Une récente découverte par Varonis Threat Labs concerne une vulnérabilité dans Microsoft Outlook, CVE-2023-35636, ainsi que de nouvelles façons d’accéder aux mots de passe hachés NTLM v2 en exploitant Outlook, Windows Performance Analyzer et l’Explorateur de fichiers Windows.

La vulnérabilité CVE-2023-35636 se trouve dans la fonction de partage de calendrier d’Outlook.

Des attaquants peuvent intercepter les hachages NTLM v2 en insérant des en-têtes spécifiques dans un email.

Ce type d’exploit est considéré comme important et Microsoft a déjà publié un correctif.

Concernant NTLM v2, c’est un protocole cryptographique utilisé par Windows pour authentifier les utilisateurs.

Les hachages NTLM v2 sont vulnérables à des attaques par force brute hors ligne et des attaques de relais d’authentification.

Dans une attaque par force brute hors ligne, l’attaquant utilise le hachage NTLM v2 pour générer des mots de passe jusqu’à trouver le bon.

Dans une attaque de relais d’authentification, l’attaquant intercepte une demande d’authentification NTLM v2 et la transmet à un autre serveur.

Les exploits découverts comprennent l’utilisation de deux en-têtes spécifiques dans Outlook pour rediriger les mots de passe hachés.

Un exploit dans Windows Performance Analyzer où un gestionnaire d’URI peut conduire à une authentification utilisant NTLM v2 sur le web.

Deux méthodes dans l’Explorateur de fichiers Windows qui exploitent les paramètres ‘subquery’ et ‘crumb’ pour extraire les hachages NTLM v2.

Pour se protéger contre ces attaques NTLM v2, il est recommandé :

1) D’utiliser la signature SMB pour sécuriser le trafic SMB.

2) Bloquer l’authentification NTLM v2 sortante, particulièrement sur les versions récentes de Windows. (windows 11)

3) De privilégier l’authentification Kerberos lorsque c’est possible.

4) Appliquer les mises à jour : Microsoft a pris en compte ces vulnérabilités et a classé leur gravité, en fournissant des correctifs pour les adresses.

=> Il est crucial de maintenir les systèmes Microsoft à jour avec ces correctifs de sécurité pour se protéger contre de telles vulnérabilités.

Source : https://lnkd.in/eqZ_TH-T

Google’s Threat Analysis Group (TAG) a récemment perturbé une campagne de malware menée par un groupe de menaces lié à la Russie, connu sous le nom de Coldriver.

Cette campagne se distinguait par son utilisation de fichiers PDF comme appâts.

Dans ces fichiers, les textes semblaient chiffrés.

Lorsque les victimes ciblées essayaient d’ouvrir ces fichiers, elles étaient redirigées vers un soi-disant outil de « décryptage ».

En réalité, cet outil était un backdoor nommé SPICA, développé par Coldriver.

Ce malware est capable d’exécuter des commandes, de voler des cookies de navigateur et d’exfiltrer des documents.

La campagne visait principalement des individus hautement placés dans des ONG, d’anciens officiels du renseignement et militaires, ainsi que des gouvernements de l’OTAN

Points clés du rapport :

– Évolution des Tactiques : COLDRIVER, auparavant concentré sur le phishing de données d’identification, a maintenant élargi son répertoire pour inclure la distribution de logiciels malveillants.

Cela marque une escalade significative dans leurs capacités d’espionnage cybernétique.

– Méthode de Distribution de Malware :

Le groupe utilise des documents PDF comme appâts.

Initialement, ils envoient des PDF qui semblent bénins et chiffres.

Si la cible signale qu’elle ne peut pas lire le document, un lien vers un prétendu utilitaire de « décryptage » est fourni.

Cet utilitaire est en fait un logiciel malveillant de type backdoor nommé SPICA.

– Backdoor SPICA :

Ce malware, écrit en Rust, utilise JSON via des websockets pour le commandement et le contrôle.

Il peut exécuter des commandes arbitraires, voler des cookies, télécharger/upload des fichiers, et énumérer et exfiltrer des documents.

SPICA dissimule son activité malveillante en affichant un document leurre tout en fonctionnant en arrière-plan.

– Mécanisme de Persistance :

SPICA établit sa persistance sur la machine de la victime via une commande PowerShell obscurcie, créant une tâche planifiée nommée CalendarChecker.

– Chronologie de la Campagne :

TAG a observé l’utilisation de SPICA dès septembre 2023, mais pense que son déploiement remonte au moins à novembre 2022.

– Mesures de Protection :

TAG a réagi en ajoutant tous les domaines et hash malveillants connus aux listes de blocage de la navigation sécurisée de Google.

Ils émettent également des alertes d’attaquants soutenus par des gouvernements aux utilisateurs ciblés et recommandent des mesures de sécurité renforcées.

+ hachages SHA256 ainsi qu’une règle YARA de détection dispos.

Ce type d’activité montre que les groupes de cyberespionnage liés à la Russie adaptent continuellement leurs techniques et développent de nouveaux outils pour cibler des victimes potentielles.

Sources : https://lnkd.in/eFHqtupA + https://lnkd.in/eiqd_dmZ

L’attaque a entraîné le vol d’emails et de pièces jointes de hauts responsables de Microsoft, notamment dans les départements de cybersécurité et juridique.

Microsoft a identifié la brèche le 12 janvier 2024, qui aurait commencé fin novembre 2023.

Les attaquants ont utilisé une attaque par pulvérisation de mots de passe pour accéder aux comptes.

Microsoft a affirmé que l’attaque n’a pas affecté ses systèmes de production, son code source ou ses systèmes d’IA, et qu’elle était en train de notifier les employés affectés.

Midnight Blizzard est connu pour d’autres cyberattaques majeures, y compris celle contre SolarWinds.

1. Le Groupe d’Attaquants:

Le groupe responsable de l’attaque est identifié comme Midnight Blizzard, également connu sous les noms APT29, BlueBravo, Cloaked Ursa, Cozy Bear, et The Dukes.

Ce groupe est associé à la Russie et est connu pour ses cyberattaques complexes et ses opérations de cyberespionnage.

2. Nature de l’Attaque:

L’attaque a été menée via une technique connue sous le nom de « password spraying », qui consiste à utiliser des mots de passe communs pour tenter de se connecter à de nombreux comptes jusqu’à ce qu’un fonctionne.

Les attaquants ont compromis un compte de test non productif chez Microsoft pour obtenir un accès initial.

3. Cibles et Données Compromises:

Les cibles principales de l’attaque étaient les comptes de messagerie d’employés de haut niveau chez Microsoft, y compris ceux travaillant dans les départements de cybersécurité et juridique.

Les attaquants ont réussi à exfiltrer certains e-mails et documents joints.

4. Réponse de Microsoft:

Après avoir détecté l’attaque le 12 janvier 2024, Microsoft a immédiatement pris des mesures pour enquêter, interrompre et atténuer l’activité malveillante.

Ils ont également souligné qu’il n’y avait aucune preuve que l’adversaire ait accédé à des environnements clients, des systèmes de production, du code source ou des systèmes d’IA.

5. Implications de Sécurité:

Bien que l’impact exact de l’attaque ne soit pas complètement divulgué, Microsoft est en train de notifier les employés affectés.

Cet incident souligne l’importance de la sécurité des informations et la menace persistante des acteurs étatiques dans le cyberespace.

6. Historique des Attaques de Midnight Blizzard:

Ce groupe a été précédemment responsable de compromissions majeures, y compris l’attaque de la chaîne d’approvisionnement de SolarWinds et des attaques ciblées contre des clients de Microsoft en utilisant des techniques similaires

Cet incident met en évidence le paysage de menace en constante évolution dans le cyberespace et la nécessité pour les grandes entreprises technologiques de rester vigilantes et proactives dans la défense contre les cyberattaques sophistiquées

Article source sur TheHackerNews : https://lnkd.in/eD4sqC72

La vulnérabilité CVE 2024-21318 est une faille critique d’exécution de code à distance dans Microsoft SharePoint Server.

Elle a une haute gravité avec un score CVSS v3 de 8.8.

Pour exploiter cette vulnérabilité, un attaquant doit être authentifié avec l’autorisation du propriétaire du site sur SharePoint.

Microsoft a publié un correctif pour cette vulnérabilité, disponible via Microsoft Update, Microsoft Update Catalog et Microsoft Download Center.

Cette mise à jour concerne les versions sur site de SharePoint, notamment SharePoint Enterprise Server 2016.

Il n’y a pas d’informations spécifiques indiquant que les versions web de SharePoint dans Microsoft 365 sont affectées.

Microsoft met régulièrement à jour ses services cloud, y compris Microsoft 365, pour traiter les vulnérabilités de sécurité.

Si vous utilisez SharePoint dans le cadre de Microsoft 365, il est probable que les mises à jour de sécurité soient appliquées automatiquement par Microsoft.

Cependant, il est toujours recommandé de vérifier régulièrement les annonces de sécurité de Microsoft et de maintenir vos systèmes à jour.

Voici une proposition de 14 mesures de securité concernant les API :

1. Authentification et Autorisation :

Utilisez des mécanismes d’authentification robustes comme les clés API, OAuth ou JWT.

Mettez en œuvre une autorisation appropriée pour contrôler l’accès aux ressources.

2. Chiffrement HTTPS/TLS :

Chiffrez les communications de l’API en utilisant HTTPS/TLS pour protéger les données en transit contre l’écoute clandestine et les attaques de l’homme du milieu.

3. Validation des Entrées :

Validez et nettoyez toutes les données entrantes pour prévenir les attaques courantes comme l’injection SQL, le cross-site scripting (XSS) et autres injections.

4. Limitation du Taux :

Mettez en œuvre une limitation du taux pour prévenir l’abus, les attaques par déni de service (DDoS) et assurer une utilisation équitable des ressources API.

5. Piste d’Audit et Journaux :

Maintenez des journaux complets des activités de l’API.

Examinez régulièrement les journaux pour détecter et répondre efficacement aux incidents de sécurité.

6. Gestion des Tokens :

Gérez et validez correctement les tokens.

Rafraîchissez les tokens régulièrement, utilisez l’expiration des tokens et mettez en place des mécanismes de stockage sécurisés.

7. Versionnement de l’API :

Utilisez le versionnement pour gérer les changements dans l’API.

Cela garantit la compatibilité ascendante et permet aux clients de migrer progressivement vers de nouvelles versions.

8. Validation du Contenu :

Validez le type de contenu des requêtes entrantes et des réponses pour s’assurer que seul le contenu attendu est traité, prévenant ainsi les attaques comme le spoofing de contenu.

9. Partage des Ressources d’Origine Croisée (CORS) :

Implémentez des en-têtes CORS appropriés pour contrôler quels domaines peuvent accéder à l’API, réduisant ainsi le risque d’attaques par requête de site croisé (CSRF).

10. Sécurité de la Passerelle API :

Utilisez des passerelles API pour une gestion centralisée, l’authentification et la surveillance.

Sécurisez la passerelle contre les vulnérabilités communes.

11. Gestion des Erreurs :

Fournissez des messages d’erreur informatifs mais génériques aux utilisateurs pour éviter d’exposer des informations sensibles.

Enregistrez les erreurs détaillées en interne pour le dépannage.

12. Tests de Sécurité :

Effectuez des évaluations de sécurité régulières, y compris des tests d’intrusion et des revues de code, pour identifier et remédier aux vulnérabilités potentielles.

13. Sécurité des Tiers :

Si vous dépendez d’API tierces, évaluez leurs pratiques de sécurité et assurez-vous qu’elles adhèrent aux normes de l’industrie.

Surveillez et examinez régulièrement leur posture de sécurité.

14. Conformité à la Protection des Données :

Adhérez aux réglementations de protection des données (par exemple, GDPR, HIPAA) et mettez en œuvre des mesures pour protéger la vie privée des utilisateurs, y compris l’anonymisation et le chiffrement des données.

Des vulnérabilités ont été découvertes dans les terminaux de point de vente (PoS) de PAX Technology :

1. Vulnérabilités Découvertes :

L’équipe de STM Cyber R&D a découvert six vulnérabilités de haute gravité qui pourraient conduire à l’escalade de privilèges et à l’exécution de code local depuis le bootloader.

2. Vulnérabilités Spécifiques :

CVE-2023-42134 & CVE-2023-42135 (Score CVSS : 7.6) :

Ces failles permettent l’exécution de code local en tant que root via l’injection de paramètres dans le kernel en mode fastboot, affectant les appareils PAX A920Pro/PAX A50.

CVE-2023-42136 (Score CVSS : 8.8) :

Cette vulnérabilité permet l’escalade de privilèges de n’importe quel utilisateur/application vers l’utilisateur système via une injection de shell dans un service exposé par binder, affectant tous les appareils PoS Android de PAX.

CVE-2023-42137 (Score CVSS : 8.8) :

Elle permet l’escalade de privilèges de l’utilisateur système/shell vers root via des opérations non sécurisées dans le daemon systool_server, affectant tous les appareils PoS Android de PAX.

CVE-2023-4818 (Score CVSS : 7.3) :

Ce problème permet la rétrogradation du bootloader via une tokenisation inappropriée, affectant le PAX A920.

Exploitation et Impact :

L’exploitation réussie de ces faiblesses pourrait permettre aux attaquants d’obtenir des privilèges de root et de contourner les protections de sandbox.

Cela inclut la manipulation des opérations de paiement, comme la modification des montants des transactions.

L’exploitation des CVE-2023-42136 et CVE-2023-42137 nécessite un accès shell à l’appareil, tandis que les autres nécessitent un accès physique USB.

Divulgation et Correction:

Les vulnérabilités ont été divulguées de manière responsable à PAX Technology au début de mai 2023.

Les correctifs ont été publiés par l’entreprise en novembre 2023.

Ces vulnérabilités soulignent le besoin de tests de sécurité continus et de mises à jour, en particulier pour les appareils impliqués dans des opérations sensibles comme les transactions financières.

La divulgation responsable et la correction ultérieure mettent également en évidence l’importance de la collaboration entre les chercheurs en sécurité et les fabricants pour maintenir la sécurité de ces dispositifs.

Alerte de Sécurité : Vulnérabilités des Systèmes GPS et GNSS

Avec les conflits récents, il est devenu évident que les failles des systèmes GPS et GNSS sont désormais connues du grand public, notamment en raison de leur utilisation lors de ces conflits.

Cette exposition accrue augmente le risque d’attaques ciblées sur ces systèmes en 2024, qui sont vitaux pour de nombreuses infrastructures critiques.

Il est impératif que les organisations dépendant de ces systèmes pour la synchronisation horaire ou la navigation prennent des mesures proactives pour sécuriser leurs opérations.

Des attaques sur les systèmes GPS et les systèmes horaires sont à prévoir, et il est crucial de se préparer à de telles éventualités.

Après recherche, j’ai pu trouver des équipements efficaces, dont je reparlerai, qui permettent de sécuriser la distribution de l’heure et que je voudrai vous partager.

Pour une compréhension approfondie de ces risques et pour des conseils sur les mesures de protection, je recommande la consultation du livre blanc suivant, qui fournit des informations détaillées et des solutions pour sécuriser les systèmes critiques dépendant de l’heure.

L’adoption d’équipements spécialisés, comme ceux mentionnés dans ce document, est fortement conseillée pour renforcer la résilience contre de telles menaces.

Livre Blanc recommandé : https://m-url.eu/r-535h + https://miniurl.be/r-535i

Les équipements conseillés : https://www.gorgy-time.com

La sécurité de nos systèmes et infrastructures ne doit pas être prise à la légère.

Une action immédiate est nécessaire pour garantir la continuité et la fiabilité de nos services essentiels.

GitHub a détecté une vulnérabilité de sécurité critique, identifiée comme CVE-2024-0200, le 26 décembre 2023.

Cette vulnérabilité aurait pu permettre un accès non autorisé à des données sensibles dans les conteneurs de production.

En réponse, GitHub a immédiatement résolu le problème et effectué une rotation de plusieurs clés importantes, y compris celles liées à GitHub Actions, GitHub Codespaces et Dependabot.

Une autre vulnérabilité (CVE-2024-0507) a également été traitée, présentant un risque d’escalade de privilèges par injection de commande.

Corrections Apportées :

GitHub a publié des correctifs pour les versions de GitHub Enterprise Server (GHES), y compris les versions 3.8.13, 3.9.8, 3.10.5, et 3.11.3, pour adresser la vulnérabilité de « réflexion non sécurisée » et la possibilité d’exécution de code à distance.

Risques :

1. Accès non autorisé à des données sensibles.

2. Exploitation de vulnérabilités pour des attaques de type exécution de code à distance.

3. Possibilité d’escalade de privilèges par injection de commande.

Mesures à Entreprendre :

1. Importer immédiatement les nouvelles clés fournies par GitHub.

2. S’assurer d’utiliser les versions corrigées de GHES..

3. Examiner les journaux d’accès pour identifier toute activité suspecte.

4. Renforcer la sensibilisation à la sécurité au sein des équipes.

5. Mettre en place des politiques de sécurité robustes, incluant la rotation régulière des mots de passe et des clés.

6. Adopter une surveillance continue des systèmes.

7. Développer un plan de réponse aux incidents de sécurité.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le Federal Bureau of Investigation (FBI) ont averti que les acteurs de la menace utilisant le logiciel malveillant AndroxGh0st créent un botnet pour « l’identification et l’exploitation des victimes dans les réseaux cibles ».

Ce malware basé sur Python, AndroxGh0st, a été documenté pour la première fois par Lacework en décembre 2022, et il a inspiré plusieurs outils similaires tels qu’AlienFox, GreenBot (également connu sous le nom de Maintance), Legion et Predator.

L’outil d’attaque sur le cloud est capable d’infiltrer des serveurs vulnérables à des failles de sécurité connues pour accéder aux fichiers d’environnement Laravel et voler des identifiants pour des applications de haut niveau telles qu’Amazon Web Services (AWS), Microsoft Office 365, SendGrid et Twilio.

Certaines des failles notables exploitées par les attaquants incluent CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) et CVE-2018-15133 (cadre Laravel).

« AndroxGh0st possède de multiples fonctionnalités permettant l’abus SMTP, y compris le balayage, l’exploitation des identifiants et API exposés, et même le déploiement de web shells », a déclaré Lacework. « Pour AWS en particulier, le malware recherche et analyse les clés AWS mais a également la capacité de générer des clés pour des attaques par force brute. »

Ces fonctionnalités rendent AndroxGh0st une menace redoutable qui peut être utilisée pour télécharger des charges utiles supplémentaires et conserver un accès persistant aux systèmes compromis.

Cette évolution survient moins d’une semaine après que SentinelOne a révélé un outil lié mais distinct appelé FBot, qui est utilisé par les attaquants pour pirater des serveurs web, des services cloud, des systèmes de gestion de contenu (CMS) et des plateformes SaaS.

Elle fait également suite à une alerte de NETSCOUT concernant une augmentation significative de l’activité de balayage de botnet depuis mi-novembre 2023, atteignant un pic de près de 1,3 million d’appareils distincts le 5 janvier 2024. La majorité des adresses IP sources sont associées aux États-Unis, à la Chine, au Vietnam, à Taïwan et à la Russie.

« L’analyse de l’activité a révélé une hausse de l’utilisation de serveurs cloud ou d’hébergement bon marché ou gratuits que les attaquants utilisent pour créer des bases de lancement de botnets », a déclaré l’entreprise. « Ces serveurs sont utilisés via des essais, des comptes gratuits ou à bas coût, offrant l’anonymat et un coût de maintenance minimal. »

L’OWASP AI Exchange est une initiative collaborative en open source, visant à promouvoir le développement de normes et de régulations de sécurité en intelligence artificielle (IA) à l’échelle mondiale.

Ce projet fournit une vue d’ensemble complète des menaces, vulnérabilités et contrôles liés à l’IA, dans le but de favoriser l’alignement entre différentes initiatives de normalisation.

Il aborde des sujets tels que l’Acte sur l’IA de l’UE, les normes ISO/IEC liées à la sécurité de l’IA, les top 10 OWASP pour le Machine Learning et les Langage Large Models (LLM), ainsi que l’OpenCRE.

L’objectif est de servir de source de référence pour le consensus, encourager l’alignement et stimuler la collaboration entre les initiatives, non pas pour établir une norme unique, mais pour influencer les normes existantes.

Le document principal de l’OWASP AI Exchange est maintenu et mis à jour régulièrement, incluant les contributions des experts en sécurité de l’IA.

Ces contributions sont cruciales car elles permettent de garder le document pertinent et à jour avec les dernières évolutions du domaine.

L’OWASP AI Exchange encourage activement la participation de la communauté des experts en sécurité de l’IA.

Les contributions peuvent prendre différentes formes, telles que des commentaires, des suggestions, des discussions sur GitHub, et même des modifications directes du document via des pull requests.

Le projet souligne l’importance de la collaboration ouverte et de la mise en commun des connaissances pour faire face efficacement aux défis de sécurité posés par les technologies d’intelligence artificielle en évolution rapide.

Plus d’informations sur le site officiel owaspai.org

WebCopilot est un outil d’automatisation conçu pour l’énumération des sous-domaines et la détection de vulnérabilités sur des sites web.

Fonctionnalités de WebCopilot

Énumération de sous-domaines : Utilise plusieurs outils (comme assetfinder, sublist3r, subfinder, amass, etc.) pour trouver les sous-domaines d’un domaine cible.

Énumération active de sous-domaines : Utilise gobuster et amass pour identifier des sous-domaines supplémentaires.

Extraction de titres et capture d’écrans des sous-domaines actifs : Effectué avec aquatone et httpx.

Exploration des points de terminaison : Utilise waybackurls et gauplus pour trouver des points de terminaison et les filtre avec des modèles gf pour identifier les paramètres XSS, SQLi, SSRF, etc.

Recherche de vulnérabilités : Utilise divers outils open-source (comme dalfox, nuclei, sqlmap, etc.) pour rechercher des vulnérabilités sur les sous-domaines.

Utilisation

Commande de base : webcopilot -d <target> pour lancer une analyse complète sur le domaine cible.
Options supplémentaires :
-o : Spécifie un répertoire pour enregistrer les sorties.
-t : Définit le nombre de threads pour l’analyse.
-b : Utilise un serveur spécifique pour les tests de XSS aveugle.
-x : Exclut certains domaines de l’analyse.
-s : Effectue uniquement l’énumération des sous-domaines.

Installation

Nécessite git pour l’installation.

Commande d’installation : git clone https://github.com/h4r5h1t/webcopilot && cd webcopilot/ && chmod +x webcopilot install.sh && mv webcopilot /usr/bin/ && ./install.sh.

(Attention de vérifier la non présence de code malicieux et d’être sur une machine dédiée au pentest)

Exemple d’utilisation

Pour scanner bugcrowd.com : webcopilot -d bugcrowd.com

Pour enregistrer les résultats dans un dossier spécifique : webcopilot -d bugcrowd.com -o bugcrowd

Avertissement ! Cet outil doit être utilisé avec prudence et de manière responsable.

WebCopilot est un outil puissant pour les professionnels de la sécurité informatique et les chercheurs en bug bounty, facilitant l’identification et l’analyse de vulnérabilités sur des sites web.

Juniper Networks a révélé une vulnérabilité critique d’exécution de code à distance (RCE) dans ses pare-feux de la série SRX et ses commutateurs de la série EX.

La vulnérabilité est identifiée sous le nom de CVE-2024-21591 et a un niveau de gravité élevé de 9,8 sur l’échelle CVSS.

Ce défaut de sécurité, causé par une écriture hors limites dans J-Web du système d’exploitation Junos, peut permettre à un attaquant non authentifié d’exécuter du code à distance et d’obtenir des privilèges root.

Juniper, qui est en cours d’acquisition par Hewlett Packard Enterprise, a noté que la vulnérabilité est due à l’utilisation d’une fonction non sécurisée.

Les versions affectées sont les versions de Junos OS antérieures à 20.4R3-S9, parmi d’autres, avec des correctifs disponibles dans les versions ultérieures.

Il est conseillé aux utilisateurs de mettre à jour ou de désactiver J-Web et de restreindre l’accès aux hôtes de confiance comme mesures temporaires.

En outre, Juniper Networks a résolu un autre bug de haute gravité, CVE-2024-21611, qui représentait également un risque d’attaque par déni de service (DoS).

Les vulnérabilités ont été signalées comme exploitées dans le monde réel, suite à des attaques précédentes sur les pare-feux SRX et les commutateurs EX de Juniper.

Le rapport couvre également d’autres actualités en matière de cybersécurité, y compris des menaces contre diverses plateformes et des mises à jour sur des activités d’espionnage cybernétique.

Plus d’information sur HackerNews : https://lnkd.in/ef_K2sQT

Le « Défi Cyber: Détection d’images falsifiées ou générées » est un concours axé sur la détection d’images manipulées ou générées par intelligence artificielle.

il vise à stimuler l’innovation dans le domaine de la cybersécurité et à relever les défis posés par les avancées technologiques en matière de création d’images.

Le défi implique plusieurs phases, y compris la soumission de candidatures, la sélection des participants, et une phase d’évaluation.

L’objectif est de développer des solutions efficaces pour identifier les images falsifiées, contribuant ainsi à la sécurité et à l’intégrité de l’information dans un contexte numérique en évolution rapide.

Vous disposez d’une solution ou d’une brique technologique permettant la détection d’images falsifiées ou générées ?

Participez au Défi Cyber « Détection d’images falsifiées ou générées » lancé par l’Agence de l’innovation de défense et le Commandement de la cyberdéfense

Plus d’informations et modalités sur
https://lnkd.in/ewvqXcAC

DMA ou Digital Markets Act est une réglementation de l’Union européenne.

Le DMA a été établi pour empêcher les grandes entreprises technologiques d’abuser de leur pouvoir de marché et pour permettre aux plus petites entreprises et aux nouveaux acteurs d’entrer sur le marché.

Il vise spécifiquement les grandes entreprises technologiques, les classant en tant que « gatekeepers » selon certains critères, comme leur nombre d’utilisateurs, leur capitalisation, leur pouvoir de marché ou leur chiffre d’affaires.

Ces « gatekeepers » incluent des entreprises comme Apple, Google, Facebook et Amazon.

Le DMA impose des obligations nouvelles à ces entreprises pour protéger le bien-être des consommateurs et rétablir une concurrence équitable sur le marché numérique européen.

Il couvre huit secteurs différents, considérés comme problématiques en raison de la présence de ces « gatekeepers », y compris les moteurs de recherche en ligne, les services d’intermédiation en ligne, les réseaux sociaux, les plateformes de partage de vidéos, les plateformes de communication, les services publicitaires, les systèmes d’exploitation et les services cloud.

Le DMA a été adopté par le Parlement européen le 5 juillet 2022 et par le Conseil de l’UE le 19 juillet 2022.

Il est entré en vigueur le 1er novembre 2022, avec une application prévue à partir du 2 mai 2023.

Les entreprises identifiées comme « gatekeepers » auront 6 mois pour se conformer à la réglementation une fois qu’elles auront été officiellement désignées comme telles par la Commission européenne.

Le DMA met un accent particulier sur la protection des données personnelles des utilisateurs, exigeant le consentement explicite des utilisateurs pour la collecte de leurs données personnelles.

Il impose des restrictions strictes sur la combinaison des données des utilisateurs à travers les différentes plateformes opérées par les « gatekeepers » et entre les plateformes détenues par un « gatekeeper » et des plateformes tierces.

La Directive NIS2 marque une avancée cruciale dans la législation européenne de cybersécurité, renforçant la protection des réseaux et des systèmes d’information dans l’UE.

Cette directive, qui étend et révise la Directive NIS de 2016, élargit considérablement son champ d’application.

Des secteurs clés comme l’énergie, les transports, la banque, la santé, et bien d’autres, sont désormais sous son aile.

Cette extension implique que davantage d’organisations doivent se conformer à des normes de cybersécurité plus strictes, un pas crucial pour protéger nos infrastructures essentielles.

NIS2 exige des mesures de sécurité renforcées et une notification rapide des incidents de cybersécurité.

Ces nouvelles règles visent à améliorer la prévention et la réponse aux cyberattaques, une nécessité dans notre monde numériquement connecté.

L’un des aspects les plus notables de NIS2 est l’introduction de sanctions plus lourdes pour les manquements à ces normes.

Les amendes et pénalités ont été substantiellement augmentées, soulignant l’importance cruciale de la conformité.

De plus, NIS2 encourage une coopération accrue entre les États membres de l’UE dans la lutte contre les cybermenaces, un aspect fondamental pour une réponse efficace et coordonnée.

La Directive NIS2 représente un engagement fort de l’UE pour améliorer la résilience cybersécuritaire.

Elle ne se contente pas de poser des exigences strictes aux entreprises, mais forge également une collaboration plus étroite entre les États membres, nous rapprochant d’une Europe plus sûre et résistante face aux défis numériques.

Introduction :

La cybersécurité est devenue l’un des enjeux les plus critiques pour les organisations à l’ère numérique.

La protection des données sensibles, la détection des menaces et la gestion de la continuité des activités sont autant de défis cruciaux.

Dans cet univers complexe, une organisation de cybersécurité efficace est essentielle pour maintenir la confiance des clients, des partenaires et la pérennité des opérations.

Découvrons en détail les piliers qui construisent cette forteresse numérique.

Composantes principales d’une organisation de cybersécurité :

• Gouvernance de la sécurité de l’information (ISG – Information Security Governance) : Cette composante stratégique est responsable de la définition de la stratégie de sécurité de l’information, de l’établissement de politiques de sécurité et de l’alignement des objectifs de sécurité avec ceux de l’organisation.
  
  Elle assure la supervision générale de la cybersécurité.
  
• Analyse des risques (RA – Risk Analysis) : L’analyse des risques est chargée d’identifier, d’évaluer et de gérer les menaces et les vulnérabilités qui peuvent affecter la sécurité de l’information.Elle permet de prioriser les mesures de sécurité en fonction de l’impact potentiel sur l’organisation.
  
• SOC (Security Operations Center) : Le SOC est une composante centrale de la sécurité de l’information d’une organisation.
  
  C’est un centre opérationnel qui surveille en temps réel les activités du réseau, des systèmes informatiques et des applications pour détecter, analyser et répondre aux menaces de sécurité.Il est souvent considéré comme le « poste de commandement » central de la sécurité.
  
• CSIRT (Computer Security Incident Response Team) : Le CSIRT est une équipe dédiée à la gestion des incidents de sécurité informatique au sein d’une organisation.Sa mission principale est de détecter, d’analyser, de coordonner la réponse et d’atténuer les risques liés aux incidents de sécurité.
  
• CERT (Computer Emergency Response Team) : Le CERT est une équipe spécialisée dans la gestion des incidents de sécurité informatique, notamment les incidents graves et complexes.Son rôle principal est de détecter, d’analyser et de répondre efficacement aux menaces et aux incidents qui pourraient compromettre la sécurité de l’organisation.
  
• Formation et Sensibilisation à la Sécurité de l’Information (SA – Security Awareness) : Le programme de Formation et Sensibilisation à la Sécurité de l’Information est un élément crucial de la gestion de la sécurité au sein d’une organisation.Il vise à éduquer et à sensibiliser les employés à l’importance de la sécurité de l’information et à leur rôle dans la protection des actifs de l’entreprise.
  
• Politiques de Sécurité (SP – Security Policies) : Les politiques de sécurité sont un élément central de la gestion de la sécurité de l’information au sein d’une organisation.Elles constituent un ensemble de règles, de directives et de principes qui définissent le cadre général de la sécurité informatique et qui guident les pratiques de sécurité au sein de l’organisation.
  
• Documentation de Sécurité (SD – Security Documentation) : La documentation de sécurité est une composante essentielle de la gestion de la sécurité de l’information au sein d’une organisation.
  
  Elle regroupe tous les documents, procédures et directives liés à la sécurité de l’information, et elle fournit un cadre structuré pour la mise en œuvre des politiques de sécurité.
  
• Conformité aux Normes de Cybersécurité : La conformité aux normes de cybersécurité spécifiques est un aspect crucial de la gestion de la sécurité de l’information au sein d’une organisation.
  
  Ces normes sont des ensembles de règles, de pratiques et de directives établies pour garantir que les meilleures pratiques en matière de sécurité sont mises en œuvre pour protéger les systèmes, les données et les informations sensibles.
  
• Analyse des Risques liés aux Technologies de l’Information (TIA – IT Risk Analysis) : Cette composante essentielle de la cybersécurité se concentre spécifiquement sur l’évaluation des risques associés aux technologies de l’information (TI) au sein de l’organisation.Elle vise à identifier, évaluer et gérer les menaces et les vulnérabilités qui pourraient affecter la sécurité, l’intégrité, la disponibilité et la confidentialité des systèmes et des données informatiques.
  
• Plan de Continuité d’Activité (PCA – BCP – Business Continuity Plan) : Le Plan de Continuité d’Activité (PCA) est un élément central de la gestion de la continuité des activités au sein d’une organisation.Son objectif principal est de garantir que l’entreprise puisse maintenir ses opérations essentielles en dépit de perturbations majeures ou d’événements imprévus, tels qu’une catastrophe naturelle, une panne de réseau, une cyberattaque, ou toute autre situation critique.

• Plan de Reprise d’Activité (PRA – DRP – Disaster Recovery Plan) : Le Plan de Reprise d’Activité (PRA) est un élément essentiel de la cybersécurité qui vise à garantir la continuité des opérations de l’organisation en cas de sinistre majeur, de catastrophe naturelle, d’incident de sécurité grave ou de tout autre événement entraînant une perturbation significative des systèmes informatiques et des données.
  
  Le PRA définit des procédures détaillées pour restaurer rapidement les systèmes informatiques, les applications critiques et les données essentielles à l’entreprise.

• Contrôles de Sécurité de l’Information (ISO 27001) : En parallèle, dans le cadre d’ISO 27001, des contrôles de sécurité de l’information sont mis en place pour évaluer la conformité aux politiques et aux normes de sécurité.Ces contrôles sont définis dans l’Annexe A de la norme ISO 27001 et couvrent un large éventail de domaines, tels que la politique de sécurité de l’information, la gestion des accès, la cryptographie, la sécurité physique, etc.
  
  Ces contrôles de sécurité de l’information sont intégrés au système de gestion de la sécurité de l’information (SGSI) de l’organisation et servent à définir les mesures spécifiques à mettre en œuvre pour protéger les actifs de l’information.
  
  Ils constituent un cadre essentiel pour garantir la sécurité des données et la conformité aux normes de sécurité.
  
  En parallèle, des évaluations de conformité sont réalisées à l’aide de fiches de contrôle spécifiques qui sont utilisées pour documenter les résultats des évaluations, des audits internes et des revues de conformité. Ces fiches de contrôle aident les organisations à suivre leur progression dans la mise en œuvre des contrôles de sécurité de l’information et à identifier les domaines nécessitant des améliorations

Éléments complémentaires :

1. Tests d’intrusion (Pentests) : Ces évaluations approfondies de la sécurité des systèmes consistent à simuler des attaques pour identifier les vulnérabilités et les faiblesses de la sécurité. Les tests d’intrusion aident à comprendre comment un attaquant potentiel pourrait exploiter les failles et à prendre des mesures pour les corriger.
   
2. Gestion des identités et des accès (IAM – Identity and Access Management) : IAM implique la gestion des droits d’accès aux systèmes et aux données. Il garantit que seules les personnes autorisées ont accès aux informations sensibles, réduisant ainsi les risques liés à la mauvaise utilisation des données.
   
3. Sécurité des applications : Cette composante vise à prévenir les vulnérabilités logicielles en intégrant la sécurité dans le processus de développement des applications. Cela inclut la vérification du code, la validation des entrées utilisateur et la mise en place de pare-feu applicatifs.
   
4. Surveillance avancée des menaces : La surveillance avancée des menaces utilise des technologies telles que l’analyse comportementale et l’intelligence artificielle pour détecter les menaces complexes qui pourraient échapper à la détection traditionnelle. Elle permet une réponse plus rapide aux incidents.
   
5. Gestion des vulnérabilités : Cette composante implique l’identification continue des vulnérabilités dans les systèmes et les logiciels. Une fois identifiées, les vulnérabilités sont évaluées et corrigées pour réduire les risques de compromission.
   
6. Sécurité physique : La sécurité physique englobe la protection des installations et des infrastructures physiques, y compris les centres de données, les serveurs, les équipements critiques et les locaux de l’entreprise. Cela comprend également la surveillance vidéo, l’accès sécurisé et la gestion des visiteurs.
   
7. Gestion des incidents de conformité : En cas de non-conformité aux réglementations ou aux politiques de sécurité, cette composante gère les enquêtes, les audits internes et les actions correctives nécessaires pour se conformer aux exigences légales et internes.
   
8. Formation en réponse aux incidents : La formation en réponse aux incidents prépare les équipes à réagir efficacement en cas d’incident de sécurité. Cela inclut la formation sur les procédures de réponse aux incidents, la communication avec les parties prenantes et la coordination des efforts de rétablissement.
   
9. Sécurité des fournisseurs et des tiers : Étant donné que de nombreuses organisations dépendent de fournisseurs et de partenaires externes, cette composante évalue les risques liés à la cybersécurité chez les tiers et met en place des mécanismes de protection pour garantir la sécurité des interactions.
   
10. Sauvegarde et récupération des données : La sauvegarde et la récupération des données visent à minimiser les pertes de données en cas de défaillance matérielle, de sinistre ou d’attaque. Les données critiques sont sauvegardées régulièrement et peuvent être restaurées en cas de besoin.

Chacune de ces composantes joue un rôle essentiel dans la construction d’une posture de cybersécurité solide et résiliente pour une organisation.

Ensemble, elles contribuent à réduire les risques, à détecter les menaces et à garantir la protection des actifs numériques

Conclusion :

Dans un monde où les menaces cybernétiques sont omniprésentes, une organisation de cybersécurité solide est un pilier essentiel.

De la gouvernance à la protection des données, de la détection des menaces à la continuité des activités, chaque composante est un maillon de la chaîne.

En intégrant ces éléments, une organisation peut prospérer dans le monde numérique tout en protégeant son patrimoine et sa réputation.

La cybersécurité n’est plus une option, mais une nécessité.

Elle constitue la première ligne de défense pour l’avenir numérique de toute entreprise.

Avis :

Qu’en pensez-vous ?

Comment auriez-vous structuré ou présenté les choses ?

Y a il un élément manquants ou à ajuster selon vous ?

Dans quel secteur de l’industrie de la cybersécurité intervenez-vous le plus souvent, et quels secteurs considérez-vous comme prioritaires en matière de sécurité ?

Vers une augmentation des cyberattaques sur les entreprises, organisations non liées aux Jeux Olympiques, et les infrastructures françaises pendant la période des Jeux Olympiques de 2024 à Paris ?

Les grands événements comme les Jeux Olympiques attirent souvent une attention accrue des cybercriminels.

Cette augmentation de l’activité cybernétique peut déborder sur d’autres cibles, y compris des entreprises et des infrastructures non directement liées à l’événement et vers des particuliers.

Les organisations de sécurité et de cybersécurité pourraient être plus concentrées sur la protection des infrastructures liées aux Jeux, créant potentiellement des opportunités pour les attaquants de cibler d’autres entités.

Des acteurs malveillants pourraient utiliser la période entourant les Jeux Olympiques comme une chance de tester leurs capacités d’attaque sur d’autres cibles en France, tirant parti de l’attention médiatique et de la tension sécuritaire accrue.

Certaines attaques pourraient être motivées par des intentions politiques ou idéologiques, cherchant à déstabiliser ou à protester contre la France pendant une période de haute visibilité internationale.

Il est donc important pour les entreprises, organisations et infrastructures françaises de renforcer leurs mesures de cybersécurité et de rester vigilants pendant cette période, même si elles ne sont pas directement impliquées dans les Jeux Olympiques.

L’ANSSI a publié fin août le rapport « La menace cyber pendant les JO2024 »

Ce dernier est principalement axé sur la sécurité des Jeux Olympiques et Paralympiques de 2024 à Paris et se concentre sur les risques spécifiques associés à cet événement d’envergure mondiale, prenant en compte sa popularité, sa visibilité médiatique et son contexte géopolitique.

Voici mes recommandations avant cette période :

– Conduire des analyses de risques sur les applications et processus les plus essentiels ou critiques.

– Effectuer des tests d’intrusion pour détecter et corriger les failles de sécurité.

– Élaborer et tester des plans de reprise et de continuité pour assurer la résilience des opérations en cas d’attaque cybernétique.

– Mettre en œuvre une stratégie de sauvegarde robuste, comprenant des sauvegardes régulières et sécurisées des données essentielles. Les sauvegardes doivent être stockées hors ligne ou dans un environnement séparé pour les protéger contre les attaques comme les ransomwares.

– Renforcer la sensibilisation à la cybersécurité du personnel est essentiel en amont et sur cette période.

Agir dès maintenant et avant les jeux est essentiel.

Le fuzzing est une technique de test logiciel qui consiste à bombarder un système avec une variété de données aléatoires, inattendues ou mal formées.

Cette méthode vise à découvrir des vulnérabilités, des bugs ou des comportements anormaux dans les logiciels ou les systèmes.

La première étape est d’identifier la cible, qui peut être une application, un protocole réseau, ou même un système d’exploitation entier.

Les données de test peuvent être totalement aléatoires, ou être générées selon des modèles plus sophistiqués qui visent à tester des scénarios spécifiques.

L’étape suivante consiste à injecter ces données dans le système cible et à observer les réactions.

Le but est de repérer des comportements inhabituels, tels que des plantages, des fuites de mémoire, ou d’autres dysfonctionnements qui peuvent indiquer la présence de vulnérabilités.

American Fuzzy Lop ou AFL est réputé pour son efficacité. Il utilise des techniques d’instrumentation de code pour découvrir rapidement des zones de code non testées. Sa capacité à générer automatiquement des cas de test qui maximisent la couverture du code est particulièrement appréciée.

LibFuzzer est un autre outil de fuzzing notable. Il se concentre sur les bibliothèques, permettant ainsi aux développeurs de cibler spécifiquement les composants de leur logiciel.

Radamsa se démarque par sa polyvalence. C’est un outil de fuzzing généraliste capable de tester une grande variété d’applications et de formats. Sa facilité d’utilisation et sa robustesse en font un choix populaire.

Peach Fuzzer offre une plateforme de fuzzing flexible et modulable. Il permet aux utilisateurs de créer des tests sophistiqués pour une large gamme d’applications comprenant protocoles réseau et interfaces web.

Le populaire Boofuzz est un descendant de Sulley. Il se distingue par son interface utilisateur intuitive, qui simplifie le processus de configuration des sessions de fuzzing, en particulier pour les protocoles réseau.

Honggfuzz est un fuzzer robuste. Il se concentre sur la détection de multiples types de vulnérabilités comprenant les défaillances liées à la mémoire et à la logique du programme.

Syzkaller conçu pour le fuzzing noyaux est un outil incontournable pour les développeurs travaillant sur des systèmes comme Linux. Il permet de détecter des problèmes profondément ancrés dans le code du noyau.

OSS-Fuzz fournit une infrastructure complète pour le fuzzing open-source. Cet outil sert à améliorer la sécurité de nombreux projets logiciels importants en détectant rapidement les vulnérabilités.

ClusterFuzz se distingue par sa capacité à fonctionner à grande échelle.Idéal pour les projets de grande envergure.

Enfin, Jazzer est un outil récent qui apporte le fuzzing dans l’écosystème Java. […]

En mettant en lumière ces faiblesses, le fuzzing aide les développeurs à renforcer la sécurité et la stabilité de leurs systèmes, en corrigeant les bugs avant qu’ils ne puissent être exploités malicieusement.

De multiples vulnérabilités ont été découvertes dans OpenSSH.

Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à l’intégrité des données, un déni de service à distance et un contournement de la politique de sécurité.

Risque(s)

Exécution de code arbitraire à distance
Contournement de la politique de sécurité
Atteinte à l’intégrité des données
Déni de service à distance

Systèmes affectés

OpenSSH versions antérieures à 9.6

Références

CERT-FR https://lnkd.in/eHdTZYBZ
Bulletin de sécurité OpenSSH du 18 décembre 2023 https://lnkd.in/exrwx-aB
Référence CVE CVE-2023-48795 https://lnkd.in/ejpdwbHb
Référence CVE CVE-2023-51384 https://lnkd.in/evnJSjfg
Référence CVE CVE-2023-51385 https://lnkd.in/ehQTpYYm

CVE-2023-6817 est une vulnérabilité de type « use-after-free » dans le composant `nf_tables` du noyau Linux, plus précisément dans la fonction `nft_pipapo_walk`.

Cette vulnérabilité permet à des utilisateurs locaux non privilégiés d’escalader leurs privilèges et potentiellement de prendre le contrôle total du système.

Elle a été évaluée comme étant de haute gravité avec un score de 7.8 sur l’échelle CVSS (Common Vulnerability Scoring System).

Le NetFilter, qui est le sous-système affecté, est une partie critique du noyau Linux qui gère le flux des paquets de données dans les piles réseau.

La vulnérabilité peut conduire à des conditions où la mémoire déjà libérée est réutilisée, ce qui peut être exploité par un attaquant pour causer des crashs d’applications, des fuites d’informations ou une élévation de privilèges.

Pour corriger cette faille, des mises à jour du noyau Linux ont été publiées.

Les utilisateurs et administrateurs de systèmes Linux sont conseillés de mettre à jour leurs systèmes avec les derniers correctifs de sécurité pour se protéger contre de telles vulnérabilités.

11 million de serveurs ssh seraient vulnérables..

L’article de recherche intitulé « Terrapin Attack: Breaking SSH Channel Integrity » par Fabian Bäumer, Marcus Brinkmann, et Jörg Schwenk de l’Université de Bochum daté du 19 décembre 2023 décrit une vulnérabilité de sécurité dans le protocole SSH (Secure Shell).

L’attaque, nommée « Terrapin Attack », exploite des faiblesses dans la gestion des numéros de séquence et le chiffrement des données par SSH.

Cette vulnérabilité permet à un attaquant de compromettre l’intégrité des communications chiffrées SSH.

L’attaque Terrapin exploite une vulnérabilité dans le protocole SSH. Elle se concentre sur les numéros de séquence et le chiffrement des données.

L’attaque permet à un intrus de manipuler les données transmises via SSH en insérant ou supprimant des données de telle manière que le destinataire ne se rend pas compte de la modification.

Cela entraîne une violation de l’intégrité des données chiffrées, permettant potentiellement à l’attaquant d’accéder ou de manipuler des informations sensibles transmises via SSH.

OpenSSH est vulnérable à l’attaque Terrapin.

Les chercheurs ont confirmé que cette technique fonctionne avec OpenSSH versions 9.4p1 et 9.5p1, ainsi que d’autres implémentations SSH comme Dropbear et PuTTY.

L’attaque Terrapin permet de supprimer des paquets au début du canal SSH sans que le client ou le serveur ne s’en rende compte.

Cela inclut la possibilité de compromettre la négociation des extensions SSH, ce qui peut avoir des implications sur la sécurité, comme la désactivation de contre-mesures contre les attaques de timing de frappe introduites dans OpenSSH 9.5.

Néanmoins, les expériences ont montré que OpenSSH 9.5p1 reconnaît un dépassement des numéros de séquence et termine la connexion, ce qui le rend non affecté par les techniques avancées de l’attaque Terrapin.

Le papier: https://terrapin-attack.com/TerrapinAttack.pdf

Le site de référence https://terrapin-attack.com

Pour remédier à l’attaque Terrapin sur SSH, plusieurs mesures peuvent être prises :

Assurez-vous que les implémentations SSH comme OpenSSH sont à jour avec les dernières versions qui peuvent contenir des correctifs pour cette vulnérabilité.

Évitez les modes de chiffrement vulnérables aux attaques de type prefix truncation. Privilégiez des modes de chiffrement plus robustes et modernes.

Renforcez la vérification de l’intégrité des données au sein des canaux SSH pour détecter toute manipulation non autorisée des paquets de données.

Restreignez l’accès aux serveurs SSH aux seuls utilisateurs et réseaux nécessaires, réduisant ainsi la surface d’attaque potentielle.

Mettez en place des systèmes de surveillance et de détection des anomalies dans les communications SSH pour identifier rapidement toute activité suspecte.

Informez les administrateurs système et les utilisateurs sur les risques de sécurité liés à SSH et sur les bonnes pratiques à adopter.

Effectuez régulièrement des audits de sécurité et des tests d’intrusion pour identifier et corriger les vulnérabilités.

La version 2.5 de Nikto est sortie.

Nikto est un outil de test de sécurité open source qui permet d’effectuer des tests complets sur vos serveurs web.

Il scanne les serveurs pour trouver des fichiers dangereux, des configurations incorrectes, et des vulnérabilités de sécurité connues parmis plus de 6700 éléments.

Cet outil est largement utilisé dans les audits de sécurité et les tests d’intrusion pour aider à identifier les risques potentiels sur les serveurs web.

Nikto est facile à utiliser et supporte la détection de versions de logiciels potentiellement obsolètes, ainsi que la présence de fichiers par défaut spécifiques à de nombreux serveurs web.

En quelques points clés :

– Plus de 6700 tests de sécurité et vulnérabilités connus.

– Détection de versions de logiciels obsolètes.

– Identification de fichiers par défaut potentiellement dangereux.

– Scans de serveurs web à la recherche de multiples problèmes de sécurité.

Ses capacités sont constamment mises à jour avec l’ajout de nouvelles vulnérabilités et de nouveaux tests.

Nikto est hautement personnalisable, ce qui permet aux utilisateurs de spécifier des tests spécifiques et de les adapter à leurs besoins.

Les bases de données de vulnérabilités, telles que celles utilisées par des outils comme Nikto, peuvent être libres ou propriétaires selon leur source.

Les bases de données ouvertes et libres comme l’Open Vulnerability and Assessment Language (OVAL) ou le National Vulnerability Database (NVD), qui est géré par le National Institute of Standards and Technology (NIST), sont accessibles gratuitement et peuvent être utilisées pour informer les outils de sécurité des vulnérabilités connues.

Cependant, certaines bases de données de vulnérabilités sont maintenues par des organisations privées et nécessitent un abonnement ou un paiement pour accéder à leurs informations complètes.

Ces bases de données peuvent offrir des informations supplémentaires, des services de notification, ou des analyses spécialisées qui ne sont pas disponibles dans les sources libres.

Nikto, en particulier, utilise une base de données de vulnérabilités qui est mise à jour par la communauté et est disponible gratuitement.

Les utilisateurs peuvent contribuer à cette base de données en ajoutant de nouvelles vulnérabilités à mesure qu’elles sont découvertes.