Nous ouvrons cette édition avec les Jeux Olympiques d'hiver de Milano Cortina, qui font face à une vague de cyberattaques attribuées à la Russie. Selon The Register, le ministre italien des Affaires étrangères confirme le ciblage de bureaux diplomatiques et d'infrastructures olympiques. La posture défensive de l'événement est par ailleurs fragilisée par des tensions Supply Chain : le CEO de Cloudflare menace de retirer ses services de protection pro bono suite à un différend réglementaire avec les autorités italiennes.

L’actualité se poursuit en France avec une affaire d'espionnage en Gironde révélée par ZDNet. Deux ressortissants chinois ont été mis en examen pour avoir opéré une station d'interception clandestine depuis une location Airbnb. L'équipement saisi, signalé par une antenne parabolique massive, était conçu pour le Sniffing de communications sur le réseau Starlink et l'interception de fréquences militaires, matérialisant une menace directe sur la couche physique des communications satellitaires.

Sur le front des vulnérabilités, le CERT-FR a publié deux avis critiques. Le premier concerne la solution VoIP Asterisk, affectée par des failles permettant la Remote Code Execution (RCE) et l'Escalation of Privileges. Le second alerte sur le noyau Linux de Red Hat, où une trentaine de CVE ont été corrigées pour prévenir, entre autres, des risques de Denial of Service et d'atteinte à l'intégrité des données sur les architectures x86_64, ARM et IBM z Systems.

Enfin, Microsoft annonce la disponibilité de SQL Server 2025 sur Ubuntu 24.04 LTS, introduisant de nouvelles Dynamic Management Views pour l'observabilité et le support natif des vecteurs pour l'IA.

Nous terminons sur une note structurelle : une tribune rappelle l'urgence de la formation, citant une hausse de 15 % des incidents traités par l'ANSSI en 2024, dans un contexte de pénurie mondiale estimée à 4,8 millions de professionnels.

Sources

• The Register – Winter Olympics Russian attacks : https://www.theregister.com/2026/02/05/winter_olympics_russian_attacks/
• ZDNet – Station d’interception clandestine en Gironde : https://www.zdnet.fr/actualites/station-dinterception-clandestine-dans-un-airbnb-en-gironde-deux-citoyens-chinois-mis-en-examen-489660.htm
• CERT-FR – Avis Asterisk : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0123/
• CERT-FR – Avis Red Hat Linux Kernel : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0130/
• Ubuntu – SQL Server 2025 GA : https://ubuntu.com//blog/sql-server-2025-ubuntu-24-04-lts
• GoodTech – Pénurie d'experts cyber : https://goodtech.info/pourquoi-il-faut-former-massivement-les-futurs-experts-cyber-francais/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une analyse publiée par KrebsOnSecurity sur le groupe d’extorsion Scattered Lapsus ShinyHunters. Les chercheurs décrivent un acteur cybercriminel instable combinant vol de données, social engineering et campagnes de harcèlement ciblant directement dirigeants et familles. Contrairement aux groupes de ransomware structurés, SLSH abuse de canaux Telegram, de menaces physiques, de swatting, de DDoS et de pression médiatique, sans garantie de suppression des données volées. L’article met en lumière des intrusions récentes basées sur du voice phishing MFA et l’enrôlement frauduleux de devices, selon des observations confirmées par Mandiant et Unit 221B.

L’actualité se poursuit en Europe, où la Commission européenne annonce que TikTok s’expose à une sanction majeure pour non-respect du Digital Services Act. Bruxelles estime que des mécanismes d’addictive design — infinite scroll, autoplay, push notifications et personalized recommendation systems — favorisent des usages compulsifs, notamment chez les mineurs. En cas de confirmation, l’amende pourrait atteindre 6 % du chiffre d’affaires mondial de la plateforme, dans un contexte de sanctions européennes répétées.

En Allemagne, les autorités de sécurité intérieure alertent sur des campagnes de compromission de comptes Signal visant des profils sensibles. Selon le BfV et le BSI, des attaquants, soupçonnés d’être étatiques, exploitent exclusivement du social engineering et des fonctionnalités légitimes comme le linked-device pairing par QR code, sans malware ni exploitation de vulnérabilités, afin d’accéder aux conversations et contact lists de responsables politiques, militaires et journalistes.

Enfin, la CISA annonce l’ajout de deux vulnérabilités activement exploitées à son Known Exploited Vulnerabilities Catalog. Sont concernées CVE-2025-11953, une OS Command Injection dans React Native Community CLI, et CVE-2026-24423, une faille de Missing Authentication for Critical Function affectant SmarterTools SmarterMail. Ces failles sont considérées comme des vecteurs d’attaque à haut risque pour les environnements institutionnels.

Sources

• CISA – Known Exploited Vulnerabilities Catalog : https://www.cisa.gov/news-events/alerts/2026/02/05/cisa-adds-two-known-exploited-vulnerabilities-catalog
• BleepingComputer – Signal account hijacking : https://www.bleepingcomputer.com/news/security/germany-warns-of-signal-account-hijacking-targeting-senior-figures/
• BleepingComputer – TikTok et le Digital Services Act : https://www.bleepingcomputer.com/news/security/european-commission-says-tiktok-facing-fine-over-addictive-design/
• KrebsOnSecurity – Scattered Lapsus ShinyHunters : https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une analyse du National Cyber Security Centre consacrée au Cloud Security Posture Management. Le NCSC revient sur le rôle des outils CSPM dans la sécurisation des environnements cloud complexes, marqués par la multiplication des workspaces, des services et des régions. Le rapport détaille les capacités attendues en matière de visibilité des ressources, de détection des misconfigurations, de priorisation des risques et de remédiation, tout en rappelant que le CSPM n’est pas une solution miracle mais un composant d’un écosystème de sécurité cloud plus large.

L’actualité se poursuit avec la publication par le CERT-FR du rapport CERTFR-2026-CTI-001 sur l’utilisation de l’intelligence artificielle générative dans les attaques informatiques. Le document décrit comment les modèles d’IA générative sont exploités à différentes étapes de la kill chain, notamment pour l’ingénierie sociale, le développement de malware ou le profiling de cibles. Le CERT-FR souligne également que ces technologies deviennent elles-mêmes des cibles, exposées à des attaques de model poisoning, de compromission de supply chain et d’exfiltration de données.

Côté vulnérabilités, le CERT-FR publie deux avis distincts. Le premier concerne une vulnérabilité d’élévation de privilèges affectant les terminaux Google Pixel ne disposant pas du correctif de sécurité de février 2026, référencée CVE-2026-0106. Le second alerte sur de multiples vulnérabilités dans Google Chrome, affectant les versions antérieures à 144.0.7559.132 pour Linux et 144.0.7559.132 ou .133 pour Windows et macOS, avec les CVE-2026-1861 et CVE-2026-1862.

Au niveau international, la CISA annonce l’ajout de quatre vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities. Sont concernées des failles dans Sangoma FreePBX, GitLab, et SolarWinds Web Help Desk, confirmant leur exploitation dans des attaques en conditions réelles.

Enfin, Microsoft dévoile un scanner capable de détecter des backdoors dans des open-weight Large Language Models. L’outil repose sur l’analyse de signaux comportementaux spécifiques liés aux triggers, à la mémorisation des données d’empoisonnement et aux fuzzy triggers, et vise à renforcer la détection du model poisoning dans les environnements IA.

Sources

• NCSC – CSPM et sécurité cloud : https://www.ncsc.gov.uk/blog-post/cspm-silver-bullet-or-another-piece-in-the-cloud-puzzle
• CERT-FR – IA générative et attaques informatiques (CERTFR-2026-CTI-001) : https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-001/
• CERT-FR – Vulnérabilité Google Pixel (CERTFR-2026-AVI-0113) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0113/
• CERT-FR – Vulnérabilités Google Chrome (CERTFR-2026-AVI-0114) : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0114/
• CISA – Ajout de vulnérabilités exploitées au catalogue KEV : https://www.cisa.gov/news-events/alerts/2026/02/03/cisa-adds-four-known-exploited-vulnerabilities-catalog
• The Hacker News – Scanner Microsoft pour backdoors dans les LLM : https://thehackernews.com/2026/02/microsoft-develops-scanner-to-detect.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une alerte concernant la distribution du malware bancaire Anatsa via le Google Play Store. L'application malveillante "Document Reader - File Manager", publiée par le développeur ISTOQMAH, a été téléchargée plus de 50 000 fois avant son retrait. Le malware, également connu sous les noms TeaBot et Toddler, cible plus de 831 institutions financières mondiales via des techniques d'overlay et d'interception des codes d'authentification à deux facteurs. La campagne utilise une méthode de déploiement en deux temps, avec une application initialement légitime recevant une mise à jour malveillante environ six semaines après publication.

L'actualité se poursuit avec le Centre canadien pour la cybersécurité, qui publie le bulletin AV26-078 concernant des vulnérabilités dans Kubernetes ingress-nginx. Les versions affectées sont les versions antérieures à v1.13.7 et les versions antérieures à v1.14.3. Les utilisateurs et administrateurs sont invités à consulter l'avis de sécurité Kubernetes et à appliquer les mises à jour nécessaires.

Enfin sur le volet de la protection des données, l'Electronic Frontier Foundation lance la campagne "Encrypt It Already" pour encourager l'adoption du chiffrement de bout en bout. Les demandes incluent l'extension du chiffrement aux messages de groupe sur Facebook Messenger, l'implémentation du chiffrement interopérable RCS entre Apple et Google, l'activation par défaut du chiffrement sur Telegram, le chiffrement des sauvegardes WhatsApp et Google Authenticator, ainsi que des permissions par application pour contrôler l'accès des systèmes d'intelligence artificielle aux applications de messagerie sécurisée.

Sources

• Zscaler ThreatLabz – Anatsa malware Google Play : https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google
• Centre canadien pour la cybersécurité – Bulletin Kubernetes AV26-078 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-kubernetes-av26-078
• Electronic Frontier Foundation – Campagne Encrypt It Already : https://www.encryptitalready.org/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une alerte critique concernant l’exploitation active d’un Zero-Day Microsoft Office, référencé CVE-2026-21509. Selon CERT-UA, le groupe russe APT28, également connu sous le nom Fancy Bear, a intégré cette vulnérabilité dans des campagnes de phishing ciblant des administrations ukrainiennes et plusieurs organisations au sein de l’Union européenne, avec une chaîne d’infection reposant sur WebDAV, COM hijacking et le framework post-exploitation COVENANT.

L’actualité se poursuit avec Mozilla, qui annonce un changement stratégique dans Firefox. À partir de la version 148, les utilisateurs disposeront d’un contrôle centralisé permettant de bloquer ou de gérer finement l’ensemble des fonctionnalités reposant sur la Generative AI, incluant la traduction, les résumés de liens et l’accès aux chatbots intégrés.

Sur le volet correctif, VMware publie le bulletin de sécurité AV26-075, couvrant de multiples vulnérabilités affectant l’écosystème Tanzu, incluant Platform Services, Buildpacks, Stemcells Linux et Windows, ainsi que Tanzu Hub, dans des environnements cloud-native à grande échelle.

Une activité de reconnaissance automatisée est également observée par le SANS Internet Storm Center, avec des scans ciblant des endpoints exposés de l’API Anthropic, suggérant des tentatives d’identification de modèles AI auto-hébergés accessibles publiquement.

Enfin, un incident majeur touche la supply chain logicielle : le mécanisme officiel de mise à jour de Notepad++ a été détourné via une compromission de l’infrastructure d’hébergement. L’opération, attribuée à l’acteur étatique chinois Violet Typhoon (APT31), a permis la distribution ciblée de malwares à des organisations des secteurs télécoms et financiers en Asie de l’Est.

Sources

• The Register – APT28 Microsoft Office Zero-Day :https://www.theregister.com/2026/02/02/russialinked_apt28_microsoft_office_bug/
• BleepingComputer – Firefox AI controls :https://www.bleepingcomputer.com/news/software/mozilla-will-let-you-turn-off-all-firefox-ai-features/
• Centre pour la cybersécurité du Canada – Bulletin VMware AV26-075 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-vmware-av26-075
• SANS Internet Storm Center – Anthropic API scanning : https://isc.sans.edu/diary/rss/32674
• The Hacker News – Notepad++ update mechanism hijacked :https://thehackernews.com/2026/02/notepad-official-update-mechanism.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec plusieurs avis publiés par le CERT-FR concernant des vulnérabilités affectant des composants largement déployés en environnement professionnel. Splunk Enterprise est concerné par une faille référencée CVE-2025-14847 impactant plusieurs branches majeures, tandis que Node.js est affecté par des vulnérabilités liées à l’intégration d’OpenSSL sur les versions v20 à v25. Une alerte distincte vise également Qnap QTS, avec un risque de contournement de la politique de sécurité sur un large périmètre de versions.

L’analyse de la menace informationnelle se poursuit avec le dernier bulletin du Threat Analysis Group de Google. Le rapport Q4 2025 détaille le démantèlement de vastes opérations d’influence coordonnées impliquant plusieurs milliers de YouTube channels, des domaines et des comptes publicitaires, attribués notamment à des acteurs russes, chinois et indonésiens, ciblant des narratifs géopolitiques à l’échelle mondiale.

Sur le volet cybercriminel, Mandiant documente des attaques de data theft menées par le groupe d’extorsion ShinyHunters. Ces campagnes reposent sur des opérations de voice phishing ciblées, l’abus du Single Sign-On et la compromission de mécanismes MFA, permettant un accès massif aux environnements SaaS et aux données cloud.

Enfin, une campagne de cyber espionnage attribuée à un acteur iranien, suivie sous le nom RedKitten, cible des ONG et des militants des droits humains via des documents Excel piégés, des implants modulaires et une infrastructure de command-and-control reposant sur GitHub, Google Drive et Telegram, avec des indices d’usage de large language models dans la génération des outils malveillants.

Sources

• Google Threat Analysis Group – TAG Bulletin Q4 2025 : https://blog.google/threat-analysis-group/tag-bulletin-q4-2025/
• CERT-FR – Splunk Enterprise : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0102/
• CERT-FR – Node.js : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0103/
• CERT-FR – Qnap QTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0104/
• BleepingComputer – ShinyHunters SSO abuse : https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/
• The Hacker News – RedKitten campaign : https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la stratégie numérique française rapportée par Clubic. Une réunion à Bercy a confirmé l'identification de soixante-trois sites destinés à accueillir de nouveaux Data Centers, renforçant la souveraineté Cloud et IA nationale. Sur le front judiciaire, The Record signale un coup majeur contre le piratage : le département de la justice américain a saisi trois domaines majeurs opérés depuis la Bulgarie, neutralisant une source massive de contenus illégaux.

L'analyse de la menace se tourne vers les Jeux Olympiques d'hiver 2026. Unit 42 anticipe des opérations de sabotage ciblées sur les infrastructures critiques de la part d'acteurs étatiques russes, marquant un basculement vers la disruption physique. Côté vulnérabilités, une alerte critique concerne la plateforme Grafana avec la CVE-2026-21720, une faille de type Denial of Service affectant la gestion des avatars et nécessitant une mitigation immédiate.

Nous terminons avec une technique de Phishing ingénieuse repérée par le SANS Internet Storm Center : des attaquants abusent de la fonction de publication publique de Google Slides pour masquer les avertissements de sécurité et déployer des pages de Login frauduleuses.

Sources

• Clubic – Data Centers France : https://www.clubic.com/actualite-598390-data-centers-ce-que-revele-la-premiere-reunion-a-bercy-sur-les-projets-en-cours-et-a-venir-en-france.html
• The Record – Saisie domaines pirates : https://therecord.media/bulgaria-piracy-sites-streaming-gaming-seized-us
• Unit 42 – Menace JO 2026 : https://unit42.paloaltonetworks.com/russian-cyberthreat-2026-winter-olympics/
• CERT Santé – Grafana CVE-2026-21720 : https://cyberveille.esante.gouv.fr/alertes/grafana-cve-2026-21720-2026-01-29
• SANS ISC – Google Slides Phishing : https://isc.sans.edu/diary/rss/32668

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com