Une idée géniale : si ton système n’a pas de faille de sécurité, alors introduis-en une ! Des attaquants ont profité d’un driver de Gigabyte, signé et légitime mais qui présentait une vulnérabilité non corrigée, pour lancer des attaques.
Continuer la lectureArchives de catégorie : Attaques
Compromission de mails
Les factures, les ordres de paiement, les contrats… Tous ces documents qui ne passionnent personne et que personne n’a envie de voir, sauf les comptables, on croit en effet que cela n’intéresse personne. Ben si. Surtout quand ils sont échangés par mail.
Continuer la lectureCyberespace et droit
PAYS-BAS – Le pays publie une lettre remise au Parlement concernant la position du pays sur le droit international dans le cyberespace
Cette lettre, rédigée par le ministre des Affaires Étrangères et remise au Parlement début juillet 2019, vient d’être rendue publique. La pays présente ainsi sa vision face aux différents travaux sur le droit international appliqué au cyberespace qui ont été publiés par d’autres pays européens dont la France (voir revue de presse du 16/09/2019) ces derniers mois. Les Pays-Bas ont toujours été précurseurs dans le domaine des normes cyber notamment par la compréhension du droit international et son application dans le domaine cyber. Dans cette lettre, le ministre y décrit les positions du pays vis-à-vis de la souveraineté, la non-intervention, l’utilisation de la force, le droit humanitaire international ainsi que l’attribution des opérations cyber et le type de réponses possibles que le droit international cautionne.
– Ministère des Affaires Étrangères hollandais, Ministère des Affaires Étrangères hollandais, Just Security
Source : ANSSI
Résumé. Points clés
Ce résumé a été généré par LLM.
Un cadre juridique appliqué au cyberespace
Les Pays-Bas proposent une analyse complète et structurée de l’application du droit international au cyberespace, en l’absence de traité spécifique dédié. Ils considèrent que les règles existantes — notamment la Charte des Nations unies, le droit des conflits armés et le droit de la responsabilité des États — s’appliquent pleinement aux activités numériques des États. Cette approche vise à éviter un vide juridique et à ancrer les cyberopérations dans un cadre normatif déjà reconnu.
Les notions classiques sont ainsi transposées au cyber : souveraineté des États, interdiction d’intervention, usage de la force et droit à la légitime défense. L’ensemble forme une vision cohérente qui contribue à structurer un domaine encore en construction.
Des incertitudes sur la souveraineté et les seuils d’action
La souveraineté constitue un point de débat majeur. Certains États considèrent qu’une intrusion informatique sans effet tangible ne constitue pas une violation du droit international, tandis que d’autres estiment que toute atteinte aux systèmes situés sur leur territoire peut relever d’une violation de souveraineté. L’absence de consensus rend difficile l’établissement de règles claires.
Les seuils juridiques restent également flous. La distinction entre une simple opération d’influence, une intervention interdite, un usage de la force ou une attaque armée dépend de critères encore discutés, notamment l’intensité et les effets des actions menées. Cette incertitude complique la qualification juridique des incidents et les réponses appropriées.
Responsabilité et réponses possibles des États
L’attribution des cyberattaques est une condition essentielle pour engager la responsabilité d’un État, mais elle demeure complexe en pratique. Une fois cette attribution établie, le droit international permet différentes réponses, telles que les contre-mesures proportionnées, les actions diplomatiques ou, dans les cas les plus graves, le recours à la légitime défense.
Le principe de diligence impose par ailleurs aux États de ne pas laisser leur territoire être utilisé pour conduire des cyberattaques contre d’autres États. Cette obligation renforce la responsabilité indirecte, même en l’absence d’implication directe.
Une convergence progressive mais incomplète
Le droit international est reconnu comme applicable au cyberespace, mais son interprétation reste fragmentée. Les positions nationales contribuent progressivement à préciser les règles, sans pour autant éliminer les divergences. Le cyberespace demeure ainsi un domaine juridiquement instable, marqué par une évolution progressive des normes et des pratiques étatiques.
Human error
« I’m afraid I can’t do that. » On peut trouver ça inquiétant, mais en y regardant de plus près, peut-être pas : 99% des attaques ont besoin d’une action d’un utilisateur pour aboutir.
Continuer la lectureBrèves (juillet 2019)
Trop stylé
Une belle attaque, bien élégante : le canal intermédiaire. Que faire si on ne peut pas utiliser un canal que l’on souhaite espionner ou écouter ? Réponse : en utiliser un autre.
Rendons ça moins abscons : si vous souhaitez écouter le haut parleur d’un smartphone, via une application malveillante, mais que vous n’y avez pas droit, vous pouvez utiliser… l’accéléromètre1 !
Ce dernier ne demande pas d’autorisation particulière : toute application Android peut y accéder. Et des chercheurs ont réussi à s’en servir pour capter la réverbération du son. Moi, je trouve ça génial.
Pas assez cher, mon fils
La FTC (Federal Trade Commission) souhaite coller 5 milliards de $ à Facebook, suite à ses déboires concernant les données personnelles exploitées sans grande éthique.
Cela représente environ 9% de son misérable chiffre d’affaire, ce qui commence à faire beaucoup quand même, surtout que certaines voix s’élèvent pour dire que ça n’est pas assez.
En y repensant, c’est p’t’être pas assez, mais ça ne concerne que les Etats-Unis, cette affaire. Il y a aussi le RGPD qui rôde et qui va sans doute commencer à taper sur les doigts, comme avec British Airways ou Marriott.
Bloomberg
Je n’imaginais pas inclure un article sur cette société de presse, mais quelque chose m’a mis la puce à l’oreille.
Continuer la lectureBrèves (mai 2019)
Conteneurs Docker
Excellent : après la découverte d’une grosse boulette sur les distributions Alpine Linux, dont les images Docker permettaient l’accès root sans mot de passe (durant 3 ans !), les chercheurs ont poussé leur recherche dans les 1000 images les plus utilisées1. Au total 194 images (sur 1000) sont dans le même cas (root sans mot de passe).
Source
Responsabilité partagée
Bien que n’ayant pas tous les détails, voici un bel exemple d’illustration de ce qu’est la responsabilité partagée, quand on est dans le cloud.
Une base de données non protégée, hébergée chez AWS, a fait fuiter des millions d’informations sur des « influenceurs » d’Instagram2 (qui appartient à Facebook…) y compris des données privées. Or c’est au propriétaire de la base, une société nommée Chtrbox, qu’il appartient de sécuriser sa base de données.
Patch XP et Windows 7
Bien que le support de ces versions de Windows soit théoriquement terminé (au moins pour le grand public), Microsoft a sorti des patchs de sécurité sur ces produits en mai 20193456.
Pourquoi ?
En raison d’une faille de sécurité sur RDP (Remote Desktop Protocol) si grave qu’on redoute un nouveau WannaCry, rien de moins (à savoir un programme malveillant se propageant sous la forme de ver réseau).
Sources
- CVE-2019-0708 (Microsoft)
Pourquoi il faut se méfier des clés USB
Ca fait quelques années que je connais le principe de la clé USB tueuse : une clé faite en réalité de condensateurs et autres bidules électroniques dont le seul but est de détruire le terminal qui y serait connecté.
Continuer la lectureZombieLoad, MDS, etc.
qui va bien
Quelques semaines après SPOILER, une nouvelle attaque12 dans la famille des Spectre & Meltdown, avec son site dédié comme de bien entendu.
Continuer la lectureTrop triste réalité
J’en voulais aux Shadow Brokers d’avoir publié certains outils de la NSA, rendant ainsi facile l’attaque par des personnes ignares et non qualifiées, telles que les Anonymous.
Trop triste : dans la série « les espions espionnent », il s’avère que des pirates chinois1 ont utilisé ces outils… un an plus tôt !
Attaques sur la mémoire RAM
Rien ne va plus dans le monde de l’informatique : on s’attaque à la mémoire sans vergogne. Exemples :
- Martèlement mémoire (cf Wikipédia en français mais surtout en anglais), où on arrive physiquement à modifier de façon déterministe (= voulue et contrôlée) les bits voisins en RAM.
- Flip Feng Shui (cf silicon.fr), qui est un type de martèlement mémoire. Comme seulement certaines zones y sont sensibles, cette technique consiste à pousser le système sous-jacent à stocker les informations critiques (comme les clés de chiffrement) dans les zones sensibles au martèlement mémoire1, et par d’autres techniques lire ces zones. Le Flip Feng Shui est une discipline japonaise d’agencement d’un habitat pour optimiser le flux d’énergie…
Voir aussi
- Spectre et Meltdown
- Canaux auxiliaires
Antivirus accablants
Voilà comment réduire un titre pour lui faire dire ce qu’on veut : il paraît que les antivirus sont nuls sur Android. En 2020, on les a même transformés en « logiciels dévastateurs ». Mouais.
Continuer la lectureCSRF
Les attaques de type CSRF, ou Cross Sites Request Forgery, font partie du top ten de l’OWASP, c’est-à-dire font partie des attaques les plus courantes et donc contre lesquelles on se protège peu (ou mal) en général.
En français ça signifie quelque chose comme falsification des requêtes (http) inter-sites. Le principe est qu’un utilisateur d’un site A, sur lequel il a les droits d’accès, fasse une requête sur ce site A à son insu lors d’une visite sur un site B.
Ainsi, le site B contiendrait une requête spécialement préparée qui n’attendrait plus qu’à être déclenchée par l’utilisateur.
Quel intérêt ?
Pas toujours évident de le voir à l’œil nu 😉 ! Imaginons que le site A est important mais vulnérable aux attaques CSRF. Le méchant pirate n’y a pas accès (il n’a pas le mot de passe, voire même le site A n’est pas accessible depuis l’extérieur).
Par contre, le site B est facile d’accès pour le pirate, lequel sait (ou espère) qu’il est visité régulièrement par l’utilisateur ayant accès au site A. Le pirate va alors placer sa requête sur le site B, en attendant que l’utilisateur du site A aille visiter le site B… tout en s’étant par ailleurs connecté sur le site A.
L’intérêt est ici : l’utilisateur du site A s’est auparavant authentifié. Il a donc accès aux fonctions qui intéressent le pirate, qui lui n’y a pas accès.
Or en allant sur le site B, l’utilisateur va sans le savoir lancer une requête sur un autre site (le site A) tout en étant déjà authentifié (au niveau de son navigateur).
Résultat : la requête, pourtant lancée à partir du site B, ira sur le site A en conservant (via le navigateur) la session authentifiée du site A, et elle sera donc exécutée !
Conclusion de l’affaire
Sans même avoir physiquement accès au site A, le pirate fera faire à l’utilisateur la requête qui lui, le pirate, souhaite voir s’exécuter sur le site A.
Paradons
Pour empêcher cela, on peut agir soit au niveau du navigateur, soit au niveau de l’application ou du serveur web.
Navigons
En 2018, seuls Chrome et Opera implémentaient un mécanisme de protection qui consiste à ne pas autoriser un cookie (servant à l’authentification) de servir une requête venant d’un autre endroit (same-site cookies).
Les soucis sont qu’on ne peut pas toujours faire confiance au navigateur et que seuls certains d’entre eux appliquent cette parade. La tendance semble toutefois meilleure en 2019, mais il faut avoir un navigateur à jour.
Plus d’infos : https://caniuse.com/#feat=same-site-cookie-attribute.
Niveau serveur
Il faut dans ce cas ne répondre qu’aux requêtes légitimes, c’est-à-dire envoyées par le serveur web lui-même. Pour cela, on ajoute un token (à usage unique) à la requête, qui doit être renvoyé dans la réponse.
Pour être efficace, il faut que ce token ne puisse pas être déterminé par l’attaquant ! Plusieurs frameworks de développement proposent des tokens robustes avec suffisamment d’aléas.
Et si la requête est légitime mais qu’elle ne contient pas de token, alors l’utilisateur doit se ré-authentifier ! Tout simplement.
Sources
Spoiler
Les gestionnaires de mots de passe faillibles ?
Vraiment ? L’actualité court sur tous les sites web (enfin, quelques uns) pour indiquer que les gestionnaires de mots de passe comme KeePass ou 1Password laisseraient des informations critiques en clair.
Continuer la lectureAttaques XML
XML, comme toute technologie informatique, est potentiellement utilisable de façon détournée par de méchants pirates. Autrement dit, XML est attaquable. Certaines attaques sont relativement communes, d’autres sont plus spécifiques à la technologie elle-même.
Attaques XXE
Une attaque XXE consiste à utiliser le mécanisme XML External Entities qui permet de charger, dans un document XML, des données externes.
Principe
Il suffit donc ensuite que le serveur qui traite le fichier XML ait les droits sur la ressource demandées pour qu’il la récupère. Imaginons que le serveur soit installé sur une instance AWS : on peut très bien mettre, dans l’entité externe à charger, une URL du type //169.254.169.254/latest/meta-data/iam/security-credentials/role/ qui contient les informations d’authentification pour le rôle concerné.
<!DOCTYPE doctype [
<!ENTITY myentity SYSTEM "https://169.254.169.254/latest/meta-data/iam/security-credentials/role/"> ]>
<sell>
...
<product>
<name>Product Name</name>
<price>100.00</price>
<description>&myentity;</description>
</product>
...
</sell>On récupère alors une réponse :
{ "Code" : "Success",
"LastUpdated" : "2018-02-06T15:12:30Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "ASIAJQAPNMGMDOUJ5LGQ",
"SecretAccessKey" : "/jOIiFX...............eNBe0SigqvngXkXsMP",
"Token" : "FQoDYXdzEKj//////////wEaDNzLiriTguzdpCK9A1/LsuWyHIqk...............7LLNrtnR2Sdy/VdfFjuLjzGw...............",
"Expiration" : "2018-02-06T21:29:09Z" } Contre-mesure
Ce risque est inhérent à l’utilisation de ce mécanisme, et le seul moyen efficace de s’en prémunir est… de l’interdire ! Hélas, chaque parseur XML a son propre paramétrage et il va falloir chercher dans la doc correspondante comment procéder. Pour Python/Django, cela peut donner :
from lxml import etree
parser = etree.XMLParser(resolve_entities=False)Attaques XPath
L’attaque XPath est plus classique car elle est liée à l’éternel problème du contrôle des données entrées dans un système informatique.
Le principe est le même que celui d’une injection SQL, où on force, via des caractères spéciaux, une modification de la logique de la requête SQL générée avec l’entrée saisie par l’utilisateur. Ici, on modifie la logique du code ou de la requête SQL grâce à des caractères spéciaux introduits dans un champ XML.
Exemple : //coupon[code='ABCD' or '*']
Rien de bien nouveau, à part qu’il faut aussi penser à vérifier systématiquement ses documents XML, comme toute entrée (saisie) d’un utilisateur, notamment en échappant les caractères.
Attaques XSS
Les attaques XSS sur XML sont classiques et le principe est celui des XSS : on force un utilisateur à exécuter un script contenu dans le document XML.
Contre-mesures
Il y a deux façons de contrer ces attaques, qu’on peut combiner :
- Filtrer les données du document XML, en échappant les caractères et/ou interdisant certains motifs (patterns) suspects ;
- Empêcher l’exécution du script en modifiant le header de la réponse au niveau du serveur, en forçant le téléchargement du fichier.
Attaques XSS via un fichier SVG
SVG est un format d’image basé sur XML. Il est possible d’y inclure des scripts, ce qui le rend vulnérable aux attaques XSS comme vu juste au-dessus. Le principe est donc identique, à part que le script est désormais caché dans une image SVG qu’un attaquant cherchera à placer dans le site de sa cible.
Contre-mesures
Là où c’est un peu plus sioux, c’est qu’on peut effectivement faire la même chose que pour les attaques XSS. Mais si le fichier SVG doit être affiché sur une page web, il va être difficile (du point de vue ergonomie) de forcer l’image à être téléchargée ! Cela veut donc dire qu’il va falloir traiter très consciencieusement tout ficher SVG destiné à être affiché…
Voir aussi
Atombombing
L’atombombing est une technique permettant l’injection de code de façon très furtive.
Big data
Les grosses données sont des données nombreuses et volumineuses. Concept fumeux et marketing comme toujours, il n’en est pas moins vrai que l’augmentation des performances de stockage et de calcul posent de nouveaux problèmes de sécurité.
Technologie
D’où ça vient ?
Nous produisons de l’information depuis longtemps, bien avant le temps de l’informatique, mais la mémorisation (stockage) des informations (données) était limitée, tout comme leur analyse : il a fallu longtemps se contenter d’un support papier et de son cerveau !
Avec l’avènement de l’informatique, tout change : on peut à la fois stocker l’information et déléguer son traitement à une machine. Or plus on avance dans le temps, plus les capacités de stockage et d’analyse progressent, au point que certains usages qui nous paraissaient impossibles aux premiers temps de l’informatique sont maintenant à la porté d’un très grand nombre de personnes et d’entreprises.
Alors qu’autrefois, il fallait du matériel spécialisé, l’analyse de données est désormais possible avec du matériel standard. Ce qui relevait des capacités d’une organisation spécialisée est désormais possible à presque tout le monde, y compris des particuliers. Devenant grand public, le marketing inventa comme toujours un concept pour matérialiser cette évolution : le big data. L’analyse rapide de données en masse
Définition informatique formelle
Il n’y en a pas. Il y a plutôt certains critères qui font penser qu’on est dans une implémentation de big data :
- Beaucoup de données, généralement non structurée ;
- On utilise hadoop !
- L’architecture est distribuée et parallélisée ;
- On n’arrive pas à traiter les données avec une base de données classique ;
- Règle des 3V : Volume, Variété, Vélocité des données et de leur analyse.
En résumé : en cherchant bien, n’importe quoi peut être big data.
Domaines
Pour n’en citer que quelques uns où l’analyse rapide de données en masse le big data est utilisé :
- Ciblage publicitaire, suivi des consommateurs
- Analyse comportementale
- Lutte contre la fraude
- Recherche (santé par exemple)
- Détection et prévention des pannes de composants ou de systèmes failures
Les technologies en elles-mêmes
MapReduce
MapReduce est une technologie initiée par Google pour le traitement des données en masse. Les deux principales étapes sont :
- Map : On transforme la donnée brute en format exploitable (genre clé-valeur), et on les prépare au traitement.
- Reduce : On les traite effectivement, de façon statistique.
Hadoop
Hadoop est l’implémentation open source de MapReduce couplé à un système de fichiers distribué, HDFS. HDFS permet notamment de répliquer les données sur plusieurs noeuds pour éviter la perte de données, et la mise-à-jour est également interdite : elle s’effectue par la création d’un nouveau fichier.
D’autres technologies sont adossées à l’écosystème Hadoop :
- Des bases de données spécialisées sont également employées, comme Hbase ou Cassandra, opérant un système de fichier HDFS (ou compatible) ;
- Les requêtes sont générées en langage HiveQL ou Pig Latin ;
- L’import/export de données vers des bases classiques se fait via Sqoop (Sql-to-hadoop) ;
- Des composants de haut ou bas niveau, comme pour le machine learning (Mahout) ou l’intégration de logs (Flume).
Hive
Hive n’est ni plus ni moins qu’une infrastructure d’entrepôt de données (comme on disait dans le temps), mais basé sur les outils de type big data, comme HiveQL, HDFS, HBase, etc. Il est interopérable avec de nombreux outils de BI (Business Intelligence).
Autres technologies liées
- Massively Parallel Processing (MPP), basé sur des appliances, permettant des requêtes SQL distribuées ;
- NoSQL, bases non structurées privilégiant la disponibilité à la consistance (au sens SGBD), stockant sous les formes de clés/valeurs, documents, graphes, etc.
- CAP Theorem : ?
- NewSQL : ?
La liste ne saurait être limitative, surtout que l’hybridation des architectures est souvent pratiquée dans les entreprises.
En ai-je besoin ?
La plupart du temps : non. Mais ça fait chouette sur sa carte de visite (au niveau personnel ou entreprise). Mais s’il fallait réfléchir avant de mettre en oeuvre une technologie informatique, ça se saurait. S’il y a de nombreux cas d’usage où les technologies big data se justifient, de trop nombreuses organisations ne le font que pour être à la mode. Une des conséquences de cet engouement irréfléchi est la pénurie de statisticiens, appelés data scientists dans le domaine du big data, capables de tirer parti des données.
Comment rester anonyme ?
Big data et respect de la vie privée sont deux notions contradictoires : dans ce monde de données abondantes et déferlantes, il devient bien difficile de rester anonyme, pour deux grandes raisons :
- D’abord parce que nous produisons de la donnée à ne plus savoir qu’en faire, en laissant partout un infinité de traces de nos activités (informatiques, ou non-informatiques mais mesurées ou reliées à des outils informatiques) ;
- Parallèlement à cette production, les moyens de traitement sont désormais capables d’effectuer des rapprochements ou des corrélations dont on était incapable il y a peu.
Un exemple (théorique) de désanonymisation par corrélation
Cet exemple a été donné par une juriste de ma société, et il est très parlant. Imaginons qu’on dispose d’une vue partielle de l’ensemble des logs d’activité des bornes téléphoniques. Par partiel, j’entends qu’on dispose de données sur l’ensemble des bornes, sur une période suffisamment grande, mais anonymes a priori : on ne disposerait que de l’identité (l’emplacement) de la borne, la date précise (au moins à la minute) et l’identifiant des téléphones (genre IMEI). Un exemple simple de ligne pourrait être :
numéro de ligne ; identité/localisation borne ; date et heure ; IMEI
A prori rien de personnel. Ou plutôt rien que des données anonymes, car les identifiants techniques comme l’adresse IP, l’adresse MAC ou l’IMEI sont indirectement personnelles : les opérateurs disposent d’une base faisant le lien entre ces identifiants techniques et leurs clients. De ces informations brutes, on ne peut tirer aucune information personnelle. On suppose aussi qu’on ne dispose pas d’une base faisant un lien entre IMEI et les clients, bien sûr.
En premier lieu, on isolera toutes les données d’un IMEI, en supposant qu’il n’y ait qu’un seul utilisateur principal. On tracera vite une cartographie de la géographie de ses déplacements, et on trouvera vite l’adresse de son travail (les lieux où le téléphone se trouve durant les heures de travail) et celle de son domicile (aux autres heures), de façon statistique. Puis, à partir d’une annuaire classique, on cherchera sur les adresses proches de la localisation du domicile un premier ensemble de candidats potentiels.
Ensuite, on identifiera les entreprises présentes sur le lieu de travail. Là aussi des données facilement accessibles. Pour continuer, on cherchera sur les réseaux sociaux toutes les personnes de notre première liste de candidats travaillant pour une des sociétés de notre 2e liste, si possible en affinant par localisation.
Dans mon cas, je travaille sur un site de 5000 personnes et j’habite Paris ; or je n’ai jamais rencontré de collègue ou très peu près de mon domicile. Dans le pire des cas, une petite dizaine de personnes doivent à la fois travailler à proximité du lieu de travail et du domiciles identifiés par les logs bruts.
En continuant une corrélation un peu plus ciblée, on finit par donner une identité quasi-certaines à l’IMEI a priori anonyme. Et en repartant sur les logs, on finit par tracer une grande partie des activités de la personne. Merci à nos smartphones !
Après y avoir pensé en théorie, voici l’application pratique, rapportée par le New York Times !
Inférence
On peut déterminer des caractéristiques d’une personne sans rien lui demander. Il faut souvent un niveau un peu plus élevé d’informations, mais à peine. Imaginons qu’en plus des données précédentes, on dispose du niveau de signal (assez précis, quand même). Dans les toilettes hommes, je mets une borne wifi. Une autre est placée dans les toilettes femmes. Les téléphones vont interroger les bornes lorsqu’ils sont à proximité. On en déduit facilement le sexe du propriétaire d’un téléphone quand il se rend aux toilettes : le meilleur signal sera du côté où se trouve la personne !
On a donc ainsi déterminé le sexe d’une personne sans rien lui demander : c’est un mécanisme d’inférence.
Ok mais ça marche pas à tous les coups
Oui. Mais rapportons ça à l’échelle du temps, du volume exponentiel de données et de signaux que nous produisons.
Cherchons bien
Comme prévu, et comme prouvé, l’anonymisation est un art délicat !
Articles liés
Sources d’information
Voici mes différentes sources d’information, en ce qui concerne l’actualité.
| next.ink | https://next.ink | Actualité IT, cybersécurité, numérique et réglementation | Média de presse indépendant | B[1] | Rédaction identifiée et travail journalistique, mais reste une source secondaire. |
| ANSSI | https://cyber.gouv.fr | Alertes, recommandations, doctrine et publications officielles de cybersécurité | Agence nationale de la sécurité des systèmes d’information | A | Source institutionnelle primaire, forte redevabilité et expertise reconnue. |
| CNIL | https://www.cnil.fr | Protection des données, conformité, sanctions et doctrine RGPD | Commission nationale de l’informatique et des libertés | A | Autorité publique de référence sur les données personnelles. |
| ThreatPost | https://threatpost.com | Actualité cybersécurité, failles, menaces et analyses | Média spécialisé cybersécurité | B | Média spécialisé généralement sérieux, à recouper pour les sujets sensibles. |
| SANS Institute | https://www.sans.org | Formation, recherche, veille et ressources SSI | SANS Institute | B | Organisation reconnue et experte, mais pas une autorité publique. |
| SANS Internet Storm Center | https://isc.sans.edu | Veille incidents, journaux d’analyse, détection et tendances d’attaque | SANS Internet Storm Center | B | Production experte et technique, habituellement solide. |
| AlienVault OTX | https://otx.alienvault.com | Threat intelligence, IOC, campagnes et partage communautaire | Open Threat Exchange / AlienVault | C | Très utile mais partiellement communautaire; la qualité varie selon les contributeurs. |
| IBM X-Force | https://www.ibm.com/security/xforce | Threat intelligence, rapports, IOC et analyses de menaces | IBM X-Force | B | Équipe de recherche identifiée, bonne qualité globale, biais éditeur possible. |
| Dark Reading | https://www.darkreading.com | Actualité et analyse cybersécurité | Média spécialisé | B | Média établi, généralement fiable, à recouper sur les scoops. |
| Cyberguerre / Numerama | https://cyberguerre.numerama.com | Cyberguerre, géopolitique cyber et actualité sécurité | Numerama | B | Rédaction identifiée; bon niveau de vulgarisation et d’actualité. |
| Recorded Future | https://www.recordedfuture.com | Threat intelligence, rapports et veille sur les menaces | Recorded Future | B | Acteur réputé du renseignement cyber; intérêt commercial à garder en tête. |
| TechRepublic | https://www.techrepublic.com | IT pro, sécurité, outils et tendances | Média professionnel | B | Source sérieuse pour l’IT pro, plutôt secondaire que primaire. |
| InformatiqueNews | https://www.informatiquenews.fr | Actualité IT et sécurité | Média français B2B | B | Presse professionnelle généralement fiable. |
| CSO Online | https://www.csoonline.com | Sécurité des SI, gouvernance, risques et conformité | Média professionnel IDG/Foundry | B | Média reconnu côté RSSI/CISO, fiable mais secondaire. |
| SecurityWeek | https://www.securityweek.com | Actualité cybersécurité, incidents, produits et recherche | Média spécialisé | B | Bonne réputation dans l’écosystème sécurité. |
| 01Net | https://www.01net.com | Actualité informatique grand public et pro, parfois cybersécurité | Média tech français | B | Rédaction connue; niveau variable selon les sujets. |
| ZDNet France | https://www.zdnet.fr | Actualité informatique, cybersécurité et transformation numérique | Média tech professionnel | B | Source installée et globalement sérieuse. |
| BleepingComputer | https://www.bleepingcomputer.com | Incidents, malware, correctifs, failles et guides pratiques | Média spécialisé | B | Très suivi en cyber; bon niveau factuel, à recouper pour les analyses plus larges. |
| LeMagIT | https://www.lemagit.fr | Actualité IT entreprise et sécurité | Média professionnel français | B | Publication B2B reconnue. |
| TechCrunch | https://techcrunch.com | Actualité tech, startups, produits et parfois sécurité | Média technologique | B | Fiable sur l’actualité entreprise/écosystème, moins spécialisé en cyber. |
| CNET France | https://www.cnetfrance.fr | Actualité tech grand public et sécurité | Média tech | C | Peut être utile mais pas spécialisé; profondeur variable. |
| Ubergizmo FR | https://fr.ubergizmo.com | Actualité tech grand public et gadgets, parfois sécurité | Média tech | C | Peu spécialisé en cybersécurité; fiabilité correcte sans plus. |
| Ars Technica | https://arstechnica.com | Analyse technique, sécurité, science et technologie | Média technologique | B | Très bonne qualité rédactionnelle et technique. |
| NewsNow | https://www.newsnow.co.uk | Agrégation de liens d’actualité | Agrégateur | F | Agrège des sources tierces; la fiabilité dépend entièrement de la source d’origine. |
| The Hacker News | https://thehackernews.com | Actualité cybersécurité, menaces, failles et attaques | Média spécialisé | C | Très réactif mais parfois sensationnaliste; recoupement recommandé. |
| UnderNews | https://www.undernews.fr | Actualité et billets orientés sécurité / culture cyber | Site éditorial indépendant | C | Peut contenir de bonnes informations, mais validation éditoriale moins transparente. |
| Security Affairs | https://securityaffairs.com | Actualité cybersécurité et renseignement sur les menaces | Blog / média spécialisé | B | Publication reconnue dans le secteur, habituellement fiable. |
| Le Big Data | https://www.lebigdata.fr | Big data, IA, cloud et parfois cybersécurité | Média spécialisé data/IA | C | Pas centré sur la cyber; fiabilité correcte mais profondeur variable. |
| Krebs on Security | https://krebsonsecurity.com | Enquêtes, cybercriminalité, incidents et sécurité | Brian Krebs | B | Auteur identifié, solide réputation d’enquête, mais reste une source individuelle. |
| Schneier on Security | https://www.schneier.com | Analyses sécurité, politique publique et cryptographie | Bruce Schneier | B | Auteur de référence, très crédible, mais blog personnel. |
| Zataz | https://www.zataz.com | Actualité cyber, fuites, enquêtes et brèves | ZATAZ / site indépendant | D | Historique ancien et réseau de sources, mais approche parfois sensationnelle. |
| Korben | https://korben.info | Culture tech, sécurité, outils et billets personnels | Korben | C | Blog influent mais hétérogène et non spécialisé uniquement cyber. |
| bortzmeyer.org | https://www.bortzmeyer.org | Réseaux, DNS, sécurité, standards et billets techniques | Stéphane Bortzmeyer | B | Auteur expert identifié; contenu technique de bon niveau. |
| Observatoire FIC | https://observatoire-fic.com | Interviews, replays, conférences et veille sécurité | Forum InCyber / Observatoire FIC | B | Source événementielle sérieuse, bonne qualité mais pas toujours primaire. |
| CyberEdu | https://www.cyberedu.fr | Formation et sensibilisation cybersécurité | CyberEdu | B | Projet de sensibilisation/formation utile et généralement sérieux. |
| Supports pédagogiques ANSSI | https://www.ssi.gouv.fr/entreprise/formations/cyberedu/ | Supports pédagogiques de formation cyber | ANSSI | A | Documents officiels de formation produits par l’autorité nationale. |
| Hack Academy | https://www.hack-academy.fr | Formation offensive, pentest et sécurité applicative | Hack Academy | B | Organisme identifié spécialisé; contenu généralement fiable dans son domaine. |
| SecNumAcadémie | https://secnumacademie.gouv.fr | Sensibilisation et formation de base en cybersécurité | ANSSI | A | Plateforme officielle de sensibilisation gouvernementale. |
| skillset.com | https://www.skillset.com | Quiz et apprentissage sécurité | Plateforme privée de formation | F | Plateforme peu contextualisée ici et difficile à estimer en tant que source de référence. |
| OWASP | https://owasp.org | Guides, référentiels, sécurité applicative et bonnes pratiques | OWASP Foundation | B | Référence communautaire majeure, très utile, même si non institutionnelle. |
| edX | https://www.edx.org | MOOC, cours universitaires et techniques | edX / plateforme de cours | B | Qualité dépend du cours, mais plateforme globalement sérieuse. |
| Trail of Bits | https://github.com/trailofbits | Recherche sécurité, outils et ressources techniques | Trail of Bits | B | Acteur réputé en recherche offensive et outils sécurité. |
| PluralSight | https://www.pluralsight.com | Formation vidéo IT et cybersécurité | Pluralsight | B | Plateforme connue; qualité globalement correcte mais variable selon le cours. |
| Damn Vulnerable Web Application | https://www.dvwa.co.uk | Application volontairement vulnérable pour apprentissage | DVWA project | B | Projet pédagogique bien connu pour l’entraînement. |
| Zenk Security | https://www.zenk-security.com | Tutoriels, articles et ressources sécurité offensive | Site communautaire / indépendant | C | Utile pour la pratique, mais niveau éditorial et fraîcheur variables. |
| Bugtraq Team | https://www.bugtraq-apps.com | Outils, formations et ressources sécurité offensive | Bugtraq Team | C | Source orientée pratique; à manier avec recoupement. |
| Root-Me | https://www.root-me.org | Challenges, apprentissage et exercices de sécurité | Association Root-Me | B | Plateforme reconnue de formation pratique. |
| Hack The Box | https://www.hackthebox.com | Entraînement offensif, labs et challenges | Hack The Box | B | Plateforme de référence pour la pratique offensive. |
| VulnHub | https://www.vulnhub.com | Machines vulnérables pour entraînement | VulnHub | B | Très utile en laboratoire; contenu pédagogique plutôt fiable. |
| CMD Challenge | https://cmdchallenge.com | Exercices shell/CLI | CMD Challenge | B | Projet simple et pédagogique, fiable dans son périmètre. |
| TryHackMe | https://tryhackme.com | Formation gamifiée et labs cyber | TryHackMe | B | Plateforme très utilisée; qualité globalement bonne. |
| WeChall | https://www.wechall.net | Répertoire de sites de challenges et scoring | WeChall | C | Annuaire utile mais agrège d’autres contenus. |
| Naked Security | https://nakedsecurity.sophos.com | Articles, menaces, sensibilisation et analyses sécurité | Sophos | B | Blog éditeur sérieux; biais commercial possible mais contenu souvent utile. |
Échelle OTAN de fiabilité de la source : A totalement fiable, B habituellement fiable, C assez fiable, D rarement fiable, E non fiable, F fiabilité non estimable.
- L’incontournable nextinpact.com devenu next.ink, site web d’info parlant régulièrement de sécurité et des sujets liés (et c’est un groupe de presse indépendant) ;
- la newsletter de l’ANSSI (que je ne peux pas reproduire telle quelle ici) mais les sites de l’ANSSI et de la CNIL sont d’excellentes sources d’informations ;
- la newsletter de ThreatPost, un site spécialisé dans la sécurité informatique ;
- la newsletter du Sans Institute, organisation de recherche et de formation sur la SSI (ou sinon leur site web, par exemple la page InfoSec Diary Blog Archive – SANS Internet Storm Center) ;
- AlienVault OTX, base de connaissance de Threat Intelligence ;
- IBM X-Force, division d’IBM dédiée à la sécurité informatique, avec une base du même genre qu’OTX mais complémentaire ;
- Dark Reading ;
- https://cyberguerre.numerama.com/
Dans le registre des newsletters :
- Recorded Future ;
- TechRepublic ;
- InformatiqueNews ;
- CSO Online ;
- Threat Post (qui propose aussi des newsletters quotidiennes) ;
- SecurityWeek Briefing.
Côté sites d’informations informatiques, ayant souvent de bons articles sur la SSI :
- 01Net ;
- ZDNet ;
- BleepingComputer ;
- LeMagIt ;
- TechCrunch ;
- CNET ;
- Ubergizmo ;
- ArsTechnica ;
- newsnow.co.uk…
- TheHackerNews
- Undernews
- Security Affairs
- Le Big Data
Côté blogs, voici :
- Krebs On Security ;
- Bruce Schneier ;
- Zataz ;
- Korben ;
- bortzmeyer.org ;
Chaînes d’infos, webinars, etc. :
Pour ce qui est des sources de formation, voici ce que j’ai en stock :
- CyberEdu et surtout ses supports pédagogiques à disposition sur le site de l’ANSSI ;
- Hack Academy ;
- SecNumAcademie;
- skillset.com ;
- OWASP ;
- edx.org ;
- Trail of Bits ;
D’autres bons sites, payants :
- PluralSight ;
Pour tout casser (et expérimenter des techniques d’attaque) :
- Damn Vulnerable Web Application;
- Zenk Security;
- Bugtraq Team ;
- root-me.org ;
- Hack The Box ;
- VulnHub ;
- cmd Challenge ;
- tryhackme.com ;
- wechall.net (répertoire de sites).
De nombreux éditeurs et fournisseurs ont des rubriques sécurité (Microsoft, Intel, AWS…)
Les éditeurs de solutions de sécurité ont aussi souvent des pages intéressantes (base des virus, études, livres blancs, etc.)
- Naked Security (Sophos)
Intel, des failles (ter)
Non, il ne faut pas croire que cela m’amuse de recenser les failles matérielles sur les processeurs (Intel ou autre). Au contraire : cela m’inquiète au plus haut point, sans m’étonner outre mesure, car la complexité des processeurs est devenue telle qu’il devient quasi-impossible de maîtriser l’ensemble de sa conception. En sécurité informatique, plus c’est complexe, plus c’est dur à sécuriser.
Nouvelle faille : Foreshadow
Traduisons ce qu’on trouve sur le site dédié (rappel : un site dédié avec un joli nom de faille et un beau logo sont les minimum syndicaux pour toute faille qui se vend respecte).
Foreshadow is a speculative execution attack on Intel processors which allows an attacker to steal sensitive information stored inside personal computers or third party clouds. Foreshadow has two versions, the original attack designed to extract data from SGX enclaves and a Next-Generation version which affects Virtual Machines (VMs), hypervisors (VMM), operating system (OS) kernel memory, and System Management Mode (SMM) memory.
Foreshadow est une attaque de type exécution spéculative (comme Spectre et Meltdown) touchant les processeurs Intel (les pauvres !) permettant à un attaquant de dérober des informations sensibles stockés sur des ordinateurs personnels ou dans le cloud (il est écrit third party, mais en vérité cela touche toute infrastructure, interne ou externe, cloud ou pas, qui compte sur un [[Évasion de machine virtuelle|hyperviseur]] de virtualisation pour isoler des environnements et des machines, cf juste en dessous).
Foreshadow a deux versions : l’attaque originale, conçue pour extraire des données des enclaves SGX (censées justement éviter cela…) et une nouvelle génération « NG » (de l’attaque) qui affecte les machines virtuelles, les hyperviseurs VMM (Virtual Machine Manager, hyperviseur utilisé dans le cloud Azure), la mémoire du noyau du système d’exploitation et la mémoire utilisée par le mode « management de système » (SMM).
Encore du Meltdown ?
Foreshadow est une variante de Meltdown1, de type exécution spéculative, dont la source a fini par être identifiée par Intel dans le cache L1 (L1TF, L1 Terminal Fault). Hélas, une fois ce constat réalisé, Intel a remarqué que cela avait d’autres conséquences2, d’où la création de deux variantes appelées « NG ».
Composants impactés
Virtual Machines Manager
Les bulletins ne sont pas très clairs sur ce point, car ils parlent de VMM sans trop de précision. D’après ce qu’en dit OVH3, les failles touchent bien les hyperviseurs en général, et non uniquement le VMM d’Azure.
Système d’exploitation
Idem pour l’OS, quasiment jamais mentionné dans les publications. Toutefois Linux est bel est bien touché lui aussi, cf les publications des différents éditeurs. Il n’y a pas que Windows…
System Management Mode
Il s’agit d’un mode spécial d’exécution du processeur, dont les caractéristiques sont :
- Se situe dans une mémoire spéciale et séparée (SMRAM) ;
- Peut accéder à l’ensemble du système et des entres/sorties, y compris la mémoire de l’OS et d’un hyperviseur ;
- Est appelé par une interruption spécifique (SMI, System Management Interrupt) ;
- Possède un gestionnaire logiciel (SMI handler) pour exécuter des opérations basées sur différentes SMI.
C’est un peu technique mais en gros ça signifie qu’il s’agit d’un mode qui a accès à tout, et qu’on l’imagine réservé pour un usage spécifique et bien délimité.
SGX
SGX est une enclave sécurisée, présente dans certains processeurs Intel, et conçue pour que personne ne puisse venir y lire le contenu : cela permet de cacher des informations très sensibles, comme des clés de chiffrements, dans une infrastructure tierce.
Conditions d’exploitation
Maigre consolation : la faille se situe au niveau core, c’est-à-dire qu’un processus ne peut utiliser cette vulnérabilité que contre un autre processus s’exécutant sur le même cœur du processeur4. Cela concerne les processeurs récents (ce qui est le cas de tous les processeurs SGX), de génération Sandy Bridge ou suivantes, car Intel assigne un cache L1 dédié pour chaque cœur5.
Logiquement, avec un processeur 4 cœurs, il n’y a qu’une chance sur 4 de subir l’attaque, et il est peu probable (impossible ?) pour un processus, qui plus est lancé dans une machine virtuelle, de choisir le processeur sur lequel il s’exécute.
Multiplié par le nombre de cœurs et de machines virtuelles, la probabilité baisse encore, surtout que la difficulté sera surtout de réussir à exécuter le programme d’attaque sur le même cœur de processeur que la cible. Après, une machine virtuelle peut demander à s’exécuter sur plusieurs processeurs virtuels, donc sur plusieurs cores, mais ça se paye. Et dans un environnement mutualisant des milliers de processeurs, ça peut devenir coûteux.
Correctifs
On peut renforcer l’isolation par les mesures suivantes :
- En s’assurant qu’un core n’est pas partagé entre plusieurs machines virtuelles en même temps ;
- Lorsque deux machines se suivent séquentiellement sur un core, alors on s’assure que le cache L1 est bien effacé ;
- En ayant un environnement dédié (hyperviseur dédié chez AWS) pour empêcher le partage des CPU.
En ce qui concerne SMM, une mise-à-jour de microcode et de firmware semble nécessaire6.
Sinon désactiver l’hyperthreading est un moyen (coûteux à mon avis) d’empêcher l’exploitation de la faille ; on ne le réactivera qu’avec précautions, mais tout cela est bien expliqué sur le site de Xen.
Liens utiles
- The latest security information on Intel® products
- Foreshadow/L1TF: What You Need to Know sur SecurityWeeks.
- Attaques connues sur le SMM
- Understanding the Windows SMM Security Mitigation Table
- Fonction du cache des CPU (en anglais) et un très complet et très technique article sur lwn.net (également en anglais)
- Intel® 64 and IA-32 Architectures Optimization Reference Manual (gloups)
- Un autre papier sur une attaque SGX
- Recensement des vulnérabilités liées à Spectre et Meltdown sur BleepingComputers
Sur Linux
- Ubuntu : https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/L1TF et https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-3646.html
- Red Hat : https://access.redhat.com/security/vulnerabilities/L1TF
- Suse : https://www.suse.com/support/kb/doc/?id=7023077
RedHat propose une présentation rapide de Foreshadow, assez bien faite.
Liens internes
- [[Évasion de machine virtuelle|Evasion de machine virtuelle]]
- Intel, des failles ([[Intel, des failles|première vague]], [[Intel, des failles (bis)|deuxième vague]])
Site officiel
- https://foreshadowattack.eu/
