La CISA ajoute CVE-2025-47813 à son catalogue KEV : la faille d'Information Disclosure dans Wing FTP Server est confirmée comme activement exploitée et exploitable en chaîne avec une Remote Code Execution critique référencée CVE-2025-47812. Les agences fédérales américaines disposent de deux semaines pour remédier.

Le CERT-FR publie quatre avis simultanés : CVE-2026-3909 dans Google Chrome et CVE-2026-3910 dans Microsoft Edge sont toutes deux confirmées comme activement exploitées. OpenSSL est affecté par CVE-2026-2673 sur les branches 3.5.x et 3.6.x. Plusieurs composants Azure Linux — coredns, giflib, golang et azurelinux-image-tools — font l'objet de six CVE additionnelles.

La startup Starcloud soumet à la FCC une demande de déploiement de 88 000 satellites en orbite héliosynchrone pour constituer une infrastructure de data centers orbitaux produisant 5 gigawatts. Soutenue par NVIDIA, la société a déjà démontré l'exécution d'inférences IA depuis l'orbite via un GPU H100 embarqué.

Le groupe APT Laundry Bear, également référencé UAC-0190 et Void Blizzard, est suspecté d'utiliser un nouveau backdoor baptisé DRILLAPP contre des organisations ukrainiennes. La technique repose sur l'abus des paramètres de debug de Microsoft Edge en mode headless pour accéder au système de fichiers, au microphone, à la caméra et à l'écran sans déclencher d'alerte.

Sources :

• CISA — Wing FTP Server KEV : https://www.cisa.gov/news-events/alerts/2026/03/16/cisa-adds-one-known-exploited-vulnerability-catalog
• BleepingComputer — Wing FTP Server flaw actively exploited : https://www.bleepingcomputer.com/news/security/cisa-flags-wing-ftp-server-flaw-as-actively-exploited-in-attacks/
• CERT-FR — OpenSSL CVE-2026-2673 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0296/
• CERT-FR — Google Chrome CVE-2026-3909 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0297/
• CERT-FR — Microsoft Edge multiples vulnérabilités : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0298/
• CERT-FR — Produits Microsoft Azure Linux : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0299/
• Clubic — Starcloud data centers orbitaux : https://www.clubic.com/actualite-604813-data-centers-dans-l-espace-lumiere-sur-le-projet-fou-de-la-startup-starcloud.html
• Security Affairs — DRILLAPP backdoor Laundry Bear : https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Meta supprime le chiffrement de bout en bout des messages privés Instagram à compter du 8 mai 2026. La fonctionnalité E2EE, disponible depuis trois ans en mode opt-in, est abandonnée au profit d'une architecture permettant à Meta d'analyser les contenus échangés. Les utilisateurs souhaitant maintenir un canal chiffré au sein de l'écosystème Meta sont redirigés vers WhatsApp.

Le groupe Storm-2561, actif depuis mai 2025, distribue de faux clients VPN enterprise via SEO poisoning en usurpant les marques Cisco, Fortinet, CheckPoint, Ivanti, SonicWall, Sophos et WatchGuard. Les installeurs MSI malveillants sideloadent deux DLL — dwmapi.dll et inspector.dll — capturant les credentials saisis avant de rediriger silencieusement la victime vers le site officiel du vendor.

Le cluster CL-STA-1087, suspecté d'origine chinoise, conduit depuis 2020 des opérations d'espionnage ciblant des organisations militaires d'Asie du Sud-Est. L'arsenal déployé comprend les backdoors AppleChris et MemFun, et le credential harvester Getpass. Les deux backdoors utilisent Pastebin comme dead drop resolver pour récupérer les adresses C2.

Starbucks notifie une violation de données affectant 889 employés suite à une campagne de phishing ciblant le portail RH Partner Central entre le 19 janvier et le 11 février 2026. Les données exposées incluent numéros de sécurité sociale, dates de naissance et coordonnées bancaires.

Le SDK web d'AppsFlyer a été compromis dans une attaque supply chain entre le 9 et le 11 mars 2026. Un payload JavaScript de clipboard hijacking a été distribué depuis websdk.appsflyer.com, ciblant les wallets Bitcoin, Ethereum, Solana, Ripple et TRON sur les applications de 15 000 entreprises clientes.

Microsoft publie le hotpatch OOB KB5084597 pour corriger trois RCE dans le snap-in RRAS de Windows 11 Enterprise : CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111. Le correctif applique les fixes via in-memory patching sans redémarrage, exclusivement sur les endpoints gérés via Windows Autopatch.

Sources :

• Clubic — Instagram supprime le chiffrement de bout en bout : https://www.clubic.com/actualite-604663-instagram-supprime-le-chiffrement-des-messages-de-bout-en-bout-vos-conversations-privees-bientot-lisibles.html
• The Register — VPN clients spoofed by Storm-2561 : https://www.theregister.com/2026/03/13/vpn_clients_spoofed/
• The Hacker News — Chinese hackers target Southeast Asian militaries : https://thehackernews.com/2026/03/chinese-hackers-target-southeast-asian.html
• Security Affairs — Starbucks data breach 889 employees : https://securityaffairs.com/189438/security/starbucks-data-breach-impacts-889-employees.html
• BleepingComputer — AppsFlyer Web SDK crypto stealer : https://www.bleepingcomputer.com/news/security/appsflyer-web-sdk-used-to-spread-crypto-stealer-javascript-code/
• BleepingComputer — Microsoft Windows 11 OOB hotpatch RRAS RCE : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-11-oob-hotpatch-to-fix-rras-rce-flaw/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le CA/Browser Forum a voté en 2024 la réduction progressive de la durée de vie maximale des certificats TLS publics : 200 jours en mars 2026, 100 jours en mars 2027, 47 jours en mars 2029. À cette échéance, la période de réutilisation des données de validation DCV sera réduite à 10 jours. Le renouvellement manuel devient structurellement impossible à l'échelle — l'automatisation via le protocole ACME (RFC 8555) n'est plus une option, c'est une exigence opérationnelle.

Cet épisode spécial, suggéré par Cédric, auditeur du podcast, couvre le cycle de vie complet des certificats TLS publics, le fonctionnement du protocole ACME et ses implémentations en production (Certbot, acme.sh, win-acme, cert-manager, Vault), les implications opérationnelles de la réduction des durées de vie pour les équipes de gestion de certificats, et les premiers jalons de la migration PKI post-quantique issue des standards NIST finalisés en août 2024 : ML-KEM (FIPS 203), ML-DSA (FIPS 204) et SLH-DSA (FIPS 205).

Pour les équipes cyber, les chantiers sont identifiés : inventaire cryptographique, agilité cryptographique, certificats hybrides, mise à jour des bibliothèques cryptographiques (OpenSSL 3.x, liboqs). L'horizon de migration fixé par la NSA, le CISA et l'ANSSI est 2030 — les organisations qui commencent maintenant disposent d'une fenêtre opérationnelle.

Sources :

• CA/Browser Forum — Ballot SC-081 : https://cabforum.org/working-groups/server/ballots/sc-081/
• RFC 8555 — ACME Protocol (IETF) : https://www.rfc-editor.org/rfc/rfc8555
• NIST FIPS 203 — ML-KEM (CRYSTALS-Kyber) : https://csrc.nist.gov/pubs/fips/203/final
• NIST FIPS 204 — ML-DSA (CRYSTALS-Dilithium) : https://csrc.nist.gov/pubs/fips/204/final
• NIST FIPS 205 — SLH-DSA (SPHINCS+) : https://csrc.nist.gov/pubs/fips/205/final
• ANSSI — Guide de migration vers la cryptographie post-quantique : https://www.ssi.gouv.fr/guide/migration-vers-la-cryptographie-post-quantique/
• CISA — Post-Quantum Cryptography Initiative : https://www.cisa.gov/quantum
• Open Quantum Safe — liboqs : https://openquantumsafe.org
• Certbot — Documentation officielle : https://certbot.eff.org
• cert-manager — Documentation Kubernetes : https://cert-manager.io/docs/
• Let's Encrypt — Réduction durée de vie 90 jours : https://letsencrypt.org/2025/01/22/shorter-lived-certs/
• Apple — Proposition réduction 47 jours CA/B Forum : https://github.com/cabforum/servercert/pull/553

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le 28 février 2026, les États-Unis et Israël lancent les opérations Epic Fury et Roaring Lion contre l'Iran. En quinze jours, le conflit produit l'effondrement délibéré de l'internet iranien à 1-4 % de connectivité pendant plus de 216 heures, le hack de l'application de prière BadeSaba (5 millions d'utilisateurs), le détournement de l'agence IRNA, et la frappe physique des quartiers généraux cyber de l'IRGC à Téhéran.

Côté iranien, plus de 60 groupes hacktivist s'activent dès J+3, dont le groupe pro-russe NoName057(16) qui rejoint la coalition sous le banner #OpIsrael. MuddyWater (MOIS) révèle des backdoors pré-positionnés depuis début février dans une banque américaine, un aéroport et une filiale israélienne d'un éditeur logiciel défense, via deux nouveaux implants : Dindoor et Fakeset. Le 12 mars, Handala revendique un wiper attack contre Stryker, fabricant américain de dispositifs médicaux, qui confirme une perturbation globale de son environnement Microsoft.

Le Koweït, la Jordanie, Bahreïn, les Émirats et le Qatar figurent parmi les cibles secondaires documentées. La France est directement concernée : la FAD Team a exfiltré des données d'établissements français via une campagne d'injection SQL globale.

Cet épisode spécial couvre la chronologie complète jour par jour, le portrait des 15 groupes actifs, les TTPs référencées MITRE ATT&CK, le périmètre géographique et sectoriel, ainsi que les recommandations défensives issues des advisories CISA, FBI, NSA et CCCS.

Sources :

• Axios – Iran war, Trump, Israel, AI, cyberattack : https://www.axios.com/2026/03/11/iran-war-trump-israel-ai-cyberattack
• SOCRadar – Live Iran-Israel Cyber Conflict Dashboard : https://socradar.io/iran-israel-cyber-conflict-dashboard/
• SOCRadar – Blog Operation Epic Fury : https://socradar.io/blog/cyber-reflections-us-israel-iran-war/
• CSIS – How Will Cyber Warfare Shape the US-Israel Conflict with Iran : https://www.csis.org/analysis/how-will-cyber-warfare-shape-us-israel-conflict-iran
• Centre canadien pour la cybersécurité (CCCS) : https://www.cyber.gc.ca/en/guidance/cyber-threat-bulletin-iranian-cyber-threat-response-usisrael-strikes-february-2026
• Palo Alto Networks Unit 42 – Threat Brief March 2026 : https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
• Sophos – Cyber Advisory Increased Cyber Risk : https://www.sophos.com/en-us/blog/cyber-advisory-increased-cyber-risk-amid-u-s-israel-iran-escalation
• Industrial Cyber – Cyber retaliation surges : https://industrialcyber.co/reports/cyber-retaliation-surges-after-us-israel-strikes-on-iran-as-hacktivists-hit-governments-defense-critical-sectors/
• CloudSEK – Middle East Escalation Situation Report : https://www.cloudsek.com/blog/middle-east-escalation-israel-iran-us-cyber-war-2026
• Flare.io – Monitoring Cyberattacks US-Israel-Iran Military Conflict : https://flare.io/learn/resources/blog/cyberattacks-us-israel-iran-military-conflict
• Flashpoint – Escalation in the Middle East Operation Epic Fury : https://flashpoint.io/blog/escalation-in-the-middle-east-operation-epic-fury/
• The Hacker News – MuddyWater Dindoor Backdoor : https://thehackernews.com/2026/03/iran-linked-muddywater-hackers-target.html
• ICT – Operation Epic Fury SITREP 10 mars 2026 : https://ict.org.il/operation-epic-fury-sitrep-10-mar-2026/
• AttackIQ – Defending Against Iranian Cyber Threats : https://www.attackiq.com/2026/03/05/operation-epic-fury/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Google publie en urgence un patch hors cycle pour Chrome, corrigeant deux Zero-Day activement exploités : un Out-of-Bounds Write dans Skia (CVE-2026-3909) et une faille d'implémentation dans le moteur V8 (CVE-2026-3910), tous deux exploitables à distance via simple visite d'une page malveillante. La CISA ajoute simultanément ces deux CVE à son catalogue KEV, auxquelles s'ajoute une faille d'exécution de code arbitraire dans la plateforme d'automatisation n8n (CVE-2025-68613).

Le CERT-FR publie trois avis ce vendredi : une atteinte à la confidentialité dans Microsoft Office sur Android, iOS et macOS (CVE-2026-26133), une vulnérabilité de nature non précisée dans CPython (CVE-2025-13462), et de multiples failles dans le noyau Linux d'Ubuntu 22.04 LTS et 24.04 LTS.

L'application mobile Quittr, dédiée à la lutte contre la dépendance à la pornographie, a exposé pendant plusieurs mois les données sensibles de plus de 600 000 utilisateurs via une misconfiguration Firebase, dont environ 100 000 profils de mineurs. La brèche avait été signalée dès septembre 2025 sans action corrective.

Enfin, la fondation FIRST publie le bilan de son initiative African Regional Liaison : deux ans de terrain, 1 210 professionnels formés, 33 pays couverts, 70 CSIRTs engagés.

Sources :

• CISA – Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/03/13/cisa-adds-two-known-exploited-vulnerabilities-catalog
• CISA – Adds One Known Exploited Vulnerability to Catalog : https://www.cisa.gov/news-events/alerts/2026/03/11/cisa-adds-one-known-exploited-vulnerability-catalog
• CERT-FR – Vulnérabilité dans Microsoft Office : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0294/
• CERT-FR – Vulnérabilité dans Python : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0285/
• CERT-FR – Multiples vulnérabilités dans le noyau Linux d'Ubuntu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0289/
• 01net – Quittr : fuite de données via misconfiguration Firebase : https://www.01net.com/actualites/cette-application-anti-porno-a-laisse-fuiter-les-secrets-inavouables-de-ses-utilisateurs.html
• Malwarebytes – Google patches two Chrome zero-days under active attack : https://www.malwarebytes.com/blog/news/2026/03/google-patches-two-chrome-zero-days-under-active-attack-update-now
• FIRST – The Trust Builders: FIRST's African Liaisons : https://www.first.org/blog/20260311-Trust-Builders

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Microsoft publie le 10 mars 2026 son Patch Tuesday mensuel : 79 vulnérabilités corrigées, dont deux zero-days publiquement divulgués avant la mise à disposition des correctifs. Deux failles critiques d'exécution de code à distance dans Microsoft Office (CVE-2026-26113 et CVE-2026-26110) peuvent être déclenchées par simple visualisation d'un message dans le volet de prévisualisation, sans aucune interaction de l'utilisateur.

Une troisième vulnérabilité critique affecte Microsoft Excel (CVE-2026-26144) : elle exploite Copilot Agent Mode pour exfiltrer des données via un trafic réseau non prévu, réalisant une attaque de divulgation d'informations sans clic.

Sur les zero-days, CVE-2026-21262 permet à un attaquant authentifié d'élever ses privilèges jusqu'au niveau sysadmin sur SQL Server 2016 et versions ultérieures (CVSS 8.8). CVE-2026-26127 expose le framework .NET à un déni de service réseau sans authentification préalable.

Six vulnérabilités supplémentaires qualifiées Important sont signalées comme prioritaires par Cisco Talos et Tenable : Windows Graphics Component, Windows Kernel, Windows Accessibility Infrastructure, Windows SMB Server, Ancillary Function Driver for WinSock et Winlogon, cette dernière découverte par Google Project Zero.

Ce cycle marque une première dans l'histoire des CVE : CVE-2026-21536, notée 9.8 Critical dans le composant Microsoft Devices Pricing Program, a été découverte par XBOW, un agent de test de pénétration entièrement autonome basé sur l'intelligence artificielle, sans accès au code source. Microsoft a corrigé la vulnérabilité côté serveur, sans action requise des utilisateurs.

Sources :

• Krebs on Security – Microsoft Patch Tuesday, March 2026 Edition : https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/
• BleepingComputer – Microsoft March 2026 Patch Tuesday Fixes 2 Zero-Days, 79 Flaws : https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2026-patch-tuesday-fixes-2-zero-days-79-flaws/
• Cisco Talos – Microsoft Patch Tuesday for March 2026 : https://blog.talosintelligence.com/microsoft-patch-tuesday-march-2026/
• Blog Marc-Frédéric Gomez – Microsoft Patch Tuesday Mars 2026 : 79 vulnérabilités corrigées, deux zero-days divulgués : https://blog.marcfredericgomez.fr/microsoft-patch-tuesday-mars-2026-79-vulnerabilites-corrigees-deux-zero-days-divulgues/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

L'ANSSI publie son Panorama de la cybermenace 2025 (CERTFR-2026-CTI-002). 1 366 incidents confirmés sur l'exercice, niveau stable par rapport à 2024 mais structurellement plus élevé que les années précédentes. Quatre secteurs concentrent 76 % des incidents : éducation et recherche (34 %), ministères et collectivités (24 %), santé (10 %), télécommunications (9 %).

Le nombre d'attaques par ransomware est en légère baisse (128 en 2025, contre 141 en 2024), tandis que les incidents d'exfiltration de données progressent de 51 % : 196 incidents contre 130 en 2024. La bascule est structurelle : les groupes criminels abandonnent partiellement le chiffrement au profit de l'extorsion par la donnée seule, modèle plus silencieux et plus difficile à détecter. Qilin, Akira et LockBit 3.0 dominent le paysage ransomware. Cl0p maintient son modèle d'exfiltration pure, avec l'exploitation en août 2025 de CVE-2025-6182 dans Oracle E-Business Suite.

La frontière entre acteurs étatiques et cybercriminels s'efface structurellement. Des modes opératoires réputés liés à la Russie, la Chine, l'Iran et la Corée du Nord adoptent des outils criminels commerciaux, tandis que des groupes cybercriminels utilisent des techniques d'espionnage étatique. APT28, Turla, Callisto, Sandworm côté russe. Salt Typhoon, APT31, RedDelta, UNC5221 côté chinois. Scattered Spider côté cybercriminel pur, avec plusieurs entités françaises du secteur du luxe compromises en 2025.

La généralisation du Living off the Land est la tendance technique dominante de l'année. Les outils RMM légitimes, AnyDesk, MeshAgent, ScreenConnect, et les services cloud grand public, Google Drive, Dropbox, MEGA, sont détournés comme vecteurs offensifs et canaux de command and control. La détection par signature ne suffit plus.

Les équipements de bordure restent la surface d'exposition prioritaire : Ivanti Connect Secure (CVE-2025-0282, CVE-2025-22457), Fortinet, SharePoint Toolshell (CVE-2025-49704, CVE-2025-49706), VMware ESXi (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226). Plus de 6 200 actifs français restent exposés à des vulnérabilités exploitées depuis 2023 et 2024.

Sources :

• ANSSI / cyber.gouv.fr – Panorama de la cybermenace 2025 : https://cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025/
• Blog Marc-Frédéric Gomez – Analyse complète du Panorama de la cybermenace 2025 de l'ANSSI (CERTFR-2026-CTI-002) : https://blog.marcfredericgomez.fr/analyse-complete-du-panorama-de-la-cybermenace-2025-de-lanssi-certfr-2026-cti-002/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

L'ACSC, le CERT Tonga et le NCSC néo-zélandais publient un advisory conjoint sur INC Ransom, groupe Ransomware-as-a-Service ciblant prioritairement le secteur de la santé en Australie, en Nouvelle-Zélande et dans les États insulaires du Pacifique. Les affiliés combinent spear-phishing, exploitation de vulnérabilités sur équipements exposés et achat de credentials auprès d'Initial Access Brokers, avec double extorsion systématique via Data Leak Site Tor.

La CISA ajoute trois entrées à son catalogue KEV : une Server-Side Request Forgery dans Omnissa Workspace ONE (CVE-2021-22054), une désérialisation de données non fiables dans SolarWinds Web Help Desk (CVE-2025-26399), et un Authentication Bypass dans Ivanti Endpoint Manager (CVE-2026-1603), toutes trois activement exploitées.

Le CERT-FR publie l'avis CERTFR-2026-AVI-0257 sur une faille de contournement de politique de sécurité dans Mozilla Focus for iOS, corrigée en version 148.2 (CVE-2026-2919).

Le bulletin SAP de mars 2026 est relayé par le CERT-FR via l'avis CERTFR-2026-AVI-0256 : de multiples vulnérabilités affectant NetWeaver, Business Warehouse, Supply Chain Management et d'autres composants SAP exposent à une exécution de code arbitraire à distance, des injections SQL et des attaques SSRF.

Curl est également concerné avec quatre CVE publiées le 11 mars 2026, toutes les versions antérieures à 8.19.0 étant vulnérables à un déni de service, une atteinte à la confidentialité et un contournement de politique de sécurité (CERTFR-2026-AVI-0269).

Enfin, l'ANSSI livre son Panorama de la cybermenace 2025 (CERTFR-2026-CTI-002) : effacement des frontières entre acteurs étatiques et cybercriminels, montée de l'exfiltration de données au détriment des Ransomwares, et persistance des campagnes d'espionnage liées à la Russie et à la Chine contre les entités diplomatiques.

Sources :

• ACSC – INC Ransom Affiliate Model Enabling Targeting of Critical Networks : https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/inc-ransom-affiliate-model-enabling-targeting-of-critical-networks
• CISA – Adds Three Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/03/09/cisa-adds-three-known-exploited-vulnerabilities-catalog
• CERT-FR – Vulnérabilité dans Mozilla Focus : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0257/
• CERT-FR – Multiples vulnérabilités dans les produits SAP : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0256/
• CERT-FR – Multiples vulnérabilités dans Curl : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0269/
• CERT-FR – Panorama de la cybermenace 2025 : https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-002/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com

Le SANS Internet Storm Center signale une campagne active de brute-force ciblant les instances CrushFTP exposées, testant les identifiants par défaut crushadmin/crushadmin via des requêtes POST. L'ensemble du trafic malveillant est attribué à une IP française, 5.189.139.225, active depuis février 2026.

Europol annonce le démantèlement de LeakBase, forum criminel spécialisé dans le trafic de bases de données volées et de stealer logs, actif depuis 2021 avec plus de 142 000 utilisateurs enregistrés. L'opération coordonnée dans 14 pays a conduit à environ 100 actions coercitives, dont des arrestations et perquisitions visant 37 utilisateurs actifs. Le domaine a été saisi le 4 mars.

Des chercheurs de Socket identifient plusieurs packages PHP malveillants sur Packagist, publiés sous le compte nhattuanbl, déployant un RAT dans les environnements Laravel via les packages lara-helper, simple-queue et lara-swagger. Le Payload établit une connexion C2 chiffrée AES-128-CTR vers helper.leuleu.net sur le port 2096.

OX Security publie les détails de Mail2Shell, CVE-2026-28289, une vulnérabilité zero-click non authentifiée dans FreeScout permettant une RCE complète via un contournement du patch CVE-2026-27636 basé sur un caractère Zero-Width Space. La version 1.8.207 corrige la faille.

Google et Cloudflare présentent leur stratégie de sécurisation post-quantique des certificats HTTPS dans Chrome, reposant sur l'algorithme ML-DSA et les Merkle Tree Certificates pour contenir l'inflation de taille des chaînes cryptographiques. L'IETF coordonne la normalisation internationale via le groupe de travail PKI, Logs, and Tree Signatures.

Cisco divulgue CVE-2026-20131, une vulnérabilité critique CVSS 10.0 dans le Secure Firewall Management Center permettant une RCE non authentifiée via désérialisation Java non sécurisée. Aucun workaround disponible, le patch est distribué via l'advisory mars 2026.

Des frappes de drones iraniennes ont physiquement détruit deux data centers AWS en UAE et endommagé un troisième à Bahreïn les 1er et 2 mars 2026, affectant plus de 60 services cloud dans les régions ME-CENTRAL-1 et ME-SOUTH-1. Amazon conseille la migration des workloads vers des régions Europe, États-Unis ou Asie-Pacifique.

Sources :

• SANS ISC – Bruteforce Scans for CrushFTP : https://isc.sans.edu/diary/rss/32762
• Europol – Major data leak forum dismantled : https://www.europol.europa.eu/media-press/newsroom/news/major-data-leak-forum-dismantled-in-global-action-against-cybercrime-forum
• CyberPress – Malicious Laravel Packages Deploy PHP RAT : https://cyberpress.org/malicious-laravel-packages-deploy-rat/
• CybersecurityNews – Hackers Hijack FreeScout Mail Servers : https://cybersecuritynews.com/hackers-hijack-freescout-mail-servers/
• Clubic – Sécurité quantique, Google et Cloudflare renforcent HTTPS : https://www.clubic.com/actualite-603328-securite-quantique-google-et-cloudflare-renforcent-les-certificats-https-dans-chrome.html
• CyberPress – Critical Cisco Secure Firewall Management Vulnerability : https://cyberpress.org/firewall-management-vulnerability/
• The Record – Iranian drone strikes hit Amazon data centers : https://therecord.media/iran-drone-strikes-hit-amazon-data-centers-gulf
• AWS Health – Service Status : https://health.aws.amazon.com/health/status

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Le CERT-FR publie l'avis CERTFR-2026-AVI-0230 concernant de multiples vulnérabilités dans Docker Desktop. Les versions antérieures à 4.62.0 sont affectées. Deux CVE sont référencées : CVE-2026-2664 et CVE-2026-28400. L'éditeur n'a pas précisé la nature exacte des risques. La mise à jour vers Docker Desktop 4.62.0 corrige les deux failles.

Free Mobile annonce des mesures exceptionnelles pour ses abonnés français bloqués aux Émirats arabes unis, à Oman et au Qatar dans le contexte du conflit au Moyen-Orient. L'opérateur accorde automatiquement 15 Go de data supplémentaires et un tarif d'appel réduit à 0,22 euro par minute. La mesure couvre les forfaits Forfait 2 euros, Série Free et Forfait Free 5G+, et reste valable jusqu'au 31 mars 2026.

Le général Dan Caine, chairman du Joint Chiefs of Staff, confirme le rôle du U.S. Cyber Command dans l'opération Epic Fury. Les opérations coordonnées du Cyber Command et du U.S. Space Command ont perturbé les réseaux de communications et les systèmes de capteurs iraniens, privant l'adversaire de sa capacité à détecter, coordonner et riposter. Washington et Jérusalem se préparent à d'éventuelles représailles cyber de groupes proxy iraniens. La Jordanie a annoncé avoir contré une cyberattaque iranienne ciblant ses systèmes de stockage de blé.

Cisco Talos publie une analyse de la situation cyber liée au conflit au Moyen-Orient. À ce stade, aucune augmentation significative d'activité cyber émanant de groupes étatiques n'est observée. Les incidents relevés restent limités à des Web Defacements et des attaques DDoS de faible envergure. Talos alerte sur l'exploitation opportuniste du conflit par des cybercriminels utilisant des lures géopolitiques et du Social Engineering pour propager des Infostealers et des Backdoors. Les groupes iraniens historiquement actifs dans l'espionnage, les attaques destructives et le Hack-and-Leak sont identifiés comme les menaces principales à court terme.

Le régulateur russe de l'internet Roskomnadzor et le ministère russe de la Défense confirment avoir été frappés par une attaque DDoS qualifiée de multi-vecteurs, avec un trafic malveillant provenant de Botnets localisés principalement en Russie, ainsi qu'aux États-Unis, en Chine, au Royaume-Uni et aux Pays-Bas. Les infrastructures du Main Radio Frequency Center ont également été affectées. Aucun groupe n'a revendiqué l'opération.

Enfin, Check Point Research dévoile Silver Dragon, un groupe APT Chinese-nexus opérant sous l'ombrelle d'APT41, actif depuis mi-2024 contre des organisations gouvernementales en Asie du Sud-Est et en Europe. Le groupe déploie trois chaînes d'infection aboutissant au déploiement de Cobalt Strike via DNS Tunneling, utilisant deux Loaders personnalisés : MonikerLoader et BamboLoader. L'élément central est GearDoor, un Backdoor .NET inédit utilisant Google Drive comme canal C2. Le toolkit inclut également SilverScreen pour la capture d'écran et SSHcmd pour l'exécution de commandes à distance.

Sources :

• CERT-FR – Multiples vulnérabilités dans Docker Desktop (CERTFR-2026-AVI-0230) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0230/
• Clubic – Free accompagne ses abonnés bloqués dans le Golfe : https://www.clubic.com/actualite-603094-bloques-dans-le-golfe-a-cause-de-la-guerre-les-abonnes-free-recoivent-une-bonne-nouvelle.html
• The Record – Cyber Command disrupted Iranian comms, sensors : https://therecord.media/iran-cyber-us-command-attack
• Talos Intelligence – Talos on the developing situation in the Middle East : https://blog.talosintelligence.com/talos-developing-situation-in-the-middle-east/
• The Record – Cyberattack briefly disrupts Russian internet regulator and defense ministry websites : https://therecord.media/cyberattack-briefly-takes-down-russian-government-websites
• Check Point Research – Silver Dragon Targets Organizations in Southeast Asia and Europe : https://research.checkpoint.com/2026/silver-dragon-targets-organizations-in-southeast-asia-and-europe/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com