Toujours utile : pour remplacer une chaîne dans un fichier sans l’éditer. Intérêt ? Le faire en ligne de commande, dans un script…
Continuer la lectureArchives de l’auteur : Janiko
Le cas du New York Times
Édifiant article ne faisant que confirmer mes craintes sur l’impossible anonymisation de nos vies privées.
Continuer la lecture2019 vu par SecureLink
En quelques mots, voici ce qui s’est passé en 2019 selon SecureLink (Orange Cyberdéfense) :
- Explosion des fuites de données. En conséquence, le prix des données en vente sur le darknet chute ;
- Les entreprises concentrent les attaques (le modèle doit être plus rentable, notamment pour les ransomwares) ;
- Statistiquement, les malwares sont relativement contenus ;
- Enfin, https ne fait pas tout : 1/3 des sites (en 2019) utilisent un certificat émis par une PKI qui n’existe plus !
Sources
Réponse automatique aux incidents
- https://auth0.com/blog/guardians-of-the-cloud-automating-response-to-security-events/
- https://github.com/dropbox/securitybot
- https://slack.engineering/distributed-security-alerting-c89414c992d6
- https://thehive-project.org/
Analyse d’une instance
Un mot sur GuardDuty
One of the most common observations after enabling GuardDuty is that it can be daunting at the beginning and that it requires a significant amount of time to tune it to make it serviceable for your environment.
https://auth0.com/blog/guardians-of-the-cloud-automating-response-to-security-events/
Droits, utilisateurs et répertoires (Linux)
Voici quelques commandes utiles pour voir ce qui se passe dans les répertoires d’un système Linux.
Continuer la lectureTypes d’attaquants
Par grand type
- Script kiddies
- Hacktivistes
- Opportunistes
- Mafia
- Etats (ou groupe soutenus par des états)
Par niveau d’habileté
- Minimal/Faible : les script kiddies, les Anonymous, qui exécutent des bidules sans les comprendre, sans aucune connaissance de sécurité offensive (ou très peu) ;
- Standard : du personnel compétent mais isolé (loup solitaire, petit groupe type hacktivistes) ;
- Avancé : groupes organisés, avec du support technique et financier, profil typique dans le milieu de la cybercriminalité ;
- Prédateurs/Hors catégorie : les groupes étatiques ou soutenus par des états, tels que des services de renseignements, l’armée.
RCS
RCS est l’acronyme pour Rich Communication Services, le remplaçant du SMS. La principale différence est qu’au lieu de passer par le canal « voix » (GSM), il passe par le réseau IP.
Continuer la lectureCertificat (contrôle)
Bien beau d’avoir un certificat, encore faut-il savoir s’il est fiable et valide. La norme utilisée étant quasiment toujours X509, étudions-en les caractéristiques.
Usage
SNI
Server Name Indication
Sources
L’avenir du mot de passe
Le mot de passe est mort. Vive le mot de passe. On nous vend la mort du mot de passe un peu partout. Il faut dire qu’on ne peut plus rien vendre concernant le mot de passe, vu que tout a été dit ou fait sur le sujet. Donc il faut trouver un autre os à ronger.
Continuer la lectureSSRF
Vulnérabilité serveur à serveur permettant d’exécuter du script sur un serveur tiers alors qu’on ne devrait pas avoir le droit.
Continuer la lecture2020
Saison des vœux oblige, les éditeurs de sécurité nous souhaitent une année 2020 pleine de malwares et de problèmes de sécurité. Plusieurs sociétés nous font part de leurs prévisions.
Selon CheckPoint
CheckPoint a fait l’exercice (fin 2019) pour envisager ce que pourraient être les attaques de 2020. Difficile et périlleux, mais ils ont une approche intéressante : rapprocher les évolutions technologiques en cours (ou attendues) et les menaces afférentes. Logique, puisque le crime suit l’usage !
Continuer la lectureBiométrie : les attaques
https://www.engadget.com/gedmatch-cyber-attack-exposed-dna-police-190130728.html
Attaques sur l’enclave
Les données biométriques sont moins exposées lorsqu’elles restent sous le contrôle de utilisateurs, comme c’est normalement le cas dans l’utilisation des smartphones. Hélas, même le passage par le TEE (Trusted Execution Environment) réserve parfois de surprise, comme sur le OnePlus 7 Pro.
Source : https://www.securityweek.com/fingerprint-exposing-flaw-oneplus-7-phone-highlights-tee-issues
Cyberespace et droit
PAYS-BAS – Le pays publie une lettre remise au Parlement concernant la position du pays sur le droit international dans le cyberespace
Cette lettre, rédigée par le ministre des Affaires Étrangères et remise au Parlement début juillet 2019, vient d’être rendue publique. La pays présente ainsi sa vision face aux différents travaux sur le droit international appliqué au cyberespace qui ont été publiés par d’autres pays européens dont la France (voir revue de presse du 16/09/2019) ces derniers mois. Les Pays-Bas ont toujours été précurseurs dans le domaine des normes cyber notamment par la compréhension du droit international et son application dans le domaine cyber. Dans cette lettre, le ministre y décrit les positions du pays vis-à-vis de la souveraineté, la non-intervention, l’utilisation de la force, le droit humanitaire international ainsi que l’attribution des opérations cyber et le type de réponses possibles que le droit international cautionne.
– Ministère des Affaires Étrangères hollandais, Ministère des Affaires Étrangères hollandais, Just Security
Source : ANSSI
2019
Quelques sources d’informations stratégiques pour 2019.
Continuer la lectureDeepfake
- https://ai.facebook.com/blog/deepfake-detection-challenge
- https://www.wedemain.fr/Zao-l-appli-qui-permet-d-incruster-votre-visage-dans-une-video_a4284.html
- https://www.nextinpact.com/brief/google-veut-lutter-contre-des—deepfakes—audio-7588.htm
- https://www.lefigaro.fr/secteur/high-tech/2018/04/20/32001-20180420ARTFIG00134-la-viralite-d-une-fausse-video-d8216obama-met-en-lumiere-le-phenomene-du-deep-fake.php
- https://www.securityweek.com/growing-threat-deepfake-videos
- https://www.securityweek.com/coming-conference-room-near-you-deepfakes et sa conclusion :
Don’t believe everything you see on the internet.
https://www.securityweek.com/coming-conference-room-near-you-deepfakes
Human error
« I’m afraid I can’t do that. » On peut trouver ça inquiétant, mais en y regardant de plus près, peut-être pas : 99% des attaques ont besoin d’une action d’un utilisateur pour aboutir.
Continuer la lectureCybersecurity Act
Halte au sketch ! L’Union Européenne s’organise pour lutter contre les cyberattaques extérieures (ce qui sous-entend au passage que nous sommes tous amis au sein de l’UE et que personne n’attaquera son voisin).
Continuer la lectureBrèves (juillet 2019)
Trop stylé
Une belle attaque, bien élégante : le canal intermédiaire. Que faire si on ne peut pas utiliser un canal que l’on souhaite espionner ou écouter ? Réponse : en utiliser un autre.
Rendons ça moins abscons : si vous souhaitez écouter le haut parleur d’un smartphone, via une application malveillante, mais que vous n’y avez pas droit, vous pouvez utiliser… l’accéléromètre1 !
Ce dernier ne demande pas d’autorisation particulière : toute application Android peut y accéder. Et des chercheurs ont réussi à s’en servir pour capter la réverbération du son. Moi, je trouve ça génial.
Pas assez cher, mon fils
La FTC (Federal Trade Commission) souhaite coller 5 milliards de $ à Facebook, suite à ses déboires concernant les données personnelles exploitées sans grande éthique.
Cela représente environ 9% de son misérable chiffre d’affaire, ce qui commence à faire beaucoup quand même, surtout que certaines voix s’élèvent pour dire que ça n’est pas assez.
En y repensant, c’est p’t’être pas assez, mais ça ne concerne que les Etats-Unis, cette affaire. Il y a aussi le RGPD qui rôde et qui va sans doute commencer à taper sur les doigts, comme avec British Airways ou Marriott.
Brèves (juin 2016)
Tape m’en cinq !
Nouveau type d’attaque, encore embryonnaire, mais amusante : des chercheurs ont créé une « table » simulant une interaction tactile sur des smartphones.
Pour l’instant, l’exploitation est difficile, car le paramétrage dépend de chaque type de smartphone, et l’utilisateur doit poser son téléphone sur la table (ou sur l’objet) contenant la surface spécialement créée à cet effet. Par ailleurs, des remédiations logicielles ou matérielles sont possibles, mais je trouve l’idée assez maligne.
- Source : ZDNet.
Docker, API et configuration
Docker n’échappe pas à la grande mode des erreurs de configuration, comme sur S3 ou MongoDB.
Malheureusement, là aussi les conséquences peuvent être importantes : prise de contrôle des ressources de l’hôte, des conteneurs, installation de malwares ou de cryptomineurs, etc. TrendMicro1 détaille l’affaire, mais qui nous rappelle qu’il ne suffit pas de s’arrêter à « ça marche » quand on met en place un système informatique…
Traces
Je me doutais qu’il était possible de trouver beaucoup d’infos sur un système depuis l’extérieur. Des chercheurs ont placé la barre très haut2 rien qu’en JavaScript. Ce genre de bidouille, déjà prisée des départements marketing et des pirates, permet de tout savoir sur le navigateur qu’un quidam est en train d’utiliser pour visiter un site contenant ce(s) script(s).
Bloomberg
Je n’imaginais pas inclure un article sur cette société de presse, mais quelque chose m’a mis la puce à l’oreille.
Continuer la lecture