RadioCSIRT - Edition Française cover art

RadioCSIRT - Edition Française

RadioCSIRT - Edition Française

By: Marc Frédéric GOMEZ
Listen for free

Summary

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître.

🔎 Au programme :
✔️ Décryptage des cyberattaques et vulnérabilités critiques
✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité
✔️ Sources et références pour approfondir chaque sujet

💡 Pourquoi écouter RadioCSIRT ?
🚀 Restez à jour en quelques minutes par jour
🛡️ Anticipez les menaces avec des infos fiables et techniques
📢 Une veille indispensable pour les pros de l’IT et de la sécurité

🔗 Écoutez, partagez et sécurisez votre environnement !
📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

Marc Frederic GOMEZ Politics & Government
Episodes
  • Ep.646 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 15 mai 2026

    Ep.646 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 15 mai 2026
    May 15 2026
    Le 12 mai 2026, AMD publie l'avis AMD-SB-7052 décrivant la vulnérabilité CVE-2025-54518 dans le cache d'opcodes des processeurs Zen 2. CVSS 4.0 de 7.3, CWE-1189, élévation locale et évasion guest vers host confirmée par Xen XSA-490 et Qubes QSB-113. Le périmètre couvre EPYC 7002, Ryzen 3000/4000 Desktop, Ryzen 5000 Mobile, Threadripper PRO 3000 WX et Ryzen Embedded V2000. Mitigation via microcode AGESA diffusé aux OEM entre octobre 2025 et décembre 2025, divulgation publique coordonnée après sept mois d'embargo.Simon Kelley, mainteneur unique de dnsmasq, fait face à un afflux massif de bug reports générés par IA. Six CVE remontent à des rapports automatisés, posant la question de la soutenabilité de la maintenance open source face à la submersion par découvertes IA convergentes. Le cas illustre une érosion du modèle CVD classique sur les composants à mainteneur unique.Microsoft confirme l'exploitation active de CVE-2026-40361, vulnérabilité zero-click use-after-free dans le moteur de rendu Outlook wwlib.dll. L'exploitation se déclenche au simple chargement du panneau de prévisualisation, sans interaction utilisateur. Le correctif est intégré au Patch Tuesday de mai 2026.D'après BleepingComputer, la deuxième journée du concours Pwn2Own Berlin 2026 a livré 15 zero-days uniques pour 385 750 dollars de récompenses. Orange Tsai (DEVCORE) a chaîné trois bugs pour obtenir un Remote Code Execution SYSTEM sur Microsoft Exchange, empochant 200 000 dollars. Siyeon Wi a exploité un integer overflow sur Windows 11, et Ben Koo (Team DDOS) a élevé ses privilèges en root sur Red Hat Enterprise Linux for Workstations via un use-after-free.Le 14 mai 2026, CISA ajoute CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities. La faille, CVSS 10.0, est un authentication bypass dans le mécanisme de peering de Cisco Catalyst SD-WAN Controller et SD-WAN Manager. L'exploitation active est attribuée par Cisco Talos au cluster UAT-8616, déjà responsable de l'exploitation de CVE-2026-20127. Les agences fédérales américaines ont jusqu'au 17 mai 2026 pour appliquer les correctifs.Le 15 mai 2026, CISA ajoute CVE-2026-42897 au catalogue KEV. La vulnérabilité, CVSS 8.1, est un cross-site scripting dans Microsoft Exchange Server affectant Outlook Web Access. L'exploitation se fait via l'envoi d'un email spécialement conçu permettant l'exécution de JavaScript arbitraire dans le contexte du navigateur. Les versions concernées sont Exchange Server 2016, 2019 et Subscription Edition. Microsoft fournit une mitigation temporaire via l'Exchange Emergency Mitigation Service en attendant un correctif définitif.Sources : Une vulnérabilité dans le cache d'opcodes des processeurs AMD Zen 2 — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/une-vulnerabilite-dans-le-cache-dopcodes-des-processeurs-amd-zen-2/Six CVE dnsmasq, un mainteneur épuisé par le tsunami de bug reports générés par IA — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/six-cve-dnsmasq-un-mainteneur-epuise-par-le-tsunami-de-bug-reports-generes-par-ia/CVE-2026-40361 : vulnérabilité zero-click use-after-free dans le moteur de rendu Outlook (wwlib.dll) — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/cve-2026-40361-vulnerabilite-zero-click-use-after-free-dans-le-moteur-de-rendu-outlook-wwlib-dll/Pwn2Own Day Two: hackers demo Microsoft Exchange, Windows 11, Red Hat Enterprise Linux zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/security/pwn2own-day-two-hackers-demo-microsoft-exchange-windows-11-red-had-enterprise-linux-zero-days/ CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-20182) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-42897) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/15/cisa-adds-one-known-exploited-vulnerability-catalog⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #AMD #Zen2 #OpcodeCache #CVE #XenProject #QubesOS #dnsmasq #OpenSource #AIBugReports #Outlook #ZeroClick #UseAfterFree #wwlib #Pwn2Own #P2OBerlin #Exchange #Windows11 #RedHat #DEVCORE #OrangeTsai #CISA #KEV #Cisco #CatalystSDWAN #UAT8616 #MicrosoftExchange #OWA #XSS #PatchTuesday #RadioCSIRT
    Show More Show Less
    11 mins
  • Ep.645 - RadioCSIRT Édition Française - Épisode spécial du jeudi 14 mai 2026

    Ep.645 - RadioCSIRT Édition Française - Épisode spécial du jeudi 14 mai 2026
    May 14 2026
    Cet épisode spécial revient en détail sur l'affaire YellowKey et GreenPlasma, deux vulnérabilités zero-day Windows divulguées publiquement le 12 mai 2026 par un chercheur indépendant opérant sous les pseudonymes Chaotic Eclipse et Nightmare-Eclipse, sans coordination préalable avec Microsoft. Aucun identifiant CVE n'a été attribué à ce jour, aucun correctif éditeur n'est disponible, et des codes proof-of-concept fonctionnels sont publiquement accessibles sur GitHub.Le chercheur Chaotic Eclipse mène depuis avril 2026 une campagne de divulgations non coordonnées contre Microsoft, motivée selon ses propres déclarations par une rupture de confiance avec le Microsoft Security Response Center et par le recours présumé au silent patching. Trois zero-day Windows Defender ont été publiés précédemment : BlueHammer (CVE-2026-33825, corrigé), RedSun (correctif silencieux selon le chercheur, sans CVE), et UnDefend. Le chercheur annonce la poursuite de la campagne lors du Patch Tuesday de juin 2026 et déclare disposer d'un dead man switch contenant d'autres exploits.YellowKey permet le contournement complet du chiffrement BitLocker sur Windows 11, Windows Server 2022 et Windows Server 2025 en cas d'accès physique à la machine. L'attaque consiste à déposer des fichiers spécialement formatés dans un répertoire FsTx placé dans System Volume Information sur une clé USB, à brancher cette clé sur la machine cible, à redémarrer dans le Windows Recovery Environment et à maintenir la touche CTRL pendant le boot. Le système ouvre alors un shell cmd.exe avec accès intégral au volume protégé par BitLocker, sans demande de recovery key ni de PIN. L'analyse technique de Will Dormann (Tharros Labs) montre que le mécanisme exploité repose sur la capacité d'un répertoire System Volume Information FsTx situé sur un volume à modifier le contenu d'un autre volume lors du replay transactionnel NTFS. Le chercheur indique également que la vulnérabilité reste exploitable sur les configurations BitLocker avec TPM et PIN, sans publier le proof-of-concept pour cette variante.GreenPlasma est une élévation de privilèges locale vers SYSTEM exploitant le processus CTFMON, composant du Collaborative Translation Framework qui s'exécute en SYSTEM dans chaque session interactive Windows. Le mécanisme repose sur la création par un utilisateur non privilégié d'un memory section object arbitraire dans un directory object writable par SYSTEM, au sein du namespace de l'Object Manager Windows. Le proof-of-concept publié sur GitHub est volontairement incomplet, le chercheur ayant retiré le composant final permettant d'obtenir un shell SYSTEM. GreenPlasma est confirmée fonctionnelle sur Windows 11, Windows Server 2022 et Windows Server 2026.La reproductibilité de YellowKey a été confirmée par plusieurs chercheurs indépendants reconnus, dont Kevin Beaumont, Will Dormann, KevTheHermit et JaGoTu. Microsoft a déclaré être engagé dans l'investigation des vulnérabilités rapportées et soutenir le principe de Coordinated Vulnerability Disclosure, sans publier de correctif, d'avis MSRC ni d'attribution CVE à la date de cet épisode. RadioCSIRT suivra l'évolution de ce dossier dans les prochains numéros.Sources :The Register, Disgruntled researcher releases two more Microsoft zero-days : https://www.theregister.com/security/2026/05/13/disgruntled-researcher-releases-two-more-microsoft-zero-days/BleepingComputer, Windows BitLocker zero-day gives access to protected drives : https://www.bleepingcomputer.com/news/security/windows-bitlocker-zero-day-gives-access-to-protected-drives-poc-released/SecurityWeek, Researcher Drops YellowKey, GreenPlasma Windows Zero-Days : https://www.securityweek.com/researcher-drops-yellowkey-greenplasma-windows-zero-days/The Hacker News, Windows Zero-Days Expose BitLocker Bypasses And CTFMON Privilege Escalation : https://thehackernews.com/2026/05/windows-zero-days-expose-bitlocker.htmlTom's Hardware, YellowKey zero-day exploit demonstrates an apparent backdoor : https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoorCybernews, BitLocker bypass zero-day exploit released by disgruntled researcher : https://cybernews.com/security/researcher-releases-bitlocker-bypass-and-privilege-escalation-exploit/GitHub, Nightmare-Eclipse, GreenPlasma repository : https://github.com/Nightmare-Eclipse/GreenPlasmaChaotic Eclipse blog, deadeclipse666 : https://deadeclipse666.blogspot.com/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #YellowKey #GreenPlasma #ChaoticEclipse #NightmareEclipse #BitLocker #Windows11 #WindowsServer #WinRE #CTFMON...
    Show More Show Less
    16 mins
  • Ep.644 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 13 mai 2026

    Ep.644 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 13 mai 2026
    May 13 2026
    Le 13 mai 2026, cPanel publie une série de bulletins de sécurité corrigeant des vulnérabilités dans cPanel & WebHost Manager. Sont concernées les versions antérieures à 86.0.44, 11.94.0.31, 11.102.0.42, 11.110.0.118, 11.118.0.67, 11.124.0.38, 11.126.0.59, 11.130.0.23, 11.132.0.32, 11.134.0.26, 11.136.0.10, ainsi que WP Squared 11.136.1.12. Le Centre canadien pour la cybersécurité recommande l'application immédiate des correctifs.Red Hat publie un article décrivant comment ses Hardened Images, combinées à la plateforme Anchore, réduisent la fatigue CVE en sécurité conteneurs. L'approche repose sur des images minimales produites selon le standard SLSA3, une génération continue de SBOM, et un policy engine appliquant les référentiels NIST 800-53, 800-190 et FedRAMP tout au long du cycle CI/CD.Palo Alto Networks publie plusieurs bulletins critiques visant PAN-OS. Trois CVE majeures sont à retenir : CVE-2026-0263 Remote Code Execution dans le traitement IKEv2, CVE-2026-0264 heap-based buffer overflow non authentifié dans DNS Proxy et DNS Server, et CVE-2026-0265 authentication bypass lorsque Cloud Authentication Service est activé. Les branches PAN-OS 12.1, 11.2, 11.1 et 10.2 sont concernées.F5 publie sa Quarterly Security Notification de mai 2026, référencée K000160932. Le périmètre couvre BIG-IP tous modules, APM, Advanced WAF/ASM, DDoS Hybrid Defender, Next CNF, Next SPK, Next for Kubernetes, BIG-IQ Centralized Management, ainsi que la gamme NGINX (App Protect WAF et DoS, Gateway Fabric, Ingress Controller, Instance Manager, Open Source jusqu'à 1.30.0, NGINX Plus de R32 à R36). Plusieurs correctifs sont qualifiés de critiques.Le 12 mai 2026, l'équipe Exim publie l'avis EXIM-Security-2026-05-01.1 corrigeant une vulnérabilité affectant les versions 4.97 à 4.99.2 du Mail Transfer Agent. Le Centre canadien pour la cybersécurité recommande d'appliquer la mise à jour et de suivre les mesures d'atténuation publiées sur exim.org.n8n publie plusieurs bulletins de sécurité visant la plateforme d'automatisation no-code. Cinq classes de vulnérabilités sont corrigées : Pagination Prototype Pollution, Dynamic Credential OAuth Endpoints, Source Control, XML Node Prototype Pollution et Git Node. Plusieurs versions sont concernées, le patching est à traiter sans délai compte tenu de la manipulation de credentials OAuth tiers par la plateforme.Google publie une mise à jour Stable Channel pour Chrome Desktop. Les versions antérieures à 148.0.7778.167/168 sur Windows et macOS, et 148.0.7778.167 sur Linux sont concernées. Les détails complets des CVE corrigées sont publiés sur le blog officiel Chrome Releases.Exploit-DB publie sous référence EDB-ID 52559 un exploit ciblant Glances 4.5.2 et versions antérieures, identifié CVE-2026-33641 et classé CWE-78. La méthode Config.get_value() exécute comme commandes système toute chaîne placée entre backticks dans un fichier de configuration, via system_exec(). La CVSS v3.1 est évaluée à 7.8 HIGH. Le correctif est intégré à Glances 4.5.3, qui supprime le mécanisme d'exécution dynamique.CloudLinux publie un avis détaillant Fragnesia, troisième vulnérabilité de la classe Dirty Frag affectant le sous-système XFRM/ESP du kernel Linux. La faille concerne le ULP ESP-in-TCP : lorsqu'une socket TCP bascule en mode espintcp après un splice(2) ou sendfile(2), le kernel déchiffre les pages du page cache comme du ciphertext ESP, produisant une primitive d'écriture déterministe. Le PoC public de William Bowling et l'équipe V12 écrase /usr/bin/su pour obtenir root en une commande. CloudLinux 7h, 8, 9 et 10 sont affectés, l'attribution CVE est en cours.Sources : Bulletin de sécurité cPanel AV26-464, Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-cpanel-av26-46Reducing CVE fatigue with Red Hat Hardened Images and Anchore : https://www.redhat.com/fr/blog/reducing-cve-fatigue-red-hat-hardened-images-and-anchoreBulletin de sécurité Palo Alto Networks AV26-462 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-palo-alto-networks-av26-462Bulletin de sécurité F5 AV26-461 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-f5-av26-461Bulletin de sécurité Exim AV26-460 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-exim-av26-460Bulletin de sécurité n8n AV26-459 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-n8n-av26-459Bulletin de sécurité Google Chrome AV26-458 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-google-chrome-av26-458Glances 4.5.2 Command Injection CVE-2026-33641, Exploit Database : https://www.exploit-db.com/exploits/52559Fragnesia Mitigation and Kernel Update, CloudLinux Blog : https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org...
    Show More Show Less
    9 mins
adbl_web_anon_alc_button_suppression_c
No reviews yet