NewsLetter RadioCSIRT N°25

août 23, 2025 marc Newsletter RadioCSIRT Commentaires fermés sur NewsLetter RadioCSIRT N°25

🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT RadioCSIRT

Bonjour,

Nous approchons du 400ᵉ épisode de RadioCSIRT, une étape symbolique qui reflète l’intensité et la constance de l’actualité cyber depuis le lancement du podcast. Jamais les compromissions de systèmes d’information n’ont atteint un tel niveau : nos enseignes, nos fournisseurs, nos environnements professionnels comme personnels, tout est désormais ciblé. Les fuites massives de données personnelles se multiplient et les téléphones, devenus points d’entrée privilégiés, subissent eux aussi des offensives continues.

Les attaquants exploitent chaque information accessible pour aller plus loin dans leurs campagnes, jusqu’à capter nos données sensibles et, inévitablement, nos ressources financières.

Face à cette pression inédite, la sensibilisation demeure un pilier central de nos dispositifs de défense.

Maintenir un haut niveau de communication et de vigilance reste une condition essentielle pour freiner l’action des groupes cybercriminels et réduire leur impact.

Dans ce contexte, RadioCSIRT poursuit sa mission en relayant uniquement des informations issues de sources OSINT vérifiées, pour apporter à chacun une vision claire, factuelle et rigoureuse de l’évolution des menaces.

Restons vigilant et bien entendu, on ne réfléchit pas, on Patch ! ™

je souhaitais partager avec vous que depuis plusieurs mois, j’ai entrepris une refonte complète de mes blogs pour offrir un espace plus clair et plus riche en contenus. Cette transition technique a malheureusement eu un impact inattendu : Google n’indexe plus correctement mes articles, ce qui réduit fortement leur visibilité, malgré plusieurs centaines de publications déjà disponibles.

N’étant pas spécialiste du SEO, je travaille actuellement à identifier et mettre en œuvre les bonnes solutions afin de rétablir un référencement normal.

Ce processus prendra sans doute un peu de temps et, dans cette période, je vais devoir ralentir le rythme de mes publications.

RadioCSIRT continuera bien sûr de vous apporter une veille quotidienne à travers le podcast, mais les articles écrits connaîtront une cadence réduite le temps de stabiliser la situation. Je vous remercie pour votre compréhension et votre fidélité.

Marc frédéric GOMEZ

En cette fin de période estivale, je vous propose une position assumée en faveur de l’open source. Elle s’appuie sur des constats vérifiables et des critères opérationnels, de robustesse, de diversité de choix, de transparence de la chaîne logicielle, de sécurité mesurable et productivité.

L’objectif n’est pas le discours, mais les faits : ce qui fonctionne durablement pour nos DSI, CISO et équipes de réponses à incidents.

Voici l’argumentaire que je voulais poser, de manière factuelle et professionnelle, sur le poste de travail Linux face aux environnements propriétaires (Windows et macOS). J’assume une préférence claire pour Linux, mais je m’en tiens ici aux caractéristiques vérifiables.

Linux sur le poste de travail : robustesse, choix, transparence, sécurité, productivité

1) Robustesse et cycle de vie

Sur le poste de travail, l’écosystème Linux s’appuie sur des distributions à support étendu (LTS) avec des processus de maintenance publics et documentés. Ubuntu LTS offre 5 ans de support standard, extensibles via Ubuntu Pro, tandis que Debian maintient une filière « stable » et une équipe sécurité dédiée. Ces cycles, publiquement tracés, facilitent la planification des DSI/CISO (politique de mises à jour, gel des versions, fenêtres de changement).

2) Choix et portabilité

Le modèle de distribution permet de sélectionner un « profil » adapté : Ubuntu LTS/Ubuntu Pro, Debian Stable, SUSE Linux Enterprise Desktop, ou des clones RHEL (Rocky/Alma) côté entreprise. Ce choix se double d’un écosystème de paquets et de formats applicatifs modernes (Flatpak, Snap) qui apportent une portabilité élevée et un cloisonnement standardisé des applications, sans verrouillage propriétaire.

3) Transparence et traçabilité de la chaîne logicielle

Le code source ouvert et les processus communautaires rendent auditable l’ensemble de la chaîne : publications des correctifs, suivi des CVE, et effort structuré de « reproducible builds » visant à garantir que les binaires distribués correspondent aux sources. L’écosystème Linux est également en première ligne sur les standards d’inventaire logiciel (SBOM) tels que SPDX et CycloneDX, utiles pour les obligations de conformité et la gestion des risques de dépendances.

4) Sécurité intégrée au noyau et au système

Le noyau Linux expose des mécanismes de réduction de surface d’attaque qui s’appliquent au desktop comme au serveur :

  • LSM/Politiques MAC : SELinux et AppArmor permettent des politiques de confinement obligatoires au niveau système.
  • Isolation au niveau processus : seccomp (filtrage des appels système) et Landlock (LSM non privilégié) fournissent des garde-fous supplémentaires côté applications.
  • Cloisonnement applicatif : Flatpak et Snap ajoutent des permissions explicites (sandbox) avec des profils par défaut et des politiques de confinement documentées.
  • Gouvernance des correctifs : les équipes sécurité des distributions publient des avis et backportent les correctifs, avec un historique public et des flux d’avis (USN/DSA).

L’ensemble constitue une « pile » de contrôle en couches, vérifiable et composable, qui peut être auditée et adaptée aux exigences internes.

5) Productivité et écosystème applicatif

Au-delà des outils natifs (LibreOffice, suites de développement, clients SSH/VPN), les grandes applications de collaboration et de communication sont accessibles nativement ou via le Web/PWA : Slack (client Linux), Zoom (clients Linux), Microsoft Teams (version Web/PWA officiellement supportée par Microsoft). Les IDE et éditeurs majeurs (p. ex. Visual Studio Code) publient des binaires Linux. Côté développeurs et équipes d’ingénierie sécurité, KVM, containers (Podman/Docker), et l’outillage GNU/Linux « first-class » accélèrent les workflows et l’automatisation.

6) Gestion et conformité

Les environnements Linux bénéficient de référentiels publics (CIS Benchmarks) et d’outils de gestion de parc (Landscape/Ubuntu, SUSE Manager, Ansible, etc.). Cette transparence de configuration et l’absence de boîte noire binaire côté OS facilitent l’alignement avec les politiques internes, l’auditabilité et le contrôle de la dérive de configuration.

Ma conclusion

Mon choix va à Linux sur le poste de travail pour des raisons structurelles : la transparence du modèle ouvert, la richesse des mécanismes de confinement intégrés au noyau et aux distributions, la lisibilité des cycles de vie, et la disponibilité de l’outillage moderne (collaboration, développement, administration).

Ces éléments constituent, à mon sens, une base rationnelle et vérifiable pour des organisations qui recherchent robustesse, sécurité mesurable et contrôle opérationnel.

Les sources

(Tous les liens ci-dessus pointent vers des pages officielles ou des projets de référence du monde Linux et des éditeurs concernés.)

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 Voyager avec des équipements numériques – Bonnes pratiques et enjeux
Analyse des risques liés aux déplacements avec ordinateurs, smartphones et autres terminaux. Focus sur la sécurisation des données, la protection contre l’espionnage industriel et l’importance des mesures de cybersécurité dans un contexte de mobilité accrue.
👉 Lire : https://blog.marcfredericgomez.fr/voyager-avec-des-equipements-numeriques/

🎙 Récapitulatif des épisodes du podcast de la semaine

Du samedi 09 Août au vendredi 15 Août 2025

📅 Podcast RadioCSIRT du Samedi 16 Août 2025 (Ep.390)

📌 Au programme aujourd’hui :

💥 Colt Telecom frappé par Warlock ransomware
Perturbations majeures des services, données volées mises en vente par les cybercriminels.
🔗 https://www.bleepingcomputer.com/news/security/colt-telecom-attack-claimed-by-warlock-ransomware-data-up-for-sale/

🖥️ Windows 10 – Fin de support en octobre 2025
Microsoft rappelle la date butoir, options ESU et maintien partiel des mises à jour Edge et Office.
🔗 https://www.bleepingcomputer.com/news/microsoft/microsoft-reminds-users-of-windows-10-retirement-in-october/

⚠️ Vulnérabilité critique dans Microsoft IIS Web Deploy
Exploitation possible à distance pour exécuter du code arbitraire sur les serveurs vulnérables.
🔗 https://cybersecuritynews.com/microsoft-iis-web-deploy-vulnerability/

📡 Abus de Microsoft Teams pour obtenir un accès distant
Ingénierie sociale via Quick Assist, distribution du malware Matanbuchus 3.0 par PowerShell.
🔗 https://cybersecuritynews.com/microsoft-teams-request-remote-access/

🏨 Fuite massive de données dans des hôtels italiens
Des dizaines de milliers de scans de passeports et cartes d’identité mis en vente en ligne.
🔗 https://www.malwarebytes.com/blog/news/2025/08/italian-hotels-breached-for-tens-of-thousands-of-scanned-ids

📅 Podcast RadioCSIRT du Dimanche 17 Août 2025 (Ep.391)

📌 Au programme aujourd’hui :

🔓 FortiWeb – Bypass complet d’authentification
Un chercheur annonce la publication prochaine d’un exploit pour CVE-2025-52970, permettant un accès total à la console sans authentification.
🔗 https://www.bleepingcomputer.com/news/security/researcher-to-release-exploit-for-full-auth-bypass-on-fortiweb/

🖼️ Multiples vulnérabilités dans ImageMagick
Plusieurs failles critiques, dont CVE-2025-55154 et CVE-2025-53019, pouvant mener à de l’exécution de code arbitraire via des images piégées.
🔗 https://cybersecuritynews.com/multiple-imagemagick-vulnerabilities/

🌐 F5 corrige des failles HTTP/2
Deux vulnérabilités, CVE-2025-41414 et CVE-2025-36504, exploitables à distance pour provoquer un déni de service sur les appliances BIG-IP.
🔗 https://cybersecuritynews.com/f5-fixes-http-2-vulnerability/

📱 Phishing mobile contre des comptes de courtage
Des campagnes ciblant les investisseurs utilisent des pages frauduleuses pour lancer des opérations de type ramp-and-dump et manipuler des titres boursiers.
🔗 https://krebsonsecurity.com/2025/08/mobile-phishers-target-brokerage-accounts-in-ramp-and-dump-cashout-scheme/

🛠️ Fuite du code source d’Ermac 3.0
Le malware bancaire Android voit son code complet publié, avec des modules d’exfiltration étendus et la prise en charge du vol de données MFA.
🔗 https://securityaffairs.com/181217/uncategorized/ermac-3-0-source-code-leak-reveals-expanding-threat.html

🇷🇺 EncryptHub exploite Microsoft MMC
Le groupe russe utilise des fichiers .msc pour charger des payloads chiffrés, contournant les protections EDR classiques.
🔗 https://thehackernews.com/2025/08/russian-group-encrypthub-exploits-msc.html

🕵️ Gh0st RAT diffusé via faux sites DeepL
Des campagnes de SEO poisoning redirigent vers de faux traducteurs pour installer Gh0st RAT, offrant contrôle à distance complet des machines infectées.
🔗 https://blog.defentive.com/blog/lost-in-translation-threat-actors-use-seo-poisoning-and-fake-deepl-sites-to-distribute-gh0st-rat

📅 Podcast RadioCSIRT du Lundi 18 Août 2025 (Ep.392)

📌 Au programme aujourd’hui :

🛠️ Retour du backdoor PipeMagic
Observé depuis 2022 et lié au rançongiciel RansomExx, PipeMagic refait surface en 2025 en exploitant la vulnérabilité CVE-2025-29824, avec des attaques signalées au Brésil et en Arabie saoudite.
🔗 https://securelist.com/pipemagic/117270/

🎒 Escroqueries de rentrée scolaire
Des cybercriminels exploitent la période back-to-school avec de faux sites marchands, du phishing de livraison et des arnaques financières visant les parents et étudiants.
🔗 https://www.mcafee.com/blogs/internet-security/scammers-take-advantage-of-back-to-school-shopping-scams/

🧾 National Public Data réapparaît après une fuite massive
Le site, impliqué en 2024 dans l’exposition de 272 millions de numéros de sécurité sociale, revient en ligne sous une nouvelle direction, relançant les inquiétudes sur l’agrégation de données sensibles.
🔗 https://www.malwarebytes.com/blog/news/2025/08/national-public-data-returns-after-massive-social-security-number-leak

📊 Workday victime d’ingénierie sociale
Une attaque via un CRM externe expose des données de contact professionnelles (noms, e-mails, numéros de téléphone), rappelant la vulnérabilité des chaînes de sous-traitance.
🔗 https://therecord.media/workday-social-engineering-data-breach

🌍 Plus de 1 000 serveurs N-able N-central exposés
Deux zero-days critiques (CVE-2025-8875 et CVE-2025-8876) permettent une exécution de code à distance, touchant plus de mille serveurs dans plusieurs pays.
🔗 https://cybersecuritynews.com/1000-exposed-n-able-n-central-rmm-servers/

🖼️ Détection des images morphées par le NIST
Publication d’un guide détaillant deux approches pour identifier les images faciales combinées, utilisées pour contourner les systèmes biométriques.
🔗 https://www.helpnetsecurity.com/2025/08/18/nist-guide-detect-morphed-images/

📄 Correctifs critiques pour Xerox FreeFlow Core
Deux vulnérabilités (XXE et Path Traversal) corrigées dans la version 8.0.5, qui pouvaient permettre une exécution de code à distance non authentifiée.
🔗 https://securityaffairs.com/181243/security/xerox-fixed-path-traversal-and-xxe-bugs-in-freeflow-core.html

📅 Podcast RadioCSIRT du Mardi 19 Août 2025 (Ep.393)

📌 Au programme aujourd’hui :

💻 Rançongiciels au Japon
Rapport Talos sur la première moitié de 2025 : augmentation marquée des attaques de ransomware visant les organisations japonaises, avec des impacts significatifs sur les secteurs critiques.
🔗 https://blog.talosintelligence.com/ransomware_incidents_in_japan_during_the_first_half_of_2025/

🐀 GodRAT : un nouvel outil d’espionnage
Découvert par Kaspersky, ce RAT multiplateforme est utilisé par plusieurs acteurs malveillants, doté de fonctions avancées de surveillance et de contrôle.
🔗 https://securelist.com/godrat/117119/

🏛️ Kimsuky cible les ambassades à Séoul
Campagne d’espionnage attribuée au groupe nord-coréen, utilisant de faux courriers diplomatiques et XenoRAT pour infiltrer au moins 19 représentations.
🔗 https://therecord.media/north-korean-hackers-target-foreign-embassies

🧾 Allianz Life : 1,1 million de victimes
Vol massif de données clients après compromission de Salesforce, exploité par ShinyHunters, avec diffusion publique des bases de données.
🔗 https://www.bleepingcomputer.com/news/security/massive-allianz-life-data-breach-impacts-11-million-people/

🛡️ Trend Micro Apex One activement exploité
CVE-2025-54948 ajouté au KEV de la CISA. Vulnérabilité critique RCE sur les consoles on-prem, exploitation déjà observée.
🔗 https://securityaffairs.com/181283/hacking/u-s-cisa-adds-trend-micro-apex-one-flaw-to-its-known-exploited-vulnerabilities-catalog.html

⚡ SAP NetWeaver : un exploit public en circulation
Chaînage de deux failles critiques (CVE-2025-31324 & CVE-2025-42999) permettant une exécution de code à distance. Exploitation confirmée par plusieurs groupes.
🔗 https://thehackernews.com/2025/08/public-exploit-for-chained-sap-flaws.html

📅 Podcast RadioCSIRT du Mercredi 20 Août 2025 (Ep.394)

📌 Au programme aujourd’hui :

🦊 Multiples vulnérabilités Mozilla
Bulletins MFSA-2025-64 à 72 : exécution de code, XSS et DoS affectant Firefox, Thunderbird et dérivés.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0714/

🌐 Faille critique dans Google Chrome
Vulnérabilité CVE-2025-9132 corrigée dans la version 139.0.7258.138/139, exploitation possible sur Windows, Mac et Linux.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0711/

🔑 Gestionnaires de mots de passe vulnérables au clickjacking
1Password, LastPass, Bitwarden et autres exposés à une fuite d’identifiants via overlays malveillants.
🔗 https://www.bleepingcomputer.com/news/security/major-password-managers-can-leak-logins-in-clickjacking-attacks/

🌐 Botnet Rapper Bot : arrestation aux États-Unis
Un Américain de 22 ans arrêté pour avoir loué un botnet de 65 000 appareils IoT, responsable de l’attaque massive contre Twitter/X.
🔗 https://krebsonsecurity.com/2025/08/oregon-man-charged-in-rapper-bot-ddos-service/

🍔 McDonald’s et Casa Bonita : sécurité en miettes
Un hacker éthique expose des failles dans les portails internes, exposant données et accès administratifs.
🔗 https://www.theregister.com/2025/08/20/mcdonalds_terrible_security/

🇷🇺 Static Tundra : espionnage russe sur équipements Cisco
Exploitation de CVE-2018-0171 sur des routeurs non patchés et en fin de vie, persistance via implants et SNMP.
🔗 https://blog.talosintelligence.com/static-tundra/

📅 Podcast RadioCSIRT du Jeudi 21 Août 2025 (Ep.395)

📌 Au programme aujourd’hui :

🍏 Apple corrige une vulnérabilité zero-day
Correctif pour la CVE-2025-43300 dans Image I/O, activement exploitée sur iOS, iPadOS et macOS.
🔗 https://www.malwarebytes.com/blog/news/2025/08/all-apple-users-should-update-after-company-patches-zero-day-vulnerability-in-all-platforms

🕷️ Scattered Spider : condamnation à 10 ans de prison
Noah Michael Urban écope de 10 ans ferme et 13 M$ de restitution pour vols de cryptomonnaie et données.
🔗 https://therecord.media/scattered-spider-affiliate-sentenced-10-years

🌐 Exploitation de GeoServer et monétisation de bande passante
Campagne exploitant CVE-2024-36401, distribution d’applications et SDKs légitimes pour générer des revenus.
🔗 https://unit42.paloaltonetworks.com/attackers-sell-your-bandwidth-using-sdks/

🇪🇺 Fausse prime Europol contre Qilin
Un canal Telegram usurpateur propose une récompense fictive de 50 000 $, démentie officiellement par Europol.
🔗 https://www.bleepingcomputer.com/news/security/europol-confirms-that-qilin-ransomware-reward-is-fake/

📅 Podcast RadioCSIRT du Vendredi 22 Août 2025 (Ep.396)

📌 Au programme aujourd’hui :

🇺🇸 CISA ajoute une vulnérabilité au catalogue KEV
La CVE-2025-43300 touche iOS, iPadOS et macOS, exploitée activement.
🔗 https://www.cisa.gov/news-events/alerts/2025/08/21/cisa-adds-one-known-exploited-vulnerability-catalog

🇨🇦 Canada : services et outils pour les infrastructures essentielles
Le Centre canadien pour la cybersécurité rappelle son rôle de soutien aux systèmes d’importance.
🔗 https://www.cyber.gc.ca/fr/orientation/hidden/services-outils-infrastructures-essentielles

🇫🇷 Multiples vulnérabilités dans le noyau Linux d’Ubuntu
Avis CERTFR-2025-AVI-0721 – risques d’exécution de code, atteinte à la confidentialité et au service.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0721/

💻 Windows : mises à jour d’août problématiques
Les patchs KB5063878 et KB5063709 causent des saccades et pertes de flux avec NDI et OBS.
🔗 https://www.bleepingcomputer.com/news/microsoft/microsoft-august-windows-updates-cause-severe-ndi-streaming-issues/

🐋 Docker Desktop vulnérable sous Windows
La CVE-2025-9074 permet la compromission complète de l’hôte via API non authentifiée.
🔗 https://cybersecuritynews.com/windows-docker-desktop-vulnerability/

🌐 Thème WordPress Inspiro
La CVE-2025-8592, faille CSRF critique, expose plus de 70 000 sites – correctif en version 2.1.3.
🔗 https://thecyberexpress.com/csrf-flaw-cve-2025-8592/

☁️ Microsoft suspend le partage de PoC avec la Chine
Décision après les fuites sur les failles SharePoint exploitées par Linen Typhoon, Violet Typhoon et Storm-2603.
🔗 https://securityaffairs.com/181430/security/after-sharepoint-attacks-microsoft-stops-sharing-poc-exploit-code-with-china.html

🐧 Chaîne d’infection Linux inédite
Diffusion du backdoor VShell via des noms de fichiers RAR piégés, analyse Trellix.
🔗 https://thehackernews.com/2025/08/linux-malware-delivered-via-malicious.html

🏬 Auchan : fuite de données clients
Des centaines de milliers de comptes fidélité compromis, CNIL et clients notifiés.
🔗 https://www.boursorama.com/actualite-economique/actualites/des-centaines-de-milliers-de-donnees-de-clients-d-auchan-ont-ete-piratees-061d49648243a0b3f392a6ab7d04c737