L'alliance des partis de gauche aux élections législatives de 2024 s'est entendue sur un point en particulier concernant la tech et le numérique : il faut interdire la reconnaissance faciale.
Une arnaque bien connue affiche une fausse page d'alerte sur les ordinateurs Windows. Les escrocs se font passer ensuite pour le service technique pour récolter de l'argent.
Google a publié un rapport de cybersécurité dans lequel il dévoile une nouvelle faille dans ses smartphones. L'entreprise invite les utilisateurs des Google Pixel à mettre à jour leur interface.
Apple s'apprêterait à lancer une nouvelle application appelée Passwords pour aider les utilisateurs à gérer leurs informations de connexion. L'entreprise devrait la présenter la semaine prochaine à l'occasion de la WWDC.
L’article L’application Apple Passwords arriverait sur iPhone, iPad, Mac et même Windows est apparu en premier sur Tom’s Hardware.
— Article en partenariat avec Surfshark —
Lorsque l’on parle d’un VPN, c’est principalement avec l’idée de disposer d’un outil qui va protéger vos données d’un point de vue professionnel (protéger votre équipe avec Surfshark). Ou pour son côté « amusement » comme débloquer les catalogues VOD/streaming, protéger sa TV intelligente, etc.
Mais une autre très bonne façon d’utiliser un VPN est de protéger la famille au sein même de votre habitation. Ce que fait plutôt bien Surfshark pour plusieurs raisons. Et la première n’est autre que le fait qu’il s’agit quasi du seul service du genre à proposer la protection d’un nombre illimité de machines et simultané. Donc que vous soyez célibataire ou que vous viviez avec une famille nombreuse c’est pareil, un seul abonnement et tout le monde en bénéficie.
Bon après même si le nombre d’appareils pris en compte peut être illimité … si la protection est foireuse ça n’a pas grand intérêt. Mais là encore Surfshark répond aux attentes. Outre le fait de n’avoir jamais été prit en flag de mentir sur sa politique de non-conservation de vos activités (multiples audits au fil des années), il repose sur la panoplie des meilleurs standards du domaine : chiffrement AES 256, protocole IKEv2/IPsec, support de Wireguard/OpenVPN/L2TP, etc.
Maintenant, comment est-ce qu’un VPN protège concrètement les utilisateurs de votre maison ?
Déjà en modifiant votre adresse IP. Vous savez sans doute déjà qu’une adresse IP est celle qui identifie votre machine sur Internet. Toutes vos actions y sont liées : achat en ligne, message sur un réseau social, etc. Il est donc assez facile de relier votre comportement en ligne à votre appareil.
Surfshark vous permet de modifier cette dernière en changeant de serveur, de manière aléatoire tous les x temps … ou de la garder fixe si besoin. En changeant d’IP, vous donnez aux sites que vous visitez (même à votre fournisseur d’accès via le mode camouflage) une localisation qui est différente de votre vraie position.
Le chiffrement de vos données est un autre aspect de cette protection. Par défaut tout ce que vous faites en ligne sera chiffré avec les meilleurs algorithmes du moment. Si une personne mal intentionnée venait à intercepter votre trafic, il ne pourrait rien en faire. Ce qui est plutôt appréciable, surtout si vous habitez un pays où le gouvernement en place aime jouer au petit curieux.
L’idéal dans ce cas est bien entendu de sécuriser le routeur de la maison, celui par lequel tout passe. Mais simplement installer le VPN sur tous vos appareils fera aussi très bien le taf. Et ce qui est plutôt cool c’est que Surfshark supporte toutes les religions, de Windows à Linux en passant par macOS, Android, iOS, BlackBerry, vos smart TV, navigateurs et mêmes consoles de jeux. Bref il est plus flexible qu’un contorsionniste.
Un point à prendre en compte est de choisir un VPN qui corresponde à votre situation. On pense souvent à des serveurs situés un peu partout dans le monde sans faire attention à sa propre géoloc. Or vous pouvez très bien avoir envie de regarder un contenu réservé à la France … depuis la France. Sans donner votre position. De ce côté Surfshark est blindé avec ses 3200+ serveurs (quasi tous en 10 Gb/s) répartis dans 100+ pays. Pas le plus grand parc de serveurs des VPN, mais le mieux réparti et avec l’un des meilleurs rapport qualité/prix du marché.
Comme vous êtes l’adulte de la maison (hum hum), ce sera à vous d’éduquer vos enfants sur le sujet. Surtout les plus jeunes (et les plus vieux) qui ne sont pas forcément au courant des risques potentiels dans ce bourg mal famé que sont les Internets. Et avec le pack Surfshark One dont j’ai parlé dernièrement et intégré par défaut depuis peu, il vous permet de disposer en plus d’un antivirus, d’un système d’alerte, de la création d’identité alternative, d’un moteur de recherche privé, d’un surf sans publicités ni traqueurs et un tas d’autres options !
Récemment le site du VPN aux dents de requin a publié un classement mondial de la qualité de vie numérique. Et notre hexagone s’y classe … premier devant la Finlande et le Danemark. Place que l’on doit surtout au prix de nos connexions (merci Free), parce que niveau cybersécu et infrastructure électronique nous sommes bien plus mal placés (autour de la 15e place). Comme quoi il y a encore de la marge.
Et tout cela vous est accessible pour moins de 3.25€/mois TTC (abonnement 2 ans). Satisfait ou remboursé durant 30 jours, donc pas de prise de risques, vous pouvez tester ça au calme et vous faire votre idée. Niveau des modes de paiement il y en a pour tout le monde : de PayPal à la CB, en passant par les solutions comme Google Pay/Amazon Pay et les cryptomonnaies.
Un nouveau site de cybersécurité sera déployé par Orange prochainement. Celui-ci prendra la forme d'une plateforme collaborative permettant aux Français de vérifier si une URL est dangereuse. Le but étant de protéger les utilisateurs contre des menaces comme le phishing ou encore les virus.
L’article Le service Cybersecure d’Orange vous protégerait gratuitement du phishing, où est le piège ? est apparu en premier sur Tom’s Hardware.
Reko est une boîte à outils complète qui va vous permettre de décortiquer les binaires et de les traduire en langages de plus haut niveau, que vous soyez sur Windows, Linux ou Mac (c’est codé en .NET).
Ses développeurs ont pensé à tout puisque vous avez le choix entre une interface graphique super intuitive pour les novices, et une interface en ligne de commande pour les pros du terminal qui aiment se la jouer old school.
Reko embarque aussi une bibliothèque qui gère un tas d’architectures processeur (x86, 68k, PowerPC, ARM, MIPS, Z80…), de formats de fichiers binaires (MZ, ELF, AmigaOS Hunk, Classic MacOS…) et de systèmes d’exploitation. Il peut même lancer automatiquement des scripts de décompression écrits en OllyScript.
Génial pour comprendre comment fonctionne un programme et faire un peu de reverse engineering pour se détendre.
Vous en avez marre d’être surveillé et censuré quand vous parcourez le web ? Vous rêvez d’accéder à tous les contenus que vous souhaitez sans que personne ne vienne fouiner dans vos affaires ? Alors, laissez-moi vous présenter Outline VPN, le logiciel libre et open source qui va transformer votre expérience en ligne !
Cette solution utilise un protocole discret et difficile à détecter, vous permettant ainsi de contourner les restrictions des censeurs. Ainsi, vous pourrez naviguer incognito et accéder à tous vos sites préférés, même ceux habituellement bloqués dans votre cher pays.
Mais ce n’est pas tout puisque Outline vous offre la possibilité de créer votre propre serveur VPN en quelques clics, et de le partager avec vos amis. Ainsi, vous disposez de votre propre réseau privé, où vous pouvez échanger en toute tranquillité loin des regards indiscrets.
Et si jamais votre serveur est repéré et bloqué par ceux qui n’apprécient pas votre amour de la liberté, ne vous inquiétez pas car avec cet outil, vous allez pouvoir le recréer facilement et rapidement. Evidemment, côté sécurité et confidentialité, Outline assure… Le code a été audité par des sociétés indépendantes, telles que Radically Open Security en mars 2018 et décembre 2022, ainsi que Cure53 en décembre 2018, qui ont confirmé que vos données sont protégées et que votre activité en ligne n’est pas enregistrée. Bref, une fois en place, vous pouvez surfer l’esprit tranquille, personne ne viendra fouiner dans votre historique.
Voici un guide étape par étape pour vous lancer :
Il faut savoir avant tout que Outline se compose de deux produits interdépendants qui fonctionnent ensemble pour vous fournir, à vous et votre communauté, un accès sans interruption à Internet.
Téléchargez Outline Manager, l’application en version desktop pour Windows, Linux et macOS, qui vous permettra de configurer votre serveur en quelques clics. Vous pourrez ainsi gérer tous les aspects de votre serveur de manière centralisée et choisir parmi une liste de fournisseurs de services cloud de confiance (Google, Amazon, Digital Ocean…) ou utiliser votre propre infrastructure sous Linux pour le déployer.
Après avoir configuré votre serveur, vous devez générer des clés d’accès uniques directement à partir de l’application Desktop. Vous pourrez alors envoyer des invitations à vos amis et les clés d’accès leur permettront de connecter leurs appareils (et le votre) à votre serveur Outline. Chaque clé est gérée individuellement et peut être limitée en termes de bande passante pour éviter qu’un utilisateur ne consomme toutes les ressources.
Ensuite l’application Outline à partir de l’App Store ou de Google Play Store, et connectez-vous à l’aide de votre clé d’accès unique.
Et bonne nouvelle si vous êtes développeur, le SDK Outline offre une bibliothèque et un ensemble d’outils multiplateformes permettant aux codeurs d’applications d’intégrer les stratégies avancées de mise en réseau d’Outline pour limiter les interférences réseau les plus complexes.
Bref, ça peut servir… A tester en tout cas.
Merci à Lorenper pour l’info sur cet outil !
Les ransomwares, ces programmes nuisibles qui prennent vos précieux fichiers en otage contre une rançon, font trembler pas mal de monde, même les plus expérimentés. Mais c’était sans compter sur RansomLord qui pourrait peut-être bien vous sauver la mise si vous avez été infecté.
Cet outil open source, conçu par John Page (alias hyp3rlinx), a pour mission de mettre des bâtons dans les roues des cybercriminels en exploitant les failles de sécurité présentes dans le code de ces virus modernes. Et on parle quand même de ransomwares assez balaises comme Conti, REvil ou LockBit, mais aussi de nouveaux venus comme StopCrypt, RisePro, RuRansom, MoneyMessage, CryptoFortress et Onyx.
Pour réussir cet exploit (sans mauvais jeu de mot), RansomLord génère des fichiers « DLL » qui se font passer pour des fichiers légitimes dont les rançongiciels ont besoin. En réalité, ces DLL sont remplis de code malicieux qui court-circuite le processus de chiffrement et met fin à la carrière du malware avant même qu’il n’ait pu crier « Bitcoin » !
Le plus impressionnant, c’est que RansomLord est capable de cibler spécifiquement les rançongiciels qui menacent votre entreprise ou votre secteur d’activité grâce à sa base de données de plus de 49 familles de ransomwares. Comme ça, il vous concocte le DLL parfait pour mettre hors d’état de nuire ces logiciels du démon.
Cette dernière version 3 de RansomLord intègre également une fonction de journalisation qui enregistre le hash SHA256 et le chemin d’accès complet du malware intercepté. Comme ça, vous pouvez garder une trace de l’attaque et communiquer ces détails à des experts cyber qui viendraient mener l’enquête ensuite.
Respect à hyp3rlinx pour cette trouvaille ingénieuse ! Et pour télécharger RansomLord v3 c’est par ici.
2 bidouilleurs viennent de prouver qu’avec un peu d’astuce et beaucoup de persévérance, on pouvait cracker les coffres-forts numériques les mieux gardés.
Leur cible ? Un wallet Bitcoin contenant la bagatelle de 3 millions de dollars, verrouillé par un mot de passe de 20 caractères généré par le gestionnaire de mots de passe Roboform en 2013. Le propriétaire, un certain Michael, avait perdu ce sésame et pensait son magot à jamais inaccessible. Mais c’était sans compter sur la détermination de Joe Grand et de son pote Bruno, bien décidés à relever le défi.
Michael, propriétaire de la cryptomonnaie depuis 2013, avait stocké ses 43,6 BTC (valant environ 5 300 dollars à l’époque et environ 3 millions aujourd’hui) dans un fichier chiffré par TrueCrypt contenant le mot de passe généré par Roboform, qu’il n’avait pas entré dans le gestionnaire de mots de passe par peur d’un hack. Malheureusement, le fichier chiffré s’est retrouvé corrompu, et Michael perdit l’accès à son portefeuille.
Joe Grand, ingénieur électrique et hacker de renom, avait refusé la première demande d’aide de Michael en 2021, jugeant la tâche irréalisable sans une faille dans Roboform. Cependant, en 2022, Michael a retenté sa chance. Après des mois à décortiquer le code de Roboform, Joe Grand et Bruno découvrirent que les anciennes versions d’avant 2015, utilisaient une méthode de génération de mots de passe basée sur l’horloge du système. En connaissant la date et l’heure exacte de création, ainsi que les paramètres du mot de passe, ils ont alors pu reconstituer le mot de passe d’origine.
Initialement, Michael ne se souvenait pas de la date précise de génération de son mot de passe. Selon les journaux de son portefeuille, il avait commencé à y transférer des Bitcoins le 14 avril 2013. En analysant la chronologie et les paramètres habituels, Joe et Bruno cherchèrent d’abord dans la plage du 1er mars au 20 avril 2013, puis jusqu’au 1er juin 2013, sans succès. Ce n’est qu’après de multiples ajustements, et en excluant les caractères spéciaux, qu’ils parvinrent à générer le mot de passe correct créé le 15 mai 2013 à 16:10:40 GMT.
La faille se trouvait dans l’algorithme de génération des mots de passe des anciennes versions de Roboform, qui n’était pas aussi aléatoire que prétendu. Elle permettait de reconstituer un mot de passe en manipulant l’horloge de l’ordinateur pour remonter dans le temps. Tout est expliqué dans la vidéo ci-dessous :
Il est à noter que depuis la version 7.9.14 de juin 2015, Roboform affirme avoir corrigé cette faille et avoir amélioré la génération aléatoire des mots de passe. Cepandand, Joe Grand reste sceptique face à cette déclaration de Roboform car ces derniers n’ont pas recommandé explicitement aux utilisateurs de générer de nouveaux mots de passe pour leurs comptes après cette mise à jour, ce qui laisse potentiellement des mots de passe vulnérables en circulation.
Bref, un mot de passe n’est pas infaillible même s’il est généré par un outil réputé et il vaut mieux utiliser des phrases de passe longues et complexes, les changer régulièrement et activer la double authentification partout où c’est possible. N’ayez pas non plus une confiance aveugle dans les générateurs de mots de passe, surtout s’ils ont quelques années au compteur.
Bref, soyez prudent et bien joué Michael, pour qui la vie va sûrement changer à partir de maintenant.
Vous pensiez être tranquille chez vous, à l’abri des regards indiscrets et bien désolé de casser l’ambiance, mais j’ai une mauvaise nouvelle pour vous : votre box Wi-Fi vous espionne ! Enfin, pas directement, hein, mais figurez-vous que des chercheurs en sécurité ont trouvé le moyen de vous géolocaliser en douce, simplement en capturant l’identifiant unique de votre routeur appelé également BSSID (Basic Service Set Identifier).
En effet, il existe des systèmes de géolocalisation par Wi-Fi (WPS – Wi-Fi Positioning System), comme celui d’Apple, qui utilisent les BSSID comme balises pour vous localiser. En gros, dès qu’un iPhone ou un Mac capte votre réseau WiFi, le BSSID de celui-ci et votre position sont envoyés directement dans la base de données d’Apple. Et après, n’importe qui peut interroger ce WPS pour savoir où vous êtes sans avoir besoin d’être un hacker professionnel… il suffit juste de connaître l’astuce.
Cette équipe de chercheur a donc démontré la vulnérabilité principale de ce système en développant une attaque permettant de collecter des millions de BSSID géolocalisés sans avoir besoin d’autorisation. Leur méthode est simple : ils bombardent le WPS d’Apple avec des BSSID générés au hasard, en se basant sur des plages d’adresses MAC officielles et le système répond en donnant la localisation du BSSID et, très souvent, les coordonnées d’environ 400 autres BSSID à proximité.
En un an, ils ont ainsi réussi à constituer une base de données impressionnante : plus de 2 milliards de BSSID, répartis partout dans le monde ! Même en Antarctique ou sur l’île isolée de Tristan da Cunha, il n’y a pas moyen d’y échapper. Le seul endroit qui résiste encore est la Chine continentale. On suppose que le gouvernement là bas a mis en place des restrictions légales pour éviter cela.
Mais le pire, c’est que lorsqu’ils ont suivi les routeurs Wi-Fi nomades, ils ont découvert que 76% de ces appareils pouvaient être traqués sur des distances considérables, soit en moyenne 100 kilomètres ! Ça permet comme ça de suivre les déplacement des utilisateurs qui se promènent avec leur routeur portable.
Alors pourquoi quelqu’un s’intéresserait à votre position ? Hé bien cette technique pourrait être utilisé par un harceleur pour vous suivre à distance ou par les gouvernements pour connaitre vos aller-retours. Mais ça permet aussi de suivre les mouvements dans des zones de conflit.
Alors que faire pour empêcher ça ?? Premièrement, il faudrait qu’Apple et les autres entreprises cessent de distribuer nos BSSID si librement. Une limitation du nombre de requêtes et un meilleur filtrage seraient un bon point de départ. Le top serait que les fabricants de routeurs implémentent une randomisation des BSSID, comme c’est déjà le cas sur les appareils Apple quand ils sont en mode hotspot. SpaceX a d’ailleurs déjà montré l’exemple avec ses derniers modèles Starlink. Ce serait bien que les autres suivent le mouvement maintenant.
En attendant, si vous tenez à votre vie privée, le seul truc à faire est de changer régulièrement de matériel, surtout quand vous vous déplacez et d’éviter de transporter le même routeur du travail à la maison ou de l’appartement au camping-car. Et si vous êtes un peu bricoleur et que vous avez un accès root à votre routeur, sachez qu’il est possible de forcer le changement de BSSID à chaque redémarrage en modifiant la configuration de hostapd.
Mais bon, il est clair qu’il y a un sacré risque et des questions éthiques qui se posent sur ces divulguation de nos localisations sans notre consentement.
Pour plus de détails, vous pouvez consulter l’étude complète sur arXiv.
L’OSINT est une méthodologie de recherches et d’informations. Mais par où commencer pour devenir Osinter ? Voici des outils, méthodes et bonnes pratiques à connaître pour se lancer dans l'OSINT.
Le gestionnaire de mots de passe sert à mémoriser pour vous vos codes d’accès à vos comptes en ligne, dans un environnement protégé, et de vous pousser à utiliser des mots de passe forts. C’est comme un coffre-fort. Dashlane, NordPass, 1Password, Bitwarden et LastPass font partie des plus connus.
Vous avez beau être très attentif et méfiant, vous ne pourrez jamais vous assurer d’être en parfaite sécurité sur internet. Chaque année, de nouvelles cybermenaces toujours plus sophistiquées voient le jour. Leur but infester le plus d’ordinateurs et smartphones possibles. Heureusement, pour éviter cela, il existe des solutions efficaces comme Kaspersky Premium qui est actuellement à prix sacrifié.
L’article Kaspersky Premium : la suite de sécurité voit son prix chuter de 63% est apparu en premier sur Tom’s Hardware.
Mauvaise nouvelle, les derniers modèles de Tesla ne sont pas épargnés par les voleurs.
Comment ça ? Et bien ces derniers utilisent une technique d’attaque relais pour duper votre voiture en captant le signal de votre clé ou de votre smartphone (si vous utilisez l’app Tesla) et cela même si vous êtes à des dizaines de mètres. Ensuite, ils relaient ce signal jusqu’à votre caisse garée gentiment devant chez vous et là, surprise, la voiture croit que vous êtes à côté avec la clé et hop, elle se déverrouille en moins de deux.
Alors ce genre d’attaques, c’est pas nouveau et la techno Ultra-Wideband, ça devait justement empêcher ça… Mais c’était sans compter sur les chercheurs chinois de GoGoByte ont réussi à pirater une Tesla Model 3 flambant neuve avec du matos radio à moins de 100 balles. Ils ont ainsi pu déverrouiller la voiture et même la démarrer en quelques secondes, et ce jusqu’à une distance de 5 mètres. Une démo de l’attaque est visible en vidéo dans l’article de Wired.
Pourtant, Tesla avait vanté les mérites de l’Ultra-Wideband, censée empêcher ces attaques relais grâce à une mesure ultra-précise de la distance entre la clé et la voiture, mais visiblement, c’est pas encore au point… Et quand les chercheurs ont signalé la faille, Tesla leur a répondu un truc du genre « Ouais, on bosse encore dessus pour améliorer la fiabilité. Pour l’instant c’est normal que ça marche pas« . C’est pas sérieux.
La seule parade pour vous protéger de ça, c’est soit d’avoir une caisse pourrie que personne ne veut voler, soit c’est d’activer le code PIN (désactivé par défaut) pour autoriser le démarrage. Pour l’activer, appuyez sur « Contrôles » > « Sécurité » > « Code PIN pour la conduite ». Vous serez alors invité à créer votre code de vérification à 4 chiffres. Validez, et ne l’oubliez pas !
Bien sûr, Tesla n’est pas le seul constructeur à s’être planté car d’autres marques ont également adopté l’Ultra-Wideband et sont donc tout aussi vulnérables aux attaques relais. Après faut pas oublier que grâce GPS intégré, les Tesla sont statistiquement moins volées que les autres bagnoles même si certains réseaux mafieux les ciblent quand même pour les pièces détachées.
En attendant, soyez vigilants, et le soir, emmenez votre clé le plus loin possible de votre véhicule au lieu de les laisser trainer dans l’entrée de la maison. Vous pouvez même opter pour une petite boite qui fera office de cage de faraday (lien affilié), histoire de bloquer les ondes de la clé.
La bibliothèque JavaScript de visualisation de PDF développée par Mozilla, connue sous le nom de PDF.js, est au centre d’une nouvelle découverte de sécurité assez préoccupante ! Une faille dans le code de rendu des polices permet à un attaquant d’exécuter du JavaScript arbitraire simplement en ouvrant un PDF malveillant. Et attention, cela affecte toutes les applications utilisant PDF.js, y compris Firefox, certains éditeurs de code et navigateurs de fichiers. Aïe aïe aïe !
En gros, lorsque PDF.js affiche une police spéciale, il convertit la description des glyphes en instructions pour dessiner ces glyphes. Cependant, un hacker mal intentionné peut injecter son propre code dans la description de la police, résultant en l’exécution de ce code par le navigateur.
La vulnérabilité, estampillée CVE-2024-4367, repose donc sur une manipulation des commandes de rendu de polices. La commande transform utilisant fontMatrix est exploitée pour insérer du code JavaScript puis PDF.js compile dynamiquement les descriptions de polices pour optimiser les performances. Normalement, ce tableau contient uniquement des nombres, toutefois, cette faille permet d’y injecter des chaînes de caractères. Et en insérant du code JavaScript dans ce tableau, il est possible de déclencher du code lors du rendu d’une police.
Un exploit bien forgé permettrait diverses attaques telles que l’exécution de code arbitraire, le vol de données, ou même la prise de contrôle complète du système via des attaques XSS ou l’exécution de code natif. La vulnérabilité touche actuellement les versions de PDF.js inférieures à 4.2.67.
Selon les chercheurs de Codean Labs, cette vulnérabilité affecte non seulement les utilisateurs de Firefox (<126), mais également de nombreuses applications web et basées sur Electron utilisant indirectement PDF.js pour la fonctionnalité d’aperçu. Ils soulignent également que cette faille exploite une partie spécifique du code de rendu de la police, un segment que les développeurs devraient vérifier attentivement.
Bref, pensez à mettre à jour PDF.js vers une version supérieure à la 4.2.67 et à mettre à jour vos outils vers des version égales ou supérieures à Firefox 126, Firefox ESR 115.11 et Thunderbird 115.11.
Imaginez télécharger un modèle d’IA apparemment inoffensif sur une plateforme de confiance comme Hugging Face et découvrir qu’il ouvre en fait une porte dérobée permettant à des attaquants de prendre le contrôle de votre système ! C’est le risque que pose la faille critique CVE-2024-34359, découverte récemment dans le célèbre package Python llama-cpp-python.
Ce package très utilisé permet d’intégrer facilement des modèles d’IA écrits en C++ dans des projets Python. Pour cela, il utilise la bibliothèque de templates Jinja2 qui est capable de faire un rendu dynamique du HTML à partir des données. Une lib surpuissante mais potentiellement risquée si c’est mal configuré !
Et c’est justement là que le bât blesse. Le package llama-cpp-python utilise Jinja2 pour traiter les métadonnées des modèles au format .gguf, mais sans activer les protections nécessaires comme le bac à sable. Du coup, en injectant un template malicieux dans les métadonnées d’un modèle, un pirate peut exécuter du code arbitraire sur le système hôte !
Les dégâts potentiels sont énormes : vol de données, prise de contrôle totale, interruption de services… Surtout que les systèmes IA manipulent souvent des données ultra sensibles. Et vu la popularité de llama-cpp-python, l’impact est massif : plus de 6000 modèles vulnérables rien que sur Hugging Face ! Selon un article détaillé de Checkmarx, cette faille permet des attaques de la chaîne d’approvisionnement, où un acteur malveillant peut injecter du code dans un modèle téléchargé et redistribuer ce modèle compromis pour attaquer les développeurs d’IA.
Découverte par Patrick Peng (alias retro0reg), cette vulnérabilité repose comme je vous l’expliquait sur une mauvaise implémentation du moteur de templates. Cette faille de score CVSS critique de 9.7, permet l’injection de template côté serveur, conduisant à une exécution de code à distance (RCE). Un proof-of-concept a même été publié sur Hugging Face, démontrant comment un modèle compromis peut exécuter du code arbitraire lorsqu’il est chargé ou lors d’une session de chat.
Cela met en lumière un problème plus large : la sécurité des systèmes d’IA est intimement liée à celle de leur chaîne logicielle. Une vulnérabilité dans une dépendance tierce peut compromettre tout un système. Il faut donc redoubler de vigilance à tous les niveaux. Les modèles d’IA étant souvent utilisés au sein de projets critiques et manipulant des volumes importants de données sensibles, la moindre faille peut avoir des conséquences catastrophiques.
Mais rassurez-vous, une solution existe ! La version 0.2.72 de llama-cpp-python corrige le tir en ajoutant une validation des entrées et un bac à sable robuste autour de Jinja2. Si vous utilisez une version antérieure, la mise à jour est plus que recommandée.
Comment savoir si vos modèles sont touchés ? Regardez s’ils utilisent :
Si c’est le cas, passez immédiatement à la 0.2.72 ! Vous pouvez aussi auditer le code de vos modèles et regarder les permissions avec vos yeux de lynx.
Bref, comme d’hab, une petite faille peut vite tourner au désastre
Vous utilisez probablement le GPS tous les jours sans y penser, que ce soit sur votre smartphone, dans votre voiture ou même dans un avion. Cette technologie de positionnement par satellites, et ses cousines comme GLONASS, Galileo et Beidou, sont devenues tellement courantes qu’on en oublierait presque qu’elles sont vulnérables. Et quand je dis vulnérables, je ne parle pas d’un bug ou d’un plantage logiciel, non. Je parle de menaces bien réelles qui peuvent rendre votre GPS complètement dingue !
Vous voyez, le GPS repose sur des signaux radio ultra faibles émis par des satellites à des milliers de kilomètres. Pour vous donner une idée, c’est un peu comme si vous essayiez d’entendre quelqu’un vous chuchoter quelque chose depuis l’autre bout d’un stade pendant un concert de rock ! Autant dire que c’est le bordel pour entendre quoi que ce soit.
Du coup, pas besoin d’être un génie pour comprendre qu’il est facile de noyer le signal GPS dans un gros brouhaha radio. C’est ce qu’on appelle le brouillage. Avec quelques watts seulement, on peut rendre le GPS inutilisable dans un rayon de plusieurs kilomètres ! Pas besoin d’un doctorat en électronique, un petit bricolage fait maison peut suffire. Évidemment, c’est complètement illégal, mais ça n’empêche pas certains de s’amuser à le faire.
Mais pourquoi brouiller le GPS ? Eh bien, en cas de conflit par exemple, c’est bien pratique pour empêcher l’ennemi de savoir où il est et où tirer ses missiles et ses drones. C’est d’ailleurs ce qui se passe en ce moment autour de l’Ukraine. Des zones de brouillage apparaissent régulièrement, rendant la navigation aérienne hasardeuse.
Mais le brouillage peut aussi servir à des fins moins guerrières. Tenez, en Chine, il paraît que des boîtes de pub brouillent le GPS des drones de leurs concurrents pendant des shows aériens pour leur faire perdre le contrôle et ruiner le spectacle ! De la concurrence de haut vol, sans mauvais jeu de mots.
Et les dégâts collatéraux dans tout ça ?
Parce que mine de rien, on ne dépend pas du GPS uniquement pour savoir si on doit tourner à gauche ou à droite au prochain croisement. Les réseaux de téléphonie mobile s’en servent également pour synchroniser leurs antennes relais. Ainsi, quand le GPS déconne, c’est toute la 4G/5G qui peut partir en vrille !
Mais si vous trouvez que le brouillage c’est déjà costaud, attendez de découvrir le leurrage ! Là, on passe au niveau supérieur. Le leurrage, c’est carrément une technique qui permet d’envoyer de faux signaux GPS pour faire croire à votre récepteur qu’il est ailleurs. Un peu comme si un petit rigolo changeait les panneaux sur la route pour vous faire croire que vous allez vers le sud de la France, alors que vous roulez vers le Nord.
Alors bien sûr, générer un faux signal GPS crédible, c’est autrement plus coton que simplement brouiller la fréquence. Il faut recréer toute une constellation de satellites virtuels avec les bons timings, les bonnes orbites, cohérents entre eux. Un vrai boulot d’orfèvre ! Mais une fois que c’est au point, imaginez le potentiel de nuisance ! Vous pourriez faire atterrir un avion de ligne à côté de la piste. Téléguidez un drone militaire en territoire ennemi ou envoyer un navire s’échouer sur des récifs. Ça fait froid dans le dos…
Heureusement, il existe des parades pour durcir les récepteurs GPS contre ces attaques : Utiliser des antennes directionnelles qui filtrent les signaux ne venant pas du ciel. Analyser en détail les signaux pour repérer les incohérences et les satellites suspects. Recouper avec d’autres capteurs comme les centrales inertielles. La version militaire du GPS dispose déjà de pas mal de protections dont du chiffrement.
Mais pour le GPS grand public dans nos smartphones et nos bagnoles, on est encore loin du compte. À part quelques modèles haut de gamme, la plupart gobent à peu près tout et n’importe quoi tant que ça ressemble à un signal GPS et il va falloir que ça change, et vite !
Scott Manley, un expert en la matière que vous connaissez peut-être pour ses vidéos sur les fusées, aborde en profondeur ces questions dans une vidéo bien documentée sur le sujet. Non seulement il analyse les risques de brouillage et de leurrage, mais il examine aussi les contre-mesures possibles, comme l’utilisation d’antennes directionnelles et l’analyse détaillée des signaux pour repérer d’éventuelles incohérences. Je vous mets la vidéo ici, ça vaut le coup d’œil :
On a beau être fan des nouvelles technos qui nous rendent la vie plus facile, faut quand même garder à l’esprit qu’elles ont leurs failles et leurs limites. Ça ne veut pas dire qu’il faut revenir à la bonne vieille carte Michelin et à la boussole, mais un petit cours de rattrapage en navigation à l’ancienne, ça ne ferait pas de mal !
Perso, la prochaine fois que mon appli Waze me dira de tourner à gauche direct un lac, je me méfierai…
Les chasseurs de bugs et les experts en sécurité web sont toujours à la recherche d’outils pour optimiser leur boulot et dénicher des vulnérabilités et justement, il y a un nouveau venu qui risque bien de faire parler de lui : WebCopilot !
Open source, cet outil d’automatisation combine les fonctionnalités de dizaines d’autres outils réputés comme Subfinder, Nuclei, Amass ou encore SQLMap histoire de vous faire gagner un temps précieux en prenant en charge de A à Z les tâches répétitives et chronophages de l’énumération des sous-domaines, du filtrage des paramètres à risque et du scan des vulnérabilités les plus critiques.
Pour cela, il suffit de lancer WebCopilot sur un domaine cible et il s’occupe de tout :
Vous obtiendrez ensuite un rapport complet qui répertoriera tous les points d’entrée intéressants.
Connexion
──────▄▀▄─────▄▀▄
─────▄█░░▀▀▀▀▀░░█▄
─▄▄──█░░░░░░░░░░░█──▄▄
█▄▄█─█░░▀░░┬░░▀░░█─█▄▄█
██╗░░░░░░░██╗███████╗██████╗░░█████╗░░█████╗░██████╗░██╗██╗░░░░░░█████╗░████████╗
░██║░░██╗░░██║██╔════╝██╔══██╗██╔══██╗██╔══██╗██╔══██╗██║██║░░░░░██╔══██╗╚══██╔══╝
░╚██╗████╗██╔╝█████╗░░██████╦╝██║░░╚═╝██║░░██║██████╔╝██║██║░░░░░██║░░██║░░░██║░░░
░░████╔═████║░██╔══╝░░██╔══██╗██║░░██╗██║░░██║██╔═══╝░██║██║░░░░░██║░░██║░░░██║░░░
░░╚██╔╝░╚██╔╝░███████╗██████╦╝╚█████╔╝╚█████╔╝██║░░░░░██║███████╗╚█████╔╝░░░██║░░░
░░░╚═╝░░░╚═╝░░╚══════╝╚═════╝░░╚════╝░░╚════╝░╚═╝░░░░░╚═╝╚══════╝░╚════╝░░░░╚═╝░░░
[●] @h4r5h1t.hrs | G!2m0
Usage:
webcopilot -d <target>
webcopilot -d <target> -s
webcopilot [-d target] [-o output destination] [-t threads] [-b blind server URL] [-x exclude domains]
Flags:
-d Add your target [Requried]
-o To save outputs in folder [Default: domain.com]
-t Number of threads [Default: 100]
-b Add your server for BXSS [Default: False]
-x Exclude out of scope domains [Default: False]
-s Run only Subdomain Enumeration [Default: False]
-h Show this help message
Example: webcopilot -d domain.com -o domain -t 333 -x exclude.txt -b testServer.xss
Use https://xsshunter.com/ or https://interact.projectdiscovery.io/ to get your serverFini les heures passées à lancer des dizaines de commandes et à corréler les résultats comme ça, vous pourrez vous concentrer sur l’analyse des vulnérabilités.
Côté utilisation, c’est ultra simple. Il suffit de cloner le repo Github, d’installer les dépendances…
git clone https://github.com/h4r5h1t/webcopilot && cd webcopilot/ && chmod +x webcopilot install.sh && mv webcopilot /usr/bin/ && ./install.sh…et vous pouvez lancer des scans en une seule commande :
webcopilot -d domain.com -o rapport
Et si vous voulez pousser la configuration plus loin, pas de problème ! WebCopilot propose tout un tas d’options bien pratiques comme :
-s pour ne faire que de l’énumération de sous-domaines -x pour exclure certains domaines du scan -b pour spécifier un serveur « blind XSS » externe -t pour régler le nombre de threads et accélérer les scansBref, c’est l’outil pratique pour industrialiser encore un peu plus votre processus de bug bounty.
