RadioCSIRT - Edition Française

Marc Frédéric GOMEZ
  • 3.0 (2)
  • TECH NEWS
  • UPDATED DAILY

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

  1. Ep.601 - RadioCSIRT Édition Française - Veille cyber du mercredi 18 mars 2026

    3H AGO

    Ep.601 - RadioCSIRT Édition Française - Veille cyber du mercredi 18 mars 2026

    Apple corrige une vulnérabilité WebKit référencée CVE-2026-20643 permettant un contournement de la same-origin policy via un problème cross-origin dans la Navigation API. Cette faille pourrait permettre l’accès à des données inter-domaines dans Safari et les composants associés. Une compromission majeure touche le fournisseur bancaire Marquis Software. Plus de 672 000 personnes sont affectées après exfiltration de données sensibles incluant identifiants fiscaux et informations financières, dans un scénario de Supply Chain impactant de multiples institutions. La CISA indique ne pas observer d’augmentation significative de l’activité cyber iranienne malgré les frappes récentes, maintenant une posture de vigilance face à un écosystème de menaces toujours actif. Les chercheurs de Unit 42 démontrent la fragilité persistante des LLM face aux attaques de prompt fuzzing. Des variantes automatisées permettent de contourner les guardrails avec des taux d’évasion élevés selon les modèles et les mots-clés. Le SANS Institute observe une augmentation des scans ciblant Adminer, avec une recherche automatisée de fichiers spécifiques incluant versions et variantes, indiquant une phase de reconnaissance active. Le CERT-FR publie un avis sur plusieurs vulnérabilités dans Suricata, affectant les versions antérieures à 7.0.15 et 8.0.4, avec un impact potentiel sur les capacités de détection réseau. Une vulnérabilité critique CVE-2026-3888 affecte Ubuntu Desktop 24.04+, permettant une élévation de privilèges root via une interaction entre snap-confine et systemd-tmpfiles. Le groupe Interlock exploite une zero-day dans Cisco Secure Firewall Management Center, CVE-2026-20131, permettant une Remote Code Execution non authentifiée sur des équipements exposés. La CISA ajoute CVE-2025-66376 au KEV Catalog. Cette vulnérabilité Cross-Site Scripting affecte Zimbra Collaboration Suite et est confirmée comme activement exploitée. Sources : Malwarebytes — WebKit CVE-2026-20643 : https://www.malwarebytes.com/blog/news/2026/03/apple-patches-webkit-bug-that-could-let-sites-access-your-dataThe Record — Marquis Software breach : https://therecord.media/marquis-bank-vendor-data-breachThe Record — CISA Iran cyber posture : https://therecord.media/cisa-official-says-agency-has-not-seen-uptick-cyber-threats-iranUnit 42 — LLM prompt fuzzing : https://unit42.paloaltonetworks.com/genai-llm-prompt-fuzzing/SANS ISC — Adminer scans : https://isc.sans.edu/diary/rss/32808CERT-FR — Suricata : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0309/Security Affairs — Ubuntu CVE-2026-3888 : https://securityaffairs.com/189614/security/cve-2026-3888-ubuntu-desktop-24-04-vulnerable-to-root-exploit.htmlBleepingComputer — Marquis breach details : https://www.bleepingcomputer.com/news/security/marquis-ransomware-gang-stole-data-of-672-000-people-in-2025-cyberattack/CISA — KEV Zimbra CVE-2025-66376 : https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-adds-one-known-exploited-vulnerability-catalogOn ne réfléchit pas, on patch ! Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

    18 min
  2. Ep.600 - RadioCSIRT Édition Française - Veille cyber du mardi 17 mars 2026

    1D AGO

    Ep.600 - RadioCSIRT Édition Française - Veille cyber du mardi 17 mars 2026

    La CISA ajoute CVE-2025-47813 à son catalogue KEV : la faille d'Information Disclosure dans Wing FTP Server est confirmée comme activement exploitée et exploitable en chaîne avec une Remote Code Execution critique référencée CVE-2025-47812. Les agences fédérales américaines disposent de deux semaines pour remédier. Le CERT-FR publie quatre avis simultanés : CVE-2026-3909 dans Google Chrome et CVE-2026-3910 dans Microsoft Edge sont toutes deux confirmées comme activement exploitées. OpenSSL est affecté par CVE-2026-2673 sur les branches 3.5.x et 3.6.x. Plusieurs composants Azure Linux — coredns, giflib, golang et azurelinux-image-tools — font l'objet de six CVE additionnelles. La startup Starcloud soumet à la FCC une demande de déploiement de 88 000 satellites en orbite héliosynchrone pour constituer une infrastructure de data centers orbitaux produisant 5 gigawatts. Soutenue par NVIDIA, la société a déjà démontré l'exécution d'inférences IA depuis l'orbite via un GPU H100 embarqué. Le groupe APT Laundry Bear, également référencé UAC-0190 et Void Blizzard, est suspecté d'utiliser un nouveau backdoor baptisé DRILLAPP contre des organisations ukrainiennes. La technique repose sur l'abus des paramètres de debug de Microsoft Edge en mode headless pour accéder au système de fichiers, au microphone, à la caméra et à l'écran sans déclencher d'alerte. Sources : CISA — Wing FTP Server KEV : https://www.cisa.gov/news-events/alerts/2026/03/16/cisa-adds-one-known-exploited-vulnerability-catalogBleepingComputer — Wing FTP Server flaw actively exploited : https://www.bleepingcomputer.com/news/security/cisa-flags-wing-ftp-server-flaw-as-actively-exploited-in-attacks/CERT-FR — OpenSSL CVE-2026-2673 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0296/CERT-FR — Google Chrome CVE-2026-3909 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0297/CERT-FR — Microsoft Edge multiples vulnérabilités : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0298/CERT-FR — Produits Microsoft Azure Linux : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0299/Clubic — Starcloud data centers orbitaux : https://www.clubic.com/actualite-604813-data-centers-dans-l-espace-lumiere-sur-le-projet-fou-de-la-startup-starcloud.htmlSecurity Affairs — DRILLAPP backdoor Laundry Bear : https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.htmlOn ne réfléchit pas, on patch ! Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

    11 min
  3. Ep.599 - RadioCSIRT Édition Française - Veille cyber du lundi 16 mars 2026

    2D AGO

    Ep.599 - RadioCSIRT Édition Française - Veille cyber du lundi 16 mars 2026

    Meta supprime le chiffrement de bout en bout des messages privés Instagram à compter du 8 mai 2026. La fonctionnalité E2EE, disponible depuis trois ans en mode opt-in, est abandonnée au profit d'une architecture permettant à Meta d'analyser les contenus échangés. Les utilisateurs souhaitant maintenir un canal chiffré au sein de l'écosystème Meta sont redirigés vers WhatsApp. Le groupe Storm-2561, actif depuis mai 2025, distribue de faux clients VPN enterprise via SEO poisoning en usurpant les marques Cisco, Fortinet, CheckPoint, Ivanti, SonicWall, Sophos et WatchGuard. Les installeurs MSI malveillants sideloadent deux DLL — dwmapi.dll et inspector.dll — capturant les credentials saisis avant de rediriger silencieusement la victime vers le site officiel du vendor. Le cluster CL-STA-1087, suspecté d'origine chinoise, conduit depuis 2020 des opérations d'espionnage ciblant des organisations militaires d'Asie du Sud-Est. L'arsenal déployé comprend les backdoors AppleChris et MemFun, et le credential harvester Getpass. Les deux backdoors utilisent Pastebin comme dead drop resolver pour récupérer les adresses C2. Starbucks notifie une violation de données affectant 889 employés suite à une campagne de phishing ciblant le portail RH Partner Central entre le 19 janvier et le 11 février 2026. Les données exposées incluent numéros de sécurité sociale, dates de naissance et coordonnées bancaires. Le SDK web d'AppsFlyer a été compromis dans une attaque supply chain entre le 9 et le 11 mars 2026. Un payload JavaScript de clipboard hijacking a été distribué depuis websdk.appsflyer.com, ciblant les wallets Bitcoin, Ethereum, Solana, Ripple et TRON sur les applications de 15 000 entreprises clientes. Microsoft publie le hotpatch OOB KB5084597 pour corriger trois RCE dans le snap-in RRAS de Windows 11 Enterprise : CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111. Le correctif applique les fixes via in-memory patching sans redémarrage, exclusivement sur les endpoints gérés via Windows Autopatch. Sources : Clubic — Instagram supprime le chiffrement de bout en bout : https://www.clubic.com/actualite-604663-instagram-supprime-le-chiffrement-des-messages-de-bout-en-bout-vos-conversations-privees-bientot-lisibles.htmlThe Register — VPN clients spoofed by Storm-2561 : https://www.theregister.com/2026/03/13/vpn_clients_spoofed/The Hacker News — Chinese hackers target Southeast Asian militaries : https://thehackernews.com/2026/03/chinese-hackers-target-southeast-asian.htmlSecurity Affairs — Starbucks data breach 889 employees : https://securityaffairs.com/189438/security/starbucks-data-breach-impacts-889-employees.htmlBleepingComputer — AppsFlyer Web SDK crypto stealer : https://www.bleepingcomputer.com/news/security/appsflyer-web-sdk-used-to-spread-crypto-stealer-javascript-code/BleepingComputer — Microsoft Windows 11 OOB hotpatch RRAS RCE : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-11-oob-hotpatch-to-fix-rras-rce-flaw/On ne réfléchit pas, on patch ! Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

    14 min
  4. Ep.598 - RadioCSIRT - Certificats TLS, ACME et post-quantique - dimanche 15 mars 2026

    3D AGO

    Ep.598 - RadioCSIRT - Certificats TLS, ACME et post-quantique - dimanche 15 mars 2026

    Le CA/Browser Forum a voté en 2024 la réduction progressive de la durée de vie maximale des certificats TLS publics : 200 jours en mars 2026, 100 jours en mars 2027, 47 jours en mars 2029. À cette échéance, la période de réutilisation des données de validation DCV sera réduite à 10 jours. Le renouvellement manuel devient structurellement impossible à l'échelle — l'automatisation via le protocole ACME (RFC 8555) n'est plus une option, c'est une exigence opérationnelle. Cet épisode spécial, suggéré par Cédric, auditeur du podcast, couvre le cycle de vie complet des certificats TLS publics, le fonctionnement du protocole ACME et ses implémentations en production (Certbot, acme.sh, win-acme, cert-manager, Vault), les implications opérationnelles de la réduction des durées de vie pour les équipes de gestion de certificats, et les premiers jalons de la migration PKI post-quantique issue des standards NIST finalisés en août 2024 : ML-KEM (FIPS 203), ML-DSA (FIPS 204) et SLH-DSA (FIPS 205). Pour les équipes cyber, les chantiers sont identifiés : inventaire cryptographique, agilité cryptographique, certificats hybrides, mise à jour des bibliothèques cryptographiques (OpenSSL 3.x, liboqs). L'horizon de migration fixé par la NSA, le CISA et l'ANSSI est 2030 — les organisations qui commencent maintenant disposent d'une fenêtre opérationnelle. Sources : CA/Browser Forum — Ballot SC-081 : https://cabforum.org/working-groups/server/ballots/sc-081/RFC 8555 — ACME Protocol (IETF) : https://www.rfc-editor.org/rfc/rfc8555NIST FIPS 203 — ML-KEM (CRYSTALS-Kyber) : https://csrc.nist.gov/pubs/fips/203/finalNIST FIPS 204 — ML-DSA (CRYSTALS-Dilithium) : https://csrc.nist.gov/pubs/fips/204/finalNIST FIPS 205 — SLH-DSA (SPHINCS+) : https://csrc.nist.gov/pubs/fips/205/finalANSSI — Guide de migration vers la cryptographie post-quantique : https://www.ssi.gouv.fr/guide/migration-vers-la-cryptographie-post-quantique/CISA — Post-Quantum Cryptography Initiative : https://www.cisa.gov/quantumOpen Quantum Safe — liboqs : https://openquantumsafe.orgCertbot — Documentation officielle : https://certbot.eff.orgcert-manager — Documentation Kubernetes : https://cert-manager.io/docs/Let's Encrypt — Réduction durée de vie 90 jours : https://letsencrypt.org/2025/01/22/shorter-lived-certs/Apple — Proposition réduction 47 jours CA/B Forum : https://github.com/cabforum/servercert/pull/553On ne réfléchit pas, on patch ! Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

    12 min
  5. Ep.597 - RadioCSIRT - Épisode Spécial : La guerre cyber au Moyen-Orient – samedi 14 mars 2026

    4D AGO

    Ep.597 - RadioCSIRT - Épisode Spécial : La guerre cyber au Moyen-Orient – samedi 14 mars 2026

    Le 28 février 2026, les États-Unis et Israël lancent les opérations Epic Fury et Roaring Lion contre l'Iran. En quinze jours, le conflit produit l'effondrement délibéré de l'internet iranien à 1-4 % de connectivité pendant plus de 216 heures, le hack de l'application de prière BadeSaba (5 millions d'utilisateurs), le détournement de l'agence IRNA, et la frappe physique des quartiers généraux cyber de l'IRGC à Téhéran. Côté iranien, plus de 60 groupes hacktivist s'activent dès J+3, dont le groupe pro-russe NoName057(16) qui rejoint la coalition sous le banner #OpIsrael. MuddyWater (MOIS) révèle des backdoors pré-positionnés depuis début février dans une banque américaine, un aéroport et une filiale israélienne d'un éditeur logiciel défense, via deux nouveaux implants : Dindoor et Fakeset. Le 12 mars, Handala revendique un wiper attack contre Stryker, fabricant américain de dispositifs médicaux, qui confirme une perturbation globale de son environnement Microsoft. Le Koweït, la Jordanie, Bahreïn, les Émirats et le Qatar figurent parmi les cibles secondaires documentées. La France est directement concernée : la FAD Team a exfiltré des données d'établissements français via une campagne d'injection SQL globale. Cet épisode spécial couvre la chronologie complète jour par jour, le portrait des 15 groupes actifs, les TTPs référencées MITRE ATT&CK, le périmètre géographique et sectoriel, ainsi que les recommandations défensives issues des advisories CISA, FBI, NSA et CCCS. Sources : Axios – Iran war, Trump, Israel, AI, cyberattack : https://www.axios.com/2026/03/11/iran-war-trump-israel-ai-cyberattackSOCRadar – Live Iran-Israel Cyber Conflict Dashboard : https://socradar.io/iran-israel-cyber-conflict-dashboard/SOCRadar – Blog Operation Epic Fury : https://socradar.io/blog/cyber-reflections-us-israel-iran-war/CSIS – How Will Cyber Warfare Shape the US-Israel Conflict with Iran : https://www.csis.org/analysis/how-will-cyber-warfare-shape-us-israel-conflict-iranCentre canadien pour la cybersécurité (CCCS) : https://www.cyber.gc.ca/en/guidance/cyber-threat-bulletin-iranian-cyber-threat-response-usisrael-strikes-february-2026Palo Alto Networks Unit 42 – Threat Brief March 2026 : https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/Sophos – Cyber Advisory Increased Cyber Risk : https://www.sophos.com/en-us/blog/cyber-advisory-increased-cyber-risk-amid-u-s-israel-iran-escalationIndustrial Cyber – Cyber retaliation surges : https://industrialcyber.co/reports/cyber-retaliation-surges-after-us-israel-strikes-on-iran-as-hacktivists-hit-governments-defense-critical-sectors/CloudSEK – Middle East Escalation Situation Report : https://www.cloudsek.com/blog/middle-east-escalation-israel-iran-us-cyber-war-2026Flare.io – Monitoring Cyberattacks US-Israel-Iran Military Conflict : https://flare.io/learn/resources/blog/cyberattacks-us-israel-iran-military-conflictFlashpoint – Escalation in the Middle East Operation Epic Fury : https://flashpoint.io/blog/escalation-in-the-middle-east-operation-epic-fury/The Hacker News – MuddyWater Dindoor Backdoor : https://thehackernews.com/2026/03/iran-linked-muddywater-hackers-target.htmlICT – Operation Epic Fury SITREP 10 mars 2026 : https://ict.org.il/operation-epic-fury-sitrep-10-mar-2026/AttackIQ – Defending Against Iranian Cyber Threats : https://www.attackiq.com/2026/03/05/operation-epic-fury/On ne réfléchit pas, on patch ! Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

    41 min
  6. Ep.596 - RadioCSIRT Édition Française – Votre actualité Cybersécurité du vendredi 13 mars 2026

    5D AGO

    Ep.596 - RadioCSIRT Édition Française – Votre actualité Cybersécurité du vendredi 13 mars 2026

    Google publie en urgence un patch hors cycle pour Chrome, corrigeant deux Zero-Day activement exploités : un Out-of-Bounds Write dans Skia (CVE-2026-3909) et une faille d'implémentation dans le moteur V8 (CVE-2026-3910), tous deux exploitables à distance via simple visite d'une page malveillante. La CISA ajoute simultanément ces deux CVE à son catalogue KEV, auxquelles s'ajoute une faille d'exécution de code arbitraire dans la plateforme d'automatisation n8n (CVE-2025-68613). Le CERT-FR publie trois avis ce vendredi : une atteinte à la confidentialité dans Microsoft Office sur Android, iOS et macOS (CVE-2026-26133), une vulnérabilité de nature non précisée dans CPython (CVE-2025-13462), et de multiples failles dans le noyau Linux d'Ubuntu 22.04 LTS et 24.04 LTS. L'application mobile Quittr, dédiée à la lutte contre la dépendance à la pornographie, a exposé pendant plusieurs mois les données sensibles de plus de 600 000 utilisateurs via une misconfiguration Firebase, dont environ 100 000 profils de mineurs. La brèche avait été signalée dès septembre 2025 sans action corrective. Enfin, la fondation FIRST publie le bilan de son initiative African Regional Liaison : deux ans de terrain, 1 210 professionnels formés, 33 pays couverts, 70 CSIRTs engagés. Sources : CISA – Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/03/13/cisa-adds-two-known-exploited-vulnerabilities-catalogCISA – Adds One Known Exploited Vulnerability to Catalog : https://www.cisa.gov/news-events/alerts/2026/03/11/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR – Vulnérabilité dans Microsoft Office : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0294/CERT-FR – Vulnérabilité dans Python : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0285/CERT-FR – Multiples vulnérabilités dans le noyau Linux d'Ubuntu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0289/01net – Quittr : fuite de données via misconfiguration Firebase : https://www.01net.com/actualites/cette-application-anti-porno-a-laisse-fuiter-les-secrets-inavouables-de-ses-utilisateurs.htmlMalwarebytes – Google patches two Chrome zero-days under active attack : https://www.malwarebytes.com/blog/news/2026/03/google-patches-two-chrome-zero-days-under-active-attack-update-nowFIRST – The Trust Builders: FIRST's African Liaisons : https://www.first.org/blog/20260311-Trust-BuildersOn ne réfléchit pas, on patch ! Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

    11 min
  7. Ép.595 - RadioCSIRT Édition Française – Épisode Spécial Patch Tuesday Microsoft Mars 2026

    6D AGO

    Ép.595 - RadioCSIRT Édition Française – Épisode Spécial Patch Tuesday Microsoft Mars 2026

    Microsoft publie le 10 mars 2026 son Patch Tuesday mensuel : 79 vulnérabilités corrigées, dont deux zero-days publiquement divulgués avant la mise à disposition des correctifs. Deux failles critiques d'exécution de code à distance dans Microsoft Office (CVE-2026-26113 et CVE-2026-26110) peuvent être déclenchées par simple visualisation d'un message dans le volet de prévisualisation, sans aucune interaction de l'utilisateur. Une troisième vulnérabilité critique affecte Microsoft Excel (CVE-2026-26144) : elle exploite Copilot Agent Mode pour exfiltrer des données via un trafic réseau non prévu, réalisant une attaque de divulgation d'informations sans clic. Sur les zero-days, CVE-2026-21262 permet à un attaquant authentifié d'élever ses privilèges jusqu'au niveau sysadmin sur SQL Server 2016 et versions ultérieures (CVSS 8.8). CVE-2026-26127 expose le framework .NET à un déni de service réseau sans authentification préalable. Six vulnérabilités supplémentaires qualifiées Important sont signalées comme prioritaires par Cisco Talos et Tenable : Windows Graphics Component, Windows Kernel, Windows Accessibility Infrastructure, Windows SMB Server, Ancillary Function Driver for WinSock et Winlogon, cette dernière découverte par Google Project Zero. Ce cycle marque une première dans l'histoire des CVE : CVE-2026-21536, notée 9.8 Critical dans le composant Microsoft Devices Pricing Program, a été découverte par XBOW, un agent de test de pénétration entièrement autonome basé sur l'intelligence artificielle, sans accès au code source. Microsoft a corrigé la vulnérabilité côté serveur, sans action requise des utilisateurs. Sources : Krebs on Security – Microsoft Patch Tuesday, March 2026 Edition : https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/BleepingComputer – Microsoft March 2026 Patch Tuesday Fixes 2 Zero-Days, 79 Flaws : https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2026-patch-tuesday-fixes-2-zero-days-79-flaws/Cisco Talos – Microsoft Patch Tuesday for March 2026 : https://blog.talosintelligence.com/microsoft-patch-tuesday-march-2026/Blog Marc-Frédéric Gomez – Microsoft Patch Tuesday Mars 2026 : 79 vulnérabilités corrigées, deux zero-days divulgués : https://blog.marcfredericgomez.fr/microsoft-patch-tuesday-mars-2026-79-vulnerabilites-corrigees-deux-zero-days-divulgues/On ne réfléchit pas, on patch ! Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

    13 min
  8. Ép.594 - RadioCSIRT Épisode Spécial Panorama de la Cybermenace 2025 du jeudi 12 mars 2026

    6D AGO

    Ép.594 - RadioCSIRT Épisode Spécial Panorama de la Cybermenace 2025 du jeudi 12 mars 2026

    L'ANSSI publie son Panorama de la cybermenace 2025 (CERTFR-2026-CTI-002). 1 366 incidents confirmés sur l'exercice, niveau stable par rapport à 2024 mais structurellement plus élevé que les années précédentes. Quatre secteurs concentrent 76 % des incidents : éducation et recherche (34 %), ministères et collectivités (24 %), santé (10 %), télécommunications (9 %). Le nombre d'attaques par ransomware est en légère baisse (128 en 2025, contre 141 en 2024), tandis que les incidents d'exfiltration de données progressent de 51 % : 196 incidents contre 130 en 2024. La bascule est structurelle : les groupes criminels abandonnent partiellement le chiffrement au profit de l'extorsion par la donnée seule, modèle plus silencieux et plus difficile à détecter. Qilin, Akira et LockBit 3.0 dominent le paysage ransomware. Cl0p maintient son modèle d'exfiltration pure, avec l'exploitation en août 2025 de CVE-2025-6182 dans Oracle E-Business Suite. La frontière entre acteurs étatiques et cybercriminels s'efface structurellement. Des modes opératoires réputés liés à la Russie, la Chine, l'Iran et la Corée du Nord adoptent des outils criminels commerciaux, tandis que des groupes cybercriminels utilisent des techniques d'espionnage étatique. APT28, Turla, Callisto, Sandworm côté russe. Salt Typhoon, APT31, RedDelta, UNC5221 côté chinois. Scattered Spider côté cybercriminel pur, avec plusieurs entités françaises du secteur du luxe compromises en 2025. La généralisation du Living off the Land est la tendance technique dominante de l'année. Les outils RMM légitimes, AnyDesk, MeshAgent, ScreenConnect, et les services cloud grand public, Google Drive, Dropbox, MEGA, sont détournés comme vecteurs offensifs et canaux de command and control. La détection par signature ne suffit plus. Les équipements de bordure restent la surface d'exposition prioritaire : Ivanti Connect Secure (CVE-2025-0282, CVE-2025-22457), Fortinet, SharePoint Toolshell (CVE-2025-49704, CVE-2025-49706), VMware ESXi (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226). Plus de 6 200 actifs français restent exposés à des vulnérabilités exploitées depuis 2023 et 2024. Sources : ANSSI / cyber.gouv.fr – Panorama de la cybermenace 2025 : https://cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025/Blog Marc-Frédéric Gomez – Analyse complète du Panorama de la cybermenace 2025 de l'ANSSI (CERTFR-2026-CTI-002) : https://blog.marcfredericgomez.fr/analyse-complete-du-panorama-de-la-cybermenace-2025-de-lanssi-certfr-2026-cti-002/On ne réfléchit pas, on patch ! Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : radiocsirt@gmail.comSite web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

    24 min
See All (602)

Ratings & Reviews

3
out of 5
2 Ratings

About

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

Information

You Might Also Like