Bienvenue dans RadioCSIRT, votre rendez-vous quotidien avec l’actualité cybersécurité.

Aujourd’hui, au menu : des failles critiques dans Mozilla et Chrome, des gestionnaires de mots de passe mis en cause, l’arrestation d’un opérateur de botnet, McDonald’s épinglé pour sa sécurité défaillante, et enfin un nouvel aperçu des opérations d’espionnage russes.

Nous commençons avec Mozilla, qui a publié une série de bulletins de sécurité concernant Firefox, Thunderbird et leurs déclinaisons mobiles. Ces vulnérabilités, référencées dans les avis MFSA-2025-64 à 72, permettent notamment l’exécution de code arbitraire, des attaques XSS et du déni de service à distance. Tous les utilisateurs sont invités à appliquer rapidement les mises à jour disponibles.

Nous poursuivons avec Google Chrome, où une vulnérabilité critique identifiée sous le code CVE-2025-9132 affecte les versions antérieures à 139.0.7258.138 sur Linux, et 139.0.7258.138 ou .139 sur Windows et macOS. Cette faille pourrait être exploitée à distance, et le correctif est déjà disponible via la mise à jour officielle.

Du côté des gestionnaires de mots de passe, une présentation lors de la conférence DEF CON a mis en lumière des attaques de type clickjacking capables de détourner l’autoremplissage des formulaires. Les chercheurs ont démontré que des outils populaires comme 1Password, LastPass, Bitwarden, Enpass, iCloud Passwords et LogMeOnce pouvaient être exploités pour révéler identifiants, codes de double authentification et données de cartes bancaires. Certains éditeurs ont commencé à déployer des correctifs, mais plusieurs produits restent vulnérables.

Aux États-Unis, le département de la Justice a annoncé l’arrestation d’Ethan J. Foltz, un homme de 22 ans accusé d’avoir opéré le botnet Rapper Bot. Ce réseau, composé de plus de 65 000 objets connectés compromis, a été responsable de centaines de milliers d’attaques DDoS, dont celle qui a visé Twitter, désormais X, en mars dernier. Les enquêteurs estiment que le botnet a été loué à des groupes d’extorsion en ligne, générant des attaques pouvant dépasser les six térabits par seconde.

Dans un autre registre, McDonald’s fait face à une série de révélations embarrassantes concernant la sécurité de ses portails internes. Une hackeuse éthique, connue sous le nom de Bobdahacker, a découvert plusieurs failles critiques permettant notamment de commander de la nourriture gratuitement, d’accéder à des documents internes et même d’obtenir des adresses email de la direction. Des vulnérabilités similaires ont été observées chez Casa Bonita, un restaurant racheté par les créateurs de South Park, où des données clients étaient accessibles sans aucune protection.

Enfin, nous terminons avec la campagne d’espionnage menée par le groupe russe Static Tundra, affilié au FSB. Ce groupe exploite toujours la vulnérabilité CVE-2018-0171 dans la fonctionnalité Smart Install des équipements Cisco IOS, une faille pourtant corrigée depuis 2018. En ciblant des équipements non patchés et parfois en fin de vie, Static Tundra parvient à extraire des configurations, maintenir un accès persistant et rediriger du trafic sensible. Les victimes identifiées appartiennent principalement aux secteurs des télécommunications, de l’éducation et de l’industrie, en Amérique du Nord, en Europe, en Afrique et en Asie, avec un focus particulier sur l’Ukraine et ses alliés.

📞 Pour vos retours, vous pouvez nous contacter au 07 68 72 20 09 ou par mail à [email protected].

🌐 Retrouvez aussi nos contenus sur radiocsirt.org et abonnez-vous à la newsletter sur radiocsirt.substack.com.