Ep.583 - RadioCSIRT Édition Française – Votre actualité Cybersécurité du lundi 23 février 2026
Nous ouvrons cette édition avec la compromission massive de plus de 30 000 serveurs OpenClaw en quelques semaines. Selon les analystes de Flare, plusieurs campagnes coordonnées exploitent des serveurs mal configurés et l'écosystème de plugins ClawHub, avec notamment la campagne ClawHavoc reposant sur de faux scripts d'installation déployant des Infostealers et des Keyloggers.
L'actualité se poursuit avec l'annonce par Microsoft de la fin du support pour Windows 10 Enterprise LTSB 2016 le 13 octobre 2026 et Windows Server 2016 le 12 janvier 2027. L'éditeur propose un programme Extended Security Updates comme pont temporaire, à un tarif de 61 dollars par appareil la première année, doublant chaque année consécutive.
AWS publie un rapport d'incident documentant la compromission de plus de 600 firewalls FortiGate dans 55 pays par un groupe russophone à motivation financière. Les attaquants ont exploité des outils d'IA générative commerciaux pour générer Playbooks, scripts d'attaque et Tooling d'automatisation, permettant à un groupe restreint d'opérer à une échelle habituellement réservée à des équipes plus conséquentes.
Côté incidents, PayPal a notifié environ 100 clients d'une exposition de données personnelles causée par une erreur de code dans son module Working Capital. La fuite, active du 1er juillet au 13 décembre 2025, a exposé noms, numéros de Social Security, dates de naissance et coordonnées professionnelles, avec des transactions non autorisées pour certains comptes.
Socket identifie la campagne SANDWORM_MODE exploitant au moins 19 paquets npm malveillants en Typosquatting pour dérober credentials, clés cryptographiques et secrets CI/CD. Un module McpInject cible spécifiquement les assistants de codage IA via l'injection de serveurs MCP malveillants avec Prompt Injection intégrée.
Enfin, les responsables ukrainiens de la cybersécurité confirment lors du Kyiv International Cyber Resilience Forum l'évolution des cyberattaques russes contre l'infrastructure énergétique, désormais orientées vers la collecte de renseignements pour calibrer les frappes de missiles et en évaluer l'efficacité.
Sources :
-
01net – Alerte OpenClaw : des gangs de hackers prennent d'assaut des serveurs mal configurés : https://www.01net.com/actualites/alerte-openclaw-gangs-hackers-prennent-assaut-serveurs-mal-configures.html
-
ZDNet – Windows Server 2016 et Windows 10 LTSB : Microsoft siffle la fin de partie : https://www.zdnet.fr/actualites/windows-server-2016-et-windows-10-ltsb-microsoft-siffle-la-fin-de-partie-490681.htm
-
The Register – AWS says more than 600 FortiGate firewalls hit in AI-augmented campaign : https://www.theregister.com/2026/02/23/aws_fortigate_firewalls/
-
The Register – PayPal app code error leaked personal info : https://www.theregister.com/2026/02/20/paypal_app_code_error_leak/
-
The Hacker News – Malicious npm Packages Harvest Crypto Keys, CI Secrets, and API Tokens : https://thehackernews.com/2026/02/malicious-npm-packages-harvest-crypto.html
-
The Record – Ukraine says cyberattacks on energy grid now used to guide missile strikes : https://therecord.media/ukraine-cyberattacks-guiding-russian-missile-strikes
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Nous ouvrons cette édition avec la compromission massive de plus de 30 000 serveurs OpenClaw en quelques semaines. Selon les analystes de Flare, plusieurs campagnes coordonnées exploitent des serveurs mal configurés et l'écosystème de plugins ClawHub, avec notamment la campagne ClawHavoc reposant sur de faux scripts d'installation déployant des Infostealers et des Keyloggers.
L'actualité se poursuit avec l'annonce par Microsoft de la fin du support pour Windows 10 Enterprise LTSB 2016 le 13 octobre 2026 et Windows Server 2016 le 12 janvier 2027. L'éditeur propose un programme Extended Security Updates comme pont temporaire, à un tarif de 61 dollars par appareil la première année, doublant chaque année consécutive.
AWS publie un rapport d'incident documentant la compromission de plus de 600 firewalls FortiGate dans 55 pays par un groupe russophone à motivation financière. Les attaquants ont exploité des outils d'IA générative commerciaux pour générer Playbooks, scripts d'attaque et Tooling d'automatisation, permettant à un groupe restreint d'opérer à une échelle habituellement réservée à des équipes plus conséquentes.
Côté incidents, PayPal a notifié environ 100 clients d'une exposition de données personnelles causée par une erreur de code dans son module Working Capital. La fuite, active du 1er juillet au 13 décembre 2025, a exposé noms, numéros de Social Security, dates de naissance et coordonnées professionnelles, avec des transactions non autorisées pour certains comptes.
Socket identifie la campagne SANDWORM_MODE exploitant au moins 19 paquets npm malveillants en Typosquatting pour dérober credentials, clés cryptographiques et secrets CI/CD. Un module McpInject cible spécifiquement les assistants de codage IA via l'injection de serveurs MCP malveillants avec Prompt Injection intégrée.
Enfin, les responsables ukrainiens de la cybersécurité confirment lors du Kyiv International Cyber Resilience Forum l'évolution des cyberattaques russes contre l'infrastructure énergétique, désormais orientées vers la collecte de renseignements pour calibrer les frappes de missiles et en évaluer l'efficacité.
Sources :
- 01net – Alerte OpenClaw : des gangs de hackers prennent d'assaut des serveurs mal configurés : https://www.01net.com/actualites/alerte-openclaw-gangs-hackers-prennent-assaut-serveurs-mal-configures.html
- ZDNet – Windows Server 2016 et Windows 10 LTSB : Microsoft siffle la fin de partie : https://www.zdnet.fr/actualites/windows-server-2016-et-windows-10-ltsb-microsoft-siffle-la-fin-de-partie-490681.htm
- The Register – AWS says more than 600 FortiGate firewalls hit in AI-augmented campaign : https://www.theregister.com/2026/02/23/aws_fortigate_firewalls/
- The Register – PayPal app code error leaked personal info : https://www.theregister.com/2026/02/20/paypal_app_code_error_leak/
- The Hacker News – Malicious npm Packages Harvest Crypto Keys, CI Secrets, and API Tokens : https://thehackernews.com/2026/02/malicious-npm-packages-harvest-crypto.html
- The Record – Ukraine says cyberattacks on energy grid now used to guide missile strikes : https://therecord.media/ukraine-cyberattacks-guiding-russian-missile-strikes
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.