Nathan demande pourquoi les cybercriminels ne finissent jamais derrière les barreaux ? Vous aussi, posez vos questions au professeur cybersécurité par e-mail à question@le-fraudeur-le-hacker-et-vous.com.

Vous en avez ras le bol que vos données personnelles se baladent à poil sur Internet, scrutées par les GAFAM et aspirées par la NSA ?

Alors PrivateBin est fait pour vous ! Cette alternative open source et respectueuse de la vie privée à Pastebin permet de partager du texte et des fichiers de façon ultra sécurisée. Lors de la création d’un paste, le contenu est chiffré directement dans votre navigateur en utilisant AES-256 et même les petits gars de PrivateBin ne peuvent pas mettre leur nez dans vos affaires. C’est ça qu’on appelle le « zero knowledge« , mes amis !

La clé de chiffrement est générée à partir du contenu lui-même et n’est jamais transmise au serveur. Seul le contenu chiffré est stocké. Ainsi, lorsqu’un utilisateur souhaite accéder au paste, il récupère le contenu chiffré et le déchiffre dans son navigateur.

Et l’outil ne fait pas les choses à moitié question sécurité. Il embarque des fonctionnalités de ouf comme le chiffrement des discussions, la protection par mot de passe, des options d’expiration du contenu, et même la possibilité de « burn after reading« . Côté utilisateur, rien de plus simple. Une interface toute bête, tu colles ton texte ou tes fichiers, tu personnalises les options de sécurité et de confidentialité, et bam, t’as un lien à partager. On peut même faire son 007 en scannant un QR code pour transférer direct le lien sur notre smartphone.

De plus, PrivateBin s’installe en deux coups de cuillère à pot grâce à son script d’installation et sa configuration sécurisée par défaut. Pas besoin de sortir de Saint-Cyr pour mettre en place son propre serveur privé et si vous êtes encore plus parano, vous pouvez même l’installer sur un serveur onion (Tor).

D’un point de vue plus technique, c’est écrit en PHP mais pas de panique, les développeurs ont optimisé le bouzin pour le rendre plus rapide et efficace. Ils ont même intégré un système de cache pour améliorer les performances. Et grâce à l’utilisation de bibliothèques éprouvées comme GnuPG pour le chiffrement et Twig pour le templating, le code est propre et maintenable.

Les pastes sont automatiquement supprimés après 30 jours par défaut (mais vous pouvez choisir une durée plus courte) et pour l’utiliser au mieux, il y a même un client CLI (en ligne de commande), qui vous permettra de créer et récupérer de la donnée via PrivateBin sans quitter votre terminal.

Alors, prêt à tester PrivateBin ?

Cryptr, c’est un script bash bien pratique qui va vous permettre de chiffrer et déchiffrer vos fichiers sensibles en deux temps trois mouvements, le tout proprement et avec une sécurité au top grâce à OpenSSL AES-256.

Si comme moi, vous avez tendance à stocker tout un tas de données confidentielles sur votre ordi (mots de passe, documents perso, photos compromettantes de votre dernière soirée déguisée…), vous savez à quel point c’est important de les protéger des regards indiscrets. Bon ok, on n’est pas tous paranos au point d’avoir peur que la NSA ou Gérald vienne fouiller dans nos fichiers, mais on n’est jamais trop prudent !

Avec ce truc, fini de vous prendre la tête avec des solutions de chiffrement compliquées à mettre en place. Il vous suffit de cloner le projet depuis le dépôt GitHub :

git clone https://github.com/nodesocket/cryptr.git

Ensuite, créez un lien symbolique vers le script cryptr.bash pour pouvoir l’utiliser facilement depuis n’importe où :

ln -s "$PWD"/cryptr/cryptr.bash /usr/local/bin/cryptr

Et voilà, vous êtes parés pour chiffrer vos petits secrets comme un pro ! La commande encrypt vous permet de chiffrer un fichier en lui ajoutant l’extension .aes, tandis que decrypt fait l’opération inverse.

➜ cryptr encrypt ./secret-file
enter aes-256-cbc encryption password:
Verifying - enter aes-256-cbc encryption password:
➜ ls -alh
-rw-r--r-- 1 user group 1.0G Oct 1 13:33 secret-file
-rw-r--r-- 1 user group 1.0G Oct 1 13:34 secret-file.aes

Vous pouvez même définir le mot de passe à utiliser via la variable d’environnement CRYPTR_PASSWORD pour automatiser le processus :

➜ CRYPTR_PASSWORD=motdepasse007 cryptr encrypt ./secret-file

Franchement, c’est tellement simple et efficace que même James Bond Raymonde peut en faire son outil préféré. Bref, si vous cherchez une solution de chiffrement simple et efficace pour protéger vos données sensibles, je vous recommande vraiment de tester Cryptr.

2FAGuard est une application moderne, gratuite et open source qui va vous permettre de centraliser et bien gérer vos codes de double authentification pour ensuite y accéder en un clin d’œil.

Comme ça, vous importez vos tokens 2FA existants depuis d’autres applis (Google Authenticator, Bitwarden et Authenticator Pro) en deux temps trois mouvements et c’est immédiatement utilisable. Vous pouvez même ajouter de nouveaux codes simplement en scannant le QR Code qu’un site vous donner. Et si vous êtes du genre parano (et vous avez bien raison), vous pouvez aussi exporter vos données quand vous voulez pour les mettre à l’abri ailleurs.

Côté sécurité, les gars derrière 2FAGuard n’ont pas fait les choses à moitié puisque les données sont chiffrées en AEGIS-256 et restent bien au chaud sur votre appareil. Et cerise sur le gâteau, l’appli est compatible avec Windows Hello comme ça vous pouvez vous authentifiez avec votre empreinte digitale, votre visage ou une clé de sécurité..

Comme vous le voyez, l’interface de 2FAGuard est plutôt minimaliste, mais c’est voulu. On a accès rapidement à tout ce dont on a besoin : la liste de nos tokens, un bouton pour en ajouter de nouveaux, un autre pour les paramètres, et c’est tout. Simple et efficace. Sachez également que vous pouvez choisir de verrouiller l’appli au démarrage ou après une certaine période d’inactivité. Vous pouvez même activer un mode « incognito » qui masque les codes à l’écran. Pratique si vous utilisez votre PC dans des lieux publics.

Côté téléchargement, vous avez le choix entre deux versions : une app Windows 10 / 11 du Microsoft Store qui se met à jour automatiquement en arrière-plan, et une version classique « desktop » qui a l’avantage d’être portable, pratique pour l’utiliser depuis une clé USB.

A découvrir ici.

ps : Et si vous n’utilisez pas de code 2FA pour vos comptes en ligne, vous feriez mieux de vous y mettre.

Youssef a demandé au professeur si le "https" est vraiment sécurisé ? Vous aussi, posez vos questions au professeur cybersécurité par e-mail à question@le-fraudeur-le-hacker-et-vous.com.

Un pays Trois régions Trois communautés et des dizaines de sites internets officiels ...

Une aubaine pour les fraudeurs

Anna a demandé au professeur si un antivirus est vraiment important aujourd'hui. Vous aussi, posez vos questions au professeur cybersécurité par e-mail à question@le-fraudeur-le-hacker-et-vous.com.

OpenCanary, c’est le pot de miel nouvelle génération pour attraper tous ces satanés cybercriminels. Ce petit logiciel va simuler plein de services réseau, comme un serveur web, un partage Windows, un serveur SSH…etc Bref, un vrai buffet à appâts numériques et dès qu’un hacker tombe dans le panneau et interagit avec, paf, vous recevez une alerte !

L’outil est hyper léger et s’installe facilement, même sur un Raspberry Pi ou un VM. Et comme c’est du logiciel libre, vous pouvez l’adapter à vos besoins et surtout vous éviter une solution proprio payante.

Alors comment ça fonctionne ? Et bien c’est simple comme bonjour :

• Vous installez OpenCanary sur une machine de votre réseau interne
• Vous le configurez pour imiter les services qui vous bottent (serveur web, FTP, base de données…)
• Vous attendez patiemment qu’un hacker morde à l’hameçon
• Dès qu’il interagit avec le honeypot, vous recevez une belle alerte qui vous file son IP et plein d’infos sur l’intrusion

C’est pas beau ça ?

En plus, vous pouvez même envoyer les alertes par mail, SMS ou même les agréger dans un outil de monitoring. Bon, je vous cache pas qu’il faut quand même un minimum de connaissances techniques pour faire tourner le bouzin. Mais si vous n’avez pas peur de mettre les mains dans le cambouis et de jouer avec la ligne de commande, c’est à la portée de n’importe quel barbu un peu motivé.

Et puis c’est quand même super fun de tendre des pièges aux méchants hackers et de les voir se faire avoir comme des bleus. Mais attention hein, faut pas non plus tomber dans la paranoïa et transformer son réseau en véritable champ de mines. Faudra doser pour que ça reste digeste sinon, vous allez avoir beaucoup de bruit dans vos alertes.

En tout cas, moi je dis bravo aux petits gars de Thinkst qui nous ont pondu cet outil. Pour les plus motivés, voici le lien Github du projet : https://github.com/thinkst/opencanary.

Amusez-vous bien et happy hacking !

Tracecat est une nouvelle plateforme d’automatisation open source qui propose une alternative à des solutions propriétaires genre Tines ou Splunk SOAR !

Avec cet outil libre et gratuit, vous pourrez créer des workflows d’automatisation complexes, gérer vos incidents comme un chef et garder un œil sur tous vos logs. Tracecat est basé sur des technos open source robustes comme Apache Flink pour l’orchestration et Quickwit pour le stockage des logs et ça a surtout été conçu par des pro de la sécu, qui en ont eu marre de se taper des usines à gaz hors de prix et pas adaptées à leurs besoins. Du coup, ils ont développé leur propre outil, simple mais puissant, avec une UX aux petits oignons pour que même votre grand-mère puisse automatiser la chasse aux menaces. Bon ok, j’exagère un peu, mamie est plutôt experte en chasse aux mauvaises herbes…

Trêve de plaisanterie, si vous voulez voir Tracecat en action, je vous invite à tester ce tutoriel. Vous apprendrez à automatiser une investigation d’email de phishing en un clin d’œil, en extrayant les URLs avec ChatGPT, en analysant leur réputation, en labellisant le niveau de menace, et en générant un joli rapport dans un cas.

Autre bon point (parce que je sais que vous aimez ça) : Tracecat est entièrement auto hébergeable. Vous pouvez l’installer en local sur votre laptop, dans le cloud ou dans un datacenter, bref où vous voulez. Vous gardez ainsi le contrôle total de vos données et de votre infra. Et si un jour vous avez besoin de plus de puissance, pas de panique, l’éditeur propose une version distribuée payante qui scale à l’infini et au-delà.

Alors oui, Tracecat n’est pas (encore) un SIEM à part entière. Mais justement, c’est sa force ! Il se concentre sur l’automatisation et l’orchestration, ce qui lui permet d’être beaucoup plus flexible et facile à intégrer, que vous ayez un SIEM, plusieurs, ou même aucun. C’est vous qui voyez !

Bref, si vous en avez marre de vous coltiner des tâches répétitives et de courir après les incidents dans tous les sens, je vous conseille vraiment de creuser Tracecat.

Vous êtes passionné de cybersécurité ?

Si vous cherchez à approfondir vos connaissances en pentesting, ces 5 ressources incontournables vous fourniront des outils, des techniques, et des perspectives d'experts. Écrites et maintenues par des communautés d'experts en cybersécurité, elles constituent une véritable mine d'or pour ceux qui souhaitent développer des compétences avancées dans l'univers sans fin et impitoyable du pentesting.

Introduction | The Hacker Recipes

Logo

Exploit Notes

Sticky notes for pentesting. Search hacking techniques and tools for penetration testings, bug bounty, CTFs.

Swissky’s adventures into InfoSec World !

Write-ups/CTF & Bug Bounties

Swissky’s adventures into InfoSec World !Swissky’s adventures into InfoSec World !

HackTricks | HackTricks | HackTricks

Logo

GitHub - Hack-with-Github/Awesome-Hacking: A collection of various awesome lists for hackers, pentesters and security researchers

A collection of various awesome lists for hackers, pentesters and security researchers - Hack-with-Github/Awesome-Hacking

GitHubHack-with-Github

Partagez vos trouvailles !

Vous connaissez d'autres ressources intéressantes ? N'hésitez pas à les partager dans le canal #Cybersécurité de notre serveur Discord Geeek.org.

Reko est une boîte à outils complète qui va vous permettre de décortiquer les binaires et de les traduire en langages de plus haut niveau, que vous soyez sur Windows, Linux ou Mac (c’est codé en .NET).

Ses développeurs ont pensé à tout puisque vous avez le choix entre une interface graphique super intuitive pour les novices, et une interface en ligne de commande pour les pros du terminal qui aiment se la jouer old school.

Reko embarque aussi une bibliothèque qui gère un tas d’architectures processeur (x86, 68k, PowerPC, ARM, MIPS, Z80…), de formats de fichiers binaires (MZ, ELF, AmigaOS Hunk, Classic MacOS…) et de systèmes d’exploitation. Il peut même lancer automatiquement des scripts de décompression écrits en OllyScript.

Génial pour comprendre comment fonctionne un programme et faire un peu de reverse engineering pour se détendre.

A découvrir ici.

Les ransomwares, ces programmes nuisibles qui prennent vos précieux fichiers en otage contre une rançon, font trembler pas mal de monde, même les plus expérimentés. Mais c’était sans compter sur RansomLord qui pourrait peut-être bien vous sauver la mise si vous avez été infecté.

Cet outil open source, conçu par John Page (alias hyp3rlinx), a pour mission de mettre des bâtons dans les roues des cybercriminels en exploitant les failles de sécurité présentes dans le code de ces virus modernes. Et on parle quand même de ransomwares assez balaises comme Conti, REvil ou LockBit, mais aussi de nouveaux venus comme StopCrypt, RisePro, RuRansom, MoneyMessage, CryptoFortress et Onyx.

Pour réussir cet exploit (sans mauvais jeu de mot), RansomLord génère des fichiers « DLL » qui se font passer pour des fichiers légitimes dont les rançongiciels ont besoin. En réalité, ces DLL sont remplis de code malicieux qui court-circuite le processus de chiffrement et met fin à la carrière du malware avant même qu’il n’ait pu crier « Bitcoin » !

Le plus impressionnant, c’est que RansomLord est capable de cibler spécifiquement les rançongiciels qui menacent votre entreprise ou votre secteur d’activité grâce à sa base de données de plus de 49 familles de ransomwares. Comme ça, il vous concocte le DLL parfait pour mettre hors d’état de nuire ces logiciels du démon.

Cette dernière version 3 de RansomLord intègre également une fonction de journalisation qui enregistre le hash SHA256 et le chemin d’accès complet du malware intercepté. Comme ça, vous pouvez garder une trace de l’attaque et communiquer ces détails à des experts cyber qui viendraient mener l’enquête ensuite.

Respect à hyp3rlinx pour cette trouvaille ingénieuse ! Et pour télécharger RansomLord v3 c’est par ici.

Source

Vous pensiez être tranquille chez vous, à l’abri des regards indiscrets et bien désolé de casser l’ambiance, mais j’ai une mauvaise nouvelle pour vous : votre box Wi-Fi vous espionne ! Enfin, pas directement, hein, mais figurez-vous que des chercheurs en sécurité ont trouvé le moyen de vous géolocaliser en douce, simplement en capturant l’identifiant unique de votre routeur appelé également BSSID (Basic Service Set Identifier).

En effet, il existe des systèmes de géolocalisation par Wi-Fi (WPS – Wi-Fi Positioning System), comme celui d’Apple, qui utilisent les BSSID comme balises pour vous localiser. En gros, dès qu’un iPhone ou un Mac capte votre réseau WiFi, le BSSID de celui-ci et votre position sont envoyés directement dans la base de données d’Apple. Et après, n’importe qui peut interroger ce WPS pour savoir où vous êtes sans avoir besoin d’être un hacker professionnel… il suffit juste de connaître l’astuce.

Cette équipe de chercheur a donc démontré la vulnérabilité principale de ce système en développant une attaque permettant de collecter des millions de BSSID géolocalisés sans avoir besoin d’autorisation. Leur méthode est simple : ils bombardent le WPS d’Apple avec des BSSID générés au hasard, en se basant sur des plages d’adresses MAC officielles et le système répond en donnant la localisation du BSSID et, très souvent, les coordonnées d’environ 400 autres BSSID à proximité.

En un an, ils ont ainsi réussi à constituer une base de données impressionnante : plus de 2 milliards de BSSID, répartis partout dans le monde ! Même en Antarctique ou sur l’île isolée de Tristan da Cunha, il n’y a pas moyen d’y échapper. Le seul endroit qui résiste encore est la Chine continentale. On suppose que le gouvernement là bas a mis en place des restrictions légales pour éviter cela.

Mais le pire, c’est que lorsqu’ils ont suivi les routeurs Wi-Fi nomades, ils ont découvert que 76% de ces appareils pouvaient être traqués sur des distances considérables, soit en moyenne 100 kilomètres ! Ça permet comme ça de suivre les déplacement des utilisateurs qui se promènent avec leur routeur portable.

Alors pourquoi quelqu’un s’intéresserait à votre position ? Hé bien cette technique pourrait être utilisé par un harceleur pour vous suivre à distance ou par les gouvernements pour connaitre vos aller-retours. Mais ça permet aussi de suivre les mouvements dans des zones de conflit.

Alors que faire pour empêcher ça ?? Premièrement, il faudrait qu’Apple et les autres entreprises cessent de distribuer nos BSSID si librement. Une limitation du nombre de requêtes et un meilleur filtrage seraient un bon point de départ. Le top serait que les fabricants de routeurs implémentent une randomisation des BSSID, comme c’est déjà le cas sur les appareils Apple quand ils sont en mode hotspot. SpaceX a d’ailleurs déjà montré l’exemple avec ses derniers modèles Starlink. Ce serait bien que les autres suivent le mouvement maintenant.

En attendant, si vous tenez à votre vie privée, le seul truc à faire est de changer régulièrement de matériel, surtout quand vous vous déplacez et d’éviter de transporter le même routeur du travail à la maison ou de l’appartement au camping-car. Et si vous êtes un peu bricoleur et que vous avez un accès root à votre routeur, sachez qu’il est possible de forcer le changement de BSSID à chaque redémarrage en modifiant la configuration de hostapd.

Mais bon, il est clair qu’il y a un sacré risque et des questions éthiques qui se posent sur ces divulguation de nos localisations sans notre consentement.

Pour plus de détails, vous pouvez consulter l’étude complète sur arXiv.

Mauvaise nouvelle, les derniers modèles de Tesla ne sont pas épargnés par les voleurs.

Comment ça ? Et bien ces derniers utilisent une technique d’attaque relais pour duper votre voiture en captant le signal de votre clé ou de votre smartphone (si vous utilisez l’app Tesla) et cela même si vous êtes à des dizaines de mètres. Ensuite, ils relaient ce signal jusqu’à votre caisse garée gentiment devant chez vous et là, surprise, la voiture croit que vous êtes à côté avec la clé et hop, elle se déverrouille en moins de deux.

Alors ce genre d’attaques, c’est pas nouveau et la techno Ultra-Wideband, ça devait justement empêcher ça… Mais c’était sans compter sur les chercheurs chinois de GoGoByte ont réussi à pirater une Tesla Model 3 flambant neuve avec du matos radio à moins de 100 balles. Ils ont ainsi pu déverrouiller la voiture et même la démarrer en quelques secondes, et ce jusqu’à une distance de 5 mètres. Une démo de l’attaque est visible en vidéo dans l’article de Wired.

Pourtant, Tesla avait vanté les mérites de l’Ultra-Wideband, censée empêcher ces attaques relais grâce à une mesure ultra-précise de la distance entre la clé et la voiture, mais visiblement, c’est pas encore au point… Et quand les chercheurs ont signalé la faille, Tesla leur a répondu un truc du genre « Ouais, on bosse encore dessus pour améliorer la fiabilité. Pour l’instant c’est normal que ça marche pas« . C’est pas sérieux.

La seule parade pour vous protéger de ça, c’est soit d’avoir une caisse pourrie que personne ne veut voler, soit c’est d’activer le code PIN (désactivé par défaut) pour autoriser le démarrage. Pour l’activer, appuyez sur « Contrôles » > « Sécurité » > « Code PIN pour la conduite ». Vous serez alors invité à créer votre code de vérification à 4 chiffres. Validez, et ne l’oubliez pas !

Bien sûr, Tesla n’est pas le seul constructeur à s’être planté car d’autres marques ont également adopté l’Ultra-Wideband et sont donc tout aussi vulnérables aux attaques relais. Après faut pas oublier que grâce GPS intégré, les Tesla sont statistiquement moins volées que les autres bagnoles même si certains réseaux mafieux les ciblent quand même pour les pièces détachées.

En attendant, soyez vigilants, et le soir, emmenez votre clé le plus loin possible de votre véhicule au lieu de les laisser trainer dans l’entrée de la maison. Vous pouvez même opter pour une petite boite qui fera office de cage de faraday (lien affilié), histoire de bloquer les ondes de la clé.

Source

La bibliothèque JavaScript de visualisation de PDF développée par Mozilla, connue sous le nom de PDF.js, est au centre d’une nouvelle découverte de sécurité assez préoccupante ! Une faille dans le code de rendu des polices permet à un attaquant d’exécuter du JavaScript arbitraire simplement en ouvrant un PDF malveillant. Et attention, cela affecte toutes les applications utilisant PDF.js, y compris Firefox, certains éditeurs de code et navigateurs de fichiers. Aïe aïe aïe !

En gros, lorsque PDF.js affiche une police spéciale, il convertit la description des glyphes en instructions pour dessiner ces glyphes. Cependant, un hacker mal intentionné peut injecter son propre code dans la description de la police, résultant en l’exécution de ce code par le navigateur.

La vulnérabilité, estampillée CVE-2024-4367, repose donc sur une manipulation des commandes de rendu de polices. La commande transform utilisant fontMatrix est exploitée pour insérer du code JavaScript puis PDF.js compile dynamiquement les descriptions de polices pour optimiser les performances. Normalement, ce tableau contient uniquement des nombres, toutefois, cette faille permet d’y injecter des chaînes de caractères. Et en insérant du code JavaScript dans ce tableau, il est possible de déclencher du code lors du rendu d’une police.

Un exploit bien forgé permettrait diverses attaques telles que l’exécution de code arbitraire, le vol de données, ou même la prise de contrôle complète du système via des attaques XSS ou l’exécution de code natif. La vulnérabilité touche actuellement les versions de PDF.js inférieures à 4.2.67.

Selon les chercheurs de Codean Labs, cette vulnérabilité affecte non seulement les utilisateurs de Firefox (<126), mais également de nombreuses applications web et basées sur Electron utilisant indirectement PDF.js pour la fonctionnalité d’aperçu. Ils soulignent également que cette faille exploite une partie spécifique du code de rendu de la police, un segment que les développeurs devraient vérifier attentivement.

Bref, pensez à mettre à jour PDF.js vers une version supérieure à la 4.2.67 et à mettre à jour vos outils vers des version égales ou supérieures à Firefox 126, Firefox ESR 115.11 et Thunderbird 115.11.

Source

Imaginez télécharger un modèle d’IA apparemment inoffensif sur une plateforme de confiance comme Hugging Face et découvrir qu’il ouvre en fait une porte dérobée permettant à des attaquants de prendre le contrôle de votre système ! C’est le risque que pose la faille critique CVE-2024-34359, découverte récemment dans le célèbre package Python llama-cpp-python.

Ce package très utilisé permet d’intégrer facilement des modèles d’IA écrits en C++ dans des projets Python. Pour cela, il utilise la bibliothèque de templates Jinja2 qui est capable de faire un rendu dynamique du HTML à partir des données. Une lib surpuissante mais potentiellement risquée si c’est mal configuré !

Et c’est justement là que le bât blesse. Le package llama-cpp-python utilise Jinja2 pour traiter les métadonnées des modèles au format .gguf, mais sans activer les protections nécessaires comme le bac à sable. Du coup, en injectant un template malicieux dans les métadonnées d’un modèle, un pirate peut exécuter du code arbitraire sur le système hôte !

Les dégâts potentiels sont énormes : vol de données, prise de contrôle totale, interruption de services… Surtout que les systèmes IA manipulent souvent des données ultra sensibles. Et vu la popularité de llama-cpp-python, l’impact est massif : plus de 6000 modèles vulnérables rien que sur Hugging Face ! Selon un article détaillé de Checkmarx, cette faille permet des attaques de la chaîne d’approvisionnement, où un acteur malveillant peut injecter du code dans un modèle téléchargé et redistribuer ce modèle compromis pour attaquer les développeurs d’IA.

Découverte par Patrick Peng (alias retro0reg), cette vulnérabilité repose comme je vous l’expliquait sur une mauvaise implémentation du moteur de templates. Cette faille de score CVSS critique de 9.7, permet l’injection de template côté serveur, conduisant à une exécution de code à distance (RCE). Un proof-of-concept a même été publié sur Hugging Face, démontrant comment un modèle compromis peut exécuter du code arbitraire lorsqu’il est chargé ou lors d’une session de chat.

Cela met en lumière un problème plus large : la sécurité des systèmes d’IA est intimement liée à celle de leur chaîne logicielle. Une vulnérabilité dans une dépendance tierce peut compromettre tout un système. Il faut donc redoubler de vigilance à tous les niveaux. Les modèles d’IA étant souvent utilisés au sein de projets critiques et manipulant des volumes importants de données sensibles, la moindre faille peut avoir des conséquences catastrophiques.

Mais rassurez-vous, une solution existe ! La version 0.2.72 de llama-cpp-python corrige le tir en ajoutant une validation des entrées et un bac à sable robuste autour de Jinja2. Si vous utilisez une version antérieure, la mise à jour est plus que recommandée.

Comment savoir si vos modèles sont touchés ? Regardez s’ils utilisent :

• Le package llama-cpp-python en version < 0.2.72
• Le format de fichier .gguf
• Des templates Jinja2 dans les métadonnées

Si c’est le cas, passez immédiatement à la 0.2.72 ! Vous pouvez aussi auditer le code de vos modèles et regarder les permissions avec vos yeux de lynx.

Bref, comme d’hab, une petite faille peut vite tourner au désastre

Source

Vous utilisez probablement le GPS tous les jours sans y penser, que ce soit sur votre smartphone, dans votre voiture ou même dans un avion. Cette technologie de positionnement par satellites, et ses cousines comme GLONASS, Galileo et Beidou, sont devenues tellement courantes qu’on en oublierait presque qu’elles sont vulnérables. Et quand je dis vulnérables, je ne parle pas d’un bug ou d’un plantage logiciel, non. Je parle de menaces bien réelles qui peuvent rendre votre GPS complètement dingue !

Vous voyez, le GPS repose sur des signaux radio ultra faibles émis par des satellites à des milliers de kilomètres. Pour vous donner une idée, c’est un peu comme si vous essayiez d’entendre quelqu’un vous chuchoter quelque chose depuis l’autre bout d’un stade pendant un concert de rock ! Autant dire que c’est le bordel pour entendre quoi que ce soit.

Du coup, pas besoin d’être un génie pour comprendre qu’il est facile de noyer le signal GPS dans un gros brouhaha radio. C’est ce qu’on appelle le brouillage. Avec quelques watts seulement, on peut rendre le GPS inutilisable dans un rayon de plusieurs kilomètres ! Pas besoin d’un doctorat en électronique, un petit bricolage fait maison peut suffire. Évidemment, c’est complètement illégal, mais ça n’empêche pas certains de s’amuser à le faire.

Mais pourquoi brouiller le GPS ? Eh bien, en cas de conflit par exemple, c’est bien pratique pour empêcher l’ennemi de savoir où il est et où tirer ses missiles et ses drones. C’est d’ailleurs ce qui se passe en ce moment autour de l’Ukraine. Des zones de brouillage apparaissent régulièrement, rendant la navigation aérienne hasardeuse.

Mais le brouillage peut aussi servir à des fins moins guerrières. Tenez, en Chine, il paraît que des boîtes de pub brouillent le GPS des drones de leurs concurrents pendant des shows aériens pour leur faire perdre le contrôle et ruiner le spectacle ! De la concurrence de haut vol, sans mauvais jeu de mots.

Et les dégâts collatéraux dans tout ça ?

Parce que mine de rien, on ne dépend pas du GPS uniquement pour savoir si on doit tourner à gauche ou à droite au prochain croisement. Les réseaux de téléphonie mobile s’en servent également pour synchroniser leurs antennes relais. Ainsi, quand le GPS déconne, c’est toute la 4G/5G qui peut partir en vrille !

Mais si vous trouvez que le brouillage c’est déjà costaud, attendez de découvrir le leurrage ! Là, on passe au niveau supérieur. Le leurrage, c’est carrément une technique qui permet d’envoyer de faux signaux GPS pour faire croire à votre récepteur qu’il est ailleurs. Un peu comme si un petit rigolo changeait les panneaux sur la route pour vous faire croire que vous allez vers le sud de la France, alors que vous roulez vers le Nord.

Alors bien sûr, générer un faux signal GPS crédible, c’est autrement plus coton que simplement brouiller la fréquence. Il faut recréer toute une constellation de satellites virtuels avec les bons timings, les bonnes orbites, cohérents entre eux. Un vrai boulot d’orfèvre ! Mais une fois que c’est au point, imaginez le potentiel de nuisance ! Vous pourriez faire atterrir un avion de ligne à côté de la piste. Téléguidez un drone militaire en territoire ennemi ou envoyer un navire s’échouer sur des récifs. Ça fait froid dans le dos…

Heureusement, il existe des parades pour durcir les récepteurs GPS contre ces attaques : Utiliser des antennes directionnelles qui filtrent les signaux ne venant pas du ciel. Analyser en détail les signaux pour repérer les incohérences et les satellites suspects. Recouper avec d’autres capteurs comme les centrales inertielles. La version militaire du GPS dispose déjà de pas mal de protections dont du chiffrement.

Mais pour le GPS grand public dans nos smartphones et nos bagnoles, on est encore loin du compte. À part quelques modèles haut de gamme, la plupart gobent à peu près tout et n’importe quoi tant que ça ressemble à un signal GPS et il va falloir que ça change, et vite !

Scott Manley, un expert en la matière que vous connaissez peut-être pour ses vidéos sur les fusées, aborde en profondeur ces questions dans une vidéo bien documentée sur le sujet. Non seulement il analyse les risques de brouillage et de leurrage, mais il examine aussi les contre-mesures possibles, comme l’utilisation d’antennes directionnelles et l’analyse détaillée des signaux pour repérer d’éventuelles incohérences. Je vous mets la vidéo ici, ça vaut le coup d’œil :

On a beau être fan des nouvelles technos qui nous rendent la vie plus facile, faut quand même garder à l’esprit qu’elles ont leurs failles et leurs limites. Ça ne veut pas dire qu’il faut revenir à la bonne vieille carte Michelin et à la boussole, mais un petit cours de rattrapage en navigation à l’ancienne, ça ne ferait pas de mal !

Perso, la prochaine fois que mon appli Waze me dira de tourner à gauche direct un lac, je me méfierai…

Source

Les chasseurs de bugs et les experts en sécurité web sont toujours à la recherche d’outils pour optimiser leur boulot et dénicher des vulnérabilités et justement, il y a un nouveau venu qui risque bien de faire parler de lui : WebCopilot !

Open source, cet outil d’automatisation combine les fonctionnalités de dizaines d’autres outils réputés comme Subfinder, Nuclei, Amass ou encore SQLMap histoire de vous faire gagner un temps précieux en prenant en charge de A à Z les tâches répétitives et chronophages de l’énumération des sous-domaines, du filtrage des paramètres à risque et du scan des vulnérabilités les plus critiques.

Pour cela, il suffit de lancer WebCopilot sur un domaine cible et il s’occupe de tout :

• Énumération des sous-domaines via une batterie d’outils (Assetfinder, Sublist3r, Amass, Findomain…)
• Crawl de tous les endpoints des sous-domaines identifiés
• Filtrage des paramètres potentiellement vulnérables aux failles XSS, SQLi, LFI, SSRF, Open Redirect… grâce aux patterns de l’outil gf
• Et enfin, scan des vulnérabilités via des outils comme Nuclei, Dalfox, kxss, SQLMap ou crlfuzz

Vous obtiendrez ensuite un rapport complet qui répertoriera tous les points d’entrée intéressants.

             
                                ──────▄▀▄─────▄▀▄
                                ─────▄█░░▀▀▀▀▀░░█▄
                                ─▄▄──█░░░░░░░░░░░█──▄▄
                                █▄▄█─█░░▀░░┬░░▀░░█─█▄▄█
 ██╗░░░░░░░██╗███████╗██████╗░░█████╗░░█████╗░██████╗░██╗██╗░░░░░░█████╗░████████╗
░██║░░██╗░░██║██╔════╝██╔══██╗██╔══██╗██╔══██╗██╔══██╗██║██║░░░░░██╔══██╗╚══██╔══╝
░╚██╗████╗██╔╝█████╗░░██████╦╝██║░░╚═╝██║░░██║██████╔╝██║██║░░░░░██║░░██║░░░██║░░░
░░████╔═████║░██╔══╝░░██╔══██╗██║░░██╗██║░░██║██╔═══╝░██║██║░░░░░██║░░██║░░░██║░░░
░░╚██╔╝░╚██╔╝░███████╗██████╦╝╚█████╔╝╚█████╔╝██║░░░░░██║███████╗╚█████╔╝░░░██║░░░
░░░╚═╝░░░╚═╝░░╚══════╝╚═════╝░░╚════╝░░╚════╝░╚═╝░░░░░╚═╝╚══════╝░╚════╝░░░░╚═╝░░░
                                                      [●] @h4r5h1t.hrs | G!2m0

Usage:
webcopilot -d <target>
webcopilot -d <target> -s
webcopilot [-d target] [-o output destination] [-t threads] [-b blind server URL] [-x exclude domains]

Flags:  
  -d        Add your target [Requried]
  -o        To save outputs in folder [Default: domain.com]
  -t        Number of threads [Default: 100]
  -b        Add your server for BXSS [Default: False]
  -x        Exclude out of scope domains [Default: False]
  -s        Run only Subdomain Enumeration [Default: False]
  -h        Show this help message

Example: webcopilot  -d domain.com -o domain -t 333 -x exclude.txt -b testServer.xss
Use https://xsshunter.com/ or https://interact.projectdiscovery.io/ to get your server

Fini les heures passées à lancer des dizaines de commandes et à corréler les résultats comme ça, vous pourrez vous concentrer sur l’analyse des vulnérabilités.

Côté utilisation, c’est ultra simple. Il suffit de cloner le repo Github, d’installer les dépendances…

git clone https://github.com/h4r5h1t/webcopilot && cd webcopilot/ && chmod +x webcopilot install.sh && mv webcopilot /usr/bin/ && ./install.sh

…et vous pouvez lancer des scans en une seule commande :

webcopilot -d domain.com -o rapport

Et si vous voulez pousser la configuration plus loin, pas de problème ! WebCopilot propose tout un tas d’options bien pratiques comme :

• -s pour ne faire que de l’énumération de sous-domaines
• -x pour exclure certains domaines du scan
• -b pour spécifier un serveur « blind XSS » externe
• -t pour régler le nombre de threads et accélérer les scans

Bref, c’est l’outil pratique pour industrialiser encore un peu plus votre processus de bug bounty.

A découvrir ici !

Un épisode qui analyse l'évolution de la fraude en ligne, l'influence de l'arrivée d'internet sur la fraude et nos réactions.

Vous pensiez que les vieux Windows étaient devenus inoffensifs avec le temps ? Détrompez-vous ! Le bidouilleur Eric Parker s’est récemment amusé à exposer directement sur Internet des machines tournant sous Windows XP, 2000 et 98, sans aucune protection… et le résultat est franchement flippant.

Parce que oui, même en 2024, quand on branche en direct un vieux Windows sur le net, sans pare-feu matériel pour filtrer les connexions non désirées, c’est le scénario catastrophe assuré. Votre antiquité numérique se retrouve à poil sur les réseaux, à la merci du premier script kiddie venu. Et ça ne fera pas long feu avant que votre bécane ne soit infestée de malwares !

Commençons par Windows 98. Lors de son test, Eric a eu beau patienter, rien ne s’est passé. Pas l’ombre d’un ver, backdoor ou cheval de Troie à l’horizon. Il semblerait que la vieille bécane bénéficie d’une forme de « sécurité par l’obscurité ». Avec si peu de Windows 98 encore connectés, les hackers ne prennent plus la peine d’écrire des exploits dédiés. Ouf !

Passons à Windows 2000. Là, c’est une tout autre histoire ! À peine connecté, les scans de ports ont révélé la présence de SMB, le protocole d’échange de fichiers, réputé pour ses failles béantes. Et quelques minutes plus tard, patatra ! Un bel écran bleu, suivi d’un redémarrage en boucle. En inspectant le système, Eric a découvert une backdoor signée « Shang Xen Smartphone Technology », des modifications de fichiers systèmes et même un mystérieux exécutable caché dans un dossier Temp. De quoi transformer la machine en parfait zombie à la solde des pirates !

Et Windows XP dans tout ça ? Pareil, 10 minutes chrono pour chopper un premier trojan « conhost.exe ». S’en sont suivis la création d’un compte administrateur, l’apparition d’un serveur FTP ouvert aux quatre vents, et tout un tas de saletés en provenance de Russie, le tout bien planqué dans le système. En bonus, un malware s’est même amusé à éjecter Malwarebytes, l’anti-virus qu’Eric avait installé. Bref, un joyeux bazar et une prise de contrôle totale de la machine, malgré un semblant de résistance du pare-feu intégré de XP.

Alors oui, ces expériences peuvent paraître un peu artificielles. Après tout, qui serait assez fou pour connecter directement un Windows préhistorique sur le net aujourd’hui ? Mais elles illustrent bien les progrès en matière de sécurité, et l’importance cruciale des protections réseau modernes (merci le NAT et les pare-feu !).

Et la morale de l’histoire ?

Primo, ne jamais sous-estimer les vieux Windows, ils sont toujours aussi vulnérables qu’à l’époque. Deuxio, faites tourner vos antiquités dans une VM ou un réseau isolé si vous y tenez. Tertio, soyez vigilants même sur les OS récents, les hackers affinent toujours leurs techniques pour exploiter la moindre faille.

Prenez soin de vos ordi, et à demain 🙂

Source

Vous débarquez dans votre laverie automatique préférée, les bras chargés de linge sale, et là, magie magie, grâce à une petite bidouille bien sentie, vous pouvez lancer une lessive gratuite, sans débourser un centime. C’est le rêve, non ? Eh bien, figurez-vous que c’est exactement ce qu’ont réussi à faire des étudiants un peu hackers sur les bords.

Alexander Sherbrooke et Iakov Taranenko, 2 petits génies de l’université de Santa Cruz, ont découvert une faille de sécurité dans le système des laveries connectées de CSC ServiceWorks. Je vous parle quand même d’un réseau de plus d’un million de machines à laver installées un peu partout dans le monde, des campus universitaires aux hôtels en passant par les résidences. Bref, un sacré parc de machines qui tournent à plein régime.

Pour y arriver, ils ont bidouillél’API utilisée par l’appli mobile CSC Go. Pour ceux qui ne sont pas familiers avec le jargon technique, une API c’est un truc qui permet à des applis et des appareils de communiquer entre eux au travers du réseau. Dans le cas présent, l’appli CSC Go permet aux utilisateurs de recharger leur compte, de payer et de lancer un cycle de lavage sur une machine proche. Cependant, les serveurs de CSC ne vérifiaient pas correctement qui avait le droit de faire quoi. N’importe qui peut entrer et faire ce qu’il veut. Et c’est exactement ce qu’ont fait nos deux compères.

En analysant le trafic réseau pendant qu’ils utilisaient l’appli CSC Go, Alexander et Iakov ont réussi à court-circuiter les contrôles de sécurité pour envoyer des commandes directement aux serveurs de CSC. Résultat des courses : ils ont pu modifier leur solde, ajouter des millions de dollars virtuels pour le budget lessive, et même localiser et interagir avec toutes les machines du réseau CSC ServiceWorks.

Bien sûr, avoir la lessive gratuite, c’est cool. Mais Alexander et Iakov ont surtout voulu montrer les dangers d’avoir des appareils connectés à Internet sans une sécurité au top. Le pire dans l’histoire, c’est qu’ils ont prévenu CSC ServiceWorks de la faille à plusieurs reprises depuis janvier, mais la société n’a jamais répondu. Pourtant, un simple petit formulaire de contact pour signaler les problèmes de sécurité, ça ne coûte pas bien cher et ça peut éviter de gros dégâts… J’espère juste que ces derniers ne préparent pas une action en justice…

Évidemment, bidouiller des machines à laver pour avoir des lessives gratuites, ce n’est pas l’attaque du siècle mais cela montre qu’il y a encore du boulot côté sécurité pour tous ces objets connectés. Alors pour se protéger de telles vulnérabilités, il est crucial de sécuriser les API en effectuant la vérification des commandes côté serveur plutôt que côté client et en utilisant des tokens d’authentification sécurisés.

En attendant, si vous croisez Alexander et Iakov sur leur campus, vous pouvez leur donner vos slips sales, ils savent y faire pour vous les rendre plus blanc que blanc. ^^

Source

Vous l’avez peut-être remarqué, mais ces derniers temps, les vulnérabilités dans les routeurs et autres équipements réseau se multiplient comme des petits pains. Et quand je dis petits pains, je parle plutôt du genre rassis et moisi qui traîne depuis des années dans un placard. C’est le cas de deux failles qui touchent les routeurs D-Link DIR-600 et DIR-605, qui viennent d’être ajoutées par la CISA à son catalogue des vulnérabilités activement exploitées par les pirates malveillants.

La première, CVE-2014-100005, permet à un attaquant de changer la configuration du routeur DIR-600 à distance, sans avoir besoin de se connecter. Comment ? Et bien grâce à une bonne vieille faille CSRF (Cross-Site Request Forgery), cette faille bien connue des années 2000 qui fait toujours des ravages en 2024. Il suffit que l’admin du routeur visite une page web piégée, et hop, l’attaquant peut faire ce qu’il veut de la config !

La deuxième, CVE-2021-40655, est une fuite d’informations dans l’interface web du DIR-605. En forgeant une requête HTTP POST vers la page « /getcfg.php », un petit malin peut récupérer en clair le nom d’utilisateur et le mot de passe de l’administrateur. Ça fait rêver, n’est-ce pas ?

La CISA précise que ces failles sont activement exploitées, mais ne donne pas plus de détails.

Le plus rigolo, c’est que la première faille date de 2014 et concerne un modèle qui n’est plus supporté depuis belle lurette. Donc si vous avez encore un DIR-600 qui traîne, il est plus que temps de le mettre à la retraite et de passer à un modèle plus récent. Pour la deuxième, pas de patch connu à ce jour, donc restez vigilants.

Mais ce n’est pas fini puisque d’autres chercheurs de SSD Secure Disclosure ont aussi trouvé des failles 0-day dans le routeur D-Link DIR-X4860. En combinant un contournement d’authentification et une injection de commande, un attaquant pourrait prendre le contrôle total de l’appareil, avec les privilèges root s’il vous plaît. Bref, le routeur est complètement compromis.

D-Link a été prévenu il y a un mois, mais n’a toujours pas réagi. Les détails techniques sont disponibles sur le blog de SSD, avec même un PoC prêt à l’emploi. La faille touche la version de firmware 1.04b03. Donc, si vous avez ce modèle, vérifiez votre version et espérez que D-Link réagisse rapidement et publie un correctif.

En attendant, la meilleure chose à faire est de garder son routeur à jour, de changer les mots de passe par défaut et de désactiver les fonctions dont on n’a pas besoin, comme l’accès à distance. Et pourquoi pas flasher son vieux routeur avec un firmware alternatif comme OpenWrt ou DD-WRT, qui sont généralement plus sûrs et plus à jour que les firmwares constructeurs ?

Allez, au boulot !

Source

Vous pensiez que vos secrets étaient en sécurité dans vos images Docker ? Détrompez-vous ! Une étude de l’Université d’Aix-la-Chapelle a révélé que près de 10% des images publiques sur DockerHub contenait des secrets (donc des identifiants, des clés API, des mots de passe, des endpoints sensibles…Etc).

Ça fait froid dans le dos.

On parle de plus de 50 000 clés d’API et d’identifiants accessibles publiquement. Et ce n’est que la partie émergée de l’iceberg puisque les chercheurs de Redhunt Labs ont aussi trouvé plus de 46 000 Dockerfiles exposant des infos sensibles. Bref, c’est la fête du slip côté sécurité !

Mais comment ces secrets se retrouvent-ils à fuiter comme une passoire ? Et bien c’est souvent, c’est à cause d’opérations de fichiers trop permissives, de secrets mis en dur dans les Dockerfiles…etc

Par exemple, beaucoup de tutos et même la doc officielle de Docker suggèrent d’utiliser COPY . . pour copier tout le répertoire courant dans l’image. Sauf que ça inclut aussi les fichiers sensibles comme .env ou l’historique Git. Pas top pour la confidentialité.

Et même si vous supprimez ces fichiers sensibles après le COPY, ils restent présents dans les couches précédentes de l’image. Un attaquant pourra donc toujours y accéder. Merci les layers 🙂

Autre coup classique : mettre directement les secrets dans le Dockerfile ou les passer en argument au build. Là encore, c’est cadeau pour les hackers. Un simple docker history --no-trunc et hop, vos secrets sont à nu.

Heureusement, il existe des solutions pour sécuriser tout ça. Par exemple, les builds multi-stages permettent d’isoler les secrets dans une étape intermédiaire qui ne sera pas conservée dans l’image finale. Et depuis peu, BuildKit propose une option --secret pour injecter les secrets sans les stocker dans l’image, mais attention aux pièges ! Si votre app log le secret qu’elle utilise, il finira quand même dans l’image. Les builds multi-stages restent donc plus safe de ce côté là.

Bref, vous l’aurez compris, la gestion des secrets dans Docker, c’est pas de la tarte mais en suivant les bonnes pratiques, vous pourrez limiter les risques.

Bref, pensez builds multi-stages, utilisez .dockerignore, oubliez les secrets en dur et n’abusez pas des arguments de build. Et surtout, ayez le réflexe d’auditer vos images avec des outils comme TruffleHog. Parce qu’un secret qui fuite, c’est votre réputation qui coule.

C’est vraiment une histoire incroyable que je découvre là… Un groupe de cyber criminels a réussi l’exploit de pirater plus de 400 000 serveurs Linux / FreeBSD / OpenBSD / SunOS / OSX depuis 15 ans, et tout le monde est passé à côté. Et tout cela grâce à un cheval de Troie appelé Ebury qui se planque discrètement dans le système.

Techniquement, Ebury s’infiltre via OpenSSH, le protocole qui permet de se connecter à distance à un serveur et une fois installé, ce parasite ouvre une porte dérobée pour que les pirates puissent entrer et sortir comme dans un moulin. Et le pire, c’est qu’il est super discret : il efface ses traces et se fait passer pour un processus légitime. Un vrai caméléon !

Très contents de mettre la main sur tous ces serveurs, les hackers ont aussi réussi à récupérer les mots de passe chiffrés de plus de 500 utilisateurs. Un trésor de guerre qui leur a permis de craquer la moitié des comptes et de se balader tranquille sur les machines infectées. D’après les experts en sécurité d’Eset, Ebury aurait commencé à sévir dès 2009, en s’attaquant aux serveurs de kernel.org, le sanctuaire du noyau Linux. Puis au fil des années, il s’est propagé un peu partout, en passant par des fournisseurs d’accès, des hébergeurs web, jusqu’à créer un méga botnet de plus de 400 000 zombies. Un peu flippant quand même…

Mais alors pourquoi personne n’a rien vu pendant tout ce temps ?

Eh bien, en 2011 déjà, des petits malins avaient repéré un truc louche et donné l’alerte. Les boss de kernel.org avaient alors promis de mener l’enquête… mais sans jamais donner de nouvelles. Un silence radio qui en dit long sur l’ampleur de la catastrophe !

Le pire dans tout ça, c’est qu’Ebury est toujours actif et continue de contaminer de nouvelles victimes grâce notamment à des failles 0-day dans des outils d’administration, du phishing, des attaques par dictionnaire sur SSH… Bref, l’attirail classique du parfait petit pirate. Sans oublier une méthode bien vicieuse : le gang vole carrément les identifiants d’autres cybercriminels et les utilise pour louer des serveurs et brouiller les pistes.

Ainsi, une fois qu’ils ont mis la main sur un maximum de machines, ils minent de la cryptomonnaie, volent des données bancaires, envoient du spam et redirigent du trafic web pour se faire du blé. La routine du cybercriminel, quoi… Mais rassurez-vous, il y a quand même des trucs à faire pour éviter de se faire piéger comme un bleu.

Déjà, oubliez le mot de passe unique et passez à l’authentification multi-facteurs sur SSH. Ensuite, surveillez vos logs et les connexions douteuses. Et si vous êtes sysadmin, appliquez direct les patchs de sécurité et surveillez régulièrement vos serveurs. Pour vous dire à quel point ces mecs sont doués, réussir à passer inaperçu pendant 15 piges et pirater autant de serveurs, c’est quand même pas rien ! Alors c’est pas une raison pour baisser la garde en touillant votre petit café !

Pour en savoir plus sur Ebury et ses impacts, n’hésitez pas à consulter ce rapport détaillé disponibles en ligne.

Bon courage 🙂

Source

Vous avez déjà entendu parler de Viginum ?

Alors, non, ce n’est pas un nouveau personnage dans Fortnite, mais le service de vigilance de l’État contre les ingérences numériques étrangères. Et en ce moment, ils ont du pain sur la planche, notamment en Nouvelle-Calédonie !

D’un côté, y’a la Chine, la Russie et l’Azerbaïdjan qui s’amusent à mettre leur grain de sel dans le débat public calédonien, via des campagnes de désinformation sur les réseaux sociaux. De l’autre, une petite équipe de geeks qui chez Viginum essaie de démêler le vrai du faux dans ce joyeux bordel numérique. Pas facile en effet de faire le tri entre les fake news des trolls russes, les mèmes des fermes à clics azerbaïdjanaises et la propagande des membres du « 50 Cent Party » (ou 五毛党 en chinois).

Dans ce contexte tendu, l’actualité brûlante et le blocage unilatéral de TikTok soulèvent des questions plutôt complexes c’est vrai. D’un côté, le réseau social étant détenu par l’entreprise chinoise ByteDance, il existe un risque réel d’ingérence de la part du gouvernement chinois. Bloquer TikTok pourrait donc être vu comme une mesure de protection de la souveraineté numérique. Mais d’un autre côté, couper l’accès à une application aussi populaire, surtout auprès des jeunes, pourrait être perçu comme une atteinte à la liberté d’expression et renforcer la défiance envers l’État.

De plus, les utilisateurs (et les trolls) finiront simplement par se disperser vers d’autres réseaux sociaux, ce qui rendra la mesure inefficace. Plutôt qu’une censure brutale, je pense qu’une approche plus nuancée, axée sur l’éducation aux médias et la lutte contre la désinformation, aurait été préférable. Mais bon, vu la situation d’urgence, c’est surement trop tard… Il aurait fallu se réveiller avant.

Face à ces défis, Viginium dispose d’un arsenal technique impressionnant. Ils collectent des données sur les réseaux sociaux en analysant notamment les métadonnées afin d’identifier les flux massifs d’informations suspectes venant de l’étranger. Par exemple, si un flot soudain de tweets pro-indépendance en Nouvelle-Calédonie provient de comptes basés à l’étranger, c’est un signal d’alarme pour eux. Notez quand même qu’ils ne se posent pas en arbitre de la vérité : leur rôle est simplement de détecter ces anomalies. Leurs alertes permettent ensuite au gouvernement d’étayer ses décisions.

Mais à quoi bon se donner tant de mal ?

L’enjeu est de taille puisqu’il s’agit ni plus ni moins que de la souveraineté nationale. En effet, des campagnes de désinformation bien orchestrées peuvent déstabiliser le débat public et influencer des résultats critiques, comme lors des référendums d’indépendance en Nouvelle-Calédonie. Le dernier, qui a eu lieu en décembre 2021, avait d’ailleurs fait l’objet d’une surveillance étroite de Viginum pour repérer les activités en ligne suspectes.

Bien qu’équipés de technologies avancées (algorithmes de détection de bots, OSINT…), les experts de Viginum opèrent dans un cadre légal bien défini, garantissant ainsi le respect des libertés individuelles. La législation actuelle encadre strictement leur actions : la collecte des données est soumise à décrets, leur conservation est limitée à six mois, et un comité éthique, présidé par un haut conseiller d’État, veille au respect des règles. Cet équilibre entre efficacité et protection des droits des citoyens est essentiel pour maintenir la confiance envers cette institution de notre cybersécurité nationale.

En fin de compte, Viginum joue un rôle plutôt méconnu mais crucial dans la défense de la souveraineté française face aux ingérences étrangères et je trouvais ça intéressant de vous en parler un peu. Vous trouverez plus d’infos ici.

Apple et Google, les deux titans du monde mobile, ont décidé de mettre leurs différends de côté pour unir leurs forces en nous dévoilant un nouveau protocole : le « Detecting Unwanted Location Trackers ». Rien que le nom, ça envoie du lourd !

En résumé, c’est un standard commun qui va permettre à iOS et Android de nous alerter quand un traqueur Bluetooth non associé à notre smartphone tente de nous suivre à notre insu. Fini les ex psychopathes un peu trop collants, les parents pervers narcissiques qui jouent les espions et autres individus mal intentionnés ! Notre téléphone nous avertira directement si un de ces traqueurs se faufile dans nos déplacements. C’est une bonne nouvelle non ?

Dès qu’un accessoire Bluetooth compatible avec ce protocole sera détecté près de vous alors qu’il n’est pas associé à votre appareil, vous recevrez une alerte : « Objet détecté se déplaçant avec vous ». Un message un peu flippant, certes, mais au moins c’est clair ! Et en cliquant sur cette alerte, vous pourrez voir l’identifiant du traqueur, lui ordonner de faire du bruit pour le retrouver (ça, c’est la partie marrante 😄), et même le désactiver directement depuis votre téléphone (moins drôle pour le stalker).

Néanmoins, il faut relativiser car recevoir ce genre d’alerte ne signifie pas forcément que quelqu’un cherche volontairement à vous suivre. Cela pourrait très bien être un objet emprunté ou oublié qui porte un traqueur mais dans le doute, mieux vaut vérifier ! La bonne nouvelle, c’est que de nombreux fabricants d’accessoires se sont déjà engagés à rendre leurs futurs produits compatibles avec ce protocole dont Chipolo, eufy Security, Pebblebee et bien d’autres encore. Mais honnêtement, ils n’avaient pas trop le choix s’ils ne voulaient pas se faire boycotter par Apple et Google ! 😅

Cependant, au-delà de la plaisanterie, c’est une avancée significative pour notre vie privée. Avec la multiplication des objets connectés, il est devenu difficile de distinguer les accessoires légitimes de ceux utilisés par des personnes malveillantes donc ce nouveau standard nous offre plus de clarté et nous aide à surveiller qui pourrait tenter de nous espionner !

De plus, pour les paranos comme moi qui dorment avec un bonnet en alu sur la tête (non, je n’ai pas de problèmes psy…), sachez que ce n’est pas le premier système anti-pistage développé par ces GAFAMs. AirTag chez Apple et les autres accessoires du réseau Find My intègrent déjà de nombreuses protections contre les utilisations malveillantes. Mais cette initiative va encore plus loin en fédérant les deux systèmes mobiles leaders du marché et en incitant de nombreux acteurs à adopter ce protocole commun. Avec un peu de chance, dans quelques années, l’utilisation de traqueurs Bluetooth pour suivre quelqu’un à son insu sera obsolète.

D’ici là, un petit conseil : méfiez-vous des gadgets électroniques offerts soi-disant pour « garder un œil sur vos affaires ». C’est peut-être juste une excuse pour vous garder à l’œil, VOUS ! 👀 Et n’oubliez pas de prévenir les autorités si la situation semble vraiment préoccupante, restez vigilant et surveillez bien vos notifications. Peut-être qu’un tracker se cache déjà dans votre sac…

Pour plus d’informations, consultez les liens officiels : – Annonce Apple et Google dans le newsroom – Document IETF sur les traqueurs de localisation

L’un de vos appareils a été infecté par un logiciel malveillant et vous craignez pour son intégrité, ses performances et vos données personnelles ? Il peut être difficile de se débarrasser efficacement d’un virus, d’où le besoin de l’assistance d’un expert. Ce service est justement inclus au sein de l’offre Kaspersky Premium, qui donne aussi accès à bien d’autres avantages et outils de protection.

L’article Victime d’un virus ? Bénéficiez de l’aide d’un expert est apparu en premier sur Toms Guide.

Tiens, Microsoft nous prépare un nouveau bébé baptisé Zero Trust DNS, ou ZTDNS pour les intimes. Alors c’est quoi encore ce truc ? Eh bien c’est tout simplement un système permettant de sécuriser le DNS sur nos chers Windows.

Pour ceux qui auraient loupé un épisode, le DNS c’est un peu comme l’annuaire téléphonique d’Internet. Il permet de traduire les noms de domaine tout mignons comme korben.info en adresses IP bien moins sexy. Le problème, c’est que jusqu’à présent, le DNS c’était un peu le maillon faible de la sécurité. Les communications n’étaient pas chiffrées, ce qui ouvrait la porte à plein de menaces comme l’espionnage, le détournement de trafic ou même les attaques de type « DNS spoofing« . D’ailleurs, selon une étude de Cisco, plus de 70% des attaques de phishing utilisent des techniques de DNS spoofing pour tromper leurs victimes.

Mais ça, c’était avant ! Avec ZTDNS, Microsoft promet de changer la donne. Déjà, toutes les communications entre les clients Windows et les serveurs DNS seront chiffrées et authentifiées grâce aux protocoles DNS over HTTPS (DoH) ou DNS over TLS (DoT), ce qui devrait rendre la vie plus difficile aux vilains cyber criminels qui voudraient mettre leur nez dans nos petites affaires.

Ensuite, et c’est là que ça devient vraiment intéressant, ZTDNS va permettre aux admins réseau de contrôler finement quels domaines peuvent être résolus par les serveurs DNS. En gros, si un domaine n’est pas sur la liste blanche, et bien le client Windows ne pourra tout simplement pas s’y connecter !

Mais attention, mettre en place un truc pareil, ça ne va pas être une partie de plaisir. Il va falloir bien planifier son coup pour éviter de tout casser, du genre bloquer sans faire exprès l’accès à des services importants ! Mais bon, c’est le prix à payer pour renforcer la sécurité et se rapprocher doucement d’un modèle « Zero Trust » où on ne fait confiance à personne par défaut.

Alors concrètement, comment ça va marcher ?

Eh bien déjà, il faudra que les serveurs DNS supportent les protocoles de chiffrement comme DoH ou DoT. Ça tombe bien, ZTDNS est conçu pour être compatible avec tout ça. Pas besoin de réinventer la roue.

Ensuite, lorsqu’un client Windows aura besoin de résoudre un nom de domaine, il va discuter avec un des fameux serveurs DNS « protecteurs » et si le domaine est autorisé, le serveur lui filera l’adresse IP correspondante. Et hop, le pare-feu Windows sera dynamiquement mis à jour pour autoriser la connexion vers cette IP. Par contre, pour le reste, c’est niet ! Le trafic sera bloqué direct !

Bon après, faut quand même avouer qu’il y aura des trucs qui vont morfler à cause de ZTDNS. Tous les protocoles réseaux un peu exotiques qui n’utilisent pas le DNS, comme le multicast DNS (mDNS) par exemple, ça va être coupé. Pareil pour les partages de fichiers sur le réseau local ou les imprimantes qui utilisent des protocoles de découverte archaïques. Ça risque donc de râler dans les chaumières !

Mais heureusement, les ingénieurs de Microsoft ne sont pas nés de la dernière pluie et ont prévu pas mal de mécanismes pour « mitiger » ces problèmes. Par exemple, on va pouvoir définir des exceptions pour autoriser certaines plages d’adresses IP sans passer par le DNS. Ou encore favoriser des solutions plus modernes et sécurisées, comme l’impression via Universal Print qui passe, lui, gentiment par le DNS.

Un autre truc à prendre en compte, c’est que certaines applications un peu spéciales risquent de ne plus fonctionner du tout avec ZTDNS. Celles qui utilisent des adresses IP codées en dur ou des mécanismes de résolution maison, c’est mort. Mais bon, ce sera l’occasion de faire le ménage et de moderniser tout ça.

Microsoft a d’ailleurs prévu un mode « Audit » qui permet dans un premier temps de voir ce qui serait bloqué par ZTDNS, sans pour autant péter la prod. Comme ça, on peut analyser tranquillement les flux réseau et identifier les applications ou les flux problématiques. C’est un bon moyen d’anticiper les éventuels soucis avant de passer en mode bloquant !

Bon après, faut pas non plus se voiler la face. Même avec ZTDNS, il restera toujours des failles de sécurité potentielles. Les connexions VPN ou SASE/SSE par exemple, qui encapsulent le trafic dans un tunnel chiffré, pourront toujours passer entre les mailles du filet si on n’y prend pas garde. Sans parler des technologies de virtualisation qui court-circuitent carrément la pile réseau de Windows !

Mais bon, rien n’est parfait et il faut bien commencer quelque part… ZTDNS représente déjà une sacrée avancée pour renforcer la sécurité réseau des parcs Windows et avec un peu de rigueur et de persévérance, les admins sys pourront en tirer le meilleur parti.

Pour l’instant, ZTDNS est en preview privée chez Microsoft. On ne sait pas encore exactement quand il débarquera dans nos Home Sweet Home. En attendant, je vous invite à aller jeter un œil à l’article sur le blog Techcommunity qui rentre dans les détails techniques de la bête. C’est dense mais ça vaut le coup de s’y plonger si vous voulez être informé.

Source