Ep.574 - RadioCSIRT Édition Française – Votre actualité Cybersécurité du lundi 09 février 2026
Nous ouvrons cette édition avec les révélations de Huntress Security sur l'exploitation active des vulnérabilités critiques de SolarWinds Web Help Desk. Les attaquants ciblent les failles CVE-2025-40551 et CVE-2025-26399 pour obtenir une exécution de code à distance via la désérialisation de données Java non fiables. Une fois l'accès initial établi, les opérateurs déploient des outils légitimes détournés, tels que l'agent Zoho ManageEngine et le framework de forensic Velociraptor, orchestrés via des tunnels Cloudflare. Ces intrusions, également observées par Microsoft, visent des infrastructures stratégiques pour mener des opérations de reconnaissance dans l'Active Directory.
L'actualité se poursuit avec l'annonce par la Commission européenne d'une intrusion cybernétique majeure ayant ciblé son infrastructure de gestion des terminaux mobiles. Détectée par le CERT-EU, l'attaque est liée à l'exploitation de failles critiques dans les solutions Ivanti Endpoint Manager Mobile (CVE-2026-1281 et CVE-2026-1340). Si la Commission affirme que l'incident a été contenu en moins de neuf heures sans compromission directe des appareils, les attaquants ont pu accéder aux noms et numéros de téléphone du personnel, s'inscrivant dans une vague d'attaques similaires frappant plusieurs institutions gouvernementales aux Pays-Bas et en Finlande.
Sur le front de l'espionnage, le groupe APT UNC3886, lié aux intérêts chinois, a mené une campagne sophistiquée contre le secteur des télécommunications à Singapour. L'agence de cybersécurité nationale, la CSA, rapporte que les quatre opérateurs majeurs ont été infiltrés via l'utilisation d'exploits Zero-Day et le déploiement de rootkits furtifs. L'adversaire s'est concentré sur les équipements réseau et les environnements de virtualisation VMware ESXi, parvenant à exfiltrer des données techniques critiques pour cartographier les infrastructures stratégiques de la cité-État.
Enfin, nous revenons sur les défis posés par les compilateurs modernes à la cryptographie. Lors du FOSDEM 2026, le mainteneur de la bibliothèque Botan a démontré comment les optimisations agressives de GCC 15.2 neutralisent les implémentations en temps constant destinées à prévenir les Side-Channel Attacks. En tentant de supprimer les branchements conditionnels, le compilateur réintroduit par inadvertance des vulnérabilités de timing, forçant les développeurs à utiliser de l'Inline Assembly pour masquer la logique de sécurité face à l'optimiseur.
Sources
-
BleepingComputer – Threat actors exploit SolarWinds WHD flaws : https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/
-
Hackread – Cyber Attack Hits European Commission : https://hackread.com/cyber-attack-european-commission-staff-mobile-systems/
-
The Hacker News – UNC3886 Targets Singapore Telecom : https://thehackernews.com/2026/02/china-linked-unc3886-targets-singapore.html
-
The Register – How GCC became the Clippy of cryptography : https://www.theregister.com/2026/02/09/compilers_undermine_encryption/
-
ZDNET – Linux, le socle invisible de l'IA moderne : https://www.zdnet.fr/actualites/cet-os-alimente-discretement-toute-lia-ainsi-que-la-plupart-des-futurs-emplois-delit-489808.htm
-
The Verge – Substack data breach exposed users' data : https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Nous ouvrons cette édition avec les révélations de Huntress Security sur l'exploitation active des vulnérabilités critiques de SolarWinds Web Help Desk. Les attaquants ciblent les failles CVE-2025-40551 et CVE-2025-26399 pour obtenir une exécution de code à distance via la désérialisation de données Java non fiables. Une fois l'accès initial établi, les opérateurs déploient des outils légitimes détournés, tels que l'agent Zoho ManageEngine et le framework de forensic Velociraptor, orchestrés via des tunnels Cloudflare. Ces intrusions, également observées par Microsoft, visent des infrastructures stratégiques pour mener des opérations de reconnaissance dans l'Active Directory.
L'actualité se poursuit avec l'annonce par la Commission européenne d'une intrusion cybernétique majeure ayant ciblé son infrastructure de gestion des terminaux mobiles. Détectée par le CERT-EU, l'attaque est liée à l'exploitation de failles critiques dans les solutions Ivanti Endpoint Manager Mobile (CVE-2026-1281 et CVE-2026-1340). Si la Commission affirme que l'incident a été contenu en moins de neuf heures sans compromission directe des appareils, les attaquants ont pu accéder aux noms et numéros de téléphone du personnel, s'inscrivant dans une vague d'attaques similaires frappant plusieurs institutions gouvernementales aux Pays-Bas et en Finlande.
Sur le front de l'espionnage, le groupe APT UNC3886, lié aux intérêts chinois, a mené une campagne sophistiquée contre le secteur des télécommunications à Singapour. L'agence de cybersécurité nationale, la CSA, rapporte que les quatre opérateurs majeurs ont été infiltrés via l'utilisation d'exploits Zero-Day et le déploiement de rootkits furtifs. L'adversaire s'est concentré sur les équipements réseau et les environnements de virtualisation VMware ESXi, parvenant à exfiltrer des données techniques critiques pour cartographier les infrastructures stratégiques de la cité-État.
Enfin, nous revenons sur les défis posés par les compilateurs modernes à la cryptographie. Lors du FOSDEM 2026, le mainteneur de la bibliothèque Botan a démontré comment les optimisations agressives de GCC 15.2 neutralisent les implémentations en temps constant destinées à prévenir les Side-Channel Attacks. En tentant de supprimer les branchements conditionnels, le compilateur réintroduit par inadvertance des vulnérabilités de timing, forçant les développeurs à utiliser de l'Inline Assembly pour masquer la logique de sécurité face à l'optimiseur.
Sources
- BleepingComputer – Threat actors exploit SolarWinds WHD flaws : https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/
- Hackread – Cyber Attack Hits European Commission : https://hackread.com/cyber-attack-european-commission-staff-mobile-systems/
- The Hacker News – UNC3886 Targets Singapore Telecom : https://thehackernews.com/2026/02/china-linked-unc3886-targets-singapore.html
- The Register – How GCC became the Clippy of cryptography : https://www.theregister.com/2026/02/09/compilers_undermine_encryption/
- ZDNET – Linux, le socle invisible de l'IA moderne : https://www.zdnet.fr/actualites/cet-os-alimente-discretement-toute-lia-ainsi-que-la-plupart-des-futurs-emplois-delit-489808.htm
- The Verge – Substack data breach exposed users' data : https://www.theverge.com/tech/874255/substack-data-breach-user-emails-phone-numbers
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.