Nous ouvrons cet épisode avec l’ETSI publie la norme EN 304 223 définissant les exigences de cybersécurité baseline pour les systèmes IA en production. Le standard couvre les vecteurs d’attaque spécifiques : data poisoning, model obfuscation, et indirect prompt injection. La norme impose des contrôles sur les environnements de déploiement et la validation des données d’entraînement.
Bytebase, outil DevOps open-source, permet de sécuriser les modifications database via un workflow d’approbation centralisé. La solution implémente des revues de code pour les requêtes SQL et trace les exécutions à travers les environnements, réduisant les risques d’injection SQL et de modifications non autorisées.
Huntress documente une nouvelle campagne du groupe KongTuke. L’extension malveillante NexShield imite uBlock Origin Lite. La technique CrashFix crash intentionnellement le navigateur puis incite la victime à exécuter des commandes PowerShell malveillantes. La charge finale déploie ModeloRAT, un Python RAT réservé aux machines jointes au domaine Active Directory.
Resecurity analyse PDFSIDER, malware APT exploitant le DLL side-loading via un faux cryptbase.dll pour contourner EDR et antivirus. La backdoor implémente vérifications anti-VM, chiffrement des communications C2, et exécution en user-space. PDFSIDER privilégie la persistance long-terme sur des cibles Fortune 100.
Le NCSC britannique émet une alerte concernant l’intensification des attaques DDoS menées par des groupes hacktivistes pro-russes contre les infrastructures britanniques. Les cibles prioritaires incluent les collectivités locales et les opérateurs CNI. Le NCSC recommande la mise en œuvre de protections DDoS layer 3/4 et layer 7.
Miggo révèle une vulnérabilité d’indirect prompt injection dans Google Gemini exploitant les invitations Google Calendar. L’attaque injecte des instructions malveillantes dans les métadonnées d’invitations, permettant un authorization bypass exposant les données de réunions privées. Google a déployé des mitigations après disclosure responsable.
Cyfirma analyse SolyxImmortal, infostealer Windows en Python combinant vol de credentials, keylogging, capture d’écran, harvesting de documents et exfiltration via webhooks Discord. Le malware implémente une persistance via registre et scheduled tasks. L’utilisation de Discord pour C2 complique la détection réseau.
Trend Micro analyse la campagne Evelyn distribuée via extensions Visual Studio Code weaponisées ciblant les développeurs. Le malware implémente techniques anti-sandbox, injecte des DLLs dans les processus browsers pour harvester credentials, et exfiltre via FTP incluant clipboard, configurations WiFi et wallets crypto.
Ingram Micro confirme qu’une attaque ransomware de juillet 2025 a compromis les données personnelles de 42 000 individus, incluant des numéros de sécurité sociale. L’entreprise, distributeur technologique avec 48 milliards de dollars de ventes annuelles, illustre la persistance des attaques contre la supply chain IT.
Palo Alto Networks publie une analyse des menaces cyber ciblant les Jeux Olympiques d’hiver Milan Cortina 2026. L’étude identifie plusieurs vecteurs : compromission des plateformes de billetterie, attaques DDoS contre l’infrastructure broadcast, et ciblage des systèmes de chronométrage. Les événements globaux créent une surface d’attaque étendue.
L’enquête Allianz Risk Barometer positionne le cyber risk en tête pour la cinquième année consécutive. Le threat landscape évolue : ransomware avec double/triple extortion, attaques supply chain, et compromission cloud. L’IA émerge comme risque dual : vecteur d’attaque pour le social engineering mais aussi outil défensif.
Nicholas Moore plaide coupable d’avoir compromis le système de dépôt électronique de la Cour Suprême américaine. Entre août et octobre 2023, il a accédé 25 fois au système restreint utilisant des identifiants volés, exfiltrant des documents confidentiels diffusés sur Instagram. L’incident révèle l’absence de MFA et une détection insuffisante.
Des sources américaines confirment l’utilisation de cyberattaques contre les systèmes OT lors de l’extraction de Nicolas Maduro le 3 janvier. Les attaquants ont ciblé les systèmes de contrôle industriel du réseau électrique et les radars de défense aérienne vénézuéliens, démontrant les capacités offensives américaines contre les infrastructures critiques SCADA et ICS.
Feras Albashiti, alias r1z, plaide coupable d’avoir opéré comme Initial Access Broker vendant l’accès à 50 réseaux corporate. Les IABs fournissent les accès initiaux aux opérateurs ransomware et APT via l’exploitation de VPNs, RDP exposés et credentials compromis. Condamnation prévue le 11 mai 2026.
L’analyse géopolitique du cyber domain révèle l’utilisation croissante des opérations cyber comme outil de coercition étatique. Les États exploitent le cyberspace pour l’espionnage économique, l’influence informationnelle, et la disruption d’infrastructures critiques. Les grey-zone operations permettent le déni plausible.
L’étude Nardello révèle que 58% des dirigeants britanniques identifient les cyber breaches comme risque principal, mais 75% doutent de leur capacité à les gérer. 20% ont subi une breach dans les 24 derniers mois. Les priorités incluent compliance avec NIS2 et protection de la réputation post-incident.
Enfin, Security Week analyse l’efficacité du threat intelligence sharing comme force multiplicatrice défensive. Lorsqu’une organisation détecte et partage des IOCs et TTPs, des centaines d’organisations peuvent implémenter des détections proactives. Les challenges incluent la standardisation via STIX/TAXII et le timing de disclosure.
Sources :
- ETSI IA : https://www.helpnetsecurity.com/2026/01/19/etsi-european-standard-ai-security/
- Bytebase : https://www.helpnetsecurity.com/2026/01/19/bytebase-open-source-database-devops-tool/
- KongTuke CrashFix : https://www.huntress.com/blog/malicious-browser-extention-crashfix-kongtuke
- PDFSIDER : https://www.resecurity.com/es/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasion
- NCSC DDoS : https://www.ncsc.gov.uk/news/ncsc-issues-warning-over-hacktivist-groups-disrupting-uk-organisations-online-services
- Google Gemini : https://www.miggo.io/post/weaponizing-calendar-invites-a-semantic-attack-on-google-gemini
- SolyxImmortal : https://www.cyfirma.com/research/solyximmortal-python-malware-analysis/
- Evelyn Stealer : https://www.trendmicro.com/en_us/research/26/a/analysis-of-the-evelyn-stealer-campaign.html
- Ingram Micro : https://www.bleepingcomputer.com/news/security/ingram-micro-says-ransomware-attack-affected-42-000-people/
- Jeux Olympiques : https://www.helpnetsecurity.com/2026/01/19/palo-alto-networks-olympic-cybersecurity-risks-report/
- Allianz Risk : https://www.helpnetsecurity.com/2026/01/19/allianz-ai-cyber-risk-report/
- Supreme Court : https://www.bleepingcomputer.com/news/security/hacker-admits-to-leaking-stolen-supreme-court-data-on-instagram/
- Maduro : https://www.securityweek.com/new-reports-reinforce-cyberattacks-role-in-maduro-capture-blackout/
- Access Broker : https://www.bleepingcomputer.com/news/security/jordanian-pleads-guilty-to-selling-access-to-50-corporate-networks/
- Géopolitique : https://www.helpnetsecurity.com/2026/01/19/cybersecurity-geopolitical-tensions/
- UK Corporate : https://www.infosecurity-magazine.com/news/cyber-breaches-compliance/
- Information Sharing : https://www.securityweek.com/cyber-insights-2026-information-sharing/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com