Nous ouvrons cette édition avec les travaux du chercheur Wietze Beukema, présentés lors du Wild West Hackin' Fest. Quatre techniques inédites de manipulation des fichiers raccourcis Windows LNK permettent de falsifier intégralement la cible affichée dans les propriétés du fichier tout en exécutant un programme entièrement différent. La variante la plus critique exploite la structure EnvironmentVariableDataBlock pour afficher une cible fictive tout en lançant PowerShell ou toute autre commande malveillante. Soumises au Microsoft Security Response Center, ces failles ont été rejetées au motif qu'elles ne franchissent pas de Security Boundary. Le parallèle avec le CVE-2025-9491, exploité en Zero-Day par au moins onze groupes APT dont Evil Corp, APT37, Kimsuky et Mustang Panda, souligne la persistance de ce vecteur d'attaque.

L'actualité se poursuit avec la perturbation massive du réseau d'anonymisation I2P par le botnet IoT Kimwolf. Selon KrebsOnSecurity, les opérateurs du botnet ont tenté de connecter environ 700 000 dispositifs infectés comme nœuds sur un réseau qui ne compte habituellement que 15 000 à 20 000 participants actifs, provoquant une Sybil Attack d'envergure. D'après Benjamin Brundage, fondateur de Synthient, l'objectif est de bâtir une infrastructure Command and Control résiliente face aux tentatives de Takedown. Le réseau I2P fonctionne actuellement à la moitié de sa capacité normale, tandis que des dissensions internes chez Kimwolf ont entraîné la perte de plus de 600 000 systèmes infectés.

Enfin, la CISA a ajouté quatre nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, sur la base de preuves d'exploitation active. Parmi elles, la CVE-2024-43468, une SQL Injection dans Microsoft Configuration Manager, la CVE-2025-15556, un défaut de vérification d'intégrité dans Notepad++, la CVE-2025-40536, un Security Control Bypass dans SolarWinds Web Help Desk, et la CVE-2026-20700, de multiples Buffer Overflow affectant des produits Apple. Leur inscription au catalogue KEV impose aux agences fédérales américaines l'application des correctifs selon les délais de la directive BOD 22-01.

Sources :

• BleepingComputer – Microsoft: New Windows LNK spoofing issues aren't vulnerabilities : https://www.bleepingcomputer.com/news/microsoft/microsoft-new-windows-lnk-spoofing-issues-arent-vulnerabilities/
• KrebsOnSecurity – Kimwolf Botnet Swamps Anonymity Network I2P : https://krebsonsecurity.com/2026/02/kimwolf-botnet-swamps-anonymity-network-i2p/
• CISA – Known Exploited Vulnerabilities Catalog Update : https://www.cisa.gov/news-events/alerts/2026/02/12/cisa-adds-four-known-exploited-vulnerabilities-catalog

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

6 zero-day activement exploitées. 58 correctifs. Des failles GitHub Copilot déclenchables par prompt injection. Un deuxième zero-day Desktop Window Manager en deux mois. Un exploit professionnel découvert dans un dépôt de malware par ACROS Security. Une élévation de privilèges Remote Desktop identifiée par CrowdStrike.

Dans cet épisode, analyse factuelle et complète du Patch Tuesday de février 2026, des vulnérabilités critiques Azure aux recommandations opérationnelles pour les équipes CERT, CSIRT et SOC.

Article complet sur le blog :
https://blog.marcfredericgomez.fr/patch-tuesday-de-fevrier-2026/

Restez à l'écoute, restez protégés.

Nous ouvrons cette édition avec l'alerte critique de la CISA concernant les systèmes industriels Yokogawa FAST/TOOLS. Quatorze vulnérabilités, dont le score CVSS atteint 8.2, exposent les secteurs de l'énergie et de la fabrication à des risques majeurs de Path Traversal et de détournement de sessions. Selon le rapport ICSA-26-041-01, l'absence de contrôles d'intégrité sur certains Endpoints et l'utilisation d'algorithmes cryptographiques obsolètes permettent à des attaquants distants de mener des opérations de Man-in-the-Middle et d'exécuter des Payloads malveillants au cœur des réseaux OT.

L'actualité se poursuit avec le Patch Day massif de SAP. Le bulletin de sécurité AV26-107 détaille des correctifs critiques pour SAP S/4HANA, NetWeaver AS ABAP et BusinessObjects. Les vulnérabilités CVE-2026-0488 et CVE-2026-0509 sont particulièrement surveillées car elles affectent le Scripting Editor et les mécanismes de gestion de la Supply Chain. Le Centre canadien pour la cybersécurité exhorte les administrateurs à prioriser la mise à jour des instances SAP_BASIS pour prévenir toute compromission de l'intégrité des données d'entreprise.

Sur le front des infrastructures réseau, l'écosystème Fortinet fait face à deux failles majeures d'authentification. La première, CVE-2026-22153, concerne un Authentication Bypass dans FortiOS impactant les VPN Agentless et les politiques FSSO. Parallèlement, le PSIRT de l'éditeur signale la CVE-2026-21743 au sein de FortiAuthenticator, où un défaut d'autorisation (CWE-862) permet à un utilisateur en lecture seule de modifier des comptes locaux via un File Upload non sécurisé. Ces vecteurs facilitent une escalade de privilèges critique pour quiconque accède aux interfaces de gestion.

Enfin, nous abordons les réflexions du NCSC britannique sur l'évolution du Vulnerability Management. Alors que la CISA publie de nouvelles directives pour contrer le Spam et le Harvesting d'adresses via les messages HTML, les experts du NCSC plaident pour une approche basée sur le risque réel plutôt que sur le simple score CVSS. L'objectif est d'optimiser la remédiation en se concentrant sur les vulnérabilités exploitables en conditions réelles, tout en renforçant la segmentation des identités pour limiter l'efficacité des campagnes d'ingénierie sociale automatisées.

Sources :

• CISA – ICS Advisory Yokogawa FAST/TOOLS (ICSA-26-041-01) : https://www.cisa.gov/news-events/ics-advisories/icsa-26-041-01
• Centre canadien pour la cybersécurité – Bulletin SAP (AV26-107) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-sap-correctif-cumulatif-mensuel-fevrier-2026-av26-107
• CVEFeed – Fortinet FortiOS Authentication Bypass (CVE-2026-22153) : https://cvefeed.io/vuln/detail/CVE-2026-22153
• CVEFeed – FortiAuthenticator Missing Authorization (CVE-2026-21743) : https://cvefeed.io/vuln/detail/CVE-2026-21743
• NCSC – Improving your response to vulnerability management : https://www.ncsc.gov.uk/blog-post/improving-your-response-to-vulnerability-management
• CISA – Reducing Spam and Cybersecurity Best Practices : https://www.cisa.gov/news-events/news/reducing-spam

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les révélations de The Hacker News sur la sécurisation critique de l'écosystème OpenClaw. Face à la prolifération de skills malveillants sur sa marketplace ClawHub, la plateforme intègre désormais les capacités de VirusTotal Code Insight pour analyser chaque brique logicielle via leur empreinte SHA-256. Malgré cette mesure, les chercheurs alertent sur la persistance de vecteurs d'attaques par injection de prompts indirects et la découverte de plus de 30 000 instances exposées sur le port 18789, transformant potentiellement ces agents IA en véritables chevaux de Troie pour l'exfiltration de données d'entreprise.

L'actualité se poursuit avec le démantèlement par Cisco Talos du framework DKnife, un toolkit d'interception de haut vol utilisé par des acteurs liés à la Chine depuis 2019. Opérant directement au niveau des routeurs et des edge devices, ce framework utilise le Deep Packet Inspection pour détourner les mises à jour légitimes Windows et Android au profit de backdoors comme ShadowPad. DKnife se distingue par une capacité d'évasion active, capable d'identifier et de neutraliser les flux des solutions antivirus via l'injection de paquets TCP RST, compromettant ainsi l'intégrité de la couche réseau dès le périmètre.

Sur le front des vulnérabilités, le Centre canadien pour la cybersécurité relaie un avis critique concernant le scanner Nessus de Tenable. Les versions 10.10.1 et 10.11.1 ainsi que leurs itérations antérieures sont affectées par plusieurs failles de sécurité. Les administrateurs de SOC et les équipes de gestion des vulnérabilités sont invités à procéder sans délai à la mise à jour vers les versions 10.10.2 et 10.11.2 pour garantir la fiabilité de leurs campagnes de scan.

Enfin, nous revenons sur les défis de la Shadow AI. Le déploiement massif d'outils agentiques comme OpenClaw, souvent sans validation des directions informatiques, crée une surface d'attaque hybride où le prompt devient l'instruction d'exécution, rendant les outils de monitoring traditionnels inopérants face à des modèles capables d'interpréter le langage naturel pour contourner les politiques de sécurité.

Sources

• The Hacker News – OpenClaw Integrates VirusTotal : https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html
• Security Affairs – DKnife toolkit abuses routers : https://securityaffairs.com/187716/malware/dknife-toolkit-abuses-routers-to-spy-and-deliver-malware-since-2019.html
• Cyber.gc.ca – Bulletin de sécurité Tenable (AV26-095) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-tenable-av26-095

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec les Jeux Olympiques d'hiver de Milano Cortina, qui font face à une vague de cyberattaques attribuées à la Russie. Selon The Register, le ministre italien des Affaires étrangères confirme le ciblage de bureaux diplomatiques et d'infrastructures olympiques. La posture défensive de l'événement est par ailleurs fragilisée par des tensions Supply Chain : le CEO de Cloudflare menace de retirer ses services de protection pro bono suite à un différend réglementaire avec les autorités italiennes.

L’actualité se poursuit en France avec une affaire d'espionnage en Gironde révélée par ZDNet. Deux ressortissants chinois ont été mis en examen pour avoir opéré une station d'interception clandestine depuis une location Airbnb. L'équipement saisi, signalé par une antenne parabolique massive, était conçu pour le Sniffing de communications sur le réseau Starlink et l'interception de fréquences militaires, matérialisant une menace directe sur la couche physique des communications satellitaires.

Sur le front des vulnérabilités, le CERT-FR a publié deux avis critiques. Le premier concerne la solution VoIP Asterisk, affectée par des failles permettant la Remote Code Execution (RCE) et l'Escalation of Privileges. Le second alerte sur le noyau Linux de Red Hat, où une trentaine de CVE ont été corrigées pour prévenir, entre autres, des risques de Denial of Service et d'atteinte à l'intégrité des données sur les architectures x86_64, ARM et IBM z Systems.

Enfin, Microsoft annonce la disponibilité de SQL Server 2025 sur Ubuntu 24.04 LTS, introduisant de nouvelles Dynamic Management Views pour l'observabilité et le support natif des vecteurs pour l'IA.

Nous terminons sur une note structurelle : une tribune rappelle l'urgence de la formation, citant une hausse de 15 % des incidents traités par l'ANSSI en 2024, dans un contexte de pénurie mondiale estimée à 4,8 millions de professionnels.

Sources

• The Register – Winter Olympics Russian attacks : https://www.theregister.com/2026/02/05/winter_olympics_russian_attacks/
• ZDNet – Station d’interception clandestine en Gironde : https://www.zdnet.fr/actualites/station-dinterception-clandestine-dans-un-airbnb-en-gironde-deux-citoyens-chinois-mis-en-examen-489660.htm
• CERT-FR – Avis Asterisk : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0123/
• CERT-FR – Avis Red Hat Linux Kernel : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0130/
• Ubuntu – SQL Server 2025 GA : https://ubuntu.com//blog/sql-server-2025-ubuntu-24-04-lts
• GoodTech – Pénurie d'experts cyber : https://goodtech.info/pourquoi-il-faut-former-massivement-les-futurs-experts-cyber-francais/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une analyse publiée par KrebsOnSecurity sur le groupe d’extorsion Scattered Lapsus ShinyHunters. Les chercheurs décrivent un acteur cybercriminel instable combinant vol de données, social engineering et campagnes de harcèlement ciblant directement dirigeants et familles. Contrairement aux groupes de ransomware structurés, SLSH abuse de canaux Telegram, de menaces physiques, de swatting, de DDoS et de pression médiatique, sans garantie de suppression des données volées. L’article met en lumière des intrusions récentes basées sur du voice phishing MFA et l’enrôlement frauduleux de devices, selon des observations confirmées par Mandiant et Unit 221B.

L’actualité se poursuit en Europe, où la Commission européenne annonce que TikTok s’expose à une sanction majeure pour non-respect du Digital Services Act. Bruxelles estime que des mécanismes d’addictive design — infinite scroll, autoplay, push notifications et personalized recommendation systems — favorisent des usages compulsifs, notamment chez les mineurs. En cas de confirmation, l’amende pourrait atteindre 6 % du chiffre d’affaires mondial de la plateforme, dans un contexte de sanctions européennes répétées.

En Allemagne, les autorités de sécurité intérieure alertent sur des campagnes de compromission de comptes Signal visant des profils sensibles. Selon le BfV et le BSI, des attaquants, soupçonnés d’être étatiques, exploitent exclusivement du social engineering et des fonctionnalités légitimes comme le linked-device pairing par QR code, sans malware ni exploitation de vulnérabilités, afin d’accéder aux conversations et contact lists de responsables politiques, militaires et journalistes.

Enfin, la CISA annonce l’ajout de deux vulnérabilités activement exploitées à son Known Exploited Vulnerabilities Catalog. Sont concernées CVE-2025-11953, une OS Command Injection dans React Native Community CLI, et CVE-2026-24423, une faille de Missing Authentication for Critical Function affectant SmarterTools SmarterMail. Ces failles sont considérées comme des vecteurs d’attaque à haut risque pour les environnements institutionnels.

Sources

• CISA – Known Exploited Vulnerabilities Catalog : https://www.cisa.gov/news-events/alerts/2026/02/05/cisa-adds-two-known-exploited-vulnerabilities-catalog
• BleepingComputer – Signal account hijacking : https://www.bleepingcomputer.com/news/security/germany-warns-of-signal-account-hijacking-targeting-senior-figures/
• BleepingComputer – TikTok et le Digital Services Act : https://www.bleepingcomputer.com/news/security/european-commission-says-tiktok-facing-fine-over-addictive-design/
• KrebsOnSecurity – Scattered Lapsus ShinyHunters : https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com