Nous ouvrons cet épisode avec Under Armour, qui confirme une compromission majeure impliquant 72 millions de clients. Le groupe Everest ransomware publie un dataset de 343 gigaoctets contenant noms, emails, téléphones, localisations et historiques d'achat après l'échec des négociations. L'ensemble des données a été dupliqué sur les forums underground, représentant un risque élevé de phishing ciblé et d'attaques par ingénierie sociale.

Unit 42 de Palo Alto Networks documente une technique d'attaque exploitant les Large Language Models pour générer du JavaScript malveillant directement dans le navigateur. Le proof of concept utilise des API publiques comme DeepSeek et Gemini pour assembler dynamiquement des payloads de phishing via prompt engineering, contournant les guardrails LLM et l'analyse réseau. Le polymorphisme élevé et l'exécution runtime compliquent significativement la détection.

Le SANS ISC publie une analyse de sécurité sur du code Python généré à 99 pourcent par intelligence artificielle. Le scan Bandit révèle 14 vulnérabilités incluant parsing XML non sécurisé, appels subprocess sans validation, et générateurs pseudo-aléatoires inadaptés. L'étude souligne l'importance d'inclure des exigences de sécurité explicites dans les prompts IA pour éviter eval, exec, command injection et path traversal.

Le National Cyber Security Centre britannique émet une alerte ciblant les autorités locales et infrastructures critiques face aux hacktivistes pro-russes. Le groupe NoName057(16) se distingue par sa persistance, ciblant les mêmes organisations pendant plusieurs jours avec des attaques DDoS techniquement simples mais financièrement coûteuses. Le NCSC recommande l'adoption de services tiers de mitigation DDoS et l'utilisation de Content Delivery Networks.

Nous terminons avec le Centre canadien pour la cybersécurité, qui publie son guide ITSAP.00.009 détaillant les mesures critiques suivant la détection d'une compromission. Le document insiste sur le maintien des systèmes en marche pour préserver les preuves forensics éphémères résidant en mémoire vive, l'isolation réseau immédiate, et le respect du cadre légal canadien imposant notification au commissaire à la protection de la vie privée.

Sources

• Malwarebytes – Under Armour / Everest / 72M : https://www.malwarebytes.com/blog/news/2026/01/under-armour-ransomware-breach-data-of-72-million-customers-appears-on-the-dark-web
• Have I Been Pwned – Under Armour breach : https://haveibeenpwned.com/Breach/UnderArmour
• Unit 42 – Runtime assembly + LLM phishing JS (22 Jan 2026) : https://unit42.paloaltonetworks.com/real-time-malicious-javascript-through-llms/
• SANS ISC – Diary 32648 : https://isc.sans.edu/diary/rss/32648
• NCSC UK – Pro-Russia hacktivist activity : https://www.ncsc.gov.uk/news/pro-russia-hacktivist-activity-continues-to-target-uk-organisations
• Cyber.gc.ca – ITSAP.00.009 : https://www.cyber.gc.ca/fr/orientation/que-faire-cas-compromission-cyberattaque-itsap00009

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la CISA, qui annonce l’ajout de quatre vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities (KEV). Les failles concernent Vite.js, Versa Concerto, Prettier (eslint-config-prettier) et Zimbra Collaboration Suite. Ces vulnérabilités couvrent des scénarios de contrôle d’accès défaillant, d’authentification incorrecte, de code malveillant embarqué et d’inclusion de fichiers distants en PHP. Leur exploitation active représente un risque élevé pour les organisations n’ayant pas encore appliqué les correctifs disponibles.

La CISA a également ajouté une vulnérabilité supplémentaire au catalogue KEV, identifiée comme CVE-2026-20045, affectant les produits Cisco Unified Communications. Cette faille permet une injection de code, et s’inscrit dans une catégorie de vulnérabilités fréquemment exploitées par des acteurs malveillants pour compromettre des infrastructures critiques. La directive BOD 22-01 impose aux agences fédérales américaines une remédiation rapide, mais la CISA recommande à l’ensemble des organisations de prioriser également ces corrections.

Troisième sujet, le CERT-FR publie un bulletin d’actualité alertant sur une vulnérabilité critique dans telnetd, référencée CVE-2026-24061. Cette faille permet à un attaquant distant de contourner l’authentification et d’obtenir un accès root sur les systèmes vulnérables. Elle affecte GNU InetUtils versions 1.9.3 à 2.7, est triviale à exploiter, et dispose déjà d’un code d’exploitation public. Aucun correctif officiel n’est disponible à ce stade. Le CERT-FR recommande le décommissionnement immédiat des services telnet, ou à défaut leur isolement strict et leur retrait de toute exposition Internet.

Nous poursuivons avec un avis du CERT-FR concernant une vulnérabilité dans Python, identifiée sous le CVE-2025-12781. La faille affecte les versions de CPython antérieures à 3.15 et permet un contournement de la politique de sécurité. Bien que les détails techniques restent limités, le risque est jugé significatif. Les administrateurs et développeurs sont invités à se référer au bulletin de sécurité officiel de Python pour appliquer les correctifs fournis par l’éditeur.

Sources :

• CISA – Four KEV : https://www.cisa.gov/news-events/alerts/2026/01/22/cisa-adds-four-known-exploited-vulnerabilities-catalog
• CISA – One KEV : https://www.cisa.gov/news-events/alerts/2026/01/21/cisa-adds-one-known-exploited-vulnerability-catalog
• CERT-FR – Telnetd : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-003/
• CERT-FR – Python : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0079/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec Microsoft qui publie un workaround officiel suite à des freezes critiques d’Outlook Classic observés après l’installation de la mise à jour Windows KB5074109. Le dysfonctionnement impacte les comptes POP, provoque des blocages applicatifs, des redémarrages forcés et des anomalies sur les messages envoyés. Les environnements concernés incluent Windows 10, Windows 11 24H2/25H2 et plusieurs versions de Windows Server.

GitLab alerte ensuite sur plusieurs vulnérabilités de haute sévérité affectant ses éditions Community et Enterprise. La faille la plus critique permet un 2FA bypass via une mauvaise gestion de la valeur de retour du service d’authentification. D’autres vulnérabilités permettent des attaques Denial of Service à distance via des requêtes API et SSH malformées. Des correctifs sont disponibles dans les versions 18.8.2, 18.7.2 et 18.6.4.

Troisième sujet, une vulnérabilité critique touche le plugin WordPress ACF Extended, largement utilisé pour la gestion avancée de formulaires. La faille permet une privilege escalation en administrateur via l’injection d’un champ role non filtré dans les formulaires Insert/Update User. En présence d’un formulaire exposé, un attaquant non authentifié peut obtenir un contrôle total du site.

Nous poursuivons avec PixelCode, une nouvelle technique d’attaque démontrant la capacité à dissimuler un malware payload directement dans les pixels d’images ou de vidéos. Le binaire est encodé visuellement, hébergé sur une plateforme légitime comme YouTube, puis reconstruit en mémoire sur la machine victime. Cette approche permet de contourner de nombreux mécanismes de détection EDR et de filtrage réseau traditionnels.

Enfin, LastPass confirme une campagne active de phishing dans laquelle des attaquants usurpent l’identité de l’éditeur pour voler les master passwords des utilisateurs. Les e-mails frauduleux exploitent un faux scénario de maintenance et redirigent vers des pages d’authentification hébergées sur des infrastructures cloud légitimes. Cette campagne s’inscrit dans un contexte de menace persistante autour des coffres-forts LastPass précédemment compromis.

Sources :

• Microsoft Outlook : https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-workaround-for-outlook-freezes-after-windows-update/
• GitLab 2FA & DoS : https://www.bleepingcomputer.com/news/security/gitlab-warns-of-high-severity-2fa-bypass-denial-of-service-flaws/
• WordPress ACF Extended : https://thecyberexpress.com/acf-add-on-vulnerability-wordpress/
• PixelCode : https://cyberpress.org/new-pixelcode-attack-smuggles-malware-using-image-pixel-encoding-technique/
• LastPass Phishing : https://securityaffairs.com/187145/cyber-crime/crooks-impersonate-lastpass-in-campaign-to-harvest-master-passwords.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec le rapport trimestriel de Sonatype révélant une escalade sans précédent du malware open source. Sonatype a identifié 394 877 nouveaux packages malveillants au Q4 2025, soit une augmentation de 476% par rapport aux trois trimestres précédents combinés. 99,8% de ce malware provient de npm. L'automatisation à grande échelle domine avec des outils scriptés et assistés par IA. L'abus de référentiels a bondi de 53 000%, alimenté par des campagnes auto-réplicantes. Les attaquants ont priorisé la propagation rapide plutôt que la furtivité, modifiant packages existants, chaînes de dépendances et processus de publication. Sonatype a observé une augmentation de 833% des événements de corruption de données et 564% de packages contenant des backdoors pour la persistance. PhantomRaven a démontré comment publier et recycler rapidement des packages malveillants. La campagne IndonesianFoods a doublé le volume total de malware sur npm en quelques jours, générant plus de 100 000 packages en créant un nouveau package toutes les sept secondes via l'abus du protocole TEA. Le retour de Sha1-Hulud The Second Coming avec plus de 2 100 packages malveillants montre que les attaquants itèrent sur des méthodes éprouvées. Sonatype Repository Firewall a bloqué 120 612 attaques durant le trimestre.

Le CERT-FR a publié l'avis CERTFR-2026-AVI-0062 concernant une vulnérabilité dans Mattermost Desktop App. La faille affecte toutes les versions antérieures à 5.13.3.0. Elle permet à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur. Le risque n'est pas caractérisé dans le bulletin. Le bulletin de sécurité Mattermost MMSA-2026-00577 du 16 janvier 2026 fournit les correctifs. La solution consiste en une mise à jour vers la version 5.13.3.0 ou ultérieure.

Enfin, le tribunal correctionnel de Bayonne a condamné le 15 janvier un ancien agent municipal à cinq ans de prison dont deux ferme pour détournement de 3 millions d'euros à la ville d'Anglet. Pendant dix ans, de 2019 à 2025, l'employé de 53 ans affecté aux services financiers a exploité ses attributions pour détourner des fonds publics. Le mode opératoire révèle une exploitation astucieuse des failles de sécurité physique. L'agent profitait des pauses déjeuner lorsque les ordinateurs restaient ouverts et déverrouillés pendant une dizaine de minutes pour utiliser les adresses mail et le parapheur électronique. Il a mis en place un stratagème complexe faisant intervenir l'association Anglet Omnisport, la mairie et le Trésor public avec de fausses factures. L'accusé a indiqué avoir dépensé l'argent dans des services de voyance et des plateformes d'investissement. La peine de deux ans ferme et trois ans sursis est assortie d'obligations de soins, de travail et de remboursement intégral des sommes détournées.

Sources :

• Sonatype – Open Source Malware Index Q4 2025 : https://www.sonatype.com/blog/open-source-malware-index-q4-2025-automation-overwhelms-ecosystems
• CERT-FR – Mattermost Desktop App : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0062/
• France 3 Nouvelle-Aquitaine – Détournement 3 millions Anglet : https://france3-regions.franceinfo.fr/nouvelle-aquitaine/pyrenees-atlantiques/bayonne/il-profitait-que-l-ordinateur-reste-ouvert-l-employe-municipal-qui-a-detourne-3-millions-d-euros-condamne-a-deux-ans-de-prison-ferme-3282797.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec le CERT-FR qui a publié quatre avis de sécurité. L'avis CERTFR-2026-AVI-0047 concerne une vulnérabilité dans F5 NGINX Ingress Controller. La CVE-2025-14727 permet un contournement de la politique de sécurité sur les versions 5.x antérieures à 5.3.1. F5 a publié le bulletin K000158176 avec les correctifs disponibles. L'avis CERTFR-2026-AVI-0048 signale de multiples vulnérabilités dans Wireshark permettant un déni de service à distance. Quatre bulletins wnpa-sec-2026-01 à 04 ont été publiés le 15 janvier pour les versions 4.4.x antérieures à 4.4.13 et 4.6.x antérieures à 4.6.3. L'avis CERTFR-2026-AVI-0054 adresse deux vulnérabilités dans Centreon Infra Monitoring. La CVE-2025-43864 et la CVE-2025-43865 permettent un contournement de la politique de sécurité et un déni de service à distance sur les versions 25.10.x. Enfin, l'avis CERTFR-2026-AVI-0057 concerne de multiples vulnérabilités dans le noyau Linux de Debian LTS. Le bulletin DLA-4436-1 adresse 120 CVE distinctes pour Debian bullseye versions antérieures à 6.1.159-1, incluant la CVE-2024-47666 et les CVE-2025-37899 à CVE-2025-68734.

CVEFeed.io référence la CVE-2025-10484, une vulnérabilité d'authentication bypass affectant le plugin WordPress Registration & Login with Mobile Phone Number for WooCommerce. Le score CVSS 3.1 atteint 9.8, classant cette faille comme critique. Toutes les versions jusqu'à 1.3.1 sont vulnérables. Le plugin ne vérifie pas correctement l'identité des utilisateurs avant de les authentifier via la fonction fma_lwp_set_session_php_fun. Un attaquant non authentifié peut ainsi s'authentifier comme n'importe quel utilisateur du site, y compris les administrateurs, sans mot de passe valide. La vulnérabilité est classée CWE-288, authentication bypass using an alternate path or channel.

Enfin, Linux Journal annonce le lancement de Loss32, une distribution Linux légère développée pour redonner vie au matériel ancien et aux systèmes à ressources limitées. La distribution supporte les CPU 32 bits et 64 bits avec un minimum de 512 Mo de RAM et 4 Go d'espace disque. Loss32 embarque un environnement de bureau customisé basé sur un hybride Xfce/XF-Lite, offrant une empreinte mémoire réduite. L'installateur utilise une interface guidée facilitant la migration depuis Windows ou macOS. La roadmap inclut l'amélioration du support des adaptateurs wireless, des optimisations pour le gaming sur hardware legacy, et la localisation multilingue.

Sources :

• CERT-FR – Noyau Linux Debian LTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0057/
• CVEFeed.io – CVE-2025-10484 : https://cvefeed.io/vuln/detail/CVE-2025-10484
• Linux Journal – Loss32 : https://www.linuxjournal.com/content/introducing-loss32-new-lightweight-linux-distro-focus-legacy-hardware
• CERT-FR – F5 NGINX Ingress Controller : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0047/
• CERT-FR – Wireshark : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0048/
• CERT-FR – Centreon Infra Monitoring : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0054/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une sanction de la California Privacy Protection Agency contre Datamasters, courtier en données texan condamné à 45 000 dollars d'amende pour avoir commercialisé des informations de 435 245 patients Alzheimer ainsi que des millions de profils sensibles incluant personnes malvoyantes, personnes souffrant d'addiction et indicateurs de vulnérabilité financière. L'entreprise n'était pas enregistrée comme courtier en données comme l'exige le Delete Act californien depuis janvier 2025.

L'Allemagne et Israël ont signé un accord de coopération cybersécurité pour construire une version allemande du cyber dome israélien, système semi-automatisé de détection et réponse aux cyberattaques en temps réel. Le pacte signé à Jérusalem par le ministre de l'Intérieur allemand Dobrindt et le Premier ministre israélien Netanyahu prévoit l'échange d'expertise, le développement conjoint d'outils de cyberdéfense et la création d'un centre d'innovation en IA et cybersécurité. L'accord intervient dans un contexte de menaces croissantes contre l'Allemagne, notamment des acteurs alignés sur la Russie.

Cisco a publié des correctifs pour CVE-2025-20393, vulnérabilité zero-day de sévérité maximale dans AsyncOS exploitée depuis novembre 2025 par le groupe APT chinois UAT-9686. La faille affecte les appliances Secure Email Gateway et Secure Email and Web Manager avec configurations non standard exposant la fonctionnalité Spam Quarantine sur Internet. Les attaquants ont déployé des outils de tunneling ReverseSSH et Chisel, l'utilitaire de nettoyage AquaPurge et le backdoor Python AquaShell. Les correctifs sont disponibles pour toutes les versions affectées.

Enfin, des chercheurs ont découvert CodeBreach, vulnérabilité critique dans la chaîne d'approvisionnement AWS Console exploitant une mauvaise configuration dans les pipelines CI AWS CodeBuild. Deux caractères manquants dans un filtre regex ont permis le contournement de l'authentification via manipulation des ID utilisateur GitHub, donnant accès administrateur au dépôt aws-sdk-js-v3 et aux identifiants du compte aws-sdk-js-automation. AWS a remédié aux problèmes et introduit un portail d'approbation manuelle pour les builds de pull requests non fiables.

Sources :

• Malwarebytes – Amende Datamasters : https://www.malwarebytes.com/blog/news/2026/01/data-broker-fined-after-selling-alzheimers-patient-info-and-millions-of-sensitive-profiles
• The Record – Accord Allemagne-Israël : https://therecord.media/germany-cyber-dome-israel
• BleepingComputer – Cisco AsyncOS CVE-2025-20393 : https://www.bleepingcomputer.com/news/security/cisco-finally-fixes-asyncos-zero-day-exploited-since-november/
• CyberPress – Vulnérabilité CodeBreach AWS : https://cyberpress.org/aws-console-supply-chain-attack-github-hijackingcyber/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com