RadioCSIRT - Edition Française cover art

RadioCSIRT - Edition Française

RadioCSIRT - Edition Française

By: Marc Frédéric GOMEZ
Listen for free

Summary

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître.

🔎 Au programme :
✔️ Décryptage des cyberattaques et vulnérabilités critiques
✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité
✔️ Sources et références pour approfondir chaque sujet

💡 Pourquoi écouter RadioCSIRT ?
🚀 Restez à jour en quelques minutes par jour
🛡️ Anticipez les menaces avec des infos fiables et techniques
📢 Une veille indispensable pour les pros de l’IT et de la sécurité

🔗 Écoutez, partagez et sécurisez votre environnement !
📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

Marc Frederic GOMEZ Politics & Government
Episodes
  • Ep.641 - RadioCSIRT Édition Française - Veille cybersécurité du lundi 4 mai 2026

    Ep.641 - RadioCSIRT Édition Française - Veille cybersécurité du lundi 4 mai 2026
    May 4 2026
    🎙️Édition spéciale Star Wars Day. Votre flash info cyber est livré aujourd'hui par les forces de la Cyber Threat Intelligence Impériale.Le côté obscur n'altère pas les faits, il les éclaire.Le CERT-FR signale plusieurs vulnérabilités dans la plateforme MISP dans toutes les versions antérieures à 2.5.37 : contournement de la politique de sécurité, injection SQL et élévation de privilèges. Vecteur sensible compte tenu du rôle central de MISP dans le partage de Threat Intelligence entre CERT, CSIRT et SOC.Le CERT-FR consolide plus de 80 vulnérabilités découvertes dans les produits Microsoft entre le 22 avril et le 02 mai 2026, concentrées sur le composant azl3 kernel d'Azure Linux dans toutes les versions antérieures à 6.6.137.1-1. Plus de soixante CVE émises sur la seule journée du 26 avril.Microsoft Edge fait l'objet de 27 vulnérabilités identifiées sur la seule journée du 1er mai, affectant l'ensemble des versions antérieures à 147.0.3912.98. Périmètre client-side plaçant les postes utilisateurs en première ligne d'exposition.Securonix documente la campagne VENOMOUS HELPER, active depuis avril 2025 et ayant frappé plus de 80 organisations principalement aux États-Unis. Phishing usurpant la Social Security Administration, déploiement de SimpleHelp RMM avec persistance Safe Mode, élévation SYSTEM via AdjustTokenPrivileges, architecture dual-channel résiliente avec ConnectWise ScreenConnect en repli. Recoupement avec STAC6405 documenté par Sophos. Attribution à un Initial Access Broker financièrement motivé ou à une opération précurseur de ransomware.La CISA ajoute la faille Copy Fail (CVE-2026-31431) à son catalogue KEV le 02 mai 2026. La vulnérabilité affecte l'interface algif_aead du noyau Linux et permet à un utilisateur local non privilégié d'obtenir les privilèges root en écrivant quatre octets contrôlés dans le page cache. Exploit Python 100% fiable contre Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 et SUSE 16. Périmètre couvrant tous les kernels Linux compilés depuis 2017. Échéance de patch BOD 22-01 fixée au 15 mai pour les agences fédérales américaines.Lightning AI publie un avis de sécurité sur la version 2.6.3 du package PyTorch Lightning distribuée sur PyPI, contenant une chaîne d'exécution cachée déclenchée à l'import. Téléchargement du runtime Bun 1.3.13 depuis GitHub puis exécution d'un payload JavaScript obfusqué de 11,4 mégaoctets. Microsoft Threat Intelligence identifie la souche comme ShaiWorm, ciblant fichiers .env, clés API, secrets, tokens GitHub, données navigateurs Chrome, Firefox et Brave, avec interaction sur les API AWS, Azure et GCP. PyPI a basculé sur la version 2.6.1.Sources :CERT-FR MISP CERTFR-2026-AVI-0515 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0515/CERT-FR Microsoft CERTFR-2026-AVI-0526 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0526/CERT-FR Microsoft Edge CERTFR-2026-AVI-0525 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0525/The Hacker News VENOMOUS HELPER : https://thehackernews.com/2026/05/phishing-campaign-hits-80-orgs-using.htmlBleepingComputer Copy Fail : https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/BleepingComputer PyTorch Lightning : https://www.bleepingcomputer.com/news/security/backdoored-pytorch-lightning-package-drops-credential-stealer/⚡️ Que la Force du patch soit avec vous. On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #StarWarsDay #MayThe4th #MISP #Microsoft #MicrosoftEdge #VENOMOUSHELPER #SimpleHelp #ScreenConnect #STAC6405 #CopyFail #LinuxKernel #CVE202631431 #KEV #CISA #PyTorchLightning #PyPI #ShaiWorm #SupplyChain #RadioCSIRT
    Show More Show Less
    10 mins
  • Ep.640 - RadioCSIRT Édition Française - flash info cybersécurité du samedi 2 mai 2026

    Ep.640 - RadioCSIRT Édition Française - flash info cybersécurité du samedi 2 mai 2026
    May 2 2026
    Au sommaire de cette édition, huit dossiers couvrant la stratégie IA d'Ubuntu, une élévation de privilèges critique du noyau Linux, deux guides CISA sur l'agentic AI et le Zero Trust OT, deux billets du NCSC britannique sur la métrologie SOC et la patch wave à venir, ainsi que deux ajouts au KEV Catalog.Canonical détaille sa stratégie d'intégration de l'intelligence artificielle dans Ubuntu pour 2026. La distribution s'oriente vers l'inférence locale, des harnesses open source et des modèles à poids ouverts. Canonical distingue l'IA implicite, qui enrichit des fonctions existantes comme le speech-to-text, et l'IA explicite, axée sur des workflows agentiques. Le déploiement s'appuiera sur les inference snaps, soumis aux règles de confinement habituelles. Des modèles comme Gemma 4 et Qwen-3.6-35B-A3B sont cités pour leurs capacités de tool-calling.Canonical a divulgué publiquement le 29 avril 2026 la vulnérabilité CVE-2026-31431, baptisée Copy Fail. La faille affecte le module algif_aead du noyau Linux, fournissant des fonctions cryptographiques accélérées matériellement. Score CVSS 3.1 de 7.8, classé HIGH. Un exploit fonctionnel d'élévation locale de privilèges vers root est déjà publié, et un risque de container escape est identifié sur les déploiements conteneurisés. Toutes les versions d'Ubuntu antérieures à Resolute 26.04 sont concernées. Canonical distribue une mitigation via le paquet kmod, qui désactive le module vulnérable.La CISA, conjointement avec l'ASD ACSC australien et plusieurs partenaires internationaux, a publié le 1er mai 2026 le guide Careful Adoption of Agentic Artificial Intelligence Services. Le document cible les développeurs, vendeurs et opérateurs d'agentic AI déployant ces systèmes dans des environnements critical infrastructure et défense. Quatre risques majeurs sont identifiés : expanded attack surface, privilege creep, behavioral misalignment et opacité des event records générés par les agents.Dans une publication conjointe du 29 avril 2026, la CISA, en partenariat avec le Department of War, le Department of Energy, le FBI et le Department of State, a diffusé le guide Adapting Zero Trust Principles to Operational Technology. La CISA rappelle avoir observé des acteurs comme Volt Typhoon ciblant des systèmes industriels dans une logique de pre-positioning. Trois axes techniques structurent les recommandations : zones and conduits, supply chain risks et identity and access management.Le NCSC britannique, dans un billet signé Dave Chismon le 27 avril 2026, alerte sur le choix des métriques appliquées à un Security Operations Center. Quatre indicateurs sont jugés contre-productifs : nombre de tickets traités, temps de clôture d'un ticket, nombre de detection rules et volume de logs collectés. Le NCSC préconise le Time To Detect, le Time To Respond, le hypothesis-led threat hunting et une couverture alignée sur MITRE ATT&CK.Toujours côté NCSC, dans un billet du 1er mai 2026 signé Ollie Whitehouse, l'agence appelle les organisations à se préparer à une vulnerability patch wave. Le NCSC anticipe une correction forcée de l'écosystème logiciel, provoquée par la capacité de l'intelligence artificielle à exploiter à grande échelle la dette technique accumulée. Trois priorités : réduire les surfaces d'attaque externes, traiter les technologies en end of life et déployer les mises à jour rapidement, fréquemment et à l'échelle.La CISA a ajouté le 1er mai 2026 la CVE-2026-31431 à son Known Exploited Vulnerabilities Catalog, sur la base de preuves d'exploitation active. Cette inscription intervient deux jours après la divulgation publique par Canonical.Enfin, la CISA a ajouté le 30 avril 2026 la CVE-2026-41940 au KEV Catalog. La faille, de type Missing Authentication for Critical Function, affecte les produits WebPros cPanel & WHM ainsi que WP2, WordPress Squared. cPanel & WHM étant largement déployé dans l'hébergement web mutualisé, l'exploitation ouvre la voie à des compromissions massives de comptes hébergés.Sources :CISA, CISA Adds One Known Exploited Vulnerability to Catalog (1er mai 2026) : https://www.cisa.gov/news-events/alerts/2026/05/01/cisa-adds-one-known-exploited-vulnerability-catalogLinux Journal, Canonical Unveils Ubuntu AI Strategy: Local Models, User Control, and Smarter Workflows : https://www.linuxjournal.com/content/canonical-unveils-ubuntu-ai-strategy-local-models-user-control-and-smarter-workflowsUbuntu Discourse, The future of AI in Ubuntu : https://discourse.ubuntu.com/t/the-future-of-ai-in-ubuntu/81130Canonical, Fixes available for CVE-2026-31431 (Copy Fail) Linux Kernel Local Privilege Escalation Vulnerability : https://ubuntu.com/blog/copy-fail-vulnerability-fixes-availableCISA, CISA, US and International Partners Release Guide to Secure Adoption of Agentic AI : https://www.cisa.gov/news-events/news/...
    Show More Show Less
    15 mins
  • Ep.639 - RadioCSIRT Édition Française - flash info cybersécurité du mardi 28 avril 2026

    Ep.639 - RadioCSIRT Édition Française - flash info cybersécurité du mardi 28 avril 2026
    Apr 28 2026
    Au sommaire de cette édition, six dossiers couvrant le ransomware, la sécurité cloud, la menace électorale, la supply chain logicielle, la dépréciation TLS et le paysage botnet.Check Point Research publie une analyse approfondie du ransomware VECT 2.0, opéré en Ransomware-as-a-Service depuis décembre 2025 et associé au groupe TeamPCP. Les variantes Windows, Linux et ESXi partagent une faille critique d'implémentation du cipher ChaCha20-IETF : pour tout fichier supérieur à 131 072 octets, seul le dernier des quatre nonces générés est conservé sur disque, rendant les trois quarts du contenu de chaque large file irrécupérables, y compris pour l'opérateur. Le malware fonctionne donc en pratique comme un wiper.L'AWS Customer Incident Response Team détaille la mise à jour de mars 2026 du Threat Technique Catalog, avec trois nouvelles techniques observées en réponse à incident : abus de refresh tokens Amazon Cognito via cognito-idp:GetTokensFromRefreshToken pour maintenir une persistance silencieuse, suppression d'Amazon Machine Images via ec2:DeregisterImage pour entraver la restauration, et modification furtive de trust policies par UpdateAssumeRolePolicy pour contourner les détections positionnées sur la création de rôles IAM.Le général Joshua Rudd, chef de l'US Cyber Command et de la NSA, alerte le Senate Armed Services Committee sur la probabilité d'opérations d'ingérence étrangère lors des élections de mi-mandat de 2026. Il reconnaît ignorer si l'Election Security Group, task force interagences active depuis 2018, a été reconstituée pour ce cycle, dans un contexte de réduction du périmètre de CISA.Unit 42 documente la nouvelle vague Shai-Hulud: The Third Coming visant l'écosystème npm. Le package malveillant @bitwarden/cli version 2026.4.0, attribué à TeamPCP, exfiltre les credentials cloud, CI/CD et workstations puis se propage en backdoorant les packages publiables par la victime. Trois shifts majeurs sont identifiés : wormable propagation, infrastructure-level persistence dans les pipelines CI/CD et multi-stage payloads avec dépendances dormantes.Microsoft annonce le blocage des connexions TLS 1.0 et TLS 1.1 pour les clients POP3 et IMAP4 d'Exchange Online à partir de juillet 2026. Seules les sessions négociées en TLS 1.2 ou supérieur seront acceptées. L'impact concerne principalement les applications héritées et les systèmes embarqués ayant explicitement opté pour les legacy endpoints lors d'une précédente phase de transition.ANY.RUN analyse Kamasers, un botnet hybride combinant DDoS multi-vecteurs et fonction de loader. Le malware s'appuie sur les loaders d'initial access GCleaner et Amadey, et utilise un Dead Drop Resolver via GitHub Gist, Telegram, Dropbox et Bitbucket — voire l'API api.etherscan.io — pour résoudre dynamiquement son adresse C2. L'infrastructure repose sur l'ASN de Railnet LLC, identifiée comme façade du bulletproof hoster Virtualine.Sources :Check Point Research, VECT: Ransomware by design, Wiper by accident : https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/AWS Security Blog, What the March 2026 Threat Technique Catalog update means for your AWS environment : https://aws.amazon.com/fr/blogs/security/what-the-march-2026-threat-technique-catalog-update-means-for-your-aws-environment/The Record by Recorded Future, Cyber Command, NSA chief warns foreign adversaries likely to target midterms : https://therecord.media/cyber-command-nsa-chief-midterm-election-threatUnit 42 Palo Alto Networks, Monitoring npm Supply Chain Attacks : https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/BleepingComputer, Microsoft to deprecate legacy TLS in Exchange Online starting July : https://www.bleepingcomputer.com/news/microsoft/microsoft-to-deprecate-legacy-tls-in-exchange-online-starting-july/Cyber Press, Kamasers DDoS Botnet With Loader Capabilities Attacking Organizations to Deploy Ransomware : https://cyberpress.org/kamasers-ddos-botnet-loader-threat/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #Ransomware #VECT #ChaCha20 #Wiper #ESXi #AWS #ThreatTechniqueCatalog #Cognito #IAM #AMI #ElectionSecurity #CyberCommand #NSA #ShaiHulud #npm #SupplyChain #TeamPCP #Bitwarden #ExchangeOnline #TLS #POP3 #IMAP #Kamasers #Botnet #DDoS #Loader #DeadDropResolver #Railnet #Virtualine #DFIR #Hardening #Infosec #CyberNews
    Show More Show Less
    13 mins
No reviews yet