NewsLetter RadioCSIRT N°28

septembre 13, 2025 marc Newsletter RadioCSIRT Commentaires fermés sur NewsLetter RadioCSIRT N°28

🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT

Bonjour à vous toutes et tous

Cette semaine m’a rappele que nous étions encore trop dépendant des institutions américaines en matière de cybersécurité.

je n’ai pu que constaté que l’annonce de la CISA marque un tournant décisif dans l’histoire du programme CVE.

Longtemps porté par des acteurs privés et semi-privés comme le MITRE et la CVE Foundation, ce programme reposait sur une gouvernance où l’initiative communautaire et le pilotage indirect tenaient une place centrale. Désormais, la CISA affirme clairement que la responsabilité et l’avenir du CVE relèvent de l’Agence fédérale, avec un mandat et une mission assumés au nom de la défense nationale.

Ce changement met fin aux débats sur une éventuelle privatisation ou fragmentation du dispositif. La CISA rappelle que l’identification et la description des vulnérabilités constituent une fonction stratégique, incompatible avec des logiques économiques ou d’influence industrielle. En reprenant officiellement la main, l’agence impose une gouvernance étatique, garantissant que le CVE restera un bien commun, piloté par un acteur neutre, en dehors des intérêts privés.

Les impacts sont clairs : le CVE entre dans une nouvelle phase où la qualité, la fiabilité et la continuité du service priment sur la croissance et l’expérimentation.

Pour les défenseurs et les entreprises, cela signifie un socle de référence consolidé, porté par l’autorité publique, et qui s’inscrit dans une logique de sécurité nationale et internationale.

Si on Compare les deux approches CVE/CISA et GCVE

  • Gouvernance :
    • Le CVE, sous pilotage direct de la CISA, repose sur une autorité nationale américaine, assumant une mission de sécurité publique et militaire.
    • Le GCVE, de son côté, est conçu comme un projet européen, orienté vers la coopération multinationale et la transparence, avec une gouvernance distribuée et moins centralisée.
  • Portée internationale :
    • Le CVE bénéficie d’une reconnaissance mondiale, intégrée à la plupart des outils de cybersécurité, des scanners aux SIEM. Sa légitimité et son adoption sont déjà acquises.
    • Le GCVE reste en phase de consolidation : il peut offrir une alternative crédible mais doit encore démontrer sa capacité à fédérer largement les acteurs européens et internationaux.
  • Les avantages :
    • Le CVE offre continuité, stabilité et intégration massive dans les workflows existants.
    • Le GCVE ouvre la voie à une souveraineté numérique européenne, limitant la dépendance à un système contrôlé par les États-Unis. Il pourrait également apporter des innovations dans la granularité et la qualité des données.
  • Les limites :
    • Le CVE, bien que robuste, est marqué par une dépendance forte à la vision américaine, qui peut ne pas refléter toutes les priorités régionales.
    • Le GCVE souffre encore d’un déficit d’adoption : sans une mobilisation des CERT, éditeurs européens et régulateurs, il risque de rester une alternative théorique.

Ma conclusion est amère

La prise en main du CVE par la CISA acte la fin d’une gouvernance hybride, dominée historiquement par MITRE et la CVE Foundation.

Elle renforce la place des États-Unis comme pivot incontournable de la cybersécurité mondiale. Mais cette centralisation accentue aussi la dépendance stratégique des autres régions. L’Europe, avec le GCVE, dispose d’une opportunité de proposer une voie alternative crédible, à condition que les acteurs européens s’en emparent réellement et l’intègrent dans leurs pratiques.

C’est sur cette adoption que repose l’équilibre futur entre leadership américain et souveraineté européenne en matière de gestion des vulnérabilités.

Marc Frédéric GOMEZ
Fondateur de RadioCSIRT

Partager

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 Compromission massive de packages NPM pour voler des cryptomonnaies
👉 Lire : https://blog.marcfredericgomez.fr/compromission-massive-de-packages-npm-pour-voler-des-cryptomonnaies/

🔹 APT-C-53 Gamaredon : campagne d’attaques contre les institutions gouvernementales ukrainiennes
👉 Lire : https://blog.marcfredericgomez.fr/apt-c-53-gamaredon-campagne-dattaques-contre-les-institutions-gouvernementales-ukrainiennes/

🔹 Patch Tuesday de septembre 2025
👉 Lire : https://blog.marcfredericgomez.fr/patch-tuesday-de-septembre-2025/

🎙 Récapitulatif des épisodes du podcast de la semaine (Ep.411 au 418)

Du samedi 6 septembre au au vendredi 12 septembre 2025

📅 Podcast RadioCSIRT du Samedi 6 Septembre 2025 (Ep.411)

📌 Au programme aujourd’hui :

🐧 GitOps sur Linux : gestion d’infrastructure Git-first
Analyse des workflows GitOps appliqués aux environnements Linux : pipelines, contrôleurs Argo CD et Flux, sécurité des dépôts et automatisation.
Source : Linux Journal
🔗 https://www.linuxjournal.com/content/harnessing-gitops-linux-seamless-git-first-infrastructure-management

🖥️ Durcissement des postes Windows 11
Recommandations pour renforcer la sécurité des postes de travail : ASR, Credential Guard, BitLocker, GPO et MFA.
Source : Cyber.gov.au
🔗 https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-windows-11-workstations

💻 Durcissement des postes Windows 10
Mesures de sécurité prioritaires pour réduire la surface d’attaque sur Windows 10 : contrôle applicatif, mises à jour, configuration GPO et gestion des comptes.
Source : Cyber.gov.au
🔗 https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-windows-10-workstations

📡 SharePoint : exploitation active de vulnérabilités critiques
Campagnes utilisant la chaîne d’exploit ToolShell avec les CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 et CVE-2025-53771.
Source : Cyber.gc.ca
🔗 https://www.cyber.gc.ca/fr/nouvelles-evenements/detection-menaces-vulnerabilites-touchant-sharepoint

📦 Synology : vulnérabilité RADIUS Server
La CVE-2024-13987 permet un contournement de la politique de sécurité. Versions concernées avant 3.0.27. Correctifs disponibles.
Source : CERT-FR
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0755/

🐍 CastleRAT : nouveau malware ClickFix
TAG-150 diffuse CastleRAT en C et Python. La variante C vole frappes clavier et captures écran ; la variante Python mise sur la furtivité.
Source : The Register
🔗 https://www.theregister.com/2025/09/05/clickfix_castlerat_malware/

📅 Podcast RadioCSIRT du Dimanche 7 Septembre 2025 (Ep.412)

📌 Au programme aujourd’hui :

🐧 Red Hat : multiples vulnérabilités dans le noyau Linux
Plusieurs failles affectent RHEL 7, 8 et 9 dans différentes déclinaisons (Real Time, NFV, SAP, AUS). Les risques incluent atteinte à la confidentialité, contournement de politique de sécurité et déni de service à distance.
Correctifs disponibles dans les bulletins RHSA publiés entre le 2 et le 4 septembre.
Source : CERT-FR
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0757/

📖 Rewiring Democracy – Bruce Schneier et Nathan Sanders
Publication prévue le 21 octobre 2025 chez MIT Press du livre Rewiring Democracy: How AI will Transform our Politics, Government, and Citizenship. L’ouvrage explore l’impact de l’IA sur la politique, la législation, l’administration, la justice et la citoyenneté.
Source : Schneier on Security
🔗 https://www.schneier.com/blog/archives/2025/09/my-latest-book-rewiring-democracy.html

📩 Spam politique : Gmail accusé de biais
La FTC interroge Google sur le filtrage de courriels issus de WinRed, la plateforme républicaine. Les experts soulignent que WinRed envoie un volume de spam nettement supérieur à ActBlue, ce qui dégrade sa réputation de domaine.
Source : KrebsOnSecurity
🔗 https://krebsonsecurity.com/2025/09/gop-cries-censorship-over-spam-filters-that-work/

💻 Attaque supply chain “s1ngularity”
Le projet Nx sur NPM a été compromis via GitHub Actions. Le malware telemetry.js a volé tokens, clés SSH et secrets, compromettant 2 180 comptes et 7 200 dépôts privés.
Source : BleepingComputer
🔗 https://www.bleepingcomputer.com/news/security/ai-powered-malware-hit-2-180-github-accounts-in-s1ngularity-attack/

🎨 Phishing caché dans des fichiers SVG
VirusTotal a identifié 523 fichiers SVG malveillants imitant le portail judiciaire de Colombie. Ces fichiers servaient à distribuer une archive ZIP contenant un exécutable Comodo légitime et une DLL malveillante.
Source : BleepingComputer
🔗 https://www.bleepingcomputer.com/news/security/virustotal-finds-hidden-malware-phishing-campaign-in-svg-files/

✈️ Qantas sanctionne sa direction
À la suite de la fuite de données touchant 5,7 millions de clients, les bonus de la direction, dont celui de la PDG Vanessa Hudson, ont été réduits de 15 %.
Source : The Record
🔗 https://therecord.media/qantas-airline-reduces-bonuses-executives-data-breach

📹 Nexar : fuite massive de vidéos dashcam
Un bucket AWS mal configuré a exposé 130 To de données enregistrées par des dashcams Nexar. Des partenaires comme Apple, Microsoft, Google et le NYPD figuraient parmi les bénéficiaires d’accès.
Source : Malwarebytes
🔗 https://www.malwarebytes.com/blog/news/2025/09/nexar-dashcam-video-database-hacked

📅 Podcast RadioCSIRT du Lundi 8 Septembre 2025 (Ep.413)

📌 Au programme aujourd’hui :

📩 iCloud Calendar détourné pour du phishing
Des cybercriminels exploitent la fonction d’invitation d’iCloud Calendar afin d’envoyer de faux reçus PayPal. Les messages transitent directement par les serveurs Apple, ce qui leur permet de contourner les filtres anti-spam.
Source : BleepingComputer
🔗 https://www.bleepingcomputer.com/news/security/icloud-calendar-abused-to-send-phishing-emails-from-apples-servers/

🐧 Ubuntu : multiples vulnérabilités dans le noyau Linux
Plus de 180 CVE affectent Ubuntu 14.04 ESM, 16.04 ESM, 20.04 ESM, 22.04 LTS et 24.04 LTS. Les risques incluent exécution de code arbitraire, déni de service et atteinte à la confidentialité. Correctifs disponibles dans les bulletins Ubuntu publiés fin août et début septembre.
Source : CERT-FR
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0758/

🇨🇿 La NUKIB alerte sur les technologies chinoises
L’agence tchèque de cybersécurité classe désormais le risque lié à la Chine à un niveau « élevé ». Elle recommande d’éviter l’usage de technologies et de services cloud chinois dans les infrastructures critiques.
Source : BleepingComputer
🔗 https://www.bleepingcomputer.com/news/security/czech-cyber-agency-warns-against-chinese-tech-in-critical-infrastructure/

📱 Le président Maduro vante un Huawei Mate X6 « impiratable »
Nicolás Maduro a présenté un smartphone offert par Xi Jinping, affirmant qu’il ne pouvait être piraté par les services de renseignement américains. L’appareil fonctionne sous HarmonyOS, un système développé par Huawei.
Source : Security Affairs
🔗 https://securityaffairs.com/181984/security/venezuelas-president-maduro-said-his-huawei-mate-x6-cannot-be-hacked-by-us-cyber-spies.html

🛠️ InterceptSuite : un nouvel outil open-source d’interception réseau
Développé en C avec interface C#, InterceptSuite permet d’analyser et manipuler du trafic TLS/SSL. Il cible principalement les protocoles non-HTTP, supporte STARTTLS, MQTT et offre des extensions Python pour la dissection de protocoles.
Source : Help Net Security
🔗 https://www.helpnetsecurity.com/2025/09/08/interceptsuite-open-source-network-traffic-interception-tool/

📅 Podcast RadioCSIRT du Mardi 9 Septembre 2025 (Ep.414)

📌 Au programme de cet épisode spécial :

💀 Compromission massive de packages NPM : 18 bibliothèques JavaScript infectées Une attaque de phishing sophistiquée a permis aux cybercriminels de compromettre 18 packages JavaScript populaires, téléchargés collectivement plus de 2 milliards de fois par semaine. Le malware injecté cible spécifiquement les portefeuilles de cryptomonnaies en interceptant les transactions dans les navigateurs. Source : Aikido Security 🔗 https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

🎣 Phishing ciblé : quand un développeur tombe dans le piège Josh Junon, mainteneur des packages compromis, a été victime d’un email de phishing provenant du faux domaine « npmjs.help », enregistré seulement 3 jours avant l’attaque. Cette compromission illustre parfaitement la fragilité de notre chaîne d’approvisionnement logicielle moderne. Source : Krebs on Security 🔗 https://krebsonsecurity.com/2025/09/18-popular-code-packages-hacked-rigged-to-steal-crypto/

🔧 Analyse technique : un malware intercepteur multi-couches Le code malveillant injecté dans les packages opère à plusieurs niveaux : interception des fonctions JavaScript essentielles (fetch, XMLHttpRequest), manipulation des API de portefeuilles crypto, et remplacement discret des adresses de destination. Une démonstration technique de l’ingénierie sociale appliquée au code.

🏢 Impact entreprise : billions de sites web potentiellement affectés Les packages compromis incluent des bibliothèques fondamentales comme chalk, debug, et ansi-styles, souvent intégrées comme dépendances transitives. Bien que l’exposition n’ait duré que 2 heures, l’incident révèle l’ampleur des risques liés aux supply chain attacks dans l’écosystème JavaScript.

🛡️ Recommandations stratégiques : vers une sécurisation renforcée Cet incident souligne l’urgence d’adopter des clés de sécurité physiques pour l’authentification des mainteneurs de packages critiques, d’implémenter des mécanismes d’attestation robustes, et de renforcer la surveillance des dépendances dans les environnements de production.

📅 Podcast RadioCSIRT du Mardi 9 Septembre 2025 (Ep.415)

📌 Au programme de cet épisode :

⚠️ Magento : faille critique SessionReaper
Adobe corrige la CVE-2025-54236, une vulnérabilité critique permettant la prise de contrôle de comptes via l’API REST Commerce. Cette faille, surnommée SessionReaper, est décrite comme l’une des plus graves de l’histoire de Magento.
Source : Bleeping Computer 🔗 https://www.bleepingcomputer.com/news/security/adobe-patches-critical-sessionreaper-flaw-in-magento-ecommerce-platform/

🔄 SPIP : mise à jour de sécurité 4.4.5 et 4.3.9
Une vulnérabilité de type Open Redirect a été corrigée sur la page de connexion ajax. Cette faille concerne uniquement les sites ayant surchargé ce formulaire.
Source : SPIP 🔗 https://blog.spip.net/Mise-a-jour-de-securite-sortie-de-SPIP-4-4-5-SPIP-4-3-9.html

🛡️ Résilience cyber : un enjeu aussi vital que la défense
Le NCSC rappelle que la préparation et les exercices de reprise sont essentiels. L’accent est mis sur la planification de la continuité et l’implication des conseils d’administration dans la gouvernance cyber.
Source : NCSC 🔗 https://www.ncsc.gov.uk/blog-post/why-resilience-matters-as-much-as-defence

🌐 Salt Typhoon et UNC4841 : nouvelles infrastructures découvertes
Silent Push identifie 45 domaines liés aux APT chinois Salt Typhoon et UNC4841, actifs contre les télécoms et FAI dans plus de 80 pays. Des indicateurs précis d’infrastructure ont été publiés.
Source : Silent Push 🔗 https://www.silentpush.com/blog/salt-typhoon-2025/

💻 APT37 : backdoor Rustonotto et stealer FadeStealer
Zscaler analyse une campagne d’APT37 exploitant des fichiers LNK et CHM pour déployer Rustonotto en Rust, le backdoor PowerShell Chinotto, et l’outil de surveillance FadeStealer.
Source : Zscaler 🔗 https://www.zscaler.com/blogs/security-research/apt37-targets-windows-rust-backdoor-and-python-loader

🎭 Mostererat : détournement avec AnyDesk et TightVNC
Fortinet détaille l’utilisation par l’APT Mostererat de logiciels légitimes comme AnyDesk et TightVNC afin d’obtenir un accès complet et furtif aux systèmes compromis.
Source : Fortinet 🔗 https://www.fortinet.com/blog/threat-research/mostererat-deployed-anydesk-tightvnc-for-covert-full-access

📅 Podcast RadioCSIRT du Mercredi 10 Septembre 2025 (Ep.416)

📌 Au programme de cet épisode :

⚠️ Microsoft Patch Tuesday – Septembre 2025
81 vulnérabilités corrigées, dont 13 classées critiques, avec 22 exécutions de code à distance et 41 élévations de privilèges. Les failles notables concernent NTFS, NTLM, SMBv3, Office et Hyper-V. Deux zero-days publiquement connus sont également corrigés.
Sources :
🔗 https://blog.talosintelligence.com/microsoft-patch-tuesday-september-2025/
🔗 https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2025-patch-tuesday-fixes-81-flaws-two-zero-days/
🔗 https://krebsonsecurity.com/2025/09/microsoft-patch-tuesday-september-2025-edition/
🔗 https://blog.marcfredericgomez.fr/patch-tuesday-de-septembre-2025/

📅 Podcast RadioCSIRT du Mercredi 10 Septembre 2025 (Ep.417)

📌 Au programme de cet épisode :

🔐 Plex demande à ses utilisateurs de réinitialiser leur mot de passe après une compromission de données.
Source : Malwarebytes
🔗 https://www.malwarebytes.com/blog/news/2025/09/plex-users-reset-your-password

🩸 Le New York Blood Center confirme une attaque par ransomware en janvier ayant exposé plus de 10 000 victimes.
Source : The Record
🔗 https://therecord.media/blood-center-discloses-details-on–january-ransomware-attack

💰 Le Department of Justice cherche à saisir 5 millions de dollars en bitcoin volés via des attaques par SIM swap.
Source : The Record
🔗 https://therecord.media/us-seeks-5-million-bitcoin-taken-in-sim-swaps

🆔 Les cartes biométriques basées sur BIO-SLCOS sont présentées comme l’avenir du contrôle d’accès sécurisé.
Source : TrustSEC
🔗 https://trustsec.net/why-biometric-access-control-cards-are-the-future-of-secure-identity/

🕵️ AdaptixC2, un framework open source de post-exploitation, est désormais observé dans des attaques réelles.
Source : Unit 42 – Palo Alto Networks
🔗 https://unit42.paloaltonetworks.com/adaptixc2-post-exploitation-framework/

⚠️ Une élévation de privilèges touche Zoom Workplace pour Windows – CVE-2025-49459.
Source : Cyberveille – Santé.gouv.fr
🔗 https://cyberveille.esante.gouv.fr/alertes/zoom-cve-2025-49459-2025-09-10

👤 Le hacker kosovar Liridon Masurica plaide coupable pour l’administration du marché criminel BlackDB.cc.
Source : BleepingComputer
🔗https://www.bleepingcomputer.com/news/security/kosovo-hacker-pleads-guilty-to-running-blackdb-cybercrime-marketplace/

📅 Podcast RadioCSIRT du Jeudi 11 Septembre 2025 (Ep.418)

📌 Au programme de cet épisode :

📑 La CISA réaffirme son mandat et sa mission pour diriger le programme CVE dans le futur.
Source : CISA
🔗 https://www.cisa.gov/news-events/news/mandate-mission-and-momentum-lead-cve-program-future-belongs-cisa

💻 VMScape, une nouvelle attaque de type Spectre, compromet l’isolation entre invités et hyperviseur sur processeurs AMD et Intel.
Source : BleepingComputer
🔗 https://www.bleepingcomputer.com/news/security/new-vmscape-attack-breaks-guest-host-isolation-on-amd-intel-cpus/

🛡️ Les affiliés du ransomware Akira exploitent encore la CVE-2024-40766 dans les pare-feu SonicWall.
Source : HelpNetSecurity
🔗 https://www.helpnetsecurity.com/2025/09/11/akira-ransomware-sonicwall-firewalls/

🌐 Google corrige une faille critique dans Chrome, la CVE-2025-10200, signalée par Looben Yang.
Source : Security Affairs
🔗 https://securityaffairs.com/182107/security/google-fixes-critical-chrome-flaw-researcher-earns-43k.html

🎭 Un expert en technologies perd 13 000 dollars dans une escroquerie à l’emploi, illustrant la hausse de 1000 % des fraudes en 2025.
Source : McAfee
🔗 https://www.mcafee.com/blogs/internet-security/how-a-tech-expert-lost-13000-to-a-job-scam/

📅 Podcast RadioCSIRT du Vendredi 12 Septembre 2025 (Ep.419)

📌 Au programme de cet épisode :

🐧 KDE annonce son futur système d’exploitation KDE Linux, un OS libre et moderne reposant sur Linux.
Source : KDE
🔗 https://kde.org/fr/linux/

📡 Free déploie une mise à jour de sécurité pour l’ensemble de ses Freebox, corrigeant deux bugs et nécessitant un redémarrage.
Source : Clubic
🔗 https://www.clubic.com/actualite-578998-les-freebox-doivent-etre-mises-a-jour-free-corrige-deux-bugs-qui-necessitent-un-redemarrage.html

📑 La CISA ajoute la CVE-2025-5086 au catalogue KEV, une faille de désérialisation affectant Dassault Systèmes DELMIA Apriso.
Source : CISA
🔗 https://www.cisa.gov/news-events/alerts/2025/09/11/cisa-adds-one-known-exploited-vulnerability-catalog

🎯 Kroll révèle la campagne GONEPOSTAL, un outil d’espionnage attribué à Fancy Bear (APT28), utilisant Outlook comme backdoor.
Source : Kroll
🔗 https://www.kroll.com/en/publications/cyber/fancy-bear-gonepostal-espionage-tool-backdoor-access-microsoft-outlook

💻 Près de 400 lecteurs de ZDNET ont réussi à passer à Windows 11 malgré l’incompatibilité annoncée par Microsoft.
Source : ZDNet
🔗 https://www.zdnet.fr/actualites/microsoft-a-dit-que-ces-400-lecteurs-de-zdnet-ne-pouvaient-pas-passer-a-windows-11-ils-lont-quand-meme-fait-481802.htm#xtor=RSS-1

🛡️ Découverte de HybridPetya, un ransomware capable de contourner le Secure Boot UEFI en exploitant la CVE-2024-7344.
Source : The Hacker News
🔗 https://thehackernews.com/2025/09/new-hybridpetya-ransomware-bypasses.html

📞 Partagez vos retours :
📱 07 68 72 20 09
📧 radiocsirt@gmail.com

🎧 Disponible sur : Apple Podcasts • Deezer • Spotify • YouTube • Amazon Music
🌐 Site : https://www.radiocsirt.org