RadioCSIRT - Edition Française

Marc Frédéric GOMEZ
  • 4,9 (58)
  • ACTUALITÉS TECHNOLOGIQUES
  • TOUS LES JOURS

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

  1. Ep.650 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 19 mai 2026

    -1 J

    Ep.650 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 19 mai 2026

    Linus Torvalds publie Linux 7.1-rc4 et durcit la politique du noyau face à l'afflux massif de rapports de bugs générés par IA. La security list étant submergée par des doublons issus des mêmes outils d'analyse automatisée, Torvalds tranche : les bugs détectés par IA ne sont pas secrets par définition et leur traitement sur une liste privée constitue une perte de temps. Trois patches de Willy Tarreau et Jonathan Corbet clarifient les exigences applicables aux rapports assistés par IA. Canonical publie un avis sur CVE-2026-46333, alias ssh-keysign-pwn, une race condition exploitable via ptrace permettant à un utilisateur local non privilégié de lire les fichiers ouverts par un exécutable suid ou sgid. Le PoC démontre la lecture de /etc/shadow via /usr/bin/chage et des clés privées hôtes OpenSSH via /usr/lib/openssh/ssh-keysign. Score CVSS 5.5, priorité Ubuntu High. Toutes les LTS sont affectées, mitigation par sysctl kernel.yama.ptrace_scope=2. Selon Socket, une nouvelle vague Shai-Hulud a compromis 639 versions malveillantes sur 323 packages npm en une heure le 19 mai 2026. L'attaque exploite le compte mainteneur atool de l'écosystème @antv et touche notamment echarts-for-react et jest-canvas-mock. Exfiltration via le réseau P2P Session, génération d'attestations Sigstore valides via abus de tokens OIDC, persistance inédite via backdoors implantés dans les configurations VS Code et Claude Code. INTERPOL annonce les résultats d'Operation Ramz dans la région MENA : plus de 200 arrestations, 382 suspects supplémentaires identifiés sur 13 pays, 53 serveurs phishing et malware saisis, 3 867 victimes confirmées. Collaboration avec Kaspersky, Group-IB, The Shadowserver Foundation, Team Cymru et TrendAI. Démantèlement notable d'une plateforme phishing-as-a-service en Algérie et d'une opération d'investment scam en Jordanie. Selon Recorded Future News, la panne nationale des télécoms luxembourgeois du 23 juillet 2025 résulte d'une attaque zero-day visant les routeurs entreprise Huawei. Un trafic réseau spécialement forgé plaçait les équipements en boucle de redémarrage continue, coupant fixe, 4G et 5G pendant trois heures. Dix mois après les faits, aucun CVE n'a été publié, aucune alerte publique n'a été émise par Huawei. Microsoft démantèle Fox Tempest, une plateforme de malware-signing-as-a-service active depuis mai 2025 qui abusait Microsoft Artifact Signing. Plus de 1 000 certificats révoqués, des centaines de tenants Azure mis hors ligne. Les affiliés Rhysida, INC, Qilin et Akira utilisaient le service pour signer Oyster, Lumma Stealer et Vidar, maquillés en AnyDesk, Teams, PuTTY ou Webex. Cisco Talos divulgue onze vulnérabilités. Huit ciblent le routeur TP-Link Archer AX53, dont CVE-2026-30814, un stack-based buffer overflow conduisant à de l'arbitrary code execution, et plusieurs OS command injection dans les fonctions OpenVPN configuration restore. CVE-2026-34632 vise le processus d'installation d'Adobe Photoshop via Microsoft Store, CVE-2026-35058 frappe OpenVPN via une reachable assertion, et CVE-2025-58074 affecte Norton VPN. Sources : Linus Torvalds, Linux 7.1-rc4, LKML : https://lkml.org/lkml/2026/5/17/896Luci Stanescu, CVE-2026-46333 ssh-keysign-pwn Linux kernel vulnerability mitigations, Canonical : https://ubuntu.com//blog/ssh-keysign-pwn-linux-vulnerability-fixes-availableBill Toulas, New Shai-Hulud malware wave compromises 600 npm packages, BleepingComputer : https://www.bleepingcomputer.com/news/security/new-shai-hulud-malware-wave-compromises-600-npm-packages/Bill Toulas, INTERPOL Operation Ramz seizes 53 malware phishing servers, BleepingComputer : https://www.bleepingcomputer.com/news/security/interpol-operation-ramz-seizes-53-malware-phishing-servers/Huawei zero-day attack behind last year's crash of Luxembourg's entire telecoms network, The Record : https://therecord.media/huawei-zero-day-behind-last-year-luxembourg-telecom-outageMicrosoft disrupts Fox Tempest malware-signing-as-a-service platform tied to ransomware gangs, The Record : https://therecord.media/microsoft-disrupts-fox-tempest-malware-signing-serviceKri Dontje, TP-Link, Photoshop, OpenVPN, Norton VPN vulnerabilities, Cisco Talos : https://blog.talosintelligence.com/tp-link-photoshop-openvpn-norton-vpn-vulnerabilities/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09 📩 Email : radiocsirt@gmail.com 🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #ThreatIntelligence #LinuxKernel #LinusTorvalds #AI #CVE #ssh-keysign-pwn #ptrace #Ubuntu #Canonical #Qualys #ShaiHulud #npm #SupplyChain #Session #Sigstore #OIDC #VSCode #ClaudeCode #INTERPOL #OperationRamz #MENA #Huawei #ZeroDay #Luxembourg #POST #Microsoft #FoxTempest #MSaaS #ArtifactSigning #Rhysida #Qilin #Akira #LummaStealer #Vidar #CiscoTalos #TPLink #ArcherAX53 #Photoshop #OpenVPN #NortonVPN #PatchManagement #RadioCSIRT

    15 min
  2. Ep.649 - RadioCSIRT Édition Française - Flash info cybersécurité du lundi 18 mai 2026

    -2 J

    Ep.649 - RadioCSIRT Édition Française - Flash info cybersécurité du lundi 18 mai 2026

    Le CERT-FR a publié le 18 mai 2026 l'avis CERTFR-2026-AVI-0608 sur de multiples vulnérabilités dans Microsoft Azure Linux. L'avis consolide dix-huit bulletins de sécurité Microsoft datés des 3, 7 et 10 mai 2026, couvrant les composants binutils, coredns, fio, gdb, httpd, python-mistune et telegraf dans la distribution AZL3. Le risque est non spécifié par l'éditeur. Exemples de saut de version : httpd 2.4.66-1 vers 2.4.67-1, coredns 1.11.4-15 vers 1.11.4-16, telegraf 1.31.0-19 vers 1.31.0-20. Dix-sept CVE référencées au total. Les opérateurs Azure Linux sont invités à appliquer les correctifs via les canaux Microsoft habituels selon leur cycle de patch. Le CERT-FR a également publié l'avis CERTFR-2026-AVI-0607 concernant Microsoft Edge, consolidant plus de soixante-quinze bulletins de sécurité Microsoft Edge publiés le 15 mai 2026. Les risques identifiés sont l'exécution de code arbitraire à distance, le contournement de la politique de sécurité et un risque non spécifié par l'éditeur. La version corrective est Microsoft Edge 148.0.3967.70, toutes versions antérieures concernées. L'avis ne distingue pas la criticité par CVE, ce qui invite à traiter l'ensemble comme prioritaire. Les administrateurs Intune et Configuration Manager sont incités à pousser la mise à jour sans délai et à vérifier le déploiement effectif via leurs canaux de reporting habituels. Selon le National Cyber Security Centre britannique, dans un article du 11 mai 2026 signé Ruth C, responsable du Vulnerability Management Group, l'usage de l'intelligence artificielle pour rechercher des vulnérabilités appelle dix questions préalables. Le NCSC rappelle que sur les quarante mille CVE attribués en 2025, seuls quatre cents environ ont été activement exploités selon la CISA KEV, dont une quarantaine en zero-day initial. Trouver des vulnérabilités ne suffit pas à améliorer la sécurité, et sans processus de gestion en aval, la posture défensive peut se dégrader. Le NCSC recommande de combiner capacités IA et expertise humaine, et de prioriser l'asset management, le dependency management et la surface d'attaque externe. D'après un guest diary du SANS Internet Storm Center publié le 15 mai 2026 par Gokul Prema Thangavel, étudiant SANS.edu, le botnet Outlaw connu sous le marqueur mdrfckr est entré dans sa troisième génération de client SSH. Entre le 14 et le 21 avril 2026, un capteur DShield a logué 24 IPs uniques écrivant le SHA-256 a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 dans des fichiers authorized_keys, hash inchangé depuis 2018. Nouveauté : le hassh 03a80b21afa810682a776a7d42e5e6fb correspondant à libssh 0.11.1, après libssh 0.6 documentée en 2022 et libssh 0.9 documentée en 2023. Les règles de détection adossées aux hassh précédents manqueront cette génération. L'auteur recommande d'épingler la détection sur le SHA-256 du fichier, le blob de clé publique, la chaîne mdrfckr et la séquence de commandes de reconnaissance, plutôt que sur une valeur hassh donnée. Sources : Multiples vulnérabilités dans Microsoft Azure Linux — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0608/Multiples vulnérabilités dans Microsoft Edge — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0607/10 questions to ask when using AI models to find vulnerabilities — NCSC UK : https://www.ncsc.gov.uk/blogs/10-questions-ask-using-ai-models-find-vulnerabilitiesNew Malware Libraries means New Signatures — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32986⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #ThreatIntelligence #CERTFR #ANSSI #Microsoft #AzureLinux #MicrosoftEdge #PatchTuesday #PatchManagement #CVE #NCSC #UK #AI #LLM #VulnerabilityManagement #CISAKEV #ZeroDay #SANS #InternetStormCenter #DShield #Outlaw #mdrfckr #Botnet #SSH #libssh #hassh #DetectionEngineering #ThreatHunting #RadioCSIRT

    9 min
  3. Ep.648 - RadioCSIRT Édition Française - Flash info cybersécurité du dimanche 17 mai 2026

    -3 J

    Ep.648 - RadioCSIRT Édition Française - Flash info cybersécurité du dimanche 17 mai 2026

    Selon Microsoft, le groupe russe Secret Blizzard, lié au FSB et recoupant Turla, a transformé son backdoor historique Kazuar en un botnet peer-to-peer modulaire. La nouvelle architecture repose sur trois modules — Kernel, Bridge et Worker — avec élection d'un leader parmi les systèmes infectés, seul à communiquer avec le C2 via HTTP, WebSockets ou Exchange Web Services. Les autres hôtes passent en mode silencieux pour réduire la surface de détection. Les communications internes s'appuient sur IPC Windows natif, chiffrement AES et sérialisation Protobuf. Kazuar offre désormais 150 options de configuration, incluant bypass AMSI, ETW et Windows Lockdown Policy. D'après GBHackers et Malwarebytes, le site officiel de JDownloader a été compromis entre le 6 et le 7 mai 2026 via l'exploitation d'une vulnérabilité CMS permettant la modification non authentifiée des Access Control Lists. Les attaquants ont substitué des installeurs trojanisés à l'Alternative Installer Windows et au shell installer Linux. L'installeur Windows déployait un Remote Access Trojan Python assurant un accès persistant. Les builds macOS, JAR, Flatpak, Snap, Winget et les mises à jour in-app n'ont pas été affectés. Fortinet a publié 11 advisories lors de son Patch Tuesday de mai 2026, dont deux failles critiques de Remote Code Execution non authentifié. CVE-2026-44277, CVSS 9.1, vise FortiAuthenticator via un défaut d'improper access control, ouvrant la voie au contournement du MFA et à l'interception des flux RADIUS, LDAP et SAML. CVE-2026-26083, CVSS 9.1, frappe FortiSandbox via une missing authorization sur l'interface WEB UI. À noter également CVE-2026-44278, clé de chiffrement codée en dur exposant les mots de passe VPN sauvegardés dans FortiClientWindows. D'après un rapport publié par Hunt.io, dans le contexte d'escalade géopolitique entre les États-Unis, Israël et l'Iran, 19 groupes liés à Téhéran sont actuellement suivis, dont MuddyWater, VoidManticore, APT42, APT35 et Infy. L'analyse révèle une préférence marquée de MuddyWater pour les hébergeurs NameCheap et Hosterdaddy Private Limited, AS136557. Le pivot sur le hash SHA-256 du binaire de tunneling FMAPP.exe a permis d'identifier un Sliver C2 exposé sur le port 31337, ainsi qu'un dropper PowerShell reset.ps1 utilisant ethers.js et WebSocket, suggérant une composante de communication adossée à Ethereum. Concernant Dark Scepter, recoupant APT34 OilRig, Hunt.io documente le contournement du fronting Cloudflare via pivot sur les Subject Alternative Names des certificats. D'après le rapport AI Threat Tracker publié le 11 mai 2026 par le Google Threat Intelligence Group, des chercheurs ont identifié pour la première fois un exploit zero-day développé avec l'assistance d'un LLM. La vulnérabilité, un contournement de la double authentification dans un outil d'administration web open source non divulgué, repose sur un Semantic Logic Flaw : le développeur a codé en dur une hypothèse de confiance que les scanners SAST et fuzzers ne peuvent détecter. GTIG attribue l'exploit à un LLM avec haute confiance, sur la base de docstrings éducatifs, scores CVSS hallucinés et formatage textbook. Gemini n'est pas impliqué. Le rapport documente également CANFAIL et LONGSTREAM, malwares Russia-nexus utilisant du decoy code généré par LLM, et PROMPTSPY, backdoor Android intégrant l'API Gemini. Sources : Russian hackers turn Kazuar backdoor into modular P2P botnet — BleepingComputer : https://www.bleepingcomputer.com/news/security/russian-hackers-turn-kazuar-backdoor-into-modular-p2p-botnet/JDownloader Website Hack Exposes Windows and Linux Users to Malicious Installers — GBHackers : https://gbhackers.com/jdownloader-website-hack-exposes-windows-and-linux-users/Fortinet Patch Tuesday – May 2026 — TheCyberThrone : https://thecyberthrone.in/2026/05/16/fortinet-patch-tuesday-may-2026/Iranian APT Infrastructure in Focus: Mapping State-Aligned Clusters During Geopolitical Escalation — Hunt.io : https://hunt.io/blog/iranian-apt-infrastructure-state-aligned-clustersCyberattaques IA : Google révèle que des hackers ont trouvé le moyen de contourner la double authentification — 01net : https://www.01net.com/actualites/cyberattaques-ia-google-revele-hackers-trouve-moyen-contourner-double-authentification-premiere.html⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #ThreatIntelligence #SecretBlizzard #Turla #Kazuar #Botnet #P2P #FSB #JDownloader #SupplyChain #RAT #Python #Malwarebytes #Fortinet #PatchTuesday #FortiAuthenticator #FortiSandbox #FortiClient #CVE #RCE #MFA #HuntIO #IranianAPT #MuddyWater #DarkScepter #APT34 #OilRig #APT35 #APT42 #Sliver #C2 #GTIG #Google #AIThreatTracker #ZeroDay #LLM #2FA #PROMPTSPY #CANFAIL #LONGSTREAM #Gemini #PatchManagement #RadioCSIRT

    14 min
  4. Ep.647 - RadioCSIRT Édition Française - Veille cybersécurité du samedi 16 mai 2026

    -4 J

    Ep.647 - RadioCSIRT Édition Française - Veille cybersécurité du samedi 16 mai 2026

    Le chercheur Chaotic Eclipse, alias Nightmare-Eclipse sur GitHub, publie le vendredi 15 mai 2026 une cinquième divulgation publique non coordonnée en six semaines. Baptisée MiniPlasma, la vulnérabilité cible le driver Windows Cloud Files Mini Filter, cldflt.sys, chargé par défaut sur l'ensemble des installations Windows depuis Windows 10 1809. Le PoC public sur GitHub revendique l'obtention d'un shell SYSTEM sur Windows 11 et Windows Server 2025 entièrement patchés. Aucune CVE n'a été attribuée à ce jour, aucun correctif n'est en cours de publication par le Microsoft Security Response Center. L'allégation centrale du chercheur est extraordinaire et requiert vérification : le patch de CVE-2020-17103, publié par Microsoft en décembre 2020 dans le cadre d'une série de quatre vulnérabilités découvertes par James Forshaw de Project Zero, ne serait, selon le message PGP signé, simplement pas présent sur les versions actuelles du driver. Trois hypothèses techniques sont actuellement sur la table sans qu'aucune ne soit définitivement écartée. Première hypothèse, la plus probable a priori, une variante du défaut d'origine non couverte par le patch initial, sur le modèle du bypass CVE-2025-55680 identifié par Exodus Intelligence sur le même driver. Deuxième hypothèse, une régression silencieuse du correctif au fil des refactorings successifs du driver. Troisième hypothèse intermédiaire, un correctif appliqué sur certaines branches du code mais non propagé après divergence vers Windows 11 et Windows Server 2025. L'historique récent de cldflt.sys soutient l'analyse. Quatre CVE majeures en 18 mois sur le même driver. CVE-2025-55680 patchée en octobre 2025, dérivée d'une race TOCTOU découverte dès mars 2024. CVE-2025-62221 patchée en décembre 2025 alors qu'elle était déjà exploitée in-the-wild, sans publication d'indicateurs de compromission détaillés. Et désormais MiniPlasma. Le composant est manifestement structurellement fragile et continue d'attirer les chercheurs. En l'absence de correctif éditeur, les équipes CERT et CSIRT disposent de plusieurs leviers de mitigation. Pour les serveurs sans usage cloud et les hôtes administrateurs, la désactivation conditionnelle du service CldFlt via la commande sc.exe config cldflt start= disabled supprime la surface d'attaque, sous réserve de validation fonctionnelle (impact sur OneDrive, SharePoint, certains workflows tiers). Pour les flottes utilisant intensivement OneDrive Files On-Demand, cette option n'est pas applicable. La détection EDR doit cibler les DeviceIoControl avec code 0x903BC vers le device \\.\HsmFlt\Hsm provenant de processus non privilégiés, et la création de DLL dans System32 ou SysWOW64 par des processus non SYSTEM. Le correctif officiel est à anticiper pour le Patch Tuesday de juin 2026, qui correspond également à la prochaine divulgation annoncée par Chaotic Eclipse. Sources : Chaotic Eclipse, blog deadeclipse666, MiniPlasma a powerful LPE : https://deadeclipse666.blogspot.com/GitHub Nightmare-Eclipse/MiniPlasma : https://github.com/Nightmare-Eclipse/MiniPlasmaMicrosoft Security Response Center, CVE-2020-17103 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17103James Forshaw, Project Zero, Hunting for Bugs in Windows Mini-Filter Drivers : https://googleprojectzero.blogspot.com/2021/01/hunting-for-bugs-in-windows-mini-filter.htmlExodus Intelligence, Microsoft Windows Cloud Files Minifilter TOCTOU Privilege Escalation, CVE-2025-55680 : https://blog.exodusintel.com/2025/10/20/microsoft-windows-cloud-files-minifilter-toctou-privilege-escalation/Microsoft Security Response Center, CVE-2025-62221 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62221Analyse complète sur le blog : https://blog.marcfredericgomez.fr/miniplasma-chaotic-eclipse-rouvre-cldflt-sys-et-relance-la-question-de-la-durabilite-des-patches-microsoft/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #ThreatIntelligence #Windows #cldflt #CloudFiles #PrivilegeEscalation #LPE #ChaoticEclipse #NightmareEclipse #MiniPlasma #YellowKey #Microsoft #MSRC #SilentPatching #PatchTuesday #VulnerabilityManagement #RadioCSIRT

    26 min
  5. Ep.646 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 15 mai 2026

    -5 J

    Ep.646 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 15 mai 2026

    Le 12 mai 2026, AMD publie l'avis AMD-SB-7052 décrivant la vulnérabilité CVE-2025-54518 dans le cache d'opcodes des processeurs Zen 2. CVSS 4.0 de 7.3, CWE-1189, élévation locale et évasion guest vers host confirmée par Xen XSA-490 et Qubes QSB-113. Le périmètre couvre EPYC 7002, Ryzen 3000/4000 Desktop, Ryzen 5000 Mobile, Threadripper PRO 3000 WX et Ryzen Embedded V2000. Mitigation via microcode AGESA diffusé aux OEM entre octobre 2025 et décembre 2025, divulgation publique coordonnée après sept mois d'embargo. Simon Kelley, mainteneur unique de dnsmasq, fait face à un afflux massif de bug reports générés par IA. Six CVE remontent à des rapports automatisés, posant la question de la soutenabilité de la maintenance open source face à la submersion par découvertes IA convergentes. Le cas illustre une érosion du modèle CVD classique sur les composants à mainteneur unique. Microsoft confirme l'exploitation active de CVE-2026-40361, vulnérabilité zero-click use-after-free dans le moteur de rendu Outlook wwlib.dll. L'exploitation se déclenche au simple chargement du panneau de prévisualisation, sans interaction utilisateur. Le correctif est intégré au Patch Tuesday de mai 2026. D'après BleepingComputer, la deuxième journée du concours Pwn2Own Berlin 2026 a livré 15 zero-days uniques pour 385 750 dollars de récompenses. Orange Tsai (DEVCORE) a chaîné trois bugs pour obtenir un Remote Code Execution SYSTEM sur Microsoft Exchange, empochant 200 000 dollars. Siyeon Wi a exploité un integer overflow sur Windows 11, et Ben Koo (Team DDOS) a élevé ses privilèges en root sur Red Hat Enterprise Linux for Workstations via un use-after-free. Le 14 mai 2026, CISA ajoute CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities. La faille, CVSS 10.0, est un authentication bypass dans le mécanisme de peering de Cisco Catalyst SD-WAN Controller et SD-WAN Manager. L'exploitation active est attribuée par Cisco Talos au cluster UAT-8616, déjà responsable de l'exploitation de CVE-2026-20127. Les agences fédérales américaines ont jusqu'au 17 mai 2026 pour appliquer les correctifs. Le 15 mai 2026, CISA ajoute CVE-2026-42897 au catalogue KEV. La vulnérabilité, CVSS 8.1, est un cross-site scripting dans Microsoft Exchange Server affectant Outlook Web Access. L'exploitation se fait via l'envoi d'un email spécialement conçu permettant l'exécution de JavaScript arbitraire dans le contexte du navigateur. Les versions concernées sont Exchange Server 2016, 2019 et Subscription Edition. Microsoft fournit une mitigation temporaire via l'Exchange Emergency Mitigation Service en attendant un correctif définitif. Sources :  Une vulnérabilité dans le cache d'opcodes des processeurs AMD Zen 2 — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/une-vulnerabilite-dans-le-cache-dopcodes-des-processeurs-amd-zen-2/Six CVE dnsmasq, un mainteneur épuisé par le tsunami de bug reports générés par IA — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/six-cve-dnsmasq-un-mainteneur-epuise-par-le-tsunami-de-bug-reports-generes-par-ia/CVE-2026-40361 : vulnérabilité zero-click use-after-free dans le moteur de rendu Outlook (wwlib.dll) — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/cve-2026-40361-vulnerabilite-zero-click-use-after-free-dans-le-moteur-de-rendu-outlook-wwlib-dll/Pwn2Own Day Two: hackers demo Microsoft Exchange, Windows 11, Red Hat Enterprise Linux zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/security/pwn2own-day-two-hackers-demo-microsoft-exchange-windows-11-red-had-enterprise-linux-zero-days/ CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-20182) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-42897) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/15/cisa-adds-one-known-exploited-vulnerability-catalog⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #ThreatIntelligence #AMD #Zen2 #OpcodeCache #CVE #XenProject #QubesOS #dnsmasq #OpenSource #AIBugReports #Outlook #ZeroClick #UseAfterFree #wwlib #Pwn2Own #P2OBerlin #Exchange #Windows11 #RedHat #DEVCORE #OrangeTsai #CISA #KEV #Cisco #CatalystSDWAN #UAT8616 #MicrosoftExchange #OWA #XSS #PatchTuesday #RadioCSIRT

    11 min
  6. Ep.645 - RadioCSIRT Édition Française - Épisode spécial du jeudi 14 mai 2026

    -6 J

    Ep.645 - RadioCSIRT Édition Française - Épisode spécial du jeudi 14 mai 2026

    Cet épisode spécial revient en détail sur l'affaire YellowKey et GreenPlasma, deux vulnérabilités zero-day Windows divulguées publiquement le 12 mai 2026 par un chercheur indépendant opérant sous les pseudonymes Chaotic Eclipse et Nightmare-Eclipse, sans coordination préalable avec Microsoft. Aucun identifiant CVE n'a été attribué à ce jour, aucun correctif éditeur n'est disponible, et des codes proof-of-concept fonctionnels sont publiquement accessibles sur GitHub. Le chercheur Chaotic Eclipse mène depuis avril 2026 une campagne de divulgations non coordonnées contre Microsoft, motivée selon ses propres déclarations par une rupture de confiance avec le Microsoft Security Response Center et par le recours présumé au silent patching. Trois zero-day Windows Defender ont été publiés précédemment : BlueHammer (CVE-2026-33825, corrigé), RedSun (correctif silencieux selon le chercheur, sans CVE), et UnDefend. Le chercheur annonce la poursuite de la campagne lors du Patch Tuesday de juin 2026 et déclare disposer d'un dead man switch contenant d'autres exploits. YellowKey permet le contournement complet du chiffrement BitLocker sur Windows 11, Windows Server 2022 et Windows Server 2025 en cas d'accès physique à la machine. L'attaque consiste à déposer des fichiers spécialement formatés dans un répertoire FsTx placé dans System Volume Information sur une clé USB, à brancher cette clé sur la machine cible, à redémarrer dans le Windows Recovery Environment et à maintenir la touche CTRL pendant le boot. Le système ouvre alors un shell cmd.exe avec accès intégral au volume protégé par BitLocker, sans demande de recovery key ni de PIN. L'analyse technique de Will Dormann (Tharros Labs) montre que le mécanisme exploité repose sur la capacité d'un répertoire System Volume Information FsTx situé sur un volume à modifier le contenu d'un autre volume lors du replay transactionnel NTFS. Le chercheur indique également que la vulnérabilité reste exploitable sur les configurations BitLocker avec TPM et PIN, sans publier le proof-of-concept pour cette variante. GreenPlasma est une élévation de privilèges locale vers SYSTEM exploitant le processus CTFMON, composant du Collaborative Translation Framework qui s'exécute en SYSTEM dans chaque session interactive Windows. Le mécanisme repose sur la création par un utilisateur non privilégié d'un memory section object arbitraire dans un directory object writable par SYSTEM, au sein du namespace de l'Object Manager Windows. Le proof-of-concept publié sur GitHub est volontairement incomplet, le chercheur ayant retiré le composant final permettant d'obtenir un shell SYSTEM. GreenPlasma est confirmée fonctionnelle sur Windows 11, Windows Server 2022 et Windows Server 2026. La reproductibilité de YellowKey a été confirmée par plusieurs chercheurs indépendants reconnus, dont Kevin Beaumont, Will Dormann, KevTheHermit et JaGoTu. Microsoft a déclaré être engagé dans l'investigation des vulnérabilités rapportées et soutenir le principe de Coordinated Vulnerability Disclosure, sans publier de correctif, d'avis MSRC ni d'attribution CVE à la date de cet épisode. RadioCSIRT suivra l'évolution de ce dossier dans les prochains numéros. Sources : The Register, Disgruntled researcher releases two more Microsoft zero-days : https://www.theregister.com/security/2026/05/13/disgruntled-researcher-releases-two-more-microsoft-zero-days/BleepingComputer, Windows BitLocker zero-day gives access to protected drives : https://www.bleepingcomputer.com/news/security/windows-bitlocker-zero-day-gives-access-to-protected-drives-poc-released/SecurityWeek, Researcher Drops YellowKey, GreenPlasma Windows Zero-Days : https://www.securityweek.com/researcher-drops-yellowkey-greenplasma-windows-zero-days/The Hacker News, Windows Zero-Days Expose BitLocker Bypasses And CTFMON Privilege Escalation : https://thehackernews.com/2026/05/windows-zero-days-expose-bitlocker.htmlTom's Hardware, YellowKey zero-day exploit demonstrates an apparent backdoor : https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoorCybernews, BitLocker bypass zero-day exploit released by disgruntled researcher : https://cybernews.com/security/researcher-releases-bitlocker-bypass-and-privilege-escalation-exploit/GitHub, Nightmare-Eclipse, GreenPlasma repository : https://github.com/Nightmare-Eclipse/GreenPlasmaChaotic Eclipse blog, deadeclipse666 : https://deadeclipse666.blogspot.com/ ⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #ThreatIntelligence #YellowKey #GreenPlasma #ChaoticEclipse #NightmareEclipse #BitLocker #Windows11 #WindowsServer #WinRE #CTFMON #TPM #SecureBoot #BlueHammer #RedSun #UnDefend #Microsoft #MSRC #ZeroDay #PrivilegeEscalation #EncryptionBypass #PatchTuesday #VulnerabilityDisclosure #RadioCSIRT

    16 min
  7. Ep.644 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 13 mai 2026

    13 MAI

    Ep.644 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 13 mai 2026

    Le 13 mai 2026, cPanel publie une série de bulletins de sécurité corrigeant des vulnérabilités dans cPanel & WebHost Manager. Sont concernées les versions antérieures à 86.0.44, 11.94.0.31, 11.102.0.42, 11.110.0.118, 11.118.0.67, 11.124.0.38, 11.126.0.59, 11.130.0.23, 11.132.0.32, 11.134.0.26, 11.136.0.10, ainsi que WP Squared 11.136.1.12. Le Centre canadien pour la cybersécurité recommande l'application immédiate des correctifs. Red Hat publie un article décrivant comment ses Hardened Images, combinées à la plateforme Anchore, réduisent la fatigue CVE en sécurité conteneurs. L'approche repose sur des images minimales produites selon le standard SLSA3, une génération continue de SBOM, et un policy engine appliquant les référentiels NIST 800-53, 800-190 et FedRAMP tout au long du cycle CI/CD. Palo Alto Networks publie plusieurs bulletins critiques visant PAN-OS. Trois CVE majeures sont à retenir : CVE-2026-0263 Remote Code Execution dans le traitement IKEv2, CVE-2026-0264 heap-based buffer overflow non authentifié dans DNS Proxy et DNS Server, et CVE-2026-0265 authentication bypass lorsque Cloud Authentication Service est activé. Les branches PAN-OS 12.1, 11.2, 11.1 et 10.2 sont concernées. F5 publie sa Quarterly Security Notification de mai 2026, référencée K000160932. Le périmètre couvre BIG-IP tous modules, APM, Advanced WAF/ASM, DDoS Hybrid Defender, Next CNF, Next SPK, Next for Kubernetes, BIG-IQ Centralized Management, ainsi que la gamme NGINX (App Protect WAF et DoS, Gateway Fabric, Ingress Controller, Instance Manager, Open Source jusqu'à 1.30.0, NGINX Plus de R32 à R36). Plusieurs correctifs sont qualifiés de critiques. Le 12 mai 2026, l'équipe Exim publie l'avis EXIM-Security-2026-05-01.1 corrigeant une vulnérabilité affectant les versions 4.97 à 4.99.2 du Mail Transfer Agent. Le Centre canadien pour la cybersécurité recommande d'appliquer la mise à jour et de suivre les mesures d'atténuation publiées sur exim.org. n8n publie plusieurs bulletins de sécurité visant la plateforme d'automatisation no-code. Cinq classes de vulnérabilités sont corrigées : Pagination Prototype Pollution, Dynamic Credential OAuth Endpoints, Source Control, XML Node Prototype Pollution et Git Node. Plusieurs versions sont concernées, le patching est à traiter sans délai compte tenu de la manipulation de credentials OAuth tiers par la plateforme. Google publie une mise à jour Stable Channel pour Chrome Desktop. Les versions antérieures à 148.0.7778.167/168 sur Windows et macOS, et 148.0.7778.167 sur Linux sont concernées. Les détails complets des CVE corrigées sont publiés sur le blog officiel Chrome Releases. Exploit-DB publie sous référence EDB-ID 52559 un exploit ciblant Glances 4.5.2 et versions antérieures, identifié CVE-2026-33641 et classé CWE-78. La méthode Config.get_value() exécute comme commandes système toute chaîne placée entre backticks dans un fichier de configuration, via system_exec(). La CVSS v3.1 est évaluée à 7.8 HIGH. Le correctif est intégré à Glances 4.5.3, qui supprime le mécanisme d'exécution dynamique. CloudLinux publie un avis détaillant Fragnesia, troisième vulnérabilité de la classe Dirty Frag affectant le sous-système XFRM/ESP du kernel Linux. La faille concerne le ULP ESP-in-TCP : lorsqu'une socket TCP bascule en mode espintcp après un splice(2) ou sendfile(2), le kernel déchiffre les pages du page cache comme du ciphertext ESP, produisant une primitive d'écriture déterministe. Le PoC public de William Bowling et l'équipe V12 écrase /usr/bin/su pour obtenir root en une commande. CloudLinux 7h, 8, 9 et 10 sont affectés, l'attribution CVE est en cours. Sources :  Bulletin de sécurité cPanel AV26-464, Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-cpanel-av26-46Reducing CVE fatigue with Red Hat Hardened Images and Anchore : https://www.redhat.com/fr/blog/reducing-cve-fatigue-red-hat-hardened-images-and-anchoreBulletin de sécurité Palo Alto Networks AV26-462 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-palo-alto-networks-av26-462Bulletin de sécurité F5 AV26-461 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-f5-av26-461Bulletin de sécurité Exim AV26-460 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-exim-av26-460Bulletin de sécurité n8n AV26-459 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-n8n-av26-459Bulletin de sécurité Google Chrome AV26-458 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-google-chrome-av26-458Glances 4.5.2 Command Injection CVE-2026-33641, Exploit Database : https://www.exploit-db.com/exploits/52559Fragnesia Mitigation and Kernel Update, CloudLinux Blog : https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #ThreatIntelligence #cPanel #WHM #RedHat #HardenedImages #Anchore #SBOM #SLSA3 #PaloAlto #PANOS #IKEv2 #DNSProxy #F5 #BIGIP #NGINX #Exim #MTA #n8n #PrototypePollution #OAuth #Chrome #Glances #CommandInjection #Fragnesia #DirtyFrag #LinuxKernel #XFRM #ESP #CloudLinux #CVE #PatchTuesday #RadioCSIRT

    9 min
  8. Ep.643 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 12 mai 2026

    12 MAI

    Ep.643 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 12 mai 2026

    Une nouvelle vague de l'opération Shai-Hulud, attribuée au groupe TeamPCP, a compromis des centaines de packages npm et PyPI dont TanStack, Mistral AI, Guardrails AI, UiPath et OpenSearch. Les attaquants ont détourné des tokens OpenID Connect valides pour publier des versions malveillantes avec attestation de provenance SLSA Build Level 3, exfiltrant credentials GitHub, npm, AWS, Vault et Kubernetes via le réseau P2P Session. Le CERT-FR a publié l'avis CERTFR-2026-AVI-0553 couvrant onze CVE dans PHP, exploitables pour déni de service à distance, injection SQL et XSS. Sont concernées les branches 8.2.x antérieures à 8.2.31, 8.3.x antérieures à 8.3.31, 8.4.x antérieures à 8.4.21 et 8.5.x antérieures à 8.5.6. OpenAI lance Daybreak, plateforme cybersécurité défensive bâtie sur GPT-5.5 et Codex. Elle couvre secure code review, threat modeling, malware analysis et patch validation, et se décline en trois niveaux d'accès dont un tier GPT-5.5-Cyber réservé aux opérations de penetration testing et red teaming sous accès contrôlé. La FCC prolonge jusqu'au 1er janvier 2029 le waiver autorisant les mises à jour logicielles et firmware des routeurs étrangers inscrits sur la Covered List. Le waiver couvre désormais les Class II permissive changes. TP-Link et DJI restent en attente d'exemption. La vulnérabilité Copy Fail, CVE-2026-31431, divulguée par Theori, est une LPE déterministe et universelle dans l'interface AF_ALG du noyau Linux. L'écriture de quatre octets dans le page cache permet de modifier un binaire setuid en mémoire et d'obtenir root. Inscrite au catalogue KEV de la CISA avec échéance fédérale au 15 mai. Le CERT Polska divulgue CVE-2026-5029, une remote code execution non authentifiée affectant toutes les versions de Code Runner MCP Server lancé avec l'option --transport http. Le endpoint /mcp sur port 3088 est exposé sans authentification, permettant l'exécution de code arbitraire via child_process.exec(). Aucun correctif disponible. L'entreprise brésilienne Huge Networks, spécialisée dans la mitigation DDoS, héberge un botnet Mirai ciblant des ISP locaux via des routeurs TP-Link Archer AX21 vulnérables à CVE-2023-1389. Les scripts Python exposés exploitaient les clés SSH du CEO Erick Nascimento pour orchestrer des attaques par DNS reflection et amplification. D'après le SANS Internet Storm Center, Apple a publié 84 correctifs couvrant iOS, iPadOS, macOS, tvOS, watchOS et visionOS. Aucune des failles n'est exploitée à ce jour. Plusieurs CVE permettent une exécution de code kernel via Wi-Fi, des élévations vers root et des bypass de Gatekeeper via ZIP ou disk image piégés. Sources : BleepingComputer Shai-Hulud TanStack Mistral : https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/CERT-FR PHP CERTFR-2026-AVI-0553 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0553/01net OpenAI Daybreak : https://www.01net.com/actualites/openai-lance-daybreak-lia-qui-detecte-et-corrige-les-failles-de-securite-en-quelques-minutes.htmlThe Cyber Express OpenAI Daybreak : https://thecyberexpress.com/openai-daybreak-introduces-gpt-5-5/Ars Technica FCC routeurs étrangers : https://arstechnica.com/tech-policy/2026/05/fcc-slightly-relaxes-foreign-router-ban-allows-software-updates-until-2029/CloudLinux Copy Fail CVE-2026-31431 : https://blog.cloudlinux.com/cve-2026-31431-copy-fail-patching-kernels-without-rebootingCERT Polska Code Runner MCP CVE-2026-5029 : https://cert.pl/en/posts/2026/05/CVE-2026-5029/KrebsOnSecurity Huge Networks : https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/SANS ISC Apple Patches : https://isc.sans.edu/diary/rss/32976 ⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #ThreatIntelligence #ShaiHulud #TeamPCP #TanStack #MistralAI #SupplyChain #npm #PyPI #SLSA #OIDC #PHP #CERTFR #OpenAI #Daybreak #GPT55 #ClaudeMythos #FCC #TPLink #DJI #CopyFail #LinuxKernel #CISA #KEV #MCP #CodeRunner #CERTPolska #HugeNetworks #Mirai #TPLinkArcher #DDoS #Apple #iOS #macOS #Gatekeeper #WebKit #RadioCSIRT

    14 min
Tout afficher (652)

4,9
sur 5
58 notes

À propos

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

Informations

  • Création
    Marc Frédéric GOMEZ
  • Années d’activité
    2024 - 2026
  • Épisodes
    652
  • Classification
    Tous publics
  • Copyright
    © Marc Frederic GOMEZ
  • Site web de l’émission
    RadioCSIRT - Edition Française

Vous aimeriez peut‑être aussi