La newsletter cyber hebdo du Podcast RadioCSIRT
🇬🇧 RadioCSIRT est disponible en anglais !
Bonjour à toutes et à tous
Cela faisait longtemps que j’en rêvais, mais je peux enfin le dire : la version anglophone de RadioCSIRT est officiellement lancée !
Disponible dès maintenant sur Apple Podcasts, Spotify, YouTube, Amazon Music, Deezer et bien d’autres plateformes.
Ce n’était pas gagné.
L’épisode zéro a demandé plus de 50 prises (oui, cinquante !). J’ai douté, j’ai failli lâcher, mais je n’ai rien lâché. Depuis le tout début, je voulais offrir cette version en anglais et aujourd’hui, c’est chose faite.
Pour rendre cela possible, j’ai pris une décision importante : le podcast français restera la source primaire.
C’est là que tout commence : les sujets, les angles, la structure.
L’industrialisation est plus complexe qu’il n’y paraît, car il y a très peu d’éléments communs entre les deux versions. La jacquette de l’épisode et le contenu mais le montage me fait vraiment mal au niveau du temps et de la charge mentale.
Et enregistrer en anglais, sans perdre le rythme ni la fluidité, demande un niveau de concentration maximal.
Pas encore de blagues sur la raclette ou des fromages qui pue… mais ça viendra après quelques centaines d’épisodes, promis. Mon accent est toujours aussi français et j’en suis fière. Je suis pas sure que les anglophones dispose de la référence des guignols 🙂
Je tenais surtout à vous remercier.
Depuis le premier jour, vous êtes là, fidèles, curieux, engagés.
Qui aurait cru qu’un podcast quotidien de cybersécurité trouverait une telle audience, et surtout une communauté aussi passionnée et exigeante ?
Merci pour votre soutien.
Merci pour votre écoute.
Et bienvenue aux anglophones dans la nouvelle aventure de RadioCSIRT — The English Version 🎙️
Amicalement
Marc Frédéric GOMEZ
Fondateur de RadioCSIRT
PS : Oui, je sais… cette newsletter arrive avec une petite journée de retard. Entre la préparation des premières raclettes de la saison et surtout la mise en place de toute l’infrastructure technique pour la version anglaise du podcast, le timing a légèrement glissé. Merci pour votre patience et votre indulgence !
🔎 À lire cette semaine sur mon blog
Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.
🔹 Microsoft Exchange Server : Bonnes pratiques de sécurité
👉 Lire : https://blog.marcfredericgomez.fr/microsoft-exchange-server-bonnes-pratiques-de-securite/
🔹 Le poste de travail idéal de l’analyste CERT : réponse à incident, forensic et CTI
👉 Lire : https://blog.marcfredericgomez.fr/le-poste-de-travail-ideal-de-lanalyste-cert-reponse-a-incident-forensic-et-cti/
🎙 Récapitulatif des épisodes du podcast de la semaine (Ep.465 au 471)
Du samedi 25 octobre au vendredi 31 octobre 2025
📅 Podcast RadioCSIRT du samedi 25 octobre 2025 (Ep.465)
📌 Au programme aujourd’hui :
WSUS — Vulnérabilité critique RCE
La CVE-2025-59287 permet l’exécution de code à distance via désérialisation non fiable dans WSUS.
Versions affectées : Windows Server 2012, 2016, 2019, 2022, 2025.
Ubuntu — Multiples failles noyau Linux
Avis CERT-FR (CERTFR-2025-AVI-0922) : multiples vulnérabilités affectant Ubuntu 16.04 ESM, 18.04 ESM, 20.04 ESM, 22.04 LTS, 24.04 LTS et 25.04.
Correctifs disponibles via les USN de l’éditeur.
MongoDB — Élévation de privilèges dans le pilote Atlas SQL ODBC
Avis CERT-FR (CERTFR-2025-AVI-0916) : la CVE-2025-11575 affecte les versions Windows < 2.0.1.
Mise à jour recommandée par l’éditeur.
IBM x AMD — Correction d’erreurs quantiques sur CPU classiques
IBM affirme que son algorithme clé de correction d’erreurs quantiques peut fonctionner sur des puces AMD conventionnelles.
CISA — Deux vulnérabilités ajoutées au KEV
La première vulnérabilité est la CVE-2025-54236. Elle affecte Adobe Commerce et Magento. La seconde vulnérabilité est la CVE-2025-59287. Elle affecte Microsoft Windows Server Update Service, WSUS.
Starlink & Myanmar — Coupure de 2 500 terminaux
SpaceX a désactivé plus de 2 500 kits Starlink liés à des centres d’arnaque au Myanmar.
APT — Lazarus vise la défense européenne (thème UAV)
Campagne “Operation DreamJob” : leurres de recrutement, documents piégés et usage du RAT ScoringMathTea contre des entreprises du secteur UAV.
Sources :
https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/critical-vulnerability-in-Microsoft-Windows-Server-Update-Service
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0922/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0916/
https://www.boursorama.com/bourse/actualites/ibm-affirme-que-l-algorithme-cle-de-correction-d-erreurs-en-informatique-quantique-peut-fonctionner-sur-des-puces-amd-conventionnelles-c93d53040a75f47c0aa461ffb5531c09
https://www.cisa.gov/news-events/alerts/2025/10/24/cisa-adds-two-known-exploited-vulnerabilities-catalog
https://www.theregister.com/2025/10/23/spacex_starlink_myanmar/
https://securityaffairs.com/183783/apt/lazarus-targets-european-defense-firms-in-uav-themed-operation-dreamjob.html
📅 Podcast RadioCSIRT du dimanche 26 octobre 2025 (Ep.466)
📌 Au programme aujourd’hui :
Dell Storage Manager — Authentification manquante critique
La CVE-2025-43994 affecte Dell Storage Center – Dell Storage Manager en version DSM 20.1.21. Cette vulnérabilité de type Missing Authentication for Critical Function permet à un attaquant distant non authentifié de provoquer une divulgation d’informations.
Microsoft Copilot Studio — Phishing OAuth via CoPhish
Une nouvelle technique appelée CoPhish, découverte par Datadog Security Labs, détourne les agents Microsoft Copilot Studio pour envoyer de fausses demandes OAuth depuis des domaines Microsoft légitimes. Les attaquants utilisent des agents malveillants pour récupérer les jetons de session et accéder à des environnements administratifs. Microsoft a confirmé le problème et prépare une mise à jour corrective.
Prévisions vulnérabilités Q4 2025 — Rapport FIRST
Selon Éireann Leverett, environ 12 972 nouvelles vulnérabilités devraient être publiées au quatrième trimestre 2025, avec une marge d’erreur de ±1 156. Le volume pourrait dépasser 14 000 CVE d’ici fin décembre. L’étude souligne la nécessité de prévoir les vulnérabilités exploitables par produit, fournisseur et vecteur CVSS.
ASP.NET — Gestion des Machine Keys
Un rapport technique analyse la gestion des Machine Keys ASP.NET et les risques liés à leur mauvaise configuration. Ces clés, utilisées pour signer et chiffrer les cookies d’authentification, peuvent exposer des applications web si elles sont partagées ou mal protégées.
CVE-2025-43995 — Composant non authentifié sous investigation
Une nouvelle faille identifiée sous la CVE-2025-43995 est en cours d’analyse. Elle impliquerait un composant critique exposé à distance sans authentification préalable. Les informations techniques complètes seront publiées dès validation par le NVD.
Russie — Rosselkhoznadzor victime d’une attaque DDoS
L’agence fédérale russe de surveillance vétérinaire et phytosanitaire Rosselkhoznadzor a subi une attaque par déni de service distribué.
L’incident a entraîné des retards dans la gestion des certificats et l’expédition de produits alimentaires à l’international.
RadioCSIRT — Poste de travail idéal pour analyste CERT
Découvrez les critères essentiels pour construire la workstation optimale dédiée à la réponse à incident, la forensique et la cyber threat intelligence, selon les standards d’un CERT moderne.
Sources :
https://cyberpress.org/asp-net-machine-keys/
https://securityaffairs.com/183845/security/russian-rosselkhoznadzor-hit-by-ddos-attack-food-shipments-delayed.html
https://blog.marcfredericgomez.com/the-ideal-workstation-for-a-cert-analyst-incident-response-forensics-and-cti/
https://www.bleepingcomputer.com/news/security/new-cophish-attack-steals-oauth-tokens-via-copilot-studio-agents/
https://www.first.org/blog/20251016-Q4Vulnerability-Forecast
https://www.cisa.gov/news-events/alerts/2025/10/24/microsoft-releases-out-band-security-update-mitigate-windows-server-update-service-vulnerability-cve
https://cvefeed.io/vuln/detail/CVE-2025-43995
https://cvefeed.io/vuln/detail/CVE-2025-43994
📅 Podcast RadioCSIRT du lundi 27 octobre 2025 (Ep.467)
📌 Au programme aujourd’hui :
Qilin Ransomware — Méthodes d’attaque révélées
Les chercheurs de Talos Intelligence ont analysé plusieurs incidents liés au ransomware Qilin.
Leur étude met en évidence l’usage combiné de scripts PowerShell et d’outils d’administration à distance pour le mouvement latéral, ainsi qu’une persistance via des services Windows légitimes. Les opérateurs exploitent des failles d’accès initiales sur des VPN mal configurés avant de déployer leurs payloads chiffrants.
Microsoft Windows — CVE-2025-62813
Une vulnérabilité critique d’exécution de code à distance (RCE) affecte plusieurs versions de Windows Server.
Cette faille, exploitée activement selon Microsoft, réside dans le service RPC et permet à un attaquant non authentifié d’exécuter du code arbitraire avec privilèges système.
Un correctif est disponible via le Microsoft Update Guide.
WhatsApp Web — Extensions Chrome non conformes
Plus de 100 extensions Chrome ont été identifiées par Malwarebytes comme contournant les politiques anti-spam de WhatsApp Web.
Ces extensions injectent des scripts permettant d’automatiser l’envoi massif de messages et de collecter des métadonnées utilisateur.
Google a déjà commencé à retirer certaines d’entre elles du Chrome Web Store.
PassiveNeuron — Campagne APT avec Cobalt Strike
Kaspersky a révélé une campagne baptisée PassiveNeuron, utilisant des implants sur mesure et des balises Cobalt Strike dans des attaques ciblant des institutions gouvernementales d’Asie du Sud-Est.
Les attaquants exploitent des serveurs de commande déguisés en services cloud légitimes pour masquer leur trafic réseau.
Hanoï — Signature du traité international contre la cybercriminalité
Plusieurs États, dont la France, le Canada et le Japon, ont signé à Hanoï le premier traité global contre la cybercriminalité.
Ce texte prévoit un cadre commun de coopération judiciaire et de partage d’informations entre pays membres, notamment pour le suivi des flux de cryptoactifs illicites.
Discord — Vols de comptes via RedTiger Stealer
Des campagnes d’infection basées sur un infostealer dérivé de RedTiger ciblent les utilisateurs Discord. Les voleurs d’identifiants récupèrent les tokens d’authentification et les vendent sur des places de marché clandestines, facilitant la prise de contrôle de comptes administrateurs de serveurs populaires.
Canada — Amende record contre Cryptomus
Le processeur de paiement Cryptomus, accusé de faciliter le blanchiment d’argent lié à des ransomwares, a écopé d’une amende de 176 millions de dollars canadiens. Les autorités reprochent à l’entreprise d’avoir hébergé plus de 200 portefeuilles liés à des activités cybercriminelles sans dispositif de conformité KYC.
ChatGPT Atlas Browser — Contournement des protections IA
Des chercheurs ont démontré qu’il est possible de manipuler le navigateur Atlas Browser alimenté par ChatGPT pour exécuter du code malveillant ou contourner des restrictions d’accès. L’étude souligne les risques inhérents à l’intégration directe d’IA dans les navigateurs sans isolation de contexte suffisante.
Sources :
https://blog.talosintelligence.com/uncovering-qilin-attack-methods-exposed-through-multiple-cases/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62813
https://www.malwarebytes.com/blog/news/2025/10/over-100-chrome-extensions-break-whatsapps-anti-spam-rules
https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/
https://therecord.media/cybercrime-treaty-signing-hanoi
https://www.bleepingcomputer.com/news/security/hackers-steal-discord-accounts-with-redtiger-based-infostealer/
https://krebsonsecurity.com/2025/10/canada-fines-cybercrime-friendly-cryptomus-176m/
https://thehackernews.com/2025/10/chatgpt-atlas-browser-can-be-tricked-by.html
📅 Podcast RadioCSIRT du mardi 28 octobre 2025 (Ep.468)
📌 Au programme aujourd’hui :
Chainguard — Financement de 280 millions de dollars
Chainguard a levé 280 millions de dollars auprès de General Catalyst pour accélérer la diffusion d’un open source sécurisé et vérifiable.
L’entreprise dépasse désormais 892 millions de dollars de financement total et revendique plus de 1 700 images “zero-CVE” dans son catalogue.
Xen — CVE-2025-58149
Une vulnérabilité dans l’hyperviseur Xen, référencée CVE-2025-58149, permet une atteinte à la confidentialité des données et un contournement de la politique de sécurité.
Les versions 4.18.x à 4.20.x ainsi que xen-unstable sont concernées en l’absence des correctifs xsa476.
MongoDB — CVE-2025-12100
Le pilote ODBC MongoDB contient une faille d’élévation de privilèges.
Identifiée sous CVE-2025-12100, elle touche toutes les versions antérieures à 1.4.7.
La mise à jour 1.4.7 corrige le problème.
TheGreenBow — CVE-2025-11955
Une vulnérabilité dans le client VPN TheGreenBow versions 7.5.x et 7.6.x permet le contournement de la politique de sécurité.
Un correctif est disponible dans le bulletin 18200 publié le 27 octobre 2025.
QNAP — CVE-2025-55315
QNAP alerte sur une faille critique ASP.NET Core affectant NetBak PC Agent sous Windows.
Cette vulnérabilité, référencée CVE-2025-55315, permet à un attaquant de détourner des identités ou de contourner les contrôles HTTP.
QNAP recommande de réinstaller NetBak PC Agent ou de mettre à jour ASP.NET Core.
OpenVPN — CVE-2025-10680
Une faille critique touche OpenVPN 2.7_alpha1 à 2.7_beta1.
Référencée CVE-2025-10680, elle autorise des injections de scripts via les paramètres DNS pouvant mener à l’exécution de commandes arbitraires.
Le correctif est inclus dans la version 2.7_beta2 publiée le 27 octobre 2025.
Mastercard — Threat Intelligence
Mastercard dévoile Threat Intelligence, une solution de renseignement sur les menaces dédiée à la lutte contre la fraude liée aux paiements.
Basée sur la technologie de Recorded Future, elle fournit des alertes en temps réel sur les tests de cartes, le skimming et les menaces visant les marchands.
Depuis sa phase pilote, elle a permis de neutraliser plus de 9 500 domaines malveillants responsables d’environ 120 millions de dollars de fraude.
Sources :
https://www.prnewswire.com/news-releases/chainguard-announces-280-million-growth-financing-from-general-catalyst-to-usher-in-next-era-of-trusted-open-source-software-302592279.html
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0926/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0929/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0927/
https://www.bleepingcomputer.com/news/security/qnap-warns-its-windows-backup-software-is-also-affected-by-critical-aspnet-flaw/
https://cybersecuritynews.com/openvpn-vulnerability-exposes-systems/
https://www.helpnetsecurity.com/2025/10/28/mastercard-threat-intelligence/
📅 Podcast RadioCSIRT du mercredi 29 octobre 2025 (Ep.469)
📌 Au programme aujourd’hui :
Apache Tomcat — Multiples vulnérabilités
Plusieurs failles affectent Tomcat (10.1.x < 10.1.47, 11.0.x < 11.0.12, 9.0.x < 9.0.110) pouvant mener à l’exécution de code, au DoS et au contournement de politiques de sécurité. Mises à jour requises.
Kali Linux — 2025.3
Nouvelle snapshot avec 10 nouveaux outils, des améliorations majeures côté sans-fil (incl. Nexmon sur Raspberry Pi) et un rafraîchissement des images/VM.
WordPress — CVE-2025-4665 (CFDB7)
La vulnérabilité du plugin Contact Form CFDB7 permet des injections SQL et une PHP Object Injection. Mettez à jour ou désactivez le plugin si non maintenu.
AISURU — DDoS à l’échelle record
Le botnet AISURU est associé à des offensives DDoS de l’ordre de 20 Tb/s contre des cibles grand public, opérant un modèle « DDoS-for-hire ». Renforcez vos capacités de scrubbing/anycast.
Phishing — Obfuscation par caractères invisibles
Campagnes récentes exploitant des caractères invisibles dans l’objet pour contourner filtres et détection. Revoyez vos règles de normalisation et de détection côté passerelle.
ONU — Traité cybercrime
Les États-Unis ont décliné la signature du nouveau traité onusien sur la cybercriminalité, malgré plus de 70 pays signataires à Hanoï. Impact attendu sur la coopération et l’entraide judiciaire.
CISA KEV — Ajouts du 28 octobre 2025
Deux vulnérabilités Dassault Systèmes DELMIA Apriso rejoignent le catalogue KEV : CVE-2025-6204 (injection de code) et CVE-2025-6205 (autorisation manquante). Priorisez les correctifs.
Sources :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0933/
- https://www.linuxjournal.com/content/kali-linux-20253-lands-enhanced-wireless-capabilities-ten-new-tools-infrastructure-refresh
- https://cvefeed.io/vuln/detail/CVE-2025-4665
- https://securityaffairs.com/183969/malware/aisuru-botnet-is-behind-record-20tb-sec-ddos-attacks.html
- https://cyberpress.org/phishing-attack/
- https://therecord.media/us-declines-signing-cybercrime-treaty
- https://www.cisa.gov/news-events/alerts/2025/10/28/cisa-adds-two-known-exploited-vulnerabilities-catalog
📅 Podcast RadioCSIRT du jeudi 30 octobre 2025 (Ep.470)
📌 Au programme aujourd’hui :
Maverick Banker — Trojan bancaire via WhatsApp
Une campagne de distribution massive exploite WhatsApp pour déployer le trojan bancaire Maverick Banker. Les victimes reçoivent des messages frauduleux contenant des liens vers des applications malveillantes ciblant les données bancaires. Sensibilisez vos utilisateurs.
ForumTroll APT — Spyware Dante
Le groupe APT ForumTroll utilise le spyware Dante, dérivé des outils Hacking Team, pour cibler des organisations sensibles. Capacités avancées de surveillance et d’exfiltration de données. Renforcez vos contrôles de détection des menaces persistantes.
Mozilla — Multiples vulnérabilités
Nouvelles corrections de sécurité pour Firefox corrigeant une vulnérabilité
Mattermost — Failles de sécurité
Des vulnérabilités affectent la plateforme de collaboration Mattermost. Mises à jour recommandées pour sécuriser vos instances.
VMware — Correctifs de sécurité
Plusieurs failles identifiées dans les produits VMware nécessitent une attention immédiate. Risques d’élévation de privilèges et d’exécution de code à distance. Appliquez les patches en priorité.
Canada — Infrastructures critiques ciblées
Des hacktivistes ont compromis des systèmes liés aux infrastructures critiques canadiennes. L’agence gouvernementale de cybersécurité émet une alerte recommandant une vigilance accrue et le renforcement des mesures de protection.
Sources :
- https://securelist.com/maverick-banker-distributing-via-whatsapp/117715/
- https://securelist.com/forumtroll-apt-hacking-team-dante-spyware/117851/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0936/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0935/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0934/
- https://securityaffairs.com/184007/hacktivism/hacktivists-breach-canadas-critical-infrastructure-cyber-agency-warns.html
📅 Podcast RadioCSIRT du Vendredi 31 octobre 2025 (Ep.471)
📌 Au programme aujourd’hui :
Bienvenue dans votre bulletin cybersécurité du jour
VMware Tools — Exploitation active par un groupe chinois
La CISA ordonne aux agences fédérales américaines de corriger la vulnérabilité CVE-2025-41244. Cette faille permet une élévation de privilèges locales sur des machines virtuelles VMware Aria Operations et VMware Tools. Exploitée depuis octobre 2024 par le groupe UNC5174.
XWiki Platform — Injection critique CVE-2025-24893
Une vulnérabilité d’injection dans la fonction SolrSearch permet l’exécution de code à distance sans authentification. Score CVSS 9.8, exploitation active confirmée. Correctifs disponibles dans les versions 15.10.11, 16.4.1 et 16.5.0RC1.
UNC6384 — Espionnage diplomatique en Europe
Des entités diplomatiques en Belgique et Hongrie ont été ciblées par le groupe chinois UNC6384 via des emails piégés. Utilisation du malware PlugX et exploitation d’une vulnérabilité Windows dévoilée en mars 2025. Objectif : surveiller les discussions OTAN et UE.
Airstalk — Nouvelle souche de malware .NET et PowerShell
Unit 42 identifie un malware baptisé Airstalk, utilisé dans une probable attaque supply chain par un acteur étatique. Il détourne l’API AirWatch/Workspace ONE pour établir un canal C2 caché et exfiltrer cookies, historiques et captures d’écran.
Scams personnalisés — Exploitation des empreintes numériques
Des campagnes d’escroquerie exploitent les données publiques des réseaux sociaux pour fabriquer des attaques sur mesure. Les chercheurs de Malwarebytes détaillent les méthodes de collecte et d’usurpation, des voix clonées par IA aux faux profils géolocalisés.
Microsoft & NSA — Bonnes pratiques Exchange Server
La CISA et la NSA publient un guide international pour durcir les serveurs Exchange on-premises. Renforcement de l’authentification, chiffrement réseau et réduction de la surface d’attaque : trois piliers pour contrer les compromissions persistantes.
Sources :
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-vmware-tools-flaw-exploited-since-october-2024/
https://cybersecuritynews.com/xwiki-platform-injection-vulnerability-exploited/
https://therecord.media/belgium-hungary-diplomatic-entities-hacked-unc6384
https://unit42.paloaltonetworks.com/new-windows-based-malware-family-airstalk/
https://www.malwarebytes.com/blog/inside-malwarebytes/2025/10/how-scammers-use-your-data-to-create-personalized-tricks-that-work
https://thehackernews.com/2025/10/cisa-and-nsa-issue-urgent-guidance-to.html