Bulletin hebdomadaire cybersécurité

⚡ L’essentiel

• Alerte Infrastructures : Une faille massive sur les passerelles VPN Ivanti permet un accès total aux réseaux internes. Action immédiate requise pour les DSI.

• Risque Comptabilité : Recrudescence de fraudes au virement ciblant les mairies et entreprises via de faux ordres de paiement de fournisseurs d’énergie.

• Maintenance Windows : Le dernier cycle de mises à jour corrige des vulnérabilités critiques sur le partage de fichiers (SMB), vecteur principal des ransomwares.

🔴 Alertes Critiques & Exploitations Actives (Priorité 1)

1. Passerelle d’accès distant – Ivanti Connect Secure

• Identifiants : CVE-2026-21805 | Score CVSS 9.8 | Score EPSS : 42.5% (Probabilité d’exploitation très élevée sous 30 jours).

• Analyse de l’Impact : Il s’agit d’une RCE (Exécution de code à distance). Un attaquant non authentifié peut prendre le contrôle total de l’équipement et l’utiliser comme « tête de pont » pour infiltrer tout votre réseau local.

• Vecteur d’attaque : Requête HTTP malveillante sur l’interface de connexion web du VPN.

• Contexte : Un PoC (Preuve de concept) est disponible publiquement sur GitHub. Des scans de masse sont détectés par le SANS ISC sur le port 443.

• Remédiation Opérationnelle : Appliquer le correctif de l’éditeur immédiatement. Si impossible, isoler l’interface d’administration derrière un pare-feu restrictif.

• Source : CISA KEV Catalog

2. Protocole SMB (Partage de fichiers) – Microsoft Windows

• Identifiants : CVE-2026-24901 | Score CVSS 8.8 | Score EPSS : 12.1%.

• Analyse de l’Impact : Permet une élévation de privilèges. Un utilisateur avec des droits limités peut devenir Administrateur du Domaine.

• Vecteur d’attaque : Envoi d’un paquet spécifique vers un serveur de fichiers ou un contrôleur de domaine.

• Remédiation Opérationnelle : Déploiement urgent du pack de sécurité de mars 2026. Désactivation impérative du protocole obsolète SMBv1.

• Source : Microsoft MSRC

🛠️ Hygiène & Maintenance (Focus Infrastructures)

Focus Supply Chain : Logiciels de Gestion

Plusieurs vulnérabilités mineures mais cumulables ont été corrigées cette semaine sur les suites de gestion Cegid et les portails agents Berger-Levrault. Nous recommandons aux prestataires informatiques des collectivités corses de vérifier l’intégrité des logs d’accès.

⚙️ Check-list technique

• Exposition : Vérifier via vos outils de scan (ou via le CSIRT) que le port RDP (3389) n’est pas ouvert sur Internet.

• MFA (Double authentification) : À activer prioritairement sur les comptes administrateurs de vos consoles de gestion (Cloud, Antivirus, Backup).

• Redémarrage : Les correctifs Windows de cette semaine nécessitent un redémarrage des serveurs critiques pour être effectifs.

🚨 Menaces, Campagnes & CTI (Analyse de flux)

Analyse Shadowserver & SANS ISC

Le SANS Internet Storm Center rapporte une hausse de 35% des scans malveillants sur le port 5985 (WinRM). Cela indique que des attaquants cherchent activement des serveurs Windows mal configurés pour exécuter des scripts à distance.

Campagne de Phishing « Collectivités »

Une campagne de mails frauduleux imitant la Direction Générale des Finances Publiques (DGFIP) circule. L’objet mentionne une « Régularisation de dotation globale de fonctionnement ».

• Indicateur de compromission (IoC) : Les liens redirigent vers des domaines en .xyz ou .online.

• Conseil de détection : Bloquez au niveau de votre passerelle mail tous les messages entrants contenant des liens vers des extensions de domaine inhabituelles (.top, .click, .xyz).

📞 Contact & Support

En cas d’incident cyber : contactez le CSIRT de Corse dès les premiers signes de compromission.

🛡️ Bénéficiaire du CSIRT : Inscrivez-vous gratuitement pour un scan de vulnérabilités offert sur votre surface exposée à Internet.

📣 Sensibilisation : Matinées gratuites pour les collectivités, associations et entreprises.

📧 contact@cyber.corsica | ☎️ 04 20 97 00 97 | 🌐 https://cyber.corsica