NewsLetter RadioCSIRT N°26

août 30, 2025 marc Newsletter RadioCSIRT Commentaires fermés sur NewsLetter RadioCSIRT N°26

🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT RadioCSIRT


Chers lectrices et lecteurs,

Pour cette nouvelle édition, je souhaite partager avec vous plusieurs points marquants de mon actualité en cybersécurité.

Tout d’abord, malgré mes efforts, je rencontre encore des difficultés à faire indexer mes articles de blog sur Google. Si certains d’entre vous disposent d’une approche ou de bonnes pratiques pour identifier et résoudre ce type de problématique, je suis preneur de vos retours d’expérience.

Ensuite, à la suite de ma visite de l’Université d’été du CESIN, je vous propose un article spécialement conçu pour les dirigeants de TPE/PME. Il porte sur le patch management, un sujet crucial mais souvent négligé dans les petites structures, avec un éclairage pragmatique sur les enjeux et les bonnes pratiques à mettre en place. J’en profite pour remercier l’ensemble des organisateurs de cet évènement et en particulier Alain Bouillé.

Vous retrouverez également mes publications récentes sur le blog, couvrant des thématiques variées :

  • Un focus CTI sur les opérations d’APT29,
  • Une analyse de la fuite de données PayPal ayant compromis des millions d’identifiants en 2025,
  • Un décryptage du projet Chat Control et de ses implications,
  • Une étude détaillée sur la fuite Gmail touchant 25 milliards de comptes potentiellement exposés,
  • L’examen technique de la vulnérabilité critique CVE-2025-7775,
  • Et une analyse des campagnes menées par des acteurs APT parrainés par l’État chinois visant des réseaux mondiaux.

Comme toujours, l’objectif reste de fournir des contenus utiles, accessibles et adaptés à vos besoins, que vous soyez expert, responsable sécurité ou dirigeant de PME.

Bonne lecture, et à très bientôt pour échanger sur ces sujets !

Marc-Frédéric GOMEZ
Fondateur de RadioCSIRT

Patch Management : l’obligation de survie que trop de dirigeants ignorent encore

Depuis plus de trente ans ans que j’accompagne des entreprises dans leur sécurisation informatique, je constate une réalité troublante : les TPE et PME représentent 80% des victimes d’attaques cyber réussies, souvent pour des raisons dérisoires.

Contrairement aux idées reçues, la taille de votre entreprise ne vous protège pas. Elle vous rend même plus vulnérable, car les cybercriminels savent que vous disposez de moins de moyens de défense que les grands groupes.

Le patch management, c’est la pratique consistant à appliquer systématiquement les correctifs de sécurité publiés par les éditeurs de logiciels. Pratiquement chaque semaine, Microsoft, Adobe, ou encore les créateurs de votre CRM publient des mises à jour pour corriger des failles de sécurité découvertes dans leurs produits. Ces failles sont des portes d’entrée directes dans votre système d’information.

L’absence de patching expose votre entreprise à des risques majeurs. Les ransomwares exploitent majoritairement des vulnérabilités connues et documentées.

Le vol de données clients peut détruire votre réputation en quelques heures.

L’indisponibilité de vos services paralyse votre activité. Je pense à cette PME de 35 salariés qui a perdu trois semaines de production parce qu’un serveur non mis à jour avait été compromis.

Dans les TPE/PME, trois obstacles reviennent systématiquement. D’abord, le manque de ressources internes dédiées à l’informatique. Ensuite, cette croyance erronée que votre entreprise est « trop petite pour intéresser les pirates ». Enfin, la dépendance totale à un prestataire externe qui ne fait pas toujours son travail de veille et de mise à jour car il ne maitrise pas les bases de la cybersécurité.

Je me souviens de cette entreprise de transport de 25 employés, victime d’une attaque exploitant une faille dans leur logiciel de facturation. Cette vulnérabilité était connue depuis quatre mois. Le correctif était disponible gratuitement. Il suffisait de dix minutes pour l’installer.

Résultat : deux semaines d’arrêt complet, 80000 euros de perte d’exploitation, et une réputation ternie auprès de leurs clients.

Appliquer un patch prend généralement moins de temps qu’un café dans une petite structure. Les éditeurs facilitent le processus avec des mises à jour automatiques. Le coût d’une interruption de service pour installer un correctif est dérisoire comparé aux millions d’euros de préjudice moyen d’une cyberattaque. Votre assurance cyber ne vous indemnisera d’ailleurs pas si elle constate que des correctifs critiques n’ont pas été appliqués.

Pour une TPE/PME, le patch management n’est pas une option technique parmi d’autres. C’est un réflexe de survie numérique aussi automatique que verrouiller ses locaux le soir. Dans un environnement où les menaces évoluent quotidiennement, maintenir ses systèmes à jour devient l’assurance vie minimale de votre activité.

Je maintien ma doctrine

On ne réfléchit pas, on patch !

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 CTI – APT29
Analyse détaillée des opérations d’APT29, leur modus operandi et l’impact de leurs campagnes sur la cybersécurité mondiale.
👉 Lire : https://blog.marcfredericgomez.fr/cti-apt29/

🔹 Fuite de données PayPal – Des millions d’identifiants compromis en 2025
Retour sur la compromission massive de comptes PayPal, ses causes probables, les impacts pour les utilisateurs et les recommandations de mitigation.
👉 Lire : https://blog.marcfredericgomez.fr/fuite-de-donnees-paypal-des-millions-didentifiants-compromis-en-2025/

🔹 Projet Chat Control
Décryptage des enjeux autour du projet Chat Control : surveillance des communications privées, impacts juridiques et techniques pour les citoyens et les entreprises.
👉 Lire : https://blog.marcfredericgomez.fr/projet-chat-control/

🔹 Fuite de données Gmail – 25 milliards de comptes potentiellement exposés
Analyse approfondie de la fuite massive touchant Gmail, avec une étude des vecteurs possibles, des impacts globaux et des recommandations pratiques.
👉 Lire : https://blog.marcfredericgomez.fr/fuite-de-donnees-gmail-25-milliards-de-comptes-potentiellement-exposes-analyse-et-recommandations/

🔹 CVE-2025-7775
Examen technique de la vulnérabilité critique CVE-2025-7775, vecteurs d’exploitation et mesures de défense à mettre en œuvre.
👉 Lire : https://blog.marcfredericgomez.fr/cve-2025-7775/

🔹 Des acteurs APT parrainés par l’État chinois compromettent des réseaux mondiaux
Étude sur les campagnes d’espionnage menées par des groupes liés à la Chine, visant à alimenter un système global de collecte de renseignements.
👉 Lire : https://blog.marcfredericgomez.fr/des-acteurs-apt-parraines-par-letat-chinois-compromettent-des-reseaux-mondiaux-pour-alimenter-un-systeme-despionnage-global/

Adresses des blog de Marc-Frédéric GOMEZ

  • https://blog.marcfredericgomez.fr (Version Française)
  • https://blog.marcfredericgomez.com (English version)

🎙 Récapitulatif des épisodes du podcast de la semaine

Du samedi 23 Août au vendredi 29 Août 2025

📅 Podcast RadioCSIRT du Samedi 23 Août 2025 (Ep.397)

📌 Au programme aujourd’hui : dossier spécial APT36 / Transparent Tribe

🇵🇰 Historique & périmètre
Acteur d’espionnage évalué comme basé au Pakistan, ciblant prioritairement l’Inde (administrations, défense, diplomatie, enseignement/recherche).

🧭 TTPs (vue ATT&CK)
Spearphishing thématique, RAT Windows (distribution via documents/archives/LNK), implants Android, infrastructure et leurres imitant des services officiels indiens.

🐧 Nouveau pivot Linux (2025)
Abus de fichiers .desktop déguisés en PDF : exécution via champ Exec=, drop d’un binaire Go, ouverture d’un PDF leurre (Firefox), persistance autostart GNOME et tâches planifiées ; C2 via canal WebSocket.

🔎 Ciblages et leurres
Faux portails/paquets liés à Kavach et BOSS Linux pour viser des postes gouvernementaux/defense en environnement Linux.

📎 Sources OSINT (sélection)
— MITRE ATT&CK — Group G0134 “Transparent Tribe (APT36)” — https://attack.mitre.org/groups/G0134/
— CYFIRMA — APT36: A Phishing Campaign Targeting Indian Government Entities (03/08/2025) — https://www.cyfirma.com/outofband/apt36-a-phishing-campaign-targeting-indian-government-entities/
— CYFIRMA — Phishing Attack: Deploying Malware on Indian Defense BOSS Linux (04/07/2025) — https://www.cyfirma.com/outofband/phishing-attack-deploying-malware-on-indian-defense-boss-linux/
— Zscaler ThreatLabz — TransparentTribe: Covert Espionage Tactics Disguised as Business Solutions (2024) — https://www.zscaler.com/blogs/security-research/transparenttribe-covert-espionage-tactics-disguised-business-solutions
— Cisco Talos — Transparent Tribe campaigns continue against Indian orgs — https://blog.talosintelligence.com/transparent-tribe
— CyberSecurityNews — APT36 Targeting Linux with .desktop Files (2025) — https://cybersecuritynews.com/apt36-linux-malware-desktop-files/

📅 Podcast RadioCSIRT du Dimanche 24 Août 2025 (Ep.398)

📌 Au programme aujourd’hui : Je répond à une demande d’un auditeur sur le projet Chat Control de l’Union Européenne

🇪🇺 Projet Chat Control : vers un vote crucial en octobre
Analyse factuelle des mesures envisagées par l’Union européenne :
• Client-side scanning obligatoire des messages
• Vérification d’âge et fin de l’anonymat en ligne
• Impacts majeurs sur le chiffrement de bout en bout et la cybersécurité
🔗 https://korben.info/chat-control-europe-scan-messages.html

📅 Podcast RadioCSIRT du Lundi 25 Août 2025 (Ep.399)

📌 Au programme aujourd’hui :

🇺🇸 Data I/O victime d’une attaque par rançongiciel
Le fabricant d’équipements électroniques basé à Redmond subit un incident ayant paralysé ses opérations de production et de support.
🔗 https://therecord.media/electronics-manufacturer-dataio-ransomware

🇨🇳 Murky Panda exploite la confiance dans le cloud
Ce groupe APT soutenu par la Chine détourne les relations de confiance entre prestataires et clients pour infiltrer des environnements en aval.
🔗 https://www.bleepingcomputer.com/news/security/murky-panda-hackers-exploit-cloud-trust-to-hack-downstream-customers/

🇬🇧 Breach chez APCS, prestataire britannique de vérification d’antécédents
L’attaque ayant visé son sous-traitant Intradev expose des données personnelles, dont passeports et numéros d’assurance nationale.
🔗 https://www.theregister.com/2025/08/22/apcs_breach/

📅 Podcast RadioCSIRT du Mardi 26 Août 2025 (Ep.400)

📌 Au programme aujourd’hui :

🇺🇸 Campagne de phishing « Zipline » exploitant Google Classroom
Check Point Research révèle une opération massive ayant diffusé plus de 115 000 e-mails malveillants ciblant 13 500 organisations à travers le monde.
🔗 https://research.checkpoint.com/2025/zipline-phishing-campaign/

🇷🇺 Vers un bannissement de Google Meet en Russie
Les autorités russes envisagent d’interdire le service de visioconférence, au profit de solutions nationales, dans un contexte de restrictions technologiques accrues.
🔗 https://therecord.media/russia-google-meet-ban-crackdown

🇪🇺 Démantèlement d’un réseau d’attaques de DAB
Europol annonce l’arrestation de quatre suspects liés à des attaques explosives contre des distributeurs automatiques de billets en Autriche et en Allemagne.
🔗 https://www.europol.europa.eu/media-press/newsroom/news/four-suspected-atm-attackers-arrested-in-coordinated-takedown

🇺🇸 Le NIST renforce la science médico-légale
Le programme Forensic Science du NIST développe des normes et outils de référence pour fiabiliser l’analyse des preuves, de l’ADN à la forensique numérique.
🔗 https://www.nist.gov/forensic-science

🇪🇺 Failles de chiffrement dans les radios TETRA
De nouvelles révélations mettent en lumière une réduction intentionnelle de la clé de chiffrement dans certains modèles utilisés par police et militaires.
🔗 https://www.schneier.com/blog/archives/2025/08/encryption-backdoor-in-military-police-radios.html

🌐 L’essor de l’« Impersonation-as-a-service »
Un modèle criminel structuré autour de l’ingénierie sociale à louer gagne du terrain, industrialisant les attaques par usurpation d’identité.
🔗 https://www.theregister.com/2025/08/21/impersonation_as_a_service/

🇦🇺 Protéger ses clés et secrets cryptographiques
L’ACSC publie un guide pratique pour renforcer la gestion et la protection des clés de chiffrement et secrets organisationnels.
🔗 https://www.cyber.gov.au/about-us/view-all-content/news-protect-your-cryptographic-keys-and-secrets-from-malicious-cyber-actors

🐧 Linux fête ses 34 ans
De simple projet étudiant en 1991, Linux est devenu un pilier mondial de l’open source et un socle incontournable des infrastructures numériques.
🔗 https://www.linux-magazine.com/Online/News/Happy-Birthday-Linux

🇺🇸 Trois vulnérabilités ajoutées au catalogue KEV
La CISA intègre de nouvelles failles activement exploitées dans son référentiel, renforçant les obligations de patch pour les agences fédérales.
🔗 https://www.cisa.gov/news-events/alerts/2025/08/25/cisa-adds-three-known-exploited-vulnerabilities-catalog

📅 Podcast RadioCSIRT du Mercredi 27 Août 2025 (Ep.401)

📌 Au programme aujourd’hui :

🔬 Multiples vulnérabilités critiques dans des bibliothèques et logiciels
Cisco Talos révèle des failles dans libbiosigTenda AC6SAILPDF-XChange Editor et Foxit Reader, exposant à des risques d’exécution de code et de fuite de données.
🔗 https://blog.talosintelligence.com/libbiosig-tenda-sail-pdf-xchange-foxit-vulnerabilities/

📱 77 applications malveillantes supprimées du Google Play Store
Plus de 19 millions de téléchargements pour des apps infectées par les malwares Anatsa et Joker, ciblant notamment les données bancaires et l’abonnement forcé à des services premium.
🔗 https://www.malwarebytes.com/blog/news/2025/08/77-malicious-apps-removed-from-google-play-store

🇺🇸 Flock Safety suspend ses projets fédéraux
Après un scandale lié au partage de données illégal avec le CBP et le DHS, l’éditeur de systèmes de lecture de plaques d’immatriculation met en pause toute collaboration avec les agences fédérales.
🔗 https://therecord.media/flock-license-plate-reader-pauses-federal-work

🌐 Vulnérabilité critique dans Google Chrome (CVE-2025-9478)
Faille de type use-after-free dans le moteur graphique ANGLE, corrigée en urgence par Google dans la version 139.0.7258.155.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0732/

📦 Vulnérabilités dans QNAP File Station
Deux failles (CVE-2025-29901 et CVE-2025-47206) corrigées dans File Station 5.5.6.4933, pouvant provoquer un déni de service et compromettre l’intégrité des données.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0729/

📅 Podcast RadioCSIRT du Jeudi 28 Août 2025 (Ep.402)

📌 Au programme aujourd’hui :

🇺🇸 La CISA soutient l’État du Nevada
L’agence fédérale renforce la cybersécurité locale en apportant une aide directe dans la réponse aux incidents et la résilience des infrastructures critiques.
🔗 https://therecord.media/cisa-steps-nevada-cyber-state

🧑‍💻 MATLAB victime d’un vol massif de données
Un groupe de ransomware affirme avoir dérobé les informations personnelles de plus de 10 000 personnes, exposant la communauté des développeurs et chercheurs.
🔗 https://www.bleepingcomputer.com/news/security/matlab-dev-says-ransomware-gang-stole-data-of-over-10-000-people/

🌐 DSLroot et la menace des botnets “légaux”
Analyse des proxys DSLroot qui transforment des connexions légitimes en relais pour des activités cybercriminelles.
🔗 https://krebsonsecurity.com/2025/08/dslroot-proxies-and-the-threat-of-legal-botnets/

🚨 Plus de 28 000 instances Citrix vulnérables (CVE-2025-7775)
Malgré la publication d’un correctif critique, des milliers de serveurs restent exposés à une exécution de code à distance.
🔗 https://securityaffairs.com/181614/hacking/over-28000-citrix-instances-remain-exposed-to-critical-rce-flaw-cve-2025-7775.html

🇨🇳 Salt Typhoon cible Cisco, Ivanti et Palo Alto
Le groupe APT chinois exploite activement des failles connues pour mener des campagnes de compromission à grande échelle.
🔗 https://thehackernews.com/2025/08/salt-typhoon-exploits-cisco-ivanti-palo.html

📅 Podcast RadioCSIRT du Vendredi 29 Août 2025 (Ep.402)

📌 Au programme aujourd’hui :

☁️ Microsoft impose la sauvegarde cloud par défaut Word sauvegarde automatiquement tous les nouveaux documents sur OneDrive, Excel et PowerPoint suivront cette année. Une évolution qui soulève des questions sur la confidentialité des données. 🔗 https://www.malwarebytes.com/blog/news/2025/08/microsoft-wants-to-automatically-save-your-word-docs-to-the-cloud

💥 L’écosystème ransomware explose en 60+ groupes actifs Les démantèlements de LockBit et BlackCat provoquent une fragmentation sans précédent, avec 41 nouveaux gangs recensés sur 12 mois. 🔗 https://therecord.media/ransomware-gang-takedown-proliferation

⚠️ Nagios XI exposé à l’exécution de code (CVE-2025-13986) Une faille de traversée de chemin permet l’upload de fichiers PHP malveillants avec les privilèges www-data. Correctif disponible en version 2024R1.3.2. 🔗 https://cyberveille.esante.gouv.fr/alertes/nagios-cve-2025-13986-2025-08-29

🎯 Campagne TAOTH via serveur Sogou Zhuyin abandonné Des attaquants exploitent un domaine expiré pour distribuer C6DOOR, GTELAM et TOSHIS, ciblant principalement Taiwan et l’Asie orientale. 🔗 https://thehackernews.com/2025/08/abandoned-sogou-zhuyin-update-server.html

📋 CISA ajoute FreePBX au catalogue KEV La CVE-2025-57819, vulnérabilité de contournement d’authentification dans Sangoma FreePBX, fait l’objet d’exploitations actives. 🔗 https://www.cisa.gov/news-events/alerts/2025/08/29/cisa-adds-one-known-exploited-vulnerability-catalog

☎️ Asterisk corrige deux failles de déni de service Les CVE-2025-54995 et CVE-2025-57767 affectent multiples versions. L’ANSSI recommande la mise à jour immédiate vers les versions corrigées. 🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0739/

☁️ Storm-0501 attaque Azure via Teams Le groupe exploite les environnements hybrides pour exfiltrer des données et demander une rançon directement via Microsoft Teams compromis. 🔗 https://www.theregister.com/2025/08/27/storm0501_ransomware_azure_teams/

📞 Partagez vos retours : 📱 07 68 72 20 09 📧 radiocsirt@gmail.com

🎧 Disponible sur : Apple Podcasts • Deezer • Spotify • YouTube • Amazon Music

🌐 Site : https://www.radiocsirt.org

🛡️ On ne réfléchit pas. On patch !