Ep.573 - RadioCSIRT Édition Française – Votre actualité Cybersécurité du dimanche 8 février 2026
Nous ouvrons cette édition avec les révélations de The Hacker News sur la sécurisation critique de l'écosystème OpenClaw. Face à la prolifération de skills malveillants sur sa marketplace ClawHub, la plateforme intègre désormais les capacités de VirusTotal Code Insight pour analyser chaque brique logicielle via leur empreinte SHA-256. Malgré cette mesure, les chercheurs alertent sur la persistance de vecteurs d'attaques par injection de prompts indirects et la découverte de plus de 30 000 instances exposées sur le port 18789, transformant potentiellement ces agents IA en véritables chevaux de Troie pour l'exfiltration de données d'entreprise.
L'actualité se poursuit avec le démantèlement par Cisco Talos du framework DKnife, un toolkit d'interception de haut vol utilisé par des acteurs liés à la Chine depuis 2019. Opérant directement au niveau des routeurs et des edge devices, ce framework utilise le Deep Packet Inspection pour détourner les mises à jour légitimes Windows et Android au profit de backdoors comme ShadowPad. DKnife se distingue par une capacité d'évasion active, capable d'identifier et de neutraliser les flux des solutions antivirus via l'injection de paquets TCP RST, compromettant ainsi l'intégrité de la couche réseau dès le périmètre.
Sur le front des vulnérabilités, le Centre canadien pour la cybersécurité relaie un avis critique concernant le scanner Nessus de Tenable. Les versions 10.10.1 et 10.11.1 ainsi que leurs itérations antérieures sont affectées par plusieurs failles de sécurité. Les administrateurs de SOC et les équipes de gestion des vulnérabilités sont invités à procéder sans délai à la mise à jour vers les versions 10.10.2 et 10.11.2 pour garantir la fiabilité de leurs campagnes de scan.
Enfin, nous revenons sur les défis de la Shadow AI. Le déploiement massif d'outils agentiques comme OpenClaw, souvent sans validation des directions informatiques, crée une surface d'attaque hybride où le prompt devient l'instruction d'exécution, rendant les outils de monitoring traditionnels inopérants face à des modèles capables d'interpréter le langage naturel pour contourner les politiques de sécurité.
Sources
-
The Hacker News – OpenClaw Integrates VirusTotal : https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html
-
Security Affairs – DKnife toolkit abuses routers : https://securityaffairs.com/187716/malware/dknife-toolkit-abuses-routers-to-spy-and-deliver-malware-since-2019.html
-
Cyber.gc.ca – Bulletin de sécurité Tenable (AV26-095) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-tenable-av26-095
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Nous ouvrons cette édition avec les révélations de The Hacker News sur la sécurisation critique de l'écosystème OpenClaw. Face à la prolifération de skills malveillants sur sa marketplace ClawHub, la plateforme intègre désormais les capacités de VirusTotal Code Insight pour analyser chaque brique logicielle via leur empreinte SHA-256. Malgré cette mesure, les chercheurs alertent sur la persistance de vecteurs d'attaques par injection de prompts indirects et la découverte de plus de 30 000 instances exposées sur le port 18789, transformant potentiellement ces agents IA en véritables chevaux de Troie pour l'exfiltration de données d'entreprise.
L'actualité se poursuit avec le démantèlement par Cisco Talos du framework DKnife, un toolkit d'interception de haut vol utilisé par des acteurs liés à la Chine depuis 2019. Opérant directement au niveau des routeurs et des edge devices, ce framework utilise le Deep Packet Inspection pour détourner les mises à jour légitimes Windows et Android au profit de backdoors comme ShadowPad. DKnife se distingue par une capacité d'évasion active, capable d'identifier et de neutraliser les flux des solutions antivirus via l'injection de paquets TCP RST, compromettant ainsi l'intégrité de la couche réseau dès le périmètre.
Sur le front des vulnérabilités, le Centre canadien pour la cybersécurité relaie un avis critique concernant le scanner Nessus de Tenable. Les versions 10.10.1 et 10.11.1 ainsi que leurs itérations antérieures sont affectées par plusieurs failles de sécurité. Les administrateurs de SOC et les équipes de gestion des vulnérabilités sont invités à procéder sans délai à la mise à jour vers les versions 10.10.2 et 10.11.2 pour garantir la fiabilité de leurs campagnes de scan.
Enfin, nous revenons sur les défis de la Shadow AI. Le déploiement massif d'outils agentiques comme OpenClaw, souvent sans validation des directions informatiques, crée une surface d'attaque hybride où le prompt devient l'instruction d'exécution, rendant les outils de monitoring traditionnels inopérants face à des modèles capables d'interpréter le langage naturel pour contourner les politiques de sécurité.
Sources
- The Hacker News – OpenClaw Integrates VirusTotal : https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html
- Security Affairs – DKnife toolkit abuses routers : https://securityaffairs.com/187716/malware/dknife-toolkit-abuses-routers-to-spy-and-deliver-malware-since-2019.html
- Cyber.gc.ca – Bulletin de sécurité Tenable (AV26-095) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-tenable-av26-095
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.