Ep.614 - RadioCSIRT Édition Française - Veille cyber du mardi 31 mars 2026
Le CERT-FR publie le 31 mars 2026 un bulletin d'alerte concernant la CVE-2025-53521, une vulnérabilité de Remote Code Execution affectant F5 BIG-IP Access Policy Manager dans les branches 15.1.x, 16.1.x, 17.1.x et 17.5.x. Initialement divulguée par F5 en octobre 2025, la faille permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. Son exploitation active est confirmée depuis le 29 mars 2026. F5 documente plusieurs indicateurs de compromission : présence de fichiers suspects dans /run/, modification des binaires /usr/bin/umount et /usr/sbin/httpd, ainsi que des entrées spécifiques dans les journaux restjavad-audit et auditd révélant des appels iControl REST via l'utilisateur local f5hubblelcdadmin avec tentatives de désactivation de SELinux.
Le NCSC britannique publie, conjointement avec des partenaires internationaux, une alerte relative au ciblage d'applications de messagerie par des acteurs affiliés à la Russie. Les individus à haut risque responsables gouvernementaux, personnels disposant d'accès à des informations sensibles sont visés par des techniques incluant le vol de codes de vérification, l'ajout de dispositifs liés à l'insu de la victime, l'infiltration silencieuse de groupes de discussion, l'usurpation d'identité et le Phishing par QR code. Le NCSC rappelle avoir précédemment documenté des opérations similaires attribuées à APT31, à Star Blizzard du FSB russe et à l'IRGC iranien. Google et Microsoft ont publié des analyses complémentaires sur le ciblage actif de Signal par plusieurs acteurs alignés sur la Russie.
OVHcloud annonce au Forum InCyber 2026 de Lille le lancement d'une offre cloud dédiée aux armées et organismes gouvernementaux européens. L'infrastructure, hébergée exclusivement en Europe et soumise au droit européen, vise à soustraire les données militaires sensibles au Cloud Act américain, qui autorise les autorités des États-Unis à accéder aux données hébergées par des entreprises américaines quel que soit le lieu physique des serveurs. L'offre intégrera des capacités d'intelligence artificielle pour l'analyse de données opérationnelles et la détection de cybermenaces, et ciblera les niveaux de classification les plus élevés, incluant les dispositifs de type secret défense.
Selon Palo Alto Networks Unit 42, une faille de conception affecte la plateforme Vertex AI de Google Cloud. Le service agent associé aux agents déployés via l'Agent Development Kit — le P4SA — dispose par défaut de permissions excessives. Tout appel à un agent Vertex AI déclenche une requête vers le service de métadonnées Google, exposant les credentials du service agent ainsi que l'identité et les scopes de la machine hôte.
Une mise à jour logicielle défectueuse déployée le 12 mars 2026 à 03h28 par Lloyds Banking Group a exposé les données transactionnelles de 447 936 utilisateurs de l'application mobile des enseignes Lloyds, Halifax et Bank of Scotland. La faille, corrigée à 08h08 le même jour, provoquait l'affichage des transactions d'autres clients lors d'accès simultanés à l'application. Sources :
-
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-004/
-
https://www.ncsc.gov.uk/news/ncsc-warns-of-messaging-app-targeting
-
https://www.clubic.com/actualite-607108-ovhcloud-veut-cibler-les-armees-europeennes-avec-une-offre-cloud-souveraine-inedite.html
-
https://thehackernews.com/2026/03/vertex-ai-vulnerability-exposes-google.html
-
https://securityaffairs.com/190213/data-breach/nearly-half-a-million-mobile-customers-of-lloyds-banking-group-affected-by-a-security-incident.html
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
Le CERT-FR publie le 31 mars 2026 un bulletin d'alerte concernant la CVE-2025-53521, une vulnérabilité de Remote Code Execution affectant F5 BIG-IP Access Policy Manager dans les branches 15.1.x, 16.1.x, 17.1.x et 17.5.x. Initialement divulguée par F5 en octobre 2025, la faille permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. Son exploitation active est confirmée depuis le 29 mars 2026. F5 documente plusieurs indicateurs de compromission : présence de fichiers suspects dans /run/, modification des binaires /usr/bin/umount et /usr/sbin/httpd, ainsi que des entrées spécifiques dans les journaux restjavad-audit et auditd révélant des appels iControl REST via l'utilisateur local f5hubblelcdadmin avec tentatives de désactivation de SELinux.
Le NCSC britannique publie, conjointement avec des partenaires internationaux, une alerte relative au ciblage d'applications de messagerie par des acteurs affiliés à la Russie. Les individus à haut risque responsables gouvernementaux, personnels disposant d'accès à des informations sensibles sont visés par des techniques incluant le vol de codes de vérification, l'ajout de dispositifs liés à l'insu de la victime, l'infiltration silencieuse de groupes de discussion, l'usurpation d'identité et le Phishing par QR code. Le NCSC rappelle avoir précédemment documenté des opérations similaires attribuées à APT31, à Star Blizzard du FSB russe et à l'IRGC iranien. Google et Microsoft ont publié des analyses complémentaires sur le ciblage actif de Signal par plusieurs acteurs alignés sur la Russie.
OVHcloud annonce au Forum InCyber 2026 de Lille le lancement d'une offre cloud dédiée aux armées et organismes gouvernementaux européens. L'infrastructure, hébergée exclusivement en Europe et soumise au droit européen, vise à soustraire les données militaires sensibles au Cloud Act américain, qui autorise les autorités des États-Unis à accéder aux données hébergées par des entreprises américaines quel que soit le lieu physique des serveurs. L'offre intégrera des capacités d'intelligence artificielle pour l'analyse de données opérationnelles et la détection de cybermenaces, et ciblera les niveaux de classification les plus élevés, incluant les dispositifs de type secret défense.
Selon Palo Alto Networks Unit 42, une faille de conception affecte la plateforme Vertex AI de Google Cloud. Le service agent associé aux agents déployés via l'Agent Development Kit — le P4SA — dispose par défaut de permissions excessives. Tout appel à un agent Vertex AI déclenche une requête vers le service de métadonnées Google, exposant les credentials du service agent ainsi que l'identité et les scopes de la machine hôte.
Une mise à jour logicielle défectueuse déployée le 12 mars 2026 à 03h28 par Lloyds Banking Group a exposé les données transactionnelles de 447 936 utilisateurs de l'application mobile des enseignes Lloyds, Halifax et Bank of Scotland. La faille, corrigée à 08h08 le même jour, provoquait l'affichage des transactions d'autres clients lors d'accès simultanés à l'application. Sources :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-004/
- https://www.ncsc.gov.uk/news/ncsc-warns-of-messaging-app-targeting
- https://www.clubic.com/actualite-607108-ovhcloud-veut-cibler-les-armees-europeennes-avec-une-offre-cloud-souveraine-inedite.html
- https://thehackernews.com/2026/03/vertex-ai-vulnerability-exposes-google.html
- https://securityaffairs.com/190213/data-breach/nearly-half-a-million-mobile-customers-of-lloyds-banking-group-affected-by-a-security-incident.html
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
- CSIRT
- CERT
- RadioCSIRT
- KVE
- CVE
- OVHCloud
- NCSC UK
- Vertex AI
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.