RadioCSIRT - Edition Française

Nous ouvrons cet épisode avec une avancée technique majeure du côté de Linux. Le Linux Journal détaille l'implémentation du Linux Kernel Runtime Guard (LKRG), une nouvelle couche de protection surveillant l'intégrité du noyau en temps réel pour bloquer les modifications non autorisées. En matière de gestion des vulnérabilités, la CISA a mis à jour ce 29 janvier son catalogue des failles exploitées (KEV). L'ajout d'une nouvelle vulnérabilité activement utilisée impose une obligation de correction immédiate pour les agences fédérales américaines.
Une alerte critique touche également les infrastructures réseau utilisant WatchGuard. L'éditeur a publié l'avis WGSA-2026-00001 signalant une faille sévère sur ses appliances, nécessitant une mise à jour urgente des firmwares. Sur le plan de la menace, le groupe UAT-8099, lié à la Chine, cible spécifiquement les serveurs Microsoft IIS en y implantant des extensions malveillantes pour assurer leur persistance.
Nous terminons avec l'aspect juridique et la menace interne rapportés par Help Net Security : un ancien ingénieur de Google est poursuivi pour espionnage industriel après avoir exfiltré des secrets commerciaux, rappelant l'importance critique de la surveillance des accès privilégiés.
Sources
Linux Journal – Analyse LKRG : https://www.linuxjournal.com/content/inside-linux-kernel-runtime-guard-lkrg-new-layer-kernel-integrity-protection
CISA – Mise à jour KEV : https://www.cisa.gov/news-events/alerts/2026/01/29/cisa-adds-one-known-exploited-vulnerability-catalog
WatchGuard – Avis WGSA-2026-00001 : https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2026-00001
The Hacker News – Campagne UAT-8099 : https://thehackernews.com/2026/01/china-linked-uat-8099-targets-iis.html
Help Net Security – Espionnage Google : https://www.helpnetsecurity.com/2026/01/30/ex-google-engineer-espionage/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une double actualité pour l'écosystème Mozilla. D'une part, l'éditeur propose désormais des paquets RPM natifs pour Firefox, facilitant l'intégration sur les distributions de type Fedora et Red Hat. 

D'autre part, le CERT-FR a publié l'avis CERTFR-2026-AVI-0095 signalant de multiples vulnérabilités dans Firefox et Thunderbird, pouvant mener à des contournements de politique de sécurité.

Une vague de correctifs critiques touche l'infrastructure et les bibliothèques cryptographiques. Le CERT-FR a émis l'avis CERTFR-2026-AVI-0096 concernant OpenSSL. Des failles affectant les branches 1.0.2 à 3.6 permettent l'exécution de code arbitraire et le déni de service. 

En parallèle, HPE Aruba Networking (AVI-0094) et Tenable Network Monitor (AVI-0093) font l'objet d'alertes pour des risques similaires d'exécution de code à distance et d'atteinte à la confidentialité. Google a également corrigé une faille non spécifiée dans Chrome (AVI-0092).

Nous terminons avec l'incident de sécurité opérationnelle révélé par Ars Technica : le directeur par intérim de la CISA a involontairement exfiltré des documents classifiés en utilisant une instance standard de ChatGPT, soulevant la question de la gestion du "Shadow AI" au niveau gouvernemental.

Sources

Linux Journal – Firefox RPM : https://www.linuxjournal.com/content/official-firefox-rpm-package-now-available-fedora-style-linux-distributions
CERT-FR – Avis OpenSSL : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0096/
CERT-FR – Avis Mozilla : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0095/
CERT-FR – Avis HPE Aruba : http://cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0094/
CERT-FR – Avis Tenable : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0093/
CERT-FR – Avis Google Chrome : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0092/
Ars Technica – CISA AI Leak : https://arstechnica.com/tech-policy/2026/01/us-cyber-defense-chief-accidentally-uploaded-secret-government-info-to-chatgpt/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com

Nous revenons dans cet épisode sur le déploiement par la France de sa plateforme de visioconférence souveraine Visio dans l'ensemble des services gouvernementaux d'ici 2027. Cette initiative remplace Microsoft Teams et Zoom au sein de l'administration publique française et s'inscrit dans le plan Suite Numérique visant à garantir la souveraineté numérique. La plateforme Visio intègre des fonctionnalités d'intelligence artificielle développées par Pyannote et est hébergée sur l'infrastructure cloud souveraine Outscale de Dassault Systèmes.
La CISA a ajouté le 27 janvier 2026 la CVE-2026-24858 à son catalogue KEV. Cette vulnérabilité de contournement d'authentification affecte plusieurs produits Fortinet incluant FortiAnalyzer, FortiManager, FortiOS et FortiProxy. L'exploitation permet à un attaquant disposant d'un compte FortiCloud et d'un appareil enregistré de se connecter à d'autres appareils enregistrés sur d'autres comptes lorsque l'authentification SSO FortiCloud est activée. Les organisations doivent suivre les directives de Fortinet pour évaluer leur exposition et appliquer les correctifs disponibles.
Le CERT-FR a publié l'avis CERTFR-2026-AVI-0088 concernant la CVE-2026-21968 dans MariaDB. Cette vulnérabilité permet un déni de service à distance et affecte les versions 10.11.x antérieures à 10.11.16, 11.4.x antérieures à 11.4.10, 11.8.x antérieures à 11.8.6 et 12.2.x antérieures à 12.2.2. Les administrateurs doivent appliquer les correctifs fournis par MariaDB dans le bulletin de sécurité du 26 janvier 2026.
Nous terminons avec SolarWinds qui a publié un avis de sécurité concernant six vulnérabilités dans Web Help Desk dont quatre critiques. Les CVE-2025-40551 et CVE-2025-40553 permettent l'exécution de code à distance non authentifiée via désérialisation de données. Les CVE-2025-40552 et CVE-2025-40554 constituent des contournements d'authentification avec un impact équivalent. Les versions 12.8.8 Hotfix 1 et antérieures sont affectées. La mise à jour vers Web Help Desk 2026.1 corrige l'ensemble de ces vulnérabilités.
Sources
Euronews – France Visio souverain : https://www.euronews.com/next/2026/01/27/france-to-ditch-us-platforms-microsoft-teams-zoom-for-sovereign-platform-amid-security-con
CISA – CVE-2026-24858 Fortinet KEV : https://www.cisa.gov/news-events/alerts/2026/01/27/cisa-adds-one-known-exploited-vulnerability-catalog
CERT-FR – Avis MariaDB : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0088/
BleepingComputer – SolarWinds Web Help Desk : https://www.bleepingcomputer.com/news/security/solarwinds-warns-of-critical-web-help-desk-rce-auth-bypass-flaws/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous revenons dans cet épisode sur la CVE-2026-21509, une vulnérabilité zero-day de contournement de fonctionnalité de sécurité affectant la suite Microsoft Office. Microsoft a publié un avis de sécurité le 26 janvier indiquant une exploitation active dans la nature. La CISA a ajouté cette CVE à son catalogue KEV le même jour, confirmant le niveau de menace critique. Cette vulnérabilité fait partie des cinq nouvelles entrées KEV incluant également CVE-2025-52691 et CVE-2026-23760 affectant SmarterTools SmarterMail, La CVE-2026-24061 pour GNU InetUtils et CVE-2018-14634 pour le noyau Linux.
Les opérateurs de Kimwolf, botnet perturbateur ayant infecté plus de 2 millions d'appareils, ont partagé une capture d'écran indiquant qu'ils auraient compromis le panneau de contrôle de Badbox 2.0. Badbox 2.0 constitue un vaste botnet basé en Chine alimenté par des logiciels malveillants préinstallés sur de nombreux boîtiers de streaming Android TV. Cette interconnexion potentielle donnerait aux opérateurs de Kimwolf un contrôle sur plusieurs millions d'appareils Android supplémentaires, illustrant une consolidation préoccupante des infrastructures malveillantes.
Plus de 6000 serveurs SmarterTools SmarterMail à travers le monde restent exposés à une vulnérabilité critique d'exécution de code à distance actuellement exploitée. Cette situation concerne directement les CVE-2025-52691 et CVE-2026-23760 ajoutées au catalogue KEV. La compromission de ces serveurs de messagerie d'entreprise pourrait donner accès à des communications sensibles et servir de point d'entrée pour des mouvements latéraux dans les réseaux.
Nous terminons avec Stanley, nouveau service de malware-as-a-service proposant des extensions Chrome malveillantes garantissant leur publication sur le Chrome Web Store officiel. Ce service contourne le processus de révision de Google et cible les activités de phishing. Le modèle as-a-service abaisse significativement la barrière d'entrée pour les cybercriminels, leur permettant d'accéder à des capacités techniques sophistiquées sans expertise préalable.
Sources
Krebs on Security – Badbox 2.0 Botnet : https://krebsonsecurity.com/2026/01/who-operates-the-badbox-2-0-botnet/
Cyberpress – SmarterMail RCE : https://cyberpress.org/6000-smartermail-servers-exposed-to-actively-exploited-rce-vulnerability/
BleepingComputer – Stanley MaaS Chrome : https://www.bleepingcomputer.com/news/security/new-malware-service-guarantees-phishing-extensions-on-chrome-web-store/
CISA – Catalogue KEV : https://www.cisa.gov/news-events/alerts/2026/01/26/cisa-adds-five-known-exploited-vulnerabilities-catalog
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous revenons dans cet épisode sur la CVE-2026-24061, vulnérabilité critique vieille de onze ans affectant le serveur telnetd de GNU InetUtils versions 1.9.3 à 2.7. Cette faille permet un contournement d'authentification donnant un accès root en définissant USER sur -f root. GreyNoise détecte des exploitations actives depuis le 21 janvier par 18 adresses IP. Shadowserver recense près de 800000 serveurs Telnet exposés globalement. Le correctif est disponible dans GNU InetUtils version 2.8 publiée le 20 janvier.
L'Irlande propose le Communications Interception and Lawful Access Bill pour remplacer la législation de 1993. Le projet autorise l'interception de toutes communications incluant IoT, email et messageries chiffrées, sans préciser la méthode technique. Il établit une base légale pour l'utilisation de spywares avec approbation judiciaire et l'usage d'IMSI catchers. Le Recording Devices Bill de décembre 2025 ajoute la reconnaissance faciale en temps réel. L'Irish Council for Civil Liberties exprime de sérieuses préoccupations sur la normalisation des mesures exceptionnelles.
Une étude Stanford révèle une chute de 20% des postes d'ingénieurs logiciels juniors entre 2022 et 2025 aux États-Unis. Cinq dirigeants identifient les compétences clés face à l'IA : traduction de la valeur tech en enjeux business, hybridation des profils, esprit critique, curiosité et désapprentissage constant. Diana Schildhouse de Colgate-Palmolive souligne que l'IA accélère l'accès à l'information mais ne fournit pas de stratégie.
Nous terminons avec Microsoft qui stocke les clés de chiffrement BitLocker sans protection sur ses serveurs et les transmet au FBI sur demande judiciaire. Matt Green de Johns Hopkins University précise que contrairement à Apple et Google, Microsoft ne chiffre pas les clés de récupération côté client, annulant la protection du chiffrement de disque.
Sources
BleepingComputer – CVE-2026-24061 Telnet GNU InetUtils : https://www.bleepingcomputer.com/news/security/nearly-800-000-telnet-servers-exposed-to-remote-attacks/
The Register – Communications Interception Bill Irlande : https://www.theregister.com/2026/01/21/ireland_wants_to_give_police/
ZDNet – Compétences IT face à l'IA : https://www.zdnet.fr/pratique/emploi-it-voici-les-5-competences-cles-pour-rester-indispensable-face-a-lia-selon-5-patrons-du-secteur-488843.htm
OSnews – Microsoft BitLocker clés FBI : https://www.osnews.com/story/144265/microsoft-gave-fbi-bitlocker-keys-to-unlock-encrypted-data-because-of-course-they-did/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com