RadioCSIRT – Votre actu cybersécurité du Mardi 9 décembre 2025 (Ép.512)
Bienvenue sur votre podcast quotidien consacré à la cybersécurité.
Microsoft Patch Tuesday de Décembre 2025, retrouvez mon analyse sur mon blog en sus du podcast !
Le NCSC britannique publie une analyse technique majeure concernant la sécurité des IA génératives : traiter l'Injection de Prompt comme une simple Injection SQL est une erreur dangereuse. L'agence souligne que contrairement aux bases de données, les LLM ne possèdent pas de frontière stricte entre instructions et données ("Inherently Confusable Deputy"). Par conséquent, les filtres sont inefficaces et la seule mitigation réelle repose sur une architecture limitant les privilèges des outils accessibles par l'IA.
Une vulnérabilité critique de contournement d'authentification frappe la librairie Ruby SAML. La faille, traquée sous la CVE-2025-25293, permet à des attaquants d'exploiter une différence de parsing XML pour forger des signatures valides (XML Signature Wrapping). Les organisations utilisant ce protocole pour leur SSO doivent impérativement passer à la version 1.18.0 pour éviter toute intrusion.
La police polonaise a procédé à l'arrestation de trois ressortissants ukrainiens à Varsovie, interceptés avec un arsenal de piratage matériel sophistiqué. Les suspects étaient équipés de Flipper Zero, d'antennes radio et de dispositifs de contre-surveillance (K19), confirmant la persistance de la menace "Close Access" ciblant physiquement les infrastructures critiques et les réseaux de défense.
L'acteur menaçant Storm-0249 fait évoluer ses tactiques pour préparer le terrain aux ransomwares. Délaissant le simple rôle de courtier, le groupe utilise désormais l'ingénierie sociale "ClickFix" et des techniques de DLL Side-loading (notamment via des agents SentinelOne compromis) pour voler les identifiants machines (MachineGuid) et assurer la persistance de l'attaque.
L'hébergeur suisse Infomaniak lance Euria, une alternative souveraine aux IA américaines. Hébergée en Suisse et alimentée à l'énergie renouvelable, cette solution garantit que les données ne sont jamais utilisées pour l'entraînement des modèles, offrant une option viable pour le traitement de données d'entreprise sensibles (TLP:AMBER) sans risque juridique lié au Cloud Act.
Enfin, l'agence australienne ASD alerte sur une recrudescence mondiale des Infostealers. Ces malwares ne se limitent plus aux mots de passe mais exfiltrent massivement les cookies de session pour contourner le MFA, devenant le vecteur d'entrée privilégié pour les réseaux d'entreprise.
Et n'oubliez pas : ce soir, c'est le dernier Patch Tuesday de l'année !
On ne réfléchit pas, on patch !
Sources :
-
NCSC UK : https://www.ncsc.gov.uk/blog-post/prompt-injection-is-not-sql-injection
-
CyberPress : https://cyberpress.org/critical-ruby-saml-flaw/
-
Security Affairs : https://securityaffairs.com/185480/cyber-crime/polish-police-arrest-3-ukrainians-for-possessing-advanced-hacking-tools.html
-
The Hacker News : https://thehackernews.com/2025/12/storm-0249-escalates-ransomware-attacks.html
-
GoodTech : https://goodtech.info/euria-ia-gratuite-suisse-alternative-chatgpt-chauffage/
-
Cyber.gov.au (ASD) : https://www.cyber.gov.au/about-us/view-all-content/news/information-stealers-are-on-the-rise-are-you-at-risk
-
Patch Tuesday Blog Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-decembre-2025/
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Bienvenue sur votre podcast quotidien consacré à la cybersécurité.
Microsoft Patch Tuesday de Décembre 2025, retrouvez mon analyse sur mon blog en sus du podcast !
Le NCSC britannique publie une analyse technique majeure concernant la sécurité des IA génératives : traiter l'Injection de Prompt comme une simple Injection SQL est une erreur dangereuse. L'agence souligne que contrairement aux bases de données, les LLM ne possèdent pas de frontière stricte entre instructions et données ("Inherently Confusable Deputy"). Par conséquent, les filtres sont inefficaces et la seule mitigation réelle repose sur une architecture limitant les privilèges des outils accessibles par l'IA.
Une vulnérabilité critique de contournement d'authentification frappe la librairie Ruby SAML. La faille, traquée sous la CVE-2025-25293, permet à des attaquants d'exploiter une différence de parsing XML pour forger des signatures valides (XML Signature Wrapping). Les organisations utilisant ce protocole pour leur SSO doivent impérativement passer à la version 1.18.0 pour éviter toute intrusion.
La police polonaise a procédé à l'arrestation de trois ressortissants ukrainiens à Varsovie, interceptés avec un arsenal de piratage matériel sophistiqué. Les suspects étaient équipés de Flipper Zero, d'antennes radio et de dispositifs de contre-surveillance (K19), confirmant la persistance de la menace "Close Access" ciblant physiquement les infrastructures critiques et les réseaux de défense.
L'acteur menaçant Storm-0249 fait évoluer ses tactiques pour préparer le terrain aux ransomwares. Délaissant le simple rôle de courtier, le groupe utilise désormais l'ingénierie sociale "ClickFix" et des techniques de DLL Side-loading (notamment via des agents SentinelOne compromis) pour voler les identifiants machines (MachineGuid) et assurer la persistance de l'attaque.
L'hébergeur suisse Infomaniak lance Euria, une alternative souveraine aux IA américaines. Hébergée en Suisse et alimentée à l'énergie renouvelable, cette solution garantit que les données ne sont jamais utilisées pour l'entraînement des modèles, offrant une option viable pour le traitement de données d'entreprise sensibles (TLP:AMBER) sans risque juridique lié au Cloud Act.
Enfin, l'agence australienne ASD alerte sur une recrudescence mondiale des Infostealers. Ces malwares ne se limitent plus aux mots de passe mais exfiltrent massivement les cookies de session pour contourner le MFA, devenant le vecteur d'entrée privilégié pour les réseaux d'entreprise.
Et n'oubliez pas : ce soir, c'est le dernier Patch Tuesday de l'année !
On ne réfléchit pas, on patch !
Sources :
- NCSC UK : https://www.ncsc.gov.uk/blog-post/prompt-injection-is-not-sql-injection
- CyberPress : https://cyberpress.org/critical-ruby-saml-flaw/
- Security Affairs : https://securityaffairs.com/185480/cyber-crime/polish-police-arrest-3-ukrainians-for-possessing-advanced-hacking-tools.html
- The Hacker News : https://thehackernews.com/2025/12/storm-0249-escalates-ransomware-attacks.html
- GoodTech : https://goodtech.info/euria-ia-gratuite-suisse-alternative-chatgpt-chauffage/
- Cyber.gov.au (ASD) : https://www.cyber.gov.au/about-us/view-all-content/news/information-stealers-are-on-the-rise-are-you-at-risk
- Patch Tuesday Blog Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-decembre-2025/
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
- RadioCSIRT
- CSIRT
- CERT
- Marc Frédéric GOMEZ
- Patch Tuesday
- ZeroDay
- CVE
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.