Mes articles et publications.
Wazuh : Une Solution Open Source pour une Sécurité Informatique Avancée et Complète »
Wazuh est une plateforme de sécurité open source, largement reconnue pour sa capacité à détecter des menaces, surveiller l’intégrité des systèmes, et assurer la conformité réglementaire.
Elle est conçue pour aider les entreprises à renforcer leur sécurité informatique en fournissant des outils avancés de gestion des incidents, d’analyse de données, et de réponse aux menaces.
Wazuh fournit une détection en temps réel des menaces en utilisant des règles de corrélation avancées et des modèles d’analyse des comportements.
La solution assure une surveillance continue de l’intégrité des fichiers et des configurations critiques des systèmes et aide également à se conformer aux exigences réglementaires telles que PCI-DSS, GDPR, et plus encore, en facilitant l’audit et le reporting.
Open Source, Wazuh offre une flexibilité maximale, permettant aux organisations de personnaliser et de modifier la solution pour répondre à leurs besoins spécifiques et s’intègre aisément avec une variété d’outils et de solutions de sécurité existants, offrant ainsi une vue holistique de la posture de sécurité d’une organisation.
Voici une liste des principales fonctionnalités de Wazuh :
1. Détection des Menaces : Utilise des règles avancées pour identifier des activités suspectes ou malveillantes.
2. Surveillance de l’Intégrité des Fichiers : Contrôle les changements dans les fichiers et les configurations systèmes.
3. Analyse des Logs : Collecte et analyse les logs pour la détection des anomalies.
4. Conformité Réglementaire : Aide à respecter diverses normes comme PCI-DSS, GDPR, et HIPAA.
5. Réponse aux Incidents : Offre des outils pour une réponse rapide et efficace aux incidents de sécurité.
6. Surveillance de la Sécurité des Conteneurs : Assure la sécurité dans les environnements de conteneurs comme Docker.
7. Détection des Rootkits : Permet la détection de rootkits, assurant ainsi une protection supplémentaire contre les menaces cachées.
8. Évaluation de la Vulnérabilité : Identifie les vulnérabilités dans les systèmes et les applications.
9. Intégration avec des Systèmes Externes : Compatibilité avec d’autres outils de sécurité et de surveillance.
10. Reporting et Alertes : Génère des rapports détaillés et configurable des alertes pour les événements critiques.
11. Support des Plateformes Cloud : Compatible avec les environnements cloud comme AWS, Azure, et GCP.
12. Interface Utilisateur Web : Offre une interface web pour une gestion et une visualisation facile.
13. Surveillance Active : Inclut une surveillance active pour détecter des comportements anormaux ou des configurations non sécurisées.
Ces fonctionnalités font de Wazuh un outil complet et polyvalent pour la sécurité informatique.
Sécurité de l’IA : Top 10 des Attaques et Stratégies de Mitigation pour les Systèmes d’Intelligence Artificielle
Les attaques contre les systèmes d’intelligence artificielle (IA) sont diverses et complexes.
Voici dix des attaques les plus connues et les stratégies de mitigation correspondantes :
1. Attaques par Adversarial Examples :
Ces attaques utilisent des entrées spécialement conçues pour tromper les modèles d’IA.
Mitigation : Utiliser l’apprentissage robuste et la défense par distillation de modèle, où le modèle est entraîné pour résister aux exemples adverses.
2. Attaques de Poisoning :
Elles consistent à injecter des données malveillantes dans le jeu de données d’entraînement.
Mitigation : Sanitization des données d’entraînement pour détecter et éliminer les données empoisonnées.
3. Attaques par Model Inversion :
Visant à extraire des informations sensibles à partir du modèle lui-même.
Mitigation : Utiliser des techniques comme la confidentialité différentielle pour limiter l’information que le modèle peut révéler.
4. Attaques de Backdoor/Trojan :
Insérer un trigger caché dans le modèle pour provoquer des comportements spécifiques.
Mitigation : Inspections régulières du modèle et utilisation de techniques de nettoyage des modèles.
5. Attaques par Extraction de Modèle:
Tentatives de reproduction ou de clonage d’un modèle d’IA propriétaire.
Mitigation : Limiter l’accès aux prédictions du modèle et ajouter du bruit aux sorties pour brouiller les tentatives d’extraction.
6. Attaques par Evasion : Modification des entrées pour échapper à la détection (par exemple, dans la détection de malware).
Mitigation : Utiliser des modèles d’apprentissage automatique qui sont sensibles aux changements subtils dans les entrées.
7. Atttaques de Flooding ou DDoS :
Surcharger le système d’IA avec de fausses requêtes pour le rendre inopérant.
Mitigation : Mettre en place des contrôles de taux et une surveillance continue pour détecter et atténuer de telles attaques.
8. Attaques de Membership Inference :
Déterminer si une donnée spécifique a été utilisée dans l’entraînement d’un modèle.
Mitigation : Concevoir des modèles qui ne révèlent pas d’informations sur leurs données d’entraînement.
9. Attaques par Injections SQL dans des Systèmes IA :
Exploiter les vulnérabilités des systèmes pour injecter ou manipuler des données.
Mitigation : Utiliser des pratiques de codage sécurisées et valider toutes les entrées dans les systèmes d’IA.
10. Attaques par Man-in-the-Middle :
Intercepter ou altérer les données entre l’utilisateur et le système d’IA.
Mitigation : Utiliser le chiffrement, la sécurisation des canaux de communication pour prévenir l’interception des données et des mécanisme de signature et de contrôle d’intégrité.
Ces attaques et leurs mitigations nécessitent une compréhension approfondie des modèles d’IA et des pratiques de sécurité robustes.
La prévention et la détection précoces sont essentielles pour maintenir l’intégrité et la sécurité des systèmes d’IA d’aujourd’hui et de demain.
Vulnérabilité Majeure CVE-2023-46604 dans Apache ActiveMQ et Prolifération de la Webshell Godzilla
Alerte de Sécurité Critique : Vulnérabilité CVE-2023-46604 dans Apache ActiveMQ et Menace de la Godzilla Webshell
1. Nature de la Vulnérabilité :
Il s’agit d’une faille critique dans Apache ActiveMQ, liée à des pratiques de désérialisation non sécurisées dans le protocole OpenWire.
2. Conséquences de l’Exploitation :
Cette vulnérabilité permet aux attaquants d’exécuter des commandes arbitraires sur les systèmes cibles, ouvrant la voie à divers types d’attaques malveillantes, y compris l’installation de logiciels malveillants comme des crypto-mineurs, des rootkits, des rançongiciels et des chevaux de Troie.
3. Découverte par Trustwave :
L’équipe de Trustwave a repéré un fichier JSP suspect sur un serveur client utilisant une version vulnérable d’ActiveMQ.
Ce fichier, caché dans un format binaire non identifié, a la capacité de passer inaperçu par les outils de sécurité standard.
4. Implication de Godzilla Webshell :
Le code malveillant détecté est associé à la web shell open-source Godzilla.
Une fois déployée, cette web shell permet à l’attaquant de contrôler entièrement le système compromis.
5. Versions d’Apache ActiveMQ Affectées :
Plusieurs versions d’ActiveMQ sont touchées par cette vulnérabilité.
La mise à jour vers les versions sécurisées – 5.15.16, 5.16.7, 5.17.6 ou 5.18.3 – est fortement recommandée.
6. Indicateurs de Compromission :
Pour aider à identifier les compromissions, des empreintes MD5 et SHA256 spécifiques ont été publiées, ainsi que les détails de l’en-tête de protocole utilisé par Godzilla Webshell.
Résumé :
En résumé, cette vulnérabilité critique nécessite une attention urgente pour la mise à jour et la sécurisation des systèmes Apache ActiveMQ concernés afin de prévenir les exploitations malveillantes.
ActiveMQ :
Apache ActiveMQ un broker de messages (message broker), ce qui signifie qu’il sert de point central pour l’envoi et la réception de messages entre les différentes applications logicielles.
ActiveMQ permet la communication asynchrone dans les systèmes distribués. Cela signifie que le producteur et le consommateur de messages n’ont pas besoin d’interagir en même temps.
Il prend en charge divers protocoles de messagerie, y compris MQTT, AMQP, STOMP, et OpenWire, ce qui le rend très versatile et compatible avec de nombreuses applications.
ActiveMQ peut être configuré pour la haute disponibilité et supporte la mise à l’échelle horizontale, ce qui est essentiel pour les systèmes critiques de grande taille.
Il est souvent utilisé comme une implémentation de Java Message Service (JMS), qui est une API standard pour les systèmes de messagerie en Java.
ActiveMQ est couramment utilisé dans les environnements d’entreprise pour intégrer différentes applications et services, facilitant ainsi la communication et le transfert de données.
Le billet de blog source https://lnkd.in/emttsYn9
PentestGPT de GreyDGL : Une Nouvelle Ère d’Automatisation pour les Tests d’Intrusion avec ChatGPT
PentestGPT a été développé par GreyDGL, un doctorant de l’Université Technologique de Nanyang à Singapour.
Cet outil est conçu pour automatiser les tests d’intrusion.
Il est basé sur ChatGPT et fonctionne de manière interactive pour guider les testeurs d’intrusion.
L’outil peut résoudre des défis de niveau simple à modéré sur HackTheBox et d’autres puzzles de type CTF.
PentestGPT a été testé sur des défis comme TEMPLATED sur HackTheBox et sur des machines cibles VulnHub comme Hackable II.
L’accès à PentestGPT nécessite d’être membre de ChatGPT Plus, car il utilise le modèle GPT-4.
Un système d’encapsulation pour les sessions ChatGPT a été développé pour supporter l’outil.
Le processus d’installation implique la configuration d’un environnement Python et la mise en place des cookies ou de la clé API pour les sessions ChatGPT.
Les étapes comprennent la copie de fichiers de configuration, l’insertion de cookies, et la saisie des détails de l’agent utilisateur ou de la clé API OpenAI.
PentestGPT permet de démarrer de nouvelles sessions de test d’intrusion, de générer des listes de tâches, et de traiter les sorties d’outils, le contenu des pages Web et les descriptions humaines.
Il comprend des modules pour la génération de tests, le raisonnement pendant les tests, et l’analyse des sorties des outils et des interfaces Web.
Des informations détaillées sont disponibles sur la page GitHub de PentestGPT, qui inclut aussi une liste des 30 meilleurs outils de test d’intrusion.
Varonis Met en Lumière une Vulnérabilité dans Outlook et des Méthodes d’Accès aux Hachages NTLM v2
Une récente découverte par Varonis Threat Labs concerne une vulnérabilité dans Microsoft Outlook, CVE-2023-35636, ainsi que de nouvelles façons d’accéder aux mots de passe hachés NTLM v2 en exploitant Outlook, Windows Performance Analyzer et l’Explorateur de fichiers Windows.
La vulnérabilité CVE-2023-35636 se trouve dans la fonction de partage de calendrier d’Outlook.
Des attaquants peuvent intercepter les hachages NTLM v2 en insérant des en-têtes spécifiques dans un email.
Ce type d’exploit est considéré comme important et Microsoft a déjà publié un correctif.
Concernant NTLM v2, c’est un protocole cryptographique utilisé par Windows pour authentifier les utilisateurs.
Les hachages NTLM v2 sont vulnérables à des attaques par force brute hors ligne et des attaques de relais d’authentification.
Dans une attaque par force brute hors ligne, l’attaquant utilise le hachage NTLM v2 pour générer des mots de passe jusqu’à trouver le bon.
Dans une attaque de relais d’authentification, l’attaquant intercepte une demande d’authentification NTLM v2 et la transmet à un autre serveur.
Les exploits découverts comprennent l’utilisation de deux en-têtes spécifiques dans Outlook pour rediriger les mots de passe hachés.
Un exploit dans Windows Performance Analyzer où un gestionnaire d’URI peut conduire à une authentification utilisant NTLM v2 sur le web.
Deux méthodes dans l’Explorateur de fichiers Windows qui exploitent les paramètres ‘subquery’ et ‘crumb’ pour extraire les hachages NTLM v2.
Pour se protéger contre ces attaques NTLM v2, il est recommandé :
1) D’utiliser la signature SMB pour sécuriser le trafic SMB.
2) Bloquer l’authentification NTLM v2 sortante, particulièrement sur les versions récentes de Windows. (windows 11)
3) De privilégier l’authentification Kerberos lorsque c’est possible.
4) Appliquer les mises à jour : Microsoft a pris en compte ces vulnérabilités et a classé leur gravité, en fournissant des correctifs pour les adresses.
=> Il est crucial de maintenir les systèmes Microsoft à jour avec ces correctifs de sécurité pour se protéger contre de telles vulnérabilités.
Source : https://lnkd.in/eqZ_TH-T
Nouvelle Percée en Détection de Spoofing GNSS : L’Approche Révolutionnaire Basée sur l’Apprentissage Profond
Une étude intitulée « Detecting GNSS Spoofing using Deep Learning » par Parisa Borhani-Darian, Haoqing Li, Peng Wu & Pau Closas Show viens d’etre publiée.
Elle traite de la vulnérabilité des systèmes de navigation par satellite (GNSS) aux attaques de spoofing.
Les auteurs proposent un algorithme basé sur l’apprentissage profond pour détecter ces attaques, incluant un modèle de réseau neuronal pour la classification et un algorithme de regroupement pour estimer le nombre et les paramètres des signaux de spoofing.
Cette méthode s’avère plus performante que les solutions existantes, en particulier dans des ratios signal-bruit modérés à élevés.
Le document discute également de la structure et de l’entraînement des réseaux neuronaux, de la méthode de détection de signaux probabilistes, et des méthodes d’estimation du nombre de signaux de spoofing.
La méthode technique décrite dans le document se concentre sur la détection de spoofing des signaux GNSS à l’aide de l’apprentissage profond. Elle implique les étapes suivantes :
1. Signal et Modèles de Spoofing GNSS :
Le document explique les modèles de signaux GNSS et comment les signaux de spoofing affectent leur acquisition.
2. Détection de Spoofing Basée sur les Données :
L’algorithme propose une architecture de réseau neuronal profond (DNN) pour classifier les signaux GNSS comme légitimes ou spoofés. Cette classification est effectuée en utilisant des sous-images obtenues en glissant sur la grille de retard/Doppler.
3. Structure et Formation des Réseaux Neuronaux Profonds :
Le modèle utilise des réseaux neuronaux convolutionnels (CNN) pour traiter les images CAF (Cross Ambiguity Function) et apprend à identifier les signaux spoofés.
4. Détection de Signal Probabiliste et Estimation du Nombre de Signaux :
Le modèle intègre une approche probabiliste pour la détection des signaux et utilise une méthode de clustering basée sur le modèle de mélange gaussien (GMM) pour estimer le nombre de signaux de spoofing.
Le document démontre que cette approche améliore significativement la détection de spoofing en comparaison avec les méthodes traditionnelles, en particulier dans des situations avec un rapport signal sur bruit modéré à élevé.
L’étude en question :
https://lnkd.in/eM7QeQuK
Je profite de ces quelques lignes pour souligner à quel point le système horaire est vulnérable, étant grandement dépendant du GPS / GNSS.
Une attaque sur ce système aurait des répercussions critiques sur de nombreux domaines vitaux tels que les systèmes de santé, la finance, l’énergie, le transport et d’autres.
Nous avons exploré des solutions pour la synchronisation temporelle et je rappelle l’existence de ces solutions sécurisé pour la distribution du temps que nous avons étudiés et préconisons : https://www.gorgy-time.com
Ces alternatives offrent une fiabilité accrue pour la distribution du temps, essentielle à la stabilité de nombreux systèmes critiques.
Google TAG Contre-attaque : Démantèlement d’une Campagne Malveillante de Coldriver Utilisant des Fichiers PDF Piégés
Google’s Threat Analysis Group (TAG) a récemment perturbé une campagne de malware menée par un groupe de menaces lié à la Russie, connu sous le nom de Coldriver.
Cette campagne se distinguait par son utilisation de fichiers PDF comme appâts.
Dans ces fichiers, les textes semblaient chiffrés.
Lorsque les victimes ciblées essayaient d’ouvrir ces fichiers, elles étaient redirigées vers un soi-disant outil de « décryptage ».
En réalité, cet outil était un backdoor nommé SPICA, développé par Coldriver.
Ce malware est capable d’exécuter des commandes, de voler des cookies de navigateur et d’exfiltrer des documents.
La campagne visait principalement des individus hautement placés dans des ONG, d’anciens officiels du renseignement et militaires, ainsi que des gouvernements de l’OTAN
Points clés du rapport :
– Évolution des Tactiques : COLDRIVER, auparavant concentré sur le phishing de données d’identification, a maintenant élargi son répertoire pour inclure la distribution de logiciels malveillants.
Cela marque une escalade significative dans leurs capacités d’espionnage cybernétique.
– Méthode de Distribution de Malware :
Le groupe utilise des documents PDF comme appâts.
Initialement, ils envoient des PDF qui semblent bénins et chiffres.
Si la cible signale qu’elle ne peut pas lire le document, un lien vers un prétendu utilitaire de « décryptage » est fourni.
Cet utilitaire est en fait un logiciel malveillant de type backdoor nommé SPICA.
– Backdoor SPICA :
Ce malware, écrit en Rust, utilise JSON via des websockets pour le commandement et le contrôle.
Il peut exécuter des commandes arbitraires, voler des cookies, télécharger/upload des fichiers, et énumérer et exfiltrer des documents.
SPICA dissimule son activité malveillante en affichant un document leurre tout en fonctionnant en arrière-plan.
– Mécanisme de Persistance :
SPICA établit sa persistance sur la machine de la victime via une commande PowerShell obscurcie, créant une tâche planifiée nommée CalendarChecker.
– Chronologie de la Campagne :
TAG a observé l’utilisation de SPICA dès septembre 2023, mais pense que son déploiement remonte au moins à novembre 2022.
– Mesures de Protection :
TAG a réagi en ajoutant tous les domaines et hash malveillants connus aux listes de blocage de la navigation sécurisée de Google.
Ils émettent également des alertes d’attaquants soutenus par des gouvernements aux utilisateurs ciblés et recommandent des mesures de sécurité renforcées.
+ hachages SHA256 ainsi qu’une règle YARA de détection dispos.
Ce type d’activité montre que les groupes de cyberespionnage liés à la Russie adaptent continuellement leurs techniques et développent de nouveaux outils pour cibler des victimes potentielles.
Sources : https://lnkd.in/eFHqtupA + https://lnkd.in/eiqd_dmZ
Microsoft a été la cible d’une cyberattaque par un groupe étatique russe nommé Midnight Blizzard.
L’attaque a entraîné le vol d’emails et de pièces jointes de hauts responsables de Microsoft, notamment dans les départements de cybersécurité et juridique.
Microsoft a identifié la brèche le 12 janvier 2024, qui aurait commencé fin novembre 2023.
Les attaquants ont utilisé une attaque par pulvérisation de mots de passe pour accéder aux comptes.
Microsoft a affirmé que l’attaque n’a pas affecté ses systèmes de production, son code source ou ses systèmes d’IA, et qu’elle était en train de notifier les employés affectés.
Midnight Blizzard est connu pour d’autres cyberattaques majeures, y compris celle contre SolarWinds.
1. Le Groupe d’Attaquants:
Le groupe responsable de l’attaque est identifié comme Midnight Blizzard, également connu sous les noms APT29, BlueBravo, Cloaked Ursa, Cozy Bear, et The Dukes.
Ce groupe est associé à la Russie et est connu pour ses cyberattaques complexes et ses opérations de cyberespionnage.
2. Nature de l’Attaque:
L’attaque a été menée via une technique connue sous le nom de « password spraying », qui consiste à utiliser des mots de passe communs pour tenter de se connecter à de nombreux comptes jusqu’à ce qu’un fonctionne.
Les attaquants ont compromis un compte de test non productif chez Microsoft pour obtenir un accès initial.
3. Cibles et Données Compromises:
Les cibles principales de l’attaque étaient les comptes de messagerie d’employés de haut niveau chez Microsoft, y compris ceux travaillant dans les départements de cybersécurité et juridique.
Les attaquants ont réussi à exfiltrer certains e-mails et documents joints.
4. Réponse de Microsoft:
Après avoir détecté l’attaque le 12 janvier 2024, Microsoft a immédiatement pris des mesures pour enquêter, interrompre et atténuer l’activité malveillante.
Ils ont également souligné qu’il n’y avait aucune preuve que l’adversaire ait accédé à des environnements clients, des systèmes de production, du code source ou des systèmes d’IA.
5. Implications de Sécurité:
Bien que l’impact exact de l’attaque ne soit pas complètement divulgué, Microsoft est en train de notifier les employés affectés.
Cet incident souligne l’importance de la sécurité des informations et la menace persistante des acteurs étatiques dans le cyberespace.
6. Historique des Attaques de Midnight Blizzard:
Ce groupe a été précédemment responsable de compromissions majeures, y compris l’attaque de la chaîne d’approvisionnement de SolarWinds et des attaques ciblées contre des clients de Microsoft en utilisant des techniques similaires
Cet incident met en évidence le paysage de menace en constante évolution dans le cyberespace et la nécessité pour les grandes entreprises technologiques de rester vigilantes et proactives dans la défense contre les cyberattaques sophistiquées
Article source sur TheHackerNews : https://lnkd.in/eD4sqC72
Faille critique d’exécution de code à distance dans Microsoft SharePoint Server
La vulnérabilité CVE 2024-21318 est une faille critique d’exécution de code à distance dans Microsoft SharePoint Server.
Elle a une haute gravité avec un score CVSS v3 de 8.8.
Pour exploiter cette vulnérabilité, un attaquant doit être authentifié avec l’autorisation du propriétaire du site sur SharePoint.
Microsoft a publié un correctif pour cette vulnérabilité, disponible via Microsoft Update, Microsoft Update Catalog et Microsoft Download Center.
Cette mise à jour concerne les versions sur site de SharePoint, notamment SharePoint Enterprise Server 2016.
Il n’y a pas d’informations spécifiques indiquant que les versions web de SharePoint dans Microsoft 365 sont affectées.
Microsoft met régulièrement à jour ses services cloud, y compris Microsoft 365, pour traiter les vulnérabilités de sécurité.
Si vous utilisez SharePoint dans le cadre de Microsoft 365, il est probable que les mises à jour de sécurité soient appliquées automatiquement par Microsoft.
Cependant, il est toujours recommandé de vérifier régulièrement les annonces de sécurité de Microsoft et de maintenir vos systèmes à jour.
Kaspersky Révolutionne la Détection de Malware sur iOS avec l’Analyse du Fichier Shutdown.log
Des chercheurs de Kaspersky publient une méthode pour détecter facilement les malware tel que Pegasus sur iOS
L’article, publié le 16 janvier 2024 par Maher Yamout, offre un aperçu approfondi d’une nouvelle approche pour détecter les malwares sur les appareils iOS.
L’accent est mis sur l’utilisation d’un artefact forensique spécifique – le fichier `Shutdown.log` – comme moyen de découvrir des traces d’infections malveillantes sophistiquées telles que Pegasus.
Points clés :
1. Contexte :
En 2021 et 2022, les auteurs ont travaillé sur l’identification d’infections par le malware Pegasus sur des iPhones.
Ils ont noté la complexité et l’intensité des ressources des méthodes traditionnelles de détection de malwares sur iOS.
2. L’Artefact Shutdown.log :
Il s’agit d’un fichier journal système sur les appareils iOS enregistrant chaque événement de redémarrage.
Il contient des détails sur les processus en cours lors d’un redémarrage, ce qui en fait une mine potentielle pour identifier les traces de malwares.
3. Détection de Malware Utilisant Shutdown.log :
L’article expose la manière dont certains processus malveillants étaient systématiquement consignés dans le fichier Shutdown.log, en particulier avec les infections Pegasus.
Ce fichier journal, faisant partie d’une archive sysdiagnose, a été trouvé comme un indicateur fiable de certains types de malwares.
4. Observations et Anomalies :
Certains iPhones ne montraient pas de traces dans Shutdown.log malgré d’autres indicateurs d’infection.
Cela a été attribué à l’absence de redémarrage pendant la période d’infection.
De plus, des avis fréquents de retard de redémarrage dans le fichier journal étaient considérés comme suspects et dignes d’une enquête approfondie.
5. Scripts pour l’Analyse :
Les auteurs ont développé des scripts Python3 pour automatiser l’analyse des fichiers Shutdown.log.
Ces scripts peuvent détecter des anomalies, analyser les journaux et recueillir des statistiques.
6. Conclusion :
Le fichier Shutdown.log, lorsqu’il est correctement analysé, peut servir d’outil précieux pour détecter les malwares sur iOS, en particulier pour des menaces comme Pegasus.
L’efficacité de la méthode est renforcée par des redémarrages fréquents de l’appareil.
7. Invitation à la Collaboration :
Les auteurs encouragent le partage d’échantillons pour des recherches supplémentaires et peuvent être contactés à intelreports@kaspersky.com.
Cette méthode offre un moyen plus accessible et moins intrusif d’identifier les infections potentielles par malware, en complément d’autres méthodes plus complexes et gourmandes en ressources.
L’approche est unique et fait référence à ce fichier journal système souvent négligé, il souligne l’importance des redémarrages réguliers pour faciliter la détection de malwares.
L’article source peu être consulté sur securelist.com:
https://lnkd.in/eBFSJzd7
14 mesures de securité concernant les API
Voici une proposition de 14 mesures de securité concernant les API :
1. Authentification et Autorisation :
Utilisez des mécanismes d’authentification robustes comme les clés API, OAuth ou JWT.
Mettez en œuvre une autorisation appropriée pour contrôler l’accès aux ressources.
2. Chiffrement HTTPS/TLS :
Chiffrez les communications de l’API en utilisant HTTPS/TLS pour protéger les données en transit contre l’écoute clandestine et les attaques de l’homme du milieu.
3. Validation des Entrées :
Validez et nettoyez toutes les données entrantes pour prévenir les attaques courantes comme l’injection SQL, le cross-site scripting (XSS) et autres injections.
4. Limitation du Taux :
Mettez en œuvre une limitation du taux pour prévenir l’abus, les attaques par déni de service (DDoS) et assurer une utilisation équitable des ressources API.
5. Piste d’Audit et Journaux :
Maintenez des journaux complets des activités de l’API.
Examinez régulièrement les journaux pour détecter et répondre efficacement aux incidents de sécurité.
6. Gestion des Tokens :
Gérez et validez correctement les tokens.
Rafraîchissez les tokens régulièrement, utilisez l’expiration des tokens et mettez en place des mécanismes de stockage sécurisés.
7. Versionnement de l’API :
Utilisez le versionnement pour gérer les changements dans l’API.
Cela garantit la compatibilité ascendante et permet aux clients de migrer progressivement vers de nouvelles versions.
8. Validation du Contenu :
Validez le type de contenu des requêtes entrantes et des réponses pour s’assurer que seul le contenu attendu est traité, prévenant ainsi les attaques comme le spoofing de contenu.
9. Partage des Ressources d’Origine Croisée (CORS) :
Implémentez des en-têtes CORS appropriés pour contrôler quels domaines peuvent accéder à l’API, réduisant ainsi le risque d’attaques par requête de site croisé (CSRF).
10. Sécurité de la Passerelle API :
Utilisez des passerelles API pour une gestion centralisée, l’authentification et la surveillance.
Sécurisez la passerelle contre les vulnérabilités communes.
11. Gestion des Erreurs :
Fournissez des messages d’erreur informatifs mais génériques aux utilisateurs pour éviter d’exposer des informations sensibles.
Enregistrez les erreurs détaillées en interne pour le dépannage.
12. Tests de Sécurité :
Effectuez des évaluations de sécurité régulières, y compris des tests d’intrusion et des revues de code, pour identifier et remédier aux vulnérabilités potentielles.
13. Sécurité des Tiers :
Si vous dépendez d’API tierces, évaluez leurs pratiques de sécurité et assurez-vous qu’elles adhèrent aux normes de l’industrie.
Surveillez et examinez régulièrement leur posture de sécurité.
14. Conformité à la Protection des Données :
Adhérez aux réglementations de protection des données (par exemple, GDPR, HIPAA) et mettez en œuvre des mesures pour protéger la vie privée des utilisateurs, y compris l’anonymisation et le chiffrement des données.
LeftoverLocals : Découverte d’une Vulnérabilité Majeure dans les GPU de Plusieurs Grands Fabricants
La vulnérabilité « LeftoverLocals », identifiée sous le numéro CVE-2023-4969, est une faille de sécurité importante touchant les unités de traitement graphique (GPU) de AMD, Apple, Qualcomm et Imagination Technologies.
Cette faille provient d’une isolation insuffisante de la mémoire dans certains cadres GPU, permettant à un adversaire de récupérer des données de la mémoire locale d’un GPU.
Voici les points clés à retenir à propos de cette vulnérabilité :
1. Découverte et Rapport :
Les chercheurs Tyler Sorensen et Heidy Khlaaf de Trail of Bits ont découvert et signalé la vulnérabilité, en suivant des pratiques de divulgation responsable.
2. Mécanisme d’Exploitation :
Un attaquant peut exploiter cette faille en exécutant une application de calcul GPU pour accéder à la mémoire locale non initialisée.
Ceci est réalisé en lançant un kernel ‘auditeur’ qui lit cette mémoire et peut potentiellement transférer les données vers un emplacement persistant.
3. Impact sur les Modèles de Langage à Grande Échelle (LLMs) lié à l’IA :
Dans les environnements où les GPU sont partagés (comme dans les LLMs), cette vulnérabilité peut conduire à des fuites de données significatives, y compris des calculs sensibles et des détails de modèles.
4. Preuve de Concept :
Les chercheurs ont démontré le potentiel de l’exploit en récupérant jusqu’à 181MB de données par requête dans certains paramètres, soulignant la gravité du problème.
5. Réponses et Atténuations des Fournisseurs :
– Apple a corrigé le problème pour certains processeurs, mais les appareils équipés de M2 restent vulnérables.
– AMD étudie encore les stratégies d’atténuation.
– Qualcomm a publié un correctif pour certains de ses puces.
– Imagination Technologies a fourni un correctif, bien que certains de ses GPU restent affectés.
– Intel, NVIDIA et ARM ont signalé aucune incidence sur leurs dispositifs.
6.Atténuations Suggérées :
Trail of Bits recommande de mettre en œuvre un nettoyage automatique de la mémoire locale entre les appels de kernel pour prévenir de telles fuites.
Ils reconnaissent un éventuel compromis sur les performances mais soulignent l’importance de la sécurité.
7. Implications Plus Larges :
La vulnérabilité met en lumière les défis de la sécurité des GPU, en particulier dans les environnements partagés ou multi-utilisateurs.
Elle souligne la nécessité de mécanismes d’isolation robustes et d’une vigilance continue en matière de sécurité matérielle.
En somme, LeftoverLocals est un rappel du paysage complexe de la sécurité informatique dans les environnements modernes, où les vulnérabilités matérielles peuvent avoir des implications considérables, en particulier dans le contexte du calcul haute performance et de l’IA.
Failles de Sécurité Découvertes dans les Terminaux PoS de PAX Technology : Risques et Corrections
Des vulnérabilités ont été découvertes dans les terminaux de point de vente (PoS) de PAX Technology :
1. Vulnérabilités Découvertes :
L’équipe de STM Cyber R&D a découvert six vulnérabilités de haute gravité qui pourraient conduire à l’escalade de privilèges et à l’exécution de code local depuis le bootloader.
2. Vulnérabilités Spécifiques :
CVE-2023-42134 & CVE-2023-42135 (Score CVSS : 7.6) :
Ces failles permettent l’exécution de code local en tant que root via l’injection de paramètres dans le kernel en mode fastboot, affectant les appareils PAX A920Pro/PAX A50.
CVE-2023-42136 (Score CVSS : 8.8) :
Cette vulnérabilité permet l’escalade de privilèges de n’importe quel utilisateur/application vers l’utilisateur système via une injection de shell dans un service exposé par binder, affectant tous les appareils PoS Android de PAX.
CVE-2023-42137 (Score CVSS : 8.8) :
Elle permet l’escalade de privilèges de l’utilisateur système/shell vers root via des opérations non sécurisées dans le daemon systool_server, affectant tous les appareils PoS Android de PAX.
CVE-2023-4818 (Score CVSS : 7.3) :
Ce problème permet la rétrogradation du bootloader via une tokenisation inappropriée, affectant le PAX A920.
Exploitation et Impact :
L’exploitation réussie de ces faiblesses pourrait permettre aux attaquants d’obtenir des privilèges de root et de contourner les protections de sandbox.
Cela inclut la manipulation des opérations de paiement, comme la modification des montants des transactions.
L’exploitation des CVE-2023-42136 et CVE-2023-42137 nécessite un accès shell à l’appareil, tandis que les autres nécessitent un accès physique USB.
Divulgation et Correction:
Les vulnérabilités ont été divulguées de manière responsable à PAX Technology au début de mai 2023.
Les correctifs ont été publiés par l’entreprise en novembre 2023.
Ces vulnérabilités soulignent le besoin de tests de sécurité continus et de mises à jour, en particulier pour les appareils impliqués dans des opérations sensibles comme les transactions financières.
La divulgation responsable et la correction ultérieure mettent également en évidence l’importance de la collaboration entre les chercheurs en sécurité et les fabricants pour maintenir la sécurité de ces dispositifs.
Urgence de Sécurité : Renforcer les Systèmes de distribution du temps contre les Nouvelles Vulnérabilités et Menaces
Alerte de Sécurité : Vulnérabilités des Systèmes GPS et GNSS
Avec les conflits récents, il est devenu évident que les failles des systèmes GPS et GNSS sont désormais connues du grand public, notamment en raison de leur utilisation lors de ces conflits.
Cette exposition accrue augmente le risque d’attaques ciblées sur ces systèmes en 2024, qui sont vitaux pour de nombreuses infrastructures critiques.
Il est impératif que les organisations dépendant de ces systèmes pour la synchronisation horaire ou la navigation prennent des mesures proactives pour sécuriser leurs opérations.
Des attaques sur les systèmes GPS et les systèmes horaires sont à prévoir, et il est crucial de se préparer à de telles éventualités.
Après recherche, j’ai pu trouver des équipements efficaces, dont je reparlerai, qui permettent de sécuriser la distribution de l’heure et que je voudrai vous partager.
Pour une compréhension approfondie de ces risques et pour des conseils sur les mesures de protection, je recommande la consultation du livre blanc suivant, qui fournit des informations détaillées et des solutions pour sécuriser les systèmes critiques dépendant de l’heure.
L’adoption d’équipements spécialisés, comme ceux mentionnés dans ce document, est fortement conseillée pour renforcer la résilience contre de telles menaces.
Livre Blanc recommandé : https://m-url.eu/r-535h + https://miniurl.be/r-535i
Les équipements conseillés : https://www.gorgy-time.com
La sécurité de nos systèmes et infrastructures ne doit pas être prise à la légère.
Une action immédiate est nécessaire pour garantir la continuité et la fiabilité de nos services essentiels.
GitHub Confronté à des Vulnérabilités de Sécurité Critiques, CVE-2024-0200 et CVE-2024-0507, et Prend des Mesures Correctives
GitHub a détecté une vulnérabilité de sécurité critique, identifiée comme CVE-2024-0200, le 26 décembre 2023.
Cette vulnérabilité aurait pu permettre un accès non autorisé à des données sensibles dans les conteneurs de production.
En réponse, GitHub a immédiatement résolu le problème et effectué une rotation de plusieurs clés importantes, y compris celles liées à GitHub Actions, GitHub Codespaces et Dependabot.
Une autre vulnérabilité (CVE-2024-0507) a également été traitée, présentant un risque d’escalade de privilèges par injection de commande.
Corrections Apportées :
GitHub a publié des correctifs pour les versions de GitHub Enterprise Server (GHES), y compris les versions 3.8.13, 3.9.8, 3.10.5, et 3.11.3, pour adresser la vulnérabilité de « réflexion non sécurisée » et la possibilité d’exécution de code à distance.
Risques :
1. Accès non autorisé à des données sensibles.
2. Exploitation de vulnérabilités pour des attaques de type exécution de code à distance.
3. Possibilité d’escalade de privilèges par injection de commande.
Mesures à Entreprendre :
1. Importer immédiatement les nouvelles clés fournies par GitHub.
2. S’assurer d’utiliser les versions corrigées de GHES..
3. Examiner les journaux d’accès pour identifier toute activité suspecte.
4. Renforcer la sensibilisation à la sécurité au sein des équipes.
5. Mettre en place des politiques de sécurité robustes, incluant la rotation régulière des mots de passe et des clés.
6. Adopter une surveillance continue des systèmes.
7. Développer un plan de réponse aux incidents de sécurité.
Alerte CISA-FBI : Le Malware AndroxGh0st et la Montée en Puissance des Botnets dans le Cloud
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le Federal Bureau of Investigation (FBI) ont averti que les acteurs de la menace utilisant le logiciel malveillant AndroxGh0st créent un botnet pour « l’identification et l’exploitation des victimes dans les réseaux cibles ».
Ce malware basé sur Python, AndroxGh0st, a été documenté pour la première fois par Lacework en décembre 2022, et il a inspiré plusieurs outils similaires tels qu’AlienFox, GreenBot (également connu sous le nom de Maintance), Legion et Predator.
L’outil d’attaque sur le cloud est capable d’infiltrer des serveurs vulnérables à des failles de sécurité connues pour accéder aux fichiers d’environnement Laravel et voler des identifiants pour des applications de haut niveau telles qu’Amazon Web Services (AWS), Microsoft Office 365, SendGrid et Twilio.
Certaines des failles notables exploitées par les attaquants incluent CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) et CVE-2018-15133 (cadre Laravel).
« AndroxGh0st possède de multiples fonctionnalités permettant l’abus SMTP, y compris le balayage, l’exploitation des identifiants et API exposés, et même le déploiement de web shells », a déclaré Lacework. « Pour AWS en particulier, le malware recherche et analyse les clés AWS mais a également la capacité de générer des clés pour des attaques par force brute. »
Ces fonctionnalités rendent AndroxGh0st une menace redoutable qui peut être utilisée pour télécharger des charges utiles supplémentaires et conserver un accès persistant aux systèmes compromis.
Cette évolution survient moins d’une semaine après que SentinelOne a révélé un outil lié mais distinct appelé FBot, qui est utilisé par les attaquants pour pirater des serveurs web, des services cloud, des systèmes de gestion de contenu (CMS) et des plateformes SaaS.
Elle fait également suite à une alerte de NETSCOUT concernant une augmentation significative de l’activité de balayage de botnet depuis mi-novembre 2023, atteignant un pic de près de 1,3 million d’appareils distincts le 5 janvier 2024. La majorité des adresses IP sources sont associées aux États-Unis, à la Chine, au Vietnam, à Taïwan et à la Russie.
« L’analyse de l’activité a révélé une hausse de l’utilisation de serveurs cloud ou d’hébergement bon marché ou gratuits que les attaquants utilisent pour créer des bases de lancement de botnets », a déclaré l’entreprise. « Ces serveurs sont utilisés via des essais, des comptes gratuits ou à bas coût, offrant l’anonymat et un coût de maintenance minimal. »
SCPTime® : Le Livre Blanc sur la Révolution de la Synchronisation Horaire Sécurisée
Le document « Livre Blanc SCPTime » est un rapport détaillé sur la synchronisation horaire sécurisée.
Il explore l’évolution de la production, de la synchronisation et de la diffusion du temps, en mettant un accent particulier sur le projet SCPTime®.
Ce projet vise à industrialiser et diffuser un temps ultra-précis avec un haut niveau de sécurité et de traçabilité jusqu’à l’utilisateur final.
Il s’adresse à divers secteurs, notamment militaire, bancaire, des télécommunications et des transports, offrant une traçabilité totale du temps et une sécurité associée pour fournir une heure précise et certifiée.
Renforcer la sécurité des systèmes horaires contre les menaces de spoofing GPS est une nécessité absolue pour maintenir la stabilité et la fonctionnalité de notre infrastructure technologique mondiale.
La perturbation de la synchronisation horaire peut avoir des conséquences désastreuses, telles que des pannes de réseau, des erreurs dans les transactions financières et des failles dans les systèmes de sécurité.
Cela inclut, mais n’est pas limité aux réseaux de télécommunications, aux opérations financières, aux systèmes de distribution d’énergie, et aux diverses formes de transport et de navigation.
Le spoofing GPS implique la transmission de signaux qui imitent les caractéristiques des signaux satellites GNSS légitimes, trompant ainsi la navigation des utilisateurs GNSS.
La fragilité du GPS et des GNSS est le brouillage mais son message horaire de faible puissance et unidirectionnel permet à un attaquant de falsifier l’heure et la date sur un rayon de 10kms avec un simple appareil à moins de 100€
Un récepteur GNSS trompé fournira des informations de position et/ou de temps fausses par rapport à ses véritables données, en fonction du type d’attaque utilisé et d’un contrôle d’intégrité réussi.
Ces attaques, capables de fournir des informations de temps incorrectes, menacent l’intégrité et la fiabilité de ces systèmes critiques et peuvent entraîner des informations de temps incorrectes, affectant potentiellement une grande variété de systèmes et d’applications dépendant du timing GPS de haute précision.
La sécurité des systèmes de distribution de l’heure basés sur le GPS est devenue une priorité absolue dans notre monde hautement technologique.
Avec la croissance exponentielle de la dépendance à des systèmes précisément synchronisés – allant des réseaux de télécommunications aux opérations financières, en passant par les systèmes de distribution d’énergie et les infrastructures de transport – la vulnérabilité aux attaques de spoofing GPS représente un risque majeur.
Le livre blanc est accessible ici : https://m-url.eu/r-535h ou via le formulaire https://miniurl.be/r-535i
Sécurité GNSS en Péril : Les Dangers du Spoofing GPS sur l’Infrastructure Mondiale
ATTENTION, les risques associés à la distribution de l’heure dans le contexte du « spoofing » GNSS sont significatifs et connus.
Renforcer la sécurité des systèmes horaires contre les menaces de spoofing GPS est une nécessité absolue pour maintenir la stabilité et la fonctionnalité de notre infrastructure technologique mondiale.
La perturbation de la synchronisation horaire peut avoir des conséquences désastreuses, telles que des pannes de réseau, des erreurs dans les transactions financières et des failles dans les systèmes de sécurité.
Cela inclut, mais n’est pas limité aux réseaux de télécommunications, aux opérations financières, aux systèmes de distribution d’énergie, et aux diverses formes de transport et de navigation.
Le spoofing GPS implique la transmission de signaux qui imitent les caractéristiques des signaux satellites GNSS légitimes, trompant ainsi la navigation des utilisateurs GNSS.
La fragilité du GPS et des GNSS est le brouillage mais son message horaire de faible puissance et unidirectionnel permet à un attaquant de falsifier l’heure et la date sur un rayon de 10kms avec un simple appareil à moins de 100€ !
=> Un récepteur GNSS trompé fournira des informations de position et/ou de temps fausses par rapport à ses véritables données, en fonction du type d’attaque utilisé et d’un contrôle d’intégrité réussi.
Un des risques majeurs est que, une fois que le récepteur perd le suivi des signaux authentiques, il se fie au faux signal plus puissant émis par l’attaquant.
Ces attaques, capables de fournir des informations de temps incorrectes, menacent l’intégrité et la fiabilité de ces systèmes critiques
Dans un scénario avancé, plusieurs dispositifs de spoofing peuvent cibler le récepteur GPS sous différents angles et directions, rendant inefficaces les mécanismes de défense tels que la surveillance de l’angle d’attaque, qui détecte normalement le spoofing.
Ces attaques peuvent entraîner des informations de temps incorrectes, affectant potentiellement une grande variété de systèmes et d’applications dépendant du timing GPS de haute précision.
La dépendance croissante de notre société sur les systèmes basés sur le GPS pour la synchronisation temporelle rend ces attaques extrêmement préoccupantes pour notre souveraineté numérique.
Les GNSS ne sont pas connectés à l’heure légale internationale UTC, et plus grave pour notre souveraineté le GPS est un système appartenant au gouvernement fédéral des États-Unis.
La sécurité des systèmes de distribution de l’heure basés sur le GPS est devenue une priorité absolue dans notre monde hautement technologique.
Avec la croissance exponentielle de la dépendance à des systèmes précisément synchronisés – allant des réseaux de télécommunications aux opérations financières, en passant par les systèmes de distribution d’énergie et les infrastructures de transport – la vulnérabilité aux attaques de spoofing GPS représente un risque majeur.
LB https://m-url.eu/r-535h + https://miniurl.be/r-535i
Mistral AI : La Nouvelle Étoile Montante de l’Intelligence Artificielle en France
Mistral AI est une entreprise française spécialisée dans le développement de modèles d’intelligence artificielle, particulièrement dans le traitement du langage.
Ils ont lancé des modèles tels que « Mistral 7B » et « Mixtral 8x7B ».
Le modèle « Mixtral 8x7B » est notable pour sa capacité à gérer 5 langues et pour son architecture innovante, permettant d’utiliser efficacement 12,9 milliards de paramètres par token.
Ces modèles sont distribués sous licence libre Apache 2.0, mettant l’accent sur l’open-source.
Cela permet une plus grande transparence, collaboration et innovation dans la communauté des développeurs.
Économiquement, Mistral AI a rapidement gagné en valeur, avec une levée de fonds de 385 millions d’euros fin 2023, portant sa valorisation à environ 2 milliards d’euros.
Cette performance financière la classe parmi les licornes européennes.
Sociétalement, l’entreprise semble avoir un impact significatif dans le secteur de la tech, attirant l’attention d’investisseurs influents et marquant sa présence dans l’écosystème technologique européen et mondial.
Politiquement, Mistral AI s’inscrit dans un contexte où l’Union Européenne cherche à réguler l’IA sans freiner l’innovation.
La réussite de Mistral AI peut être vue comme un exemple du potentiel européen dans le domaine de l’IA, surtout dans un contexte de concurrence avec des géants technologiques américains.
L’approche open-source de Mistral AI est significative car elle encourage la collaboration et l’innovation.
En termes de performances, bien que des comparaisons directes avec GPT-4 d’OpenAI ne soient pas explicitement disponibles, le modèle « Mixtral 8x7B » est décrit comme surpassant le modèle « LLama 2 70B » de Meta, ce qui suggère une compétitivité élevée dans le domaine des modèles de traitement du langage.
GPT-4, étant l’un des modèles d’IA les plus avancés, se caractérise par sa capacité à comprendre et générer du texte avec une grande cohérence et une compréhension contextuelle approfondie.
Sans données de performance comparatives spécifiques, il est difficile de juger précisément comment Mistral AI se mesure à GPT-4.
Cependant, la nature innovante et la performance impressionnante de leurs modèles, en particulier dans le traitement multilingue, indiquent que Mistral AI pourrait être un concurrent notable dans ce domaine.
https://mistral.ai
IA Générative vs IA Prédictive : Deux Voies Distinctes de Révolution en Machine Learning »
L’intelligence artificielle (IA) générative et prédictive, bien qu’étant toutes deux des applications du machine learning (ML), servent des objectifs distincts.
L’IA générative, un concept qui a pris son envol avec le développement des réseaux de neurones artificiels et du deep learning, se concentre sur la création de nouveaux contenus comme des images, des textes ou de la musique.
Historiquement, cette forme d’IA a été révolutionnée par des avancées telles que les réseaux génératifs antagonistes (GANs), qui ont permis de créer des images d’un réalisme stupéfiant.
D’autre part, l’IA prédictive, qui tire ses origines de la modélisation statistique et de l’analyse de données, est centrée sur l’interprétation des données historiques et actuelles pour faire des prédictions sur l’avenir.
Cette forme d’IA a connu une évolution significative avec l’avènement de techniques de ML plus sophistiquées, permettant des prédictions plus précises dans des domaines tels que la finance, la santé, le marketing, l’automobile.
Alors que l’IA générative repousse les limites de la créativité et de l’innovation, l’IA prédictive se révèle être un outil puissant pour la planification et l’anticipation.
Les progrès dans ces domaines de l’IA ont non seulement transformé notre manière de créer et d’interagir avec les contenus numériques, mais ont également profondément influencé la prise de décision dans les entreprises et les industries.
OWASP AI Exchange : Harmonisation Mondiale des Normes de Sécurité en Intelligence Artificielle
L’OWASP AI Exchange est une initiative collaborative en open source, visant à promouvoir le développement de normes et de régulations de sécurité en intelligence artificielle (IA) à l’échelle mondiale.
Ce projet fournit une vue d’ensemble complète des menaces, vulnérabilités et contrôles liés à l’IA, dans le but de favoriser l’alignement entre différentes initiatives de normalisation.
Il aborde des sujets tels que l’Acte sur l’IA de l’UE, les normes ISO/IEC liées à la sécurité de l’IA, les top 10 OWASP pour le Machine Learning et les Langage Large Models (LLM), ainsi que l’OpenCRE.
L’objectif est de servir de source de référence pour le consensus, encourager l’alignement et stimuler la collaboration entre les initiatives, non pas pour établir une norme unique, mais pour influencer les normes existantes.
Le document principal de l’OWASP AI Exchange est maintenu et mis à jour régulièrement, incluant les contributions des experts en sécurité de l’IA.
Ces contributions sont cruciales car elles permettent de garder le document pertinent et à jour avec les dernières évolutions du domaine.
L’OWASP AI Exchange encourage activement la participation de la communauté des experts en sécurité de l’IA.
Les contributions peuvent prendre différentes formes, telles que des commentaires, des suggestions, des discussions sur GitHub, et même des modifications directes du document via des pull requests.
Le projet souligne l’importance de la collaboration ouverte et de la mise en commun des connaissances pour faire face efficacement aux défis de sécurité posés par les technologies d’intelligence artificielle en évolution rapide.
Plus d’informations sur le site officiel owaspai.org
Interférence GPS en Mer Baltique : La Suède Accuse la Russie d’une Perturbation Record
Les autorités suédoises ont attribué à la Russie la plus grande perturbation des systèmes GPS jamais enregistrée dans la région de la mer Baltique, qui a commencé le 18 décembre de l’année précédente.
L’incident a affecté de grandes parties de la Suède, ainsi que la Finlande, le Danemark, l’Estonie, la Lituanie, la Lettonie, la Pologne et l’Allemagne.
La perturbation a atteint son apogée pendant la période de Noël et a continué jusqu’au jour de l’An.
Il a été suggéré que cela pourrait faire partie d’une méthode utilisée par la Russie pour influencer et créer de l’incertitude dans les pays occidentaux, tout en restant en deçà du niveau du conflit ouvert.
WebCopilot : L’outil d’automatisation avancé pour l’énumération de sous-domaines et la détection de vulnérabilités web
WebCopilot est un outil d’automatisation conçu pour l’énumération des sous-domaines et la détection de vulnérabilités sur des sites web.
Fonctionnalités de WebCopilot
Énumération de sous-domaines : Utilise plusieurs outils (comme assetfinder, sublist3r, subfinder, amass, etc.) pour trouver les sous-domaines d’un domaine cible.
Énumération active de sous-domaines : Utilise gobuster et amass pour identifier des sous-domaines supplémentaires.
Extraction de titres et capture d’écrans des sous-domaines actifs : Effectué avec aquatone et httpx.
Exploration des points de terminaison : Utilise waybackurls et gauplus pour trouver des points de terminaison et les filtre avec des modèles gf pour identifier les paramètres XSS, SQLi, SSRF, etc.
Recherche de vulnérabilités : Utilise divers outils open-source (comme dalfox, nuclei, sqlmap, etc.) pour rechercher des vulnérabilités sur les sous-domaines.
Utilisation
Commande de base : webcopilot -d <target> pour lancer une analyse complète sur le domaine cible.
Options supplémentaires :
-o : Spécifie un répertoire pour enregistrer les sorties.
-t : Définit le nombre de threads pour l’analyse.
-b : Utilise un serveur spécifique pour les tests de XSS aveugle.
-x : Exclut certains domaines de l’analyse.
-s : Effectue uniquement l’énumération des sous-domaines.
Installation
Nécessite git pour l’installation.
Commande d’installation : git clone https://github.com/h4r5h1t/webcopilot && cd webcopilot/ && chmod +x webcopilot install.sh && mv webcopilot /usr/bin/ && ./install.sh.
(Attention de vérifier la non présence de code malicieux et d’être sur une machine dédiée au pentest)
Exemple d’utilisation
Pour scanner bugcrowd.com : webcopilot -d bugcrowd.com
Pour enregistrer les résultats dans un dossier spécifique : webcopilot -d bugcrowd.com -o bugcrowd
Avertissement ! Cet outil doit être utilisé avec prudence et de manière responsable.
WebCopilot est un outil puissant pour les professionnels de la sécurité informatique et les chercheurs en bug bounty, facilitant l’identification et l’analyse de vulnérabilités sur des sites web.
Relevez le Défi Cyber : Une Compétition Innovante pour la Détection d’Images Falsifiées et Générées par IA
Juniper Networks a révélé une vulnérabilité critique d’exécution de code à distance (RCE) dans ses pare-feux de la série SRX et ses commutateurs de la série EX.
La vulnérabilité est identifiée sous le nom de CVE-2024-21591 et a un niveau de gravité élevé de 9,8 sur l’échelle CVSS.
Ce défaut de sécurité, causé par une écriture hors limites dans J-Web du système d’exploitation Junos, peut permettre à un attaquant non authentifié d’exécuter du code à distance et d’obtenir des privilèges root.
Juniper, qui est en cours d’acquisition par Hewlett Packard Enterprise, a noté que la vulnérabilité est due à l’utilisation d’une fonction non sécurisée.
Les versions affectées sont les versions de Junos OS antérieures à 20.4R3-S9, parmi d’autres, avec des correctifs disponibles dans les versions ultérieures.
Il est conseillé aux utilisateurs de mettre à jour ou de désactiver J-Web et de restreindre l’accès aux hôtes de confiance comme mesures temporaires.
En outre, Juniper Networks a résolu un autre bug de haute gravité, CVE-2024-21611, qui représentait également un risque d’attaque par déni de service (DoS).
Les vulnérabilités ont été signalées comme exploitées dans le monde réel, suite à des attaques précédentes sur les pare-feux SRX et les commutateurs EX de Juniper.
Le rapport couvre également d’autres actualités en matière de cybersécurité, y compris des menaces contre diverses plateformes et des mises à jour sur des activités d’espionnage cybernétique.
Plus d’information sur HackerNews : https://lnkd.in/ef_K2sQT
Relevez le Défi Cyber : Une Compétition Innovante pour la Détection d’Images Falsifiées et Générées par IA
Le « Défi Cyber: Détection d’images falsifiées ou générées » est un concours axé sur la détection d’images manipulées ou générées par intelligence artificielle.
il vise à stimuler l’innovation dans le domaine de la cybersécurité et à relever les défis posés par les avancées technologiques en matière de création d’images.
Le défi implique plusieurs phases, y compris la soumission de candidatures, la sélection des participants, et une phase d’évaluation.
L’objectif est de développer des solutions efficaces pour identifier les images falsifiées, contribuant ainsi à la sécurité et à l’intégrité de l’information dans un contexte numérique en évolution rapide.
Vous disposez d’une solution ou d’une brique technologique permettant la détection d’images falsifiées ou générées ?
Participez au Défi Cyber « Détection d’images falsifiées ou générées » lancé par l’Agence de l’innovation de défense et le Commandement de la cyberdéfense
Plus d’informations et modalités sur
https://lnkd.in/ewvqXcAC
Digital Markets Act (DMA) : Redéfinir les Règles du Jeu Numérique en Europe
DMA ou Digital Markets Act est une réglementation de l’Union européenne.
Le DMA a été établi pour empêcher les grandes entreprises technologiques d’abuser de leur pouvoir de marché et pour permettre aux plus petites entreprises et aux nouveaux acteurs d’entrer sur le marché.
Il vise spécifiquement les grandes entreprises technologiques, les classant en tant que « gatekeepers » selon certains critères, comme leur nombre d’utilisateurs, leur capitalisation, leur pouvoir de marché ou leur chiffre d’affaires.
Ces « gatekeepers » incluent des entreprises comme Apple, Google, Facebook et Amazon.
Le DMA impose des obligations nouvelles à ces entreprises pour protéger le bien-être des consommateurs et rétablir une concurrence équitable sur le marché numérique européen.
Il couvre huit secteurs différents, considérés comme problématiques en raison de la présence de ces « gatekeepers », y compris les moteurs de recherche en ligne, les services d’intermédiation en ligne, les réseaux sociaux, les plateformes de partage de vidéos, les plateformes de communication, les services publicitaires, les systèmes d’exploitation et les services cloud.
Le DMA a été adopté par le Parlement européen le 5 juillet 2022 et par le Conseil de l’UE le 19 juillet 2022.
Il est entré en vigueur le 1er novembre 2022, avec une application prévue à partir du 2 mai 2023.
Les entreprises identifiées comme « gatekeepers » auront 6 mois pour se conformer à la réglementation une fois qu’elles auront été officiellement désignées comme telles par la Commission européenne.
Le DMA met un accent particulier sur la protection des données personnelles des utilisateurs, exigeant le consentement explicite des utilisateurs pour la collecte de leurs données personnelles.
Il impose des restrictions strictes sur la combinaison des données des utilisateurs à travers les différentes plateformes opérées par les « gatekeepers » et entre les plateformes détenues par un « gatekeeper » et des plateformes tierces.
NIS2 : Une Nouvelle Ère de Cybersécurité en Europe pour Renforcer la Résilience Numérique
La Directive NIS2 marque une avancée cruciale dans la législation européenne de cybersécurité, renforçant la protection des réseaux et des systèmes d’information dans l’UE.
Cette directive, qui étend et révise la Directive NIS de 2016, élargit considérablement son champ d’application.
Des secteurs clés comme l’énergie, les transports, la banque, la santé, et bien d’autres, sont désormais sous son aile.
Cette extension implique que davantage d’organisations doivent se conformer à des normes de cybersécurité plus strictes, un pas crucial pour protéger nos infrastructures essentielles.
NIS2 exige des mesures de sécurité renforcées et une notification rapide des incidents de cybersécurité.
Ces nouvelles règles visent à améliorer la prévention et la réponse aux cyberattaques, une nécessité dans notre monde numériquement connecté.
L’un des aspects les plus notables de NIS2 est l’introduction de sanctions plus lourdes pour les manquements à ces normes.
Les amendes et pénalités ont été substantiellement augmentées, soulignant l’importance cruciale de la conformité.
De plus, NIS2 encourage une coopération accrue entre les États membres de l’UE dans la lutte contre les cybermenaces, un aspect fondamental pour une réponse efficace et coordonnée.
La Directive NIS2 représente un engagement fort de l’UE pour améliorer la résilience cybersécuritaire.
Elle ne se contente pas de poser des exigences strictes aux entreprises, mais forge également une collaboration plus étroite entre les États membres, nous rapprochant d’une Europe plus sûre et résistante face aux défis numériques.
Victoire sur Tortilla : Un Nouvel Outil de Déchiffrement Met Fin à la Menace Ransomware Tortilla
Un nouvel outil de déchiffrement a été mis à disposition pour le ransomware Tortilla, une variante du célèbre ransomware Babuk.
Cet outil a été développé grâce aux efforts conjoints des chercheurs en sécurité de Cisco Talos et de la police néerlandaise.
L’apparition de Tortilla fait suite à la fuite du code source de Babuk, qui a conduit à la création de plusieurs variantes telles que AstraLocker 2.0, Pandora, Nokoyawa et Cheerscrypt.
Bien qu’Avast ait déjà proposé un outil de déchiffrement pour Babuk, celui-ci s’est révélé inefficace contre Tortilla en raison de l’utilisation de clés privées différentes pour le chiffrement des données.
La situation a changé lorsque la police néerlandaise a réussi à arrêter le cybercriminel derrière le ransomware Tortilla à Amsterdam, aux Pays-Bas.
Cela a permis de récupérer l’outil de déchiffrement utilisé par le criminel pour débloquer les fichiers une fois la rançon payée.
Après analyse de l’outil par Cisco Talos, il a été constaté qu’une seule paire de clés publique/privée était utilisée dans toutes les attaques.
En collaboration avec Avast, ils ont mis à jour l’outil de déchiffrement pour inclure toutes les clés privées connues, permettant ainsi à de nombreux utilisateurs de récupérer leurs fichiers chiffrés par différentes variantes de Babuk.
L’outil mis à jour est maintenant disponible au téléchargement sur le site web d’Avast.
En outre, un outil de déchiffrement pour le ransomware Black Basta a également été récemment mis à disposition par les chercheurs en sécurité de SRLabs.
Pour plus d’informations détaillées, vous pouvez visiter le site web d’IT-Connect https://lnkd.in/eTec6PvV
Au cours des deux derniers mois, plusieurs outils de déchiffrement de ransomware ont également été mis à disposition :
1. Un outil de déchiffrement, appelé Black Basta Buster, a été créé par SRLabs.
Il exploite une faille dans l’algorithme de chiffrement utilisé dans les anciennes versions du ransomware Black Basta.
Cet outil est efficace pour les fichiers chiffrés entre novembre 2022 et décembre 2023.
Il ne fonctionne pas sur les attaques les plus récentes en raison de la correction de la faille par le groupe Black Basta
2. Kaspersky a publié un outil de déchiffrement pour le ransomware Dharma.
Pour utiliser cet outil, il faut d’abord télécharger le RakhniDecryptor de Kaspersky, puis l’exécuter pour scanner l’ordinateur à la recherche de fichiers chiffrés par Dharma et les déchiffrer.
Ce processus peut prendre un certain temps
3. Le gouvernement américain, en collaboration avec le FBI, a perturbé l’opération du ransomware BlackCat/ALPHV et a publié un outil de déchiffrement pour aider les organisations à récupérer des données piratées.
BlackCat/ALPHV est considéré comme la deuxième variante de ransomware-as-a-service la plus prolifique au monde.
SSH Snake : Le Danger Silencieux de l’Auto-Propagation dans les Réseaux SSH
SSH Snake est un outil conçu pour automatiser la tâche de post-exploitation de découverte des clés privées SSH et des hôtes associés.
Il s’agit d’un script auto-propagateur et auto-réplicatif qui n’a pas besoin de fichier pour fonctionner.
L’outil exécute les tâches suivantes automatiquement et de manière récursive :
1. Trouver toutes les clés privées SSH sur le système actuel.
2. Identifier tous les hôtes ou destinations où ces clés peuvent être acceptées.
3. Essayer de se connecter à toutes les destinations découvertes en utilisant les clés privées trouvées.
4. Si une connexion est établie avec succès, répéter les étapes 1 à 4 sur le système connecté.
SSH Snake est conçu pour être complètement sans fichier, ce qui signifie qu’après l’exécution du script, il est passé à bash via stdin et les arguments bash sur les systèmes cibles, sans laisser de preuves matérielles de son existence sur les systèmes scannés.
L’outil utilise une approche de découverte en profondeur : une fois qu’il se connecte à un système, il essaie de se connecter à d’autres systèmes à partir de celui-ci avant de revenir en arrière.
En termes de risques, l’utilisation de cet outil présente un risque significatif pour la sécurité des réseaux.
il peut automatiquement révéler les relations entre les systèmes connectés via SSH, une tâche qui serait normalement très longue et difficile à effectuer manuellement.
Pour contrer ce type d’outil, il est essentiel de :
– Tenir SSH à jour
– Utiliser des mots de passe forts pour les clés SSH et changer régulièrement ces mots de passe.
– Limiter l’accès aux clés SSH et surveiller leur utilisation.
– Mettre en œuvre une stratégie de sécurité en couches pour protéger les systèmes et les réseaux.
– Utiliser des outils de détection d’intrusion et de surveillance du réseau pour détecter les activités suspectes.
– Former les utilisateurs et le personnel informatique sur les meilleures pratiques de sécurité.
Ces mesures peuvent aider à réduire le risque d’exploitation par des outils comme SSH Snake et d’autres vecteurs d’attaque similaires.
Réparation Critique chez Cisco : Mise à Jour Urgente pour la Faille de Sécurité dans Unity Connection »
Cisco corrige en date du 10 janvier 2024 une faille de sécurité critique dans son système Unity Connection.
Cette vulnérabilité permet à des attaquants non authentifiés d’obtenir des privilèges de superutilisateur (root) à distance sur des appareils non mis à jour.
Le problème réside dans l’interface de gestion basée sur le Web de Unity Connection, dû à un manque d’authentification dans une API spécifique et une validation incorrecte des données fournies par les utilisateurs.
Cette faille permet aux attaquants de télécharger des fichiers arbitraires sur le système, d’exécuter des commandes arbitraires et d’augmenter leurs privilèges au niveau root.
Il n’existait aucun contournement pour cette vulnérabilité, mais Cisco a publié des mises à jour logicielles pour y remédier.
L’avis de sécurité de Cisco a également indiqué qu’il n’y avait aucun contournement connu pour ce problème, soulignant l’importance d’appliquer les mises à jour fournies.
Cisco a également résolu dix vulnérabilités de sécurité de gravité moyenne dans divers produits.
Ces vulnérabilités pourraient potentiellement permettre aux attaquants d’augmenter leurs privilèges, de lancer des attaques de script inter-sites, d’injections de commandes, et plus encore.
Il est crucial pour les utilisateurs et les administrateurs des produits Cisco de rester informés et d’appliquer les mises à jour nécessaires pour maintenir la sécurité.
Les deux numéros de CVE associés à la faille de sécurité dans le système Unity Connection de Cisco sont CVE-2024-20287 et CVE-2024-20272
Montée en Puissance de NoaBot : Le Nouveau Botnet Mirai Cible les Serveurs SSH pour le Minage de Cryptomonnaies
NoaBot est capable de se propager automatiquement et d’installer une porte dérobée SSH pour télécharger et exécuter d’autres binaires ou se répandre sur de nouveaux serveurs.
Présenté dans l’article de « The Hacker News » du 10 janvier 2024, il s’agit d’un nouveau botnet basé sur Mirai utilisé pour le minage de cryptomonnaies via des serveurs SSH depuis début 2023
Mirai, dont le code source a fuité en 2016, a engendré plusieurs botnets, dont le plus récent est InfectedSlurs, spécialisé dans les attaques DDoS.
NoaBot pourrait être lié à une campagne de botnet utilisant un malware en Rust nommé P2PInfect, ciblant les routeurs et les appareils IoT.
Les acteurs de menaces semblent aussi expérimenter avec P2PInfect en remplacement de NoaBot dans des attaques récentes.
Contrairement à d’autres variantes de Mirai, NoaBot utilise un scanner SSH pour réaliser des attaques par force brute et ajouter une clé publique SSH dans le fichier .ssh/authorized_keys pour un accès distant.
Il peut aussi télécharger et exécuter d’autres binaires après exploitation réussie.
NoaBot est compilé avec uClibc, ce qui modifie la façon dont il est détecté par les antivirus, souvent identifié comme un scanner SSH ou un cheval de Troie générique.
Le botnet déploie une version modifiée du mineur de cryptomonnaie XMRig, avec des tactiques d’obfuscation rendant l’analyse difficile.
Il ne contient pas d’informations sur la pool de minage ou l’adresse du portefeuille, rendant difficile l’évaluation de la rentabilité du minage illicite.
Le mineur cache sa configuration et utilise une pool de minage personnalisée.
Akamai a identifié 849 adresses IP victimes, réparties dans le monde entier, avec une concentration élevée en Chine.
Pour se protéger, il est recommandé de restreindre l’accès SSH arbitraire sur Internet et d’utiliser des mots de passe forts, car le malware utilise une liste basique de mots de passe devinables.
L’article https://lnkd.in/epEmujXC
Elena FALIEZ, Miss Ile-de-France 2023, ambassadrice de la cybersécurité
Elena FALIEZ, Miss Ile-de-France 2023, est également consultante IT et cybersécurité ! Elle conteste l'idée reçue que la cybersécurité serait exclusivement un domaine masculin pour les "geeks à capuche". Elena démontre que la cybersécurité est un domaine ouvert et accessible à tous, indépendamment du genre et que les femmes peuvent y exceller et y apporter des contributions significatives. Son parcours académique et professionnel est marqué par une transition audacieuse de la médecine maïeutique à l'ingénierie des systèmes d'information, couronnée par un stage en Beauty Tech chez L'Oréal. Après avoir rejoint Eva Group en tant que consultante IT junior, elle s'est spécialisée en cybersécurité et a poursuivi sa carrière chez Vona Consulting. Talentueuse ambassadrice, Elena contribuera certainement à attirer davantage de femmes dans ce domaine et à changer la perception de la cybersécurité.
Fortification Numérique dans l’Espace : Adopter l’Architecture Zero Trust pour Protéger les Technologies Spatiales
Plusieurs rapports et livres blancs tel que le livre blanc « Space Cybersecurity: Current State and Future Needs » de Northern Sky Research (NSR), publié en avril 2022, examinent et alertent sur le niveau de cybersécurité dans le secteur spatial.
Ils soulignent la dépendance croissante de l’économie mondiale envers les réseaux spatiaux et la nécessité d’aborder pro-activement les menaces cybernétiques.
Le document Space Cybersecurity: Current State and Future Needs » de Northern Sky Research (NSR), publié en avril 2022, explore les défis uniques du secteur spatial, notamment l’augmentation des capacités des cyber attaquant et l’importance d’adopter une architecture de sécurité Zero Trust.
Il discute des problèmes de sécurité dans l’espace, des défis accrus par les nouvelles perturbations et des solutions disponibles, mettant l’accent sur l’importance de la confiance zéro dans la prévention des cyberattaques et la protection des infrastructures spatiales.
Le niveau de sécurité actuel dans le secteur spatial, tel qu’abordé dans le livre blanc de NSR, met en évidence plusieurs défis.
Il souligne que les infrastructures spatiales sont de plus en plus ciblées par des cyberattaques sophistiquées, augmentant le risque pour les opérations spatiales essentielles.
La dépendance croissante aux technologies spatiales pour les communications et autres services essentiels augmente la vulnérabilité aux menaces cybernétiques.
En réponse, le livre blanc préconise une architecture de sécurité Zero Trust, soulignant l’importance d’une vigilance accrue et d’une meilleure préparation à ces menaces.
Une architecture de sécurité Zero Trust est un modèle de sécurité informatique qui repose sur le principe de « ne jamais faire confiance, toujours vérifier ».
Cet article propose un aperçu du niveau actuel de sécurité, des récentes actualités et alerte sur les mesures de sécurité à mettre en place dans ce secteur critique.
Cela permettra d’obtenir des informations détaillées et actualisées sur la cybersécurité dans le domaine spatial et de mener à bien des analyses de risque et organiser les actions préventives et correctives aujourd’hui indispensables.
Les Fondations de la Cybersécurité : Pilier de la Protection Numérique et de la Continuité des Activités
Introduction :
La cybersécurité est devenue l’un des enjeux les plus critiques pour les organisations à l’ère numérique.
La protection des données sensibles, la détection des menaces et la gestion de la continuité des activités sont autant de défis cruciaux.
Dans cet univers complexe, une organisation de cybersécurité efficace est essentielle pour maintenir la confiance des clients, des partenaires et la pérennité des opérations.
Découvrons en détail les piliers qui construisent cette forteresse numérique.
Composantes principales d’une organisation de cybersécurité :
- Gouvernance de la sécurité de l’information (ISG – Information Security Governance) : Cette composante stratégique est responsable de la définition de la stratégie de sécurité de l’information, de l’établissement de politiques de sécurité et de l’alignement des objectifs de sécurité avec ceux de l’organisation.
Elle assure la supervision générale de la cybersécurité. - Analyse des risques (RA – Risk Analysis) : L’analyse des risques est chargée d’identifier, d’évaluer et de gérer les menaces et les vulnérabilités qui peuvent affecter la sécurité de l’information.Elle permet de prioriser les mesures de sécurité en fonction de l’impact potentiel sur l’organisation.
- SOC (Security Operations Center) : Le SOC est une composante centrale de la sécurité de l’information d’une organisation.
C’est un centre opérationnel qui surveille en temps réel les activités du réseau, des systèmes informatiques et des applications pour détecter, analyser et répondre aux menaces de sécurité.Il est souvent considéré comme le « poste de commandement » central de la sécurité. - CSIRT (Computer Security Incident Response Team) : Le CSIRT est une équipe dédiée à la gestion des incidents de sécurité informatique au sein d’une organisation.Sa mission principale est de détecter, d’analyser, de coordonner la réponse et d’atténuer les risques liés aux incidents de sécurité.
- CERT (Computer Emergency Response Team) : Le CERT est une équipe spécialisée dans la gestion des incidents de sécurité informatique, notamment les incidents graves et complexes.Son rôle principal est de détecter, d’analyser et de répondre efficacement aux menaces et aux incidents qui pourraient compromettre la sécurité de l’organisation.
- Formation et Sensibilisation à la Sécurité de l’Information (SA – Security Awareness) : Le programme de Formation et Sensibilisation à la Sécurité de l’Information est un élément crucial de la gestion de la sécurité au sein d’une organisation.Il vise à éduquer et à sensibiliser les employés à l’importance de la sécurité de l’information et à leur rôle dans la protection des actifs de l’entreprise.
- Politiques de Sécurité (SP – Security Policies) : Les politiques de sécurité sont un élément central de la gestion de la sécurité de l’information au sein d’une organisation.Elles constituent un ensemble de règles, de directives et de principes qui définissent le cadre général de la sécurité informatique et qui guident les pratiques de sécurité au sein de l’organisation.
- Documentation de Sécurité (SD – Security Documentation) : La documentation de sécurité est une composante essentielle de la gestion de la sécurité de l’information au sein d’une organisation.
Elle regroupe tous les documents, procédures et directives liés à la sécurité de l’information, et elle fournit un cadre structuré pour la mise en œuvre des politiques de sécurité. - Conformité aux Normes de Cybersécurité : La conformité aux normes de cybersécurité spécifiques est un aspect crucial de la gestion de la sécurité de l’information au sein d’une organisation.
Ces normes sont des ensembles de règles, de pratiques et de directives établies pour garantir que les meilleures pratiques en matière de sécurité sont mises en œuvre pour protéger les systèmes, les données et les informations sensibles. - Analyse des Risques liés aux Technologies de l’Information (TIA – IT Risk Analysis) : Cette composante essentielle de la cybersécurité se concentre spécifiquement sur l’évaluation des risques associés aux technologies de l’information (TI) au sein de l’organisation.Elle vise à identifier, évaluer et gérer les menaces et les vulnérabilités qui pourraient affecter la sécurité, l’intégrité, la disponibilité et la confidentialité des systèmes et des données informatiques.
- Plan de Continuité d’Activité (PCA – BCP – Business Continuity Plan) : Le Plan de Continuité d’Activité (PCA) est un élément central de la gestion de la continuité des activités au sein d’une organisation.Son objectif principal est de garantir que l’entreprise puisse maintenir ses opérations essentielles en dépit de perturbations majeures ou d’événements imprévus, tels qu’une catastrophe naturelle, une panne de réseau, une cyberattaque, ou toute autre situation critique.
- Plan de Reprise d’Activité (PRA – DRP – Disaster Recovery Plan) : Le Plan de Reprise d’Activité (PRA) est un élément essentiel de la cybersécurité qui vise à garantir la continuité des opérations de l’organisation en cas de sinistre majeur, de catastrophe naturelle, d’incident de sécurité grave ou de tout autre événement entraînant une perturbation significative des systèmes informatiques et des données.
Le PRA définit des procédures détaillées pour restaurer rapidement les systèmes informatiques, les applications critiques et les données essentielles à l’entreprise.
- Contrôles de Sécurité de l’Information (ISO 27001) : En parallèle, dans le cadre d’ISO 27001, des contrôles de sécurité de l’information sont mis en place pour évaluer la conformité aux politiques et aux normes de sécurité.Ces contrôles sont définis dans l’Annexe A de la norme ISO 27001 et couvrent un large éventail de domaines, tels que la politique de sécurité de l’information, la gestion des accès, la cryptographie, la sécurité physique, etc.
Ces contrôles de sécurité de l’information sont intégrés au système de gestion de la sécurité de l’information (SGSI) de l’organisation et servent à définir les mesures spécifiques à mettre en œuvre pour protéger les actifs de l’information.
Ils constituent un cadre essentiel pour garantir la sécurité des données et la conformité aux normes de sécurité.
En parallèle, des évaluations de conformité sont réalisées à l’aide de fiches de contrôle spécifiques qui sont utilisées pour documenter les résultats des évaluations, des audits internes et des revues de conformité. Ces fiches de contrôle aident les organisations à suivre leur progression dans la mise en œuvre des contrôles de sécurité de l’information et à identifier les domaines nécessitant des améliorations
Éléments complémentaires :
- Tests d’intrusion (Pentests) : Ces évaluations approfondies de la sécurité des systèmes consistent à simuler des attaques pour identifier les vulnérabilités et les faiblesses de la sécurité. Les tests d’intrusion aident à comprendre comment un attaquant potentiel pourrait exploiter les failles et à prendre des mesures pour les corriger.
- Gestion des identités et des accès (IAM – Identity and Access Management) : IAM implique la gestion des droits d’accès aux systèmes et aux données. Il garantit que seules les personnes autorisées ont accès aux informations sensibles, réduisant ainsi les risques liés à la mauvaise utilisation des données.
- Sécurité des applications : Cette composante vise à prévenir les vulnérabilités logicielles en intégrant la sécurité dans le processus de développement des applications. Cela inclut la vérification du code, la validation des entrées utilisateur et la mise en place de pare-feu applicatifs.
- Surveillance avancée des menaces : La surveillance avancée des menaces utilise des technologies telles que l’analyse comportementale et l’intelligence artificielle pour détecter les menaces complexes qui pourraient échapper à la détection traditionnelle. Elle permet une réponse plus rapide aux incidents.
- Gestion des vulnérabilités : Cette composante implique l’identification continue des vulnérabilités dans les systèmes et les logiciels. Une fois identifiées, les vulnérabilités sont évaluées et corrigées pour réduire les risques de compromission.
- Sécurité physique : La sécurité physique englobe la protection des installations et des infrastructures physiques, y compris les centres de données, les serveurs, les équipements critiques et les locaux de l’entreprise. Cela comprend également la surveillance vidéo, l’accès sécurisé et la gestion des visiteurs.
- Gestion des incidents de conformité : En cas de non-conformité aux réglementations ou aux politiques de sécurité, cette composante gère les enquêtes, les audits internes et les actions correctives nécessaires pour se conformer aux exigences légales et internes.
- Formation en réponse aux incidents : La formation en réponse aux incidents prépare les équipes à réagir efficacement en cas d’incident de sécurité. Cela inclut la formation sur les procédures de réponse aux incidents, la communication avec les parties prenantes et la coordination des efforts de rétablissement.
- Sécurité des fournisseurs et des tiers : Étant donné que de nombreuses organisations dépendent de fournisseurs et de partenaires externes, cette composante évalue les risques liés à la cybersécurité chez les tiers et met en place des mécanismes de protection pour garantir la sécurité des interactions.
- Sauvegarde et récupération des données : La sauvegarde et la récupération des données visent à minimiser les pertes de données en cas de défaillance matérielle, de sinistre ou d’attaque. Les données critiques sont sauvegardées régulièrement et peuvent être restaurées en cas de besoin.
Chacune de ces composantes joue un rôle essentiel dans la construction d’une posture de cybersécurité solide et résiliente pour une organisation.
Ensemble, elles contribuent à réduire les risques, à détecter les menaces et à garantir la protection des actifs numériques
Conclusion :
Dans un monde où les menaces cybernétiques sont omniprésentes, une organisation de cybersécurité solide est un pilier essentiel.
De la gouvernance à la protection des données, de la détection des menaces à la continuité des activités, chaque composante est un maillon de la chaîne.
En intégrant ces éléments, une organisation peut prospérer dans le monde numérique tout en protégeant son patrimoine et sa réputation.
La cybersécurité n’est plus une option, mais une nécessité.
Elle constitue la première ligne de défense pour l’avenir numérique de toute entreprise.
Avis :
Qu’en pensez-vous ?
Comment auriez-vous structuré ou présenté les choses ?
Y a il un élément manquants ou à ajuster selon vous ?
Dans quel secteur de l’industrie de la cybersécurité intervenez-vous le plus souvent, et quels secteurs considérez-vous comme prioritaires en matière de sécurité ?
Cyberattaques et jeux olympiques de 2024 à Paris
Vers une augmentation des cyberattaques sur les entreprises, organisations non liées aux Jeux Olympiques, et les infrastructures françaises pendant la période des Jeux Olympiques de 2024 à Paris ?
Les grands événements comme les Jeux Olympiques attirent souvent une attention accrue des cybercriminels.
Cette augmentation de l’activité cybernétique peut déborder sur d’autres cibles, y compris des entreprises et des infrastructures non directement liées à l’événement et vers des particuliers.
Les organisations de sécurité et de cybersécurité pourraient être plus concentrées sur la protection des infrastructures liées aux Jeux, créant potentiellement des opportunités pour les attaquants de cibler d’autres entités.
Des acteurs malveillants pourraient utiliser la période entourant les Jeux Olympiques comme une chance de tester leurs capacités d’attaque sur d’autres cibles en France, tirant parti de l’attention médiatique et de la tension sécuritaire accrue.
Certaines attaques pourraient être motivées par des intentions politiques ou idéologiques, cherchant à déstabiliser ou à protester contre la France pendant une période de haute visibilité internationale.
Il est donc important pour les entreprises, organisations et infrastructures françaises de renforcer leurs mesures de cybersécurité et de rester vigilants pendant cette période, même si elles ne sont pas directement impliquées dans les Jeux Olympiques.
L’ANSSI a publié fin août le rapport « La menace cyber pendant les JO2024 »
Ce dernier est principalement axé sur la sécurité des Jeux Olympiques et Paralympiques de 2024 à Paris et se concentre sur les risques spécifiques associés à cet événement d’envergure mondiale, prenant en compte sa popularité, sa visibilité médiatique et son contexte géopolitique.
Voici mes recommandations avant cette période :
– Conduire des analyses de risques sur les applications et processus les plus essentiels ou critiques.
– Effectuer des tests d’intrusion pour détecter et corriger les failles de sécurité.
– Élaborer et tester des plans de reprise et de continuité pour assurer la résilience des opérations en cas d’attaque cybernétique.
– Mettre en œuvre une stratégie de sauvegarde robuste, comprenant des sauvegardes régulières et sécurisées des données essentielles. Les sauvegardes doivent être stockées hors ligne ou dans un environnement séparé pour les protéger contre les attaques comme les ransomwares.
– Renforcer la sensibilisation à la cybersécurité du personnel est essentiel en amont et sur cette période.
Agir dès maintenant et avant les jeux est essentiel.
Brouillage par procédé d’usurpation d’identité GPS
Il devient primordial de sécuriser l’aviation civile et militaire contre le brouillage par procédé d’usurpation d’identité GPS et d’alerter.
Plusieurs articles relatent des faits de brouillage GPS notamment au Moyen-Orient.
Usurpation d’identité GPS (GPS Spoofing) :
Cette technique implique la création de faux signaux GPS qui semblent être de véritables signaux envoyés par les satellites GPS. Ces faux signaux sont ensuite utilisés pour tromper un récepteur GPS, le faisant croire qu’il se trouve à un autre endroit ou se déplace différemment de sa position et mouvement réels.
Objectif :
L’objectif peut varier. Cela peut être utilisé pour des fins malveillantes, comme perturber les opérations de navigation d’un véhicule ou d’un appareil, ou pour des fins plus bénignes, comme tester la résilience des systèmes de navigation.
Risques et Conséquences :
L’usurpation d’identité GPS peut entraîner des risques importants, en particulier dans les domaines où la navigation précise est cruciale, comme l’aviation, le transport maritime, et les applications militaires. Elle peut causer des erreurs de navigation, des perturbations des opérations et, dans les cas extrêmes, des accidents.
Contre-mesures :
Des technologies comme le bouclier anti-usurpation GPS sont développées pour détecter et neutraliser ces attaques. Ces systèmes peuvent identifier les signaux GPS non authentiques et garantir que les systèmes de navigation ne soient pas trompés par eux.
Attaques de Spoofing GPS au Moyen-Orient :
Des équipages aériens commerciaux ont signalé des attaques de spoofing GPS inédites dans le ciel au-dessus du Moyen-Orient. Ces attaques ont provoqué des défaillances des systèmes de navigation dans des dizaines d’incidents depuis septembre
Incidents de Navigation en Iran et en Irak :
Des sources inconnues de spoofing GPS dans la région Irak-Iran ont causé des pannes complètes des systèmes de navigation d’avions de ligne et de jets d’affaires survolant cette zone. Dans certains cas, cela a conduit à des incidents critiques, comme un jet d’affaires qui a failli entrer dans l’espace aérien iranien sans autorisation.
Alertes et Conseils de Sécurité :
En réponse à ces incidents, la Directorate General of Civil Aviation (DGCA) en Inde a émis un avertissement aux compagnies aériennes, les alertant sur la menace des signaux de navigation GPS falsifiés. Cette mesure a suivi les incidents signalés près de l’espace aérien iranien et un avertissement préalable des États-Unis
Ces incidents mettent en lumière les risques potentiels du spoofing GPS et l’importance des mesures de sécurité et de détection pour protéger les systèmes de navigation essentiels dans l’aviation commerciale et d’autres domaines.
RWKiller, un programme résidant permettant de luter contre les Ransomwares
Au vue des nombreuses et incessantes attaques ransomware qui frappent sans cesse différentes organisations, hôpitaux entreprises et institutions, je décidais il y a un peu plus d’un an de retrousser mes manches et de dégainer mon compilateur C préféré.
Objectif : Coder en quelques heures les bases de RWKiller, un programme résidant qui détecte l’ouverture massive de fichiers en mode écriture pour shooter les processus malveillants.
Et le résultat est que ça marche plutôt bien 🙂
Cela ne supprime pas les ransomware mais retarde considérablement l’attaque et bloque le chiffrement de fichiers avec sauvegarde en prime.
Les idées ne manquent pas pour ajouter de nouvelles fonctionnalités et bloquer la propagation de code hostile.
Nous sommes à la recherche de développeurs système C pour peaufiner et poursuivre le code et mettre au point ces nouvelles fonctionnalités, les services et l’interface 💪😎
J’ai annoncé la publication de code il y a une semaine, c’est imminent !
Pour rejoindre le projet sur github : https://github.com/rwkiller
Les contributions sont les bienvenues 🙂
Pour contacter l’équipe : dev@rwkiller.org
Pour toute demande générale, commerciale ou partenariats : contact@rwkiller.org
Si ce projet vous intéresse, n’hésitez pas à me passer un message en MP ou à contacter l’équipe 😉
Amicalement,
Bon weekend ☀
M S
Tester la sécurité de ses logiciels avec le Fuzzing
Le fuzzing est une technique de test logiciel qui consiste à bombarder un système avec une variété de données aléatoires, inattendues ou mal formées.
Cette méthode vise à découvrir des vulnérabilités, des bugs ou des comportements anormaux dans les logiciels ou les systèmes.
La première étape est d’identifier la cible, qui peut être une application, un protocole réseau, ou même un système d’exploitation entier.
Les données de test peuvent être totalement aléatoires, ou être générées selon des modèles plus sophistiqués qui visent à tester des scénarios spécifiques.
L’étape suivante consiste à injecter ces données dans le système cible et à observer les réactions.
Le but est de repérer des comportements inhabituels, tels que des plantages, des fuites de mémoire, ou d’autres dysfonctionnements qui peuvent indiquer la présence de vulnérabilités.
American Fuzzy Lop ou AFL est réputé pour son efficacité. Il utilise des techniques d’instrumentation de code pour découvrir rapidement des zones de code non testées. Sa capacité à générer automatiquement des cas de test qui maximisent la couverture du code est particulièrement appréciée.
LibFuzzer est un autre outil de fuzzing notable. Il se concentre sur les bibliothèques, permettant ainsi aux développeurs de cibler spécifiquement les composants de leur logiciel.
Radamsa se démarque par sa polyvalence. C’est un outil de fuzzing généraliste capable de tester une grande variété d’applications et de formats. Sa facilité d’utilisation et sa robustesse en font un choix populaire.
Peach Fuzzer offre une plateforme de fuzzing flexible et modulable. Il permet aux utilisateurs de créer des tests sophistiqués pour une large gamme d’applications comprenant protocoles réseau et interfaces web.
Le populaire Boofuzz est un descendant de Sulley. Il se distingue par son interface utilisateur intuitive, qui simplifie le processus de configuration des sessions de fuzzing, en particulier pour les protocoles réseau.
Honggfuzz est un fuzzer robuste. Il se concentre sur la détection de multiples types de vulnérabilités comprenant les défaillances liées à la mémoire et à la logique du programme.
Syzkaller conçu pour le fuzzing noyaux est un outil incontournable pour les développeurs travaillant sur des systèmes comme Linux. Il permet de détecter des problèmes profondément ancrés dans le code du noyau.
OSS-Fuzz fournit une infrastructure complète pour le fuzzing open-source. Cet outil sert à améliorer la sécurité de nombreux projets logiciels importants en détectant rapidement les vulnérabilités.
ClusterFuzz se distingue par sa capacité à fonctionner à grande échelle.Idéal pour les projets de grande envergure.
Enfin, Jazzer est un outil récent qui apporte le fuzzing dans l’écosystème Java. […]
En mettant en lumière ces faiblesses, le fuzzing aide les développeurs à renforcer la sécurité et la stabilité de leurs systèmes, en corrigeant les bugs avant qu’ils ne puissent être exploités malicieusement.
Catalogue d’applications OpenSource et sécurisé alternatif pour Android
F-Droid est un catalogue d’applications open source pour les appareils Android.
F-Droid propose principalement des applications open source, ce qui signifie qu’elles respectent les principes de la liberté logicielle et sont distribuées sous des licences open source.
Voici certaines des applications phares et 100% libres que l’on peut trouver sur F-Droid incluent :
Signal: Une application de messagerie chiffrée de bout en bout pour la communication sécurisée.
NewPipe: Une alternative open source à l’application YouTube qui permet de visionner des vidéos sans publicités et de télécharger du contenu.
Telegram: Une application de messagerie instantanée qui propose une version open source sur F-Droid.
K-9 Mail: Un client de messagerie open source pour gérer vos e-mails de manière sécurisée.
Aurora Store: Une alternative open source au Google Play Store, qui permet de télécharger des applications Android à partir de sources différentes.
AntennaPod: Un lecteur de podcasts open source pour écouter et gérer vos podcasts préférés.
Ces applications sont toutes disponibles gratuitement sur F-Droid et sont conformes aux principes de l’open source, ce qui signifie qu’elles sont généralement plus transparentes et respectueuses de la vie privée que bien des applications propriétaires.
Avantages
Liberté et transparence: Les applications open source respectent la liberté logicielle, ce qui signifie que leur code source est accessible à tous. Cela permet aux utilisateurs de vérifier comment fonctionne une application, ce qui garantit une plus grande transparence et confiance dans le logiciel que vous utilisez.
Sécurité renforcée: Étant donné que le code source est accessible, les développeurs et les utilisateurs peuvent identifier et corriger rapidement les failles de sécurité, ce qui réduit les risques potentiels liés aux vulnérabilités.
Protection de la vie privée: Les applications open source ont tendance à être plus respectueuses de la vie privée, car elles ne sont généralement pas conçues pour collecter des données utilisateur à des fins publicitaires ou commerciales.
Pas de coûts cachés: Les applications sur F-Droid sont généralement gratuites à utiliser, sans publicités ni achats intégrés. Vous pouvez les installer et les utiliser sans craindre de coûts cachés.
Personnalisation: Les applications open source peuvent être modifiées et personnalisées par des développeurs et des utilisateurs expérimentés pour répondre à des besoins spécifiques.
Communauté active: F-Droid est maintenu par une communauté active de bénévoles, ce qui garantit que le catalogue est régulièrement mis à jour et que de nouvelles applications open source sont ajoutées.
Alternatives aux services propriétaires: De nombreuses applications open source sur F-Droid offrent des alternatives à des services propriétaires, ce qui vous permet de réduire votre dépendance vis-à-vis des grandes entreprises technologiques.
Menaces et vulnérabilités spécifiques au secteur des télécommunications
L’ANSSI publie ce jour un rapport sur les menaces et vulnérabilités spécifiques au secteur des télécommunications, intitulé CERTFR-2023-CTI-010.
Ce document met en évidence les risques majeurs auxquels le secteur est exposé, notamment les attaques par déni de service distribué (DDoS), les attaques sur le DNS, et le ciblage des réseaux de téléphonie mobile.
Il souligne aussi des menaces telles que l’usage détourné de trafic satellitaire, les attaques entraînant la publication de données, les attaques par sabotage, et les atteintes physiques au réseau.
Ce rapport est essentiel pour les professionnels de la télécommunication afin de comprendre et de renforcer les mesures de sécurité face à ces menaces croissantes.
Le rapport https://cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-010/
Multiples vulnérabilités ont été découvertes dans OpenSSH. Rappel.
De multiples vulnérabilités ont été découvertes dans OpenSSH.
Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à l’intégrité des données, un déni de service à distance et un contournement de la politique de sécurité.
Risque(s)
Exécution de code arbitraire à distance
Contournement de la politique de sécurité
Atteinte à l’intégrité des données
Déni de service à distance
Systèmes affectés
OpenSSH versions antérieures à 9.6
Références
CERT-FR https://lnkd.in/eHdTZYBZ
Bulletin de sécurité OpenSSH du 18 décembre 2023 https://lnkd.in/exrwx-aB
Référence CVE CVE-2023-48795 https://lnkd.in/ejpdwbHb
Référence CVE CVE-2023-51384 https://lnkd.in/evnJSjfg
Référence CVE CVE-2023-51385 https://lnkd.in/ehQTpYYm
Vulnérabilité `nf_tables dans le noyau linux
CVE-2023-6817 est une vulnérabilité de type « use-after-free » dans le composant `nf_tables` du noyau Linux, plus précisément dans la fonction `nft_pipapo_walk`.
Cette vulnérabilité permet à des utilisateurs locaux non privilégiés d’escalader leurs privilèges et potentiellement de prendre le contrôle total du système.
Elle a été évaluée comme étant de haute gravité avec un score de 7.8 sur l’échelle CVSS (Common Vulnerability Scoring System).
Le NetFilter, qui est le sous-système affecté, est une partie critique du noyau Linux qui gère le flux des paquets de données dans les piles réseau.
La vulnérabilité peut conduire à des conditions où la mémoire déjà libérée est réutilisée, ce qui peut être exploité par un attaquant pour causer des crashs d’applications, des fuites d’informations ou une élévation de privilèges.
Pour corriger cette faille, des mises à jour du noyau Linux ont été publiées.
Les utilisateurs et administrateurs de systèmes Linux sont conseillés de mettre à jour leurs systèmes avec les derniers correctifs de sécurité pour se protéger contre de telles vulnérabilités.
11 million de serveurs ssh vulnérables.
11 million de serveurs ssh seraient vulnérables..
L’article de recherche intitulé « Terrapin Attack: Breaking SSH Channel Integrity » par Fabian Bäumer, Marcus Brinkmann, et Jörg Schwenk de l’Université de Bochum daté du 19 décembre 2023 décrit une vulnérabilité de sécurité dans le protocole SSH (Secure Shell).
L’attaque, nommée « Terrapin Attack », exploite des faiblesses dans la gestion des numéros de séquence et le chiffrement des données par SSH.
Cette vulnérabilité permet à un attaquant de compromettre l’intégrité des communications chiffrées SSH.
L’attaque Terrapin exploite une vulnérabilité dans le protocole SSH. Elle se concentre sur les numéros de séquence et le chiffrement des données.
L’attaque permet à un intrus de manipuler les données transmises via SSH en insérant ou supprimant des données de telle manière que le destinataire ne se rend pas compte de la modification.
Cela entraîne une violation de l’intégrité des données chiffrées, permettant potentiellement à l’attaquant d’accéder ou de manipuler des informations sensibles transmises via SSH.
OpenSSH est vulnérable à l’attaque Terrapin.
Les chercheurs ont confirmé que cette technique fonctionne avec OpenSSH versions 9.4p1 et 9.5p1, ainsi que d’autres implémentations SSH comme Dropbear et PuTTY.
L’attaque Terrapin permet de supprimer des paquets au début du canal SSH sans que le client ou le serveur ne s’en rende compte.
Cela inclut la possibilité de compromettre la négociation des extensions SSH, ce qui peut avoir des implications sur la sécurité, comme la désactivation de contre-mesures contre les attaques de timing de frappe introduites dans OpenSSH 9.5.
Néanmoins, les expériences ont montré que OpenSSH 9.5p1 reconnaît un dépassement des numéros de séquence et termine la connexion, ce qui le rend non affecté par les techniques avancées de l’attaque Terrapin.
Le papier: https://terrapin-attack.com/TerrapinAttack.pdf
Le site de référence https://terrapin-attack.com
Pour remédier à l’attaque Terrapin sur SSH, plusieurs mesures peuvent être prises :
Assurez-vous que les implémentations SSH comme OpenSSH sont à jour avec les dernières versions qui peuvent contenir des correctifs pour cette vulnérabilité.
Évitez les modes de chiffrement vulnérables aux attaques de type prefix truncation. Privilégiez des modes de chiffrement plus robustes et modernes.
Renforcez la vérification de l’intégrité des données au sein des canaux SSH pour détecter toute manipulation non autorisée des paquets de données.
Restreignez l’accès aux serveurs SSH aux seuls utilisateurs et réseaux nécessaires, réduisant ainsi la surface d’attaque potentielle.
Mettez en place des systèmes de surveillance et de détection des anomalies dans les communications SSH pour identifier rapidement toute activité suspecte.
Informez les administrateurs système et les utilisateurs sur les risques de sécurité liés à SSH et sur les bonnes pratiques à adopter.
Effectuez régulièrement des audits de sécurité et des tests d’intrusion pour identifier et corriger les vulnérabilités.
Contrer les deepfakes
Les efforts pour contrer les deepfakes se renforcent sans cesse, avec des avancées technologiques qui visent à repérer les nuances indétectables à l’œil nu entre les contenus authentiques et les contenus falsifiés.
Les anomalies dans le mouvement des yeux ou l’expression du visage, ainsi que les discordances dans l’éclairage ou la texture, sont des indices que des algorithmes d’intelligence artificielle apprennent à identifier.
L’incorporation de filigranes numériques pourrait également jouer un rôle clé en confirmant l’authenticité des images et des vidéos originales. De plus, suivre la trajectoire d’un fichier média, de sa création à ses diverses modifications, pourrait servir à prouver sa légitimité.
Sensibiliser la population aux deepfakes et à leurs dangers est un autre axe crucial de cette lutte.
En parallèle, la création de cadres légaux et politiques cherche à réglementer l’usage des technologies de deepfake et à dissuader les usages malintentionnés.
Les entreprises technologiques, les gouvernements et les organisations non gouvernementales unissent leurs efforts pour établir des normes et développer des outils dédiés à cette cause.
Les progrès en intelligence artificielle promettent de rendre la détection des deepfakes encore plus affinée et rapide, voire en temps réel.
La possibilité d’intégrer des technologies de détection de deepfakes directement dans les processeurs est une innovation prometteuse et permettrait des analyses matérielles accélérées et plus efficaces.
Toutefois, une telle intégration nécessite des progrès considérables en termes de conception de processeurs et d’intelligence artificielle embarquée
Les enjeux potentiels liés à la confidentialité et à la gestion des données sensibles manipulées ou stockées niveau processeur sont également importants et à prendre en compte.
Sécurité Microsoft office 365
Le guide intitulé « Microsoft 365 Security Checklist », écrit par Paul Schnackenburg est un manuel complet pour sécuriser les environnements informatiques utilisant Microsoft 365.
Le guide met l’accent sur la manière de protéger les données et les identités dans le cloud, en offrant des conseils pratiques pour les administrateurs de système et les professionnels de la sécurité informatique.
Il couvre divers aspects tels que la gestion des identités, la protection des informations, la sécurité des appareils et des applications, ainsi que les meilleures pratiques pour maintenir la sécurité des systèmes et des données.
4 grands thèmes abordés :
Utilisation de l’authentification multifacteur (MFA) pour renforcer la sécurité des comptes.
Classification des données et application de politiques de protection des informations.
Mise en œuvre de la gestion des appareils mobiles pour sécuriser les appareils utilisés pour accéder aux ressources de l’entreprise.
Configuration des applications pour utiliser des standards de sécurité élevés.
Voici des exemples concrets d’attaques et de mesures de remédiation tirés du guide « Microsoft 365 Security Checklist » :
1. Envoi de simulations de phishing aux utilisateurs et suivi avec des vidéos de formation automatisées pour ceux qui échouent.
2. Création de règles de flux de courrier pour avertir les utilisateurs lorsqu’ils reçoivent des emails avec des pièces jointes dangereuses, souvent utilisées comme vecteurs de malware et de ransomware.
3. Utilisation de Zero-hour Auto Purge (ZAP) dans Exchange Online pour supprimer les emails malveillants déjà livrés dans les boîtes aux lettres des utilisateurs.
4. Utilisation de la formation par simulation d’attaque pour former les utilisateurs finaux.
5. Mise en œuvre de l’Investigation et Réponse Automatisées (AIR) pour résoudre la plupart des problèmes sans intervention manuelle.
6. Création de règles pour prévenir la fuite de données sensibles, telles que les numéros de carte de crédit.
7. Utilisation de protections comme Exchange Online Protection (EOP) et Defender for Office 365 pour se protéger contre le phishing par email.
8. Adopter la mentalité d »Assumer la Brèche » : Planification pour détecter et contenir rapidement les intrusions.
9. Mise en place de règles pour bloquer le transfert automatique d’emails vers des boîtes aux lettres externes, une tactique courante dans les attaques de compromission d’email d’entreprise (BEC)
10. Configuration de DKIM et SPF pour l’authentification des emails et la prévention de l’usurpation d’identité.
11. Encouragement de l’utilisation de l’authentification multifacteur et de Windows Hello pour renforcer la sécurité des comptes
12. Utilisation de 365 Total Protection de Hornetsecurity pour une sécurité complète des emails, incluant la protection contre le phishing et le ransomware
Ces mesures de remédiation sont essentielles pour sécuriser un environnement Microsoft 365 contre divers types d’attaques.
Accès au document : https://www.hornetsecurity.com/en/ebook-microsoft-365-security-checklist/
Un patch pour BTC pour éviter la spéculation
En mai 2022, la cryptomonnaie Luna, indexée sur le stable coin, s’effondrait.
En analysant les faiblesses connues du protocole et l’historique des échanges, nous pouvions nous apercevoir que, volontairement, une somme de 5 millions de dollars avait été injectée puis aussitôt retirée, et cela se produisait visiblement et à l’évidence plutôt côté Wall Street qu’ailleurs, déstabilisant légèrement le cours.
Quelques minutes plus tard, ce sont l’équivalent de quelques 300 millions de dollars qui étaient retirés d’un seul coup en ust (stable coin) faisant plonger le cours de Terra.
Cette faille était connue, la somme pour l’exploiter considérable.
Personne ne croyait à cette époque qu’une telle manipulation puisse se produire avant correction. La probabilité semblait faible.
À cette époque, je défendais publiquement son concepteur, pour moi accusé à tort, Do Kwon.
Je profite de ces quelques lignes pour mentionner que le fondateur de Terra est actuellement emprisonné et risque une peine maximal après extradition aux états unis. L’enquête est toujours en cour à ce jour.
À cette époque, je publiais aussi l’intention de créer un patch pour BTC.
L’idée était simple : empêcher toute spéculation et redonner à cette monnaie la raison pour laquelle elle avait été créée.
L’échange libre et décentralisé et non la spéculation.
L’objectif pour moi n’était pas de reproduire en plus grand les dérives du système économique existant mais de les corriger.
Comment pouvions-nous rendre cela possible ?
En écrivant un patch pour le BTC, un fork permettant d’investir, mais ne permettant pas de dépenser ou transférer plus de 30% du solde sur un laps de temps suffisamment grand pour garantir sa stabilité et une croissance saine et naturelle du cours.
C’était le principe de base et d’autres suivirent.
Nous permettrions alors la création d’une monnaie stable, saine de refuge et d’investissement.
Ce que nous pouvions sécuriser par le bon usage ou la législation le serait par des mécanismes de sécurités inclus au cœurs même des algorithmes et des protocoles.
J’étudiais les détails de fonctionnement de la blockchain, des cryptomonnaies et de leurs mécanismes de sécurité.
Quelques mois plus tard, les drafts étaient écrits, les premières lignes du patch aussi.
Je ne cache pas que la tâche fut complexe et qu’il reste encore beaucoup à faire.
Dans cet élan de publier d’anciens codes et projets de recherche en Open Source et libre, et comme nous le faisons pour rwkiller, un compte GitHub a été ouvert avec des repos privés.
Si cela vous parle et si vous souhaitez vous impliquer sur ce projet, je me ferai un plaisir d’échanger avec vous par MP 😉
Le code sera entièrement libéré sous GPL à maturité.
Advienne ce qu’il devra.
Bonne soirée,
Amicalement,
M S
Se prémunir contre le détournement de signaux GPS.
Il existe diverses stratégies que les organisations peuvent adopter pour se prémunir contre le détournement de signaux GPS.
Ces stratégies incluent le chiffrement des données, l’analyse de l’origine du signal, et la surveillance des anomalies dans le signal.
1. Chiffrement des Données : Cette technique implique le codage des signaux satellites pour que seuls les destinataires prévus puissent interpréter les informations.
Cependant, cette approche peut présenter des limites dans le domaine civil en raison de la nécessité de partager une clé de décodage.
Les données GPS utilisées à des fins militaires sont généralement chiffrées.
Ce chiffrement assure une meilleure sécurité et résistance aux tentatives de brouillage ou d’usurpation.
Le système GPS militaire utilise des signaux spécifiques, connus sous le nom de code P (Y) ou M-code, qui sont conçus pour être plus robustes et sécurisés par rapport aux signaux GPS standard utilisés dans les applications civiles.
2. Analyse de l’Origine du Signal : Les attaques par détournement de GPS émanent souvent d’une source unique, contrairement aux signaux GPS authentiques qui sont diffusés par plusieurs satellites. Identifier cette source unique peut aider à reconnaître une usurpation.
Dans le cas de l’usurpation, puisque tous les signaux falsifiés proviennent d’une même source, leur angle d’arrivée et le temps de propagation du signal au récepteur seront différents de ceux des signaux provenant des satellites réels. En analysant ces différences, il est possible de détecter une anomalie.
Des techniques comme la comparaison des angles d’arrivée des signaux, l’analyse du temps de propagation, et l’examen des écarts dans les signaux reçus peuvent être utilisées pour identifier un signal usurpé. Des systèmes avancés peuvent même utiliser des méthodes de détection d’anomalies ou d’apprentissage automatique pour reconnaître les caractéristiques uniques des signaux d’usurpation.
3. Surveillance des Anomalies du Signal : Cette méthode nécessite l’installation d’équipements supplémentaires pour examiner de manière précise les variations d’amplitude du signal, permettant de repérer les interférences entre le signal authentique et le signal falsifié.
Le Departement of Homeland Security des États-Unis conseille aussi :
– De dissimuler les antennes GPS et de choisir judicieusement l’emplacement des antennes.
– D’installer des antennes factices et d’ajouter des antennes supplémentaires pour une détection rapide des anomalies.
– D’utiliser des antennes spéciales pour bloquer les interférences.
– D’employer des systèmes de backup comme des capteurs inertiels ou des horloges atomiques.
– De suivre des protocoles stricts en matière de cybersécurité.
Des guides supplémentaires pour la protection contre le détournement de GPS sont disponibles à travers divers programmes et publications du ministère de l’Intérieur américain et du Homeland Security Systems Engineering and Development Institute (HSSEDI).
The Japan Aerospace Exploration Agency (JAXA) experienced a cyberattack
The Japan Aerospace Exploration Agency (JAXA) experienced a cyberattack, but no sensitive information related to rocket and satellite operations was accessed.
The attack exploited a vulnerability in network equipment.
JAXA learned of the unauthorized access after being informed by an external organization and conducting an internal investigation, though the external organization’s name was not disclosed
Chief Cabinet Secretary Matsuno mentioned the incident, indicating that JAXA suspected a breach, possibly in its Active Directory implementation.
As a result, JAXA shut down part of its network, including an intranet, and sought assistance to assess the incident’s extent. The Japanese government has requested JAXA to implement countermeasures, and initial investigations suggest no sensitive information was stolen.
The government reported that the cyberattack likely involved unauthorized access to a network server.
JAXA was unaware of the breach, which might have occurred during the summer, until they were contacted by police this fall.
So far, no data leaks have been confirmed.
The government and relevant authorities are investigating to identify the source of the attack, the scope of the damage, and any vulnerabilities in JAXA’s security systems.
Nikto, un outil de test de sécurité open source qui permet d’effectuer des tests complets sur vos serveurs web.
La version 2.5 de Nikto est sortie.
Nikto est un outil de test de sécurité open source qui permet d’effectuer des tests complets sur vos serveurs web.
Il scanne les serveurs pour trouver des fichiers dangereux, des configurations incorrectes, et des vulnérabilités de sécurité connues parmis plus de 6700 éléments.
Cet outil est largement utilisé dans les audits de sécurité et les tests d’intrusion pour aider à identifier les risques potentiels sur les serveurs web.
Nikto est facile à utiliser et supporte la détection de versions de logiciels potentiellement obsolètes, ainsi que la présence de fichiers par défaut spécifiques à de nombreux serveurs web.
En quelques points clés :
– Plus de 6700 tests de sécurité et vulnérabilités connus.
– Détection de versions de logiciels obsolètes.
– Identification de fichiers par défaut potentiellement dangereux.
– Scans de serveurs web à la recherche de multiples problèmes de sécurité.
Ses capacités sont constamment mises à jour avec l’ajout de nouvelles vulnérabilités et de nouveaux tests.
Nikto est hautement personnalisable, ce qui permet aux utilisateurs de spécifier des tests spécifiques et de les adapter à leurs besoins.
Les bases de données de vulnérabilités, telles que celles utilisées par des outils comme Nikto, peuvent être libres ou propriétaires selon leur source.
Les bases de données ouvertes et libres comme l’Open Vulnerability and Assessment Language (OVAL) ou le National Vulnerability Database (NVD), qui est géré par le National Institute of Standards and Technology (NIST), sont accessibles gratuitement et peuvent être utilisées pour informer les outils de sécurité des vulnérabilités connues.
Cependant, certaines bases de données de vulnérabilités sont maintenues par des organisations privées et nécessitent un abonnement ou un paiement pour accéder à leurs informations complètes.
Ces bases de données peuvent offrir des informations supplémentaires, des services de notification, ou des analyses spécialisées qui ne sont pas disponibles dans les sources libres.
Nikto, en particulier, utilise une base de données de vulnérabilités qui est mise à jour par la communauté et est disponible gratuitement.
Les utilisateurs peuvent contribuer à cette base de données en ajoutant de nouvelles vulnérabilités à mesure qu’elles sont découvertes.
IA et mémorisation extractible
Un nouveau document met en lumière la « mémorisation extractible » dans les modèles d’apprentissage automatique, une situation où un adversaire peut extraire des données d’entraînement en interrogeant un modèle sans connaître au préalable le jeu de données d’entraînement.
Les auteurs démontrent que des quantités considérables de données peuvent être extraites de modèles de langage ouverts, semi-ouverts et fermés, tels que Pythia, GPT-Neo, LLaMA, Falcon et ChatGPT.
Une nouvelle technique, appelée « attaque de divergence », a été développée pour ChatGPT.
Elle incite le modèle à s’éloigner de ses réponses typiques de chatbot et à révéler des données d’entraînement à un rythme 150 fois supérieur à la normale.
Une difficulté particulière avec ChatGPT est que sa nature conversationnelle empêche les attaques basées sur la continuation de textes aléatoires.
Les attaquants ont dû développer des stratégies pour faire « diverger » ChatGPT de son alignement de formation et revenir à ses objectifs initiaux de modélisation linguistique.
Par exemple, en demandant à ChatGPT de répéter indéfiniment un mot, cela a permis d’extraire des données de formation.
Le papier : https://arxiv.org/pdf/2311.17035.pdf
Avec seulement 200 dollars de requêtes à ChatGPT, plus de 10 000 exemples uniques de mémorisation textuelle verbatim ont été extraits.
Ces textes mémorisés sont variés en longueur et en fréquence, certains dépassant les 4000 caractères. Parmi les types de contenu extraits figurent des informations personnelles identifiables (PII), du contenu pour adultes (NSFW), des extraits littéraires, des URL, et des blocs de code.
Cette étude révèle que les techniques d’alignement actuelles ne parviennent pas à éliminer complètement la mémorisation dans les modèles de langage comme ChatGPT.