation numérique. Les États-Unis ont imposé des restrictions de visa à plusieurs personnalités européennes impliquées dans la régulation des plateformes technologiques, dont Thierry Breton, ancien commissaire européen. Washington justifie cette décision par des accusations de censure extraterritoriale visant les plateformes américaines, notamment dans le cadre de l’application du Digital Services Act. L’Union européenne a condamné la mesure et demandé des explications formelles, évoquant une atteinte à sa souveraineté réglementaire.Nous analysons ensuite CVE-2018-25154, une vulnérabilité critique de buffer overflow affectant GNU Barcode version 0.99. La faille, liée au mécanisme d’encodage Code 93, permet une corruption mémoire menant à une exécution de code arbitraire via des fichiers d’entrée spécialement construits. Le score CVSS 3.1 est critique à 9.8, avec un impact élevé sur la confidentialité, l’intégrité et la disponibilité des systèmes exposés.Nous revenons également sur CVE-2023-36525, une Blind SQL Injection non authentifiée touchant le plugin WordPress WPJobBoard jusqu’à la version 5.9.0. La vulnérabilité est exploitable à distance sans privilèges ni interaction utilisateur et expose les sites affectés à des risques de fuite de données, de modification persistante et de dégradation du service.Dans le volet cybercriminalité, le FBI a saisi l’infrastructure web3adspanels.org, utilisée comme backend pour centraliser des identifiants bancaires volés issus de campagnes de phishing. Cette infrastructure servait à stocker et exploiter les credentials compromis afin de réaliser des attaques de type account takeover contre des établissements financiers, l’activité étant confirmée jusqu’à fin 2025.Nous faisons ensuite le point sur Urban VPN Proxy, une extension VPN gratuite pour navigateurs Chromium, dont les versions récentes intègrent des mécanismes d’interception et d’exfiltration des conversations avec des plateformes d’intelligence artificielle. Les données collectées incluent prompts, réponses, métadonnées de session et plateformes utilisées, la collecte étant activée par défaut et sans possibilité de désactivation.Enfin, nous abordons l’exploitation active de CVE-2020-12812 sur les pare-feux FortiGate, une vulnérabilité ancienne mais toujours utilisée permettant le contournement de la 2FA. Le mécanisme repose sur une incohérence de gestion de la casse des identifiants entre FortiGate et les annuaires LDAP, entraînant un fallback d’authentification sans enforcement de la double authentification dans certaines configurations.SourcesRégulation tech et tensions USA–UE :https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.htmlCVE-2018-25154 – GNU Barcode buffer overflow :https://cvefeed.io/vuln/detail/CVE-2018-25154CVE-2023-36525 – WPJobBoard Blind SQL Injection :https://cvefeed.io/vuln/detail/CVE-2023-36525Saisie FBI – web3adspanels.org :https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.htmlUrban VPN Proxy data harvesting :https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.htmlFortiGate 2FA bypass exploitation :https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Une nouvelle initiative allie des experts bénévoles de la cybersécurité pour renforcer la défense des systèmes informatiques des services d’eau face à des menaces croissantes. Des groupes de volontaires chevronnés issus de la communauté DEF CON Franklin ont été jumelés avec des services publics de distribution d’eau à travers plusieurs états américains pour effectuer des évaluations, cartographier les technologies opérationnelles (OT) et mettre en place des mesures de sécurité adaptées aux contraintes des infrastructures critiques. Ce modèle communautaire vise à compenser le manque de ressources internes et à améliorer la résilience face aux attaques industrielles ciblant ces systèmes essentiels. Une vulnérabilité d’exécution de code à distance au cœur des frameworks React et Next.js, baptisée « React2Shell », affecte les composants serveur utilisés dans des millions d’applications web. Cette faille permet à des attaquants non authentifiés d’exécuter du code arbitraire sur des serveurs exposés sans nécessiter de privilèges, exposant l’écosystème web à un risque maximal si elle n’est pas corrigée immédiatement.Une campagne de compromission massive, associée au malware PCPcat, a exploité des vulnérabilités critiques dans Next.js et React pour compromettre plus de 59 000 serveurs en moins de 48 heures. L’opération exploite des failles d’exécution de code à distance pour extraire des identifiants, des clés SSH, des variables d’environnement et établir des accès persistants via des tunnels et processus dissimulés, signifiant une industrialisation des attaques contre les piles JavaScript modernes.En France, les services en ligne de La Poste et sa branche bancaire La Banque Postale ont été perturbés par une attaque par déni de service distribué (DDoS) au plus fort de la période des fêtes, rendant indisponibles plusieurs services de suivi et de paiement. Les interruptions ont entraîné des retards significatifs dans les livraisons de colis et des perturbations des opérations bancaires en ligne, bien que les données clients n’aient pas été compromises selon les premières évaluations des autorités. Enfin, la société MongoDB met en garde les administrateurs à propos de vulnérabilités critiques dans des bibliothèques de l’écosystème (notamment Mongoose) qui pourraient permettre l’exécution de code à distance sur des serveurs Node.js. Des exploits de preuve de concept ont été publiés, et il est recommandé de mettre à jour les versions concernées immédiatement pour réduire la surface d’attaque dans les applications dépendantes de ces composants. Sources :Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-msspMongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/La Poste – Outage After a Cyber Attack :https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.htmlhttps://x.com/LaBanquePostale/status/2003001246698131494On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com