L’intelligence artificielle a révolutionné de nombreux domaines dont celui de la cybersécurité. Cependant, cette technologie prometteuse soulève des questions en termes d’explicabilité et de transparence. Le Machine Learning (ML)a connu des avancées remarquables depuis ces dernières années. Aujourd’hui, grâce à d’énormes bases de données, des modèles de plus en plus élaborés peuvent classifier des attaques […]
Le 8 décembre dernier, le parlement européen est parvenu à un accord légiférant l’utilisation de l’intelligence artificielle (IA). Ce règlement vise à promouvoir l’innovation dans le secteur mais aussi à protéger les droits fondamentaux, de la démocratie, de l’État de droit et de la durabilité environnementale face aux applications à haut risque de cette technologie. […]
L’année 2024 s’annonce comme une période charnière dans le monde de la cybersécurité, avec de nouvelles menaces émergentes et des défis croissants pour la protection en ligne. Alors que la technologie évolue rapidement, les professionnels de la cybersécurité doivent rester vigilants pour anticiper et contrer les menaces futures. Dans cet article, nous examinons quelques-unes des […]
Déployé de manière progressive et présenté au FIC en avril dernier, le Dashboard LockSelf fait désormais partie intégrante des outils de pilotage cyber des organisations utilisatrices de la suite LockSelf. Retour sur ses spécificités et ses fonctionnalités clés !
Depuis son entrée en vigueur en janvier 2023, la Directive sur la Résilience Opérationnelle Numérique (DORA) a établi un nouveau cadre réglementaire pour l’Union Européenne, spécifique à la cybersécurité et à la gestion des risques dans le secteur financier. Cette législation répond non seulement aux menaces numériques grandissantes, mais offre aussi aux institutions financières une […]
Un grand exercice de cyberguerre organisé par l'armée (le Commandement de la cyberdéfense) pour former des étudiants a fait son retour à Nancy. Numerama a assisté à cette simulation où se mélangent cyberattaque et infiltration en tout genre.
Un grand exercice de cyberguerre organisé par l'armée (le Commandement de la cyberdéfense) pour former des étudiants a fait son retour à Nancy. Numerama a assisté à cette simulation où se mélangent cyberattaque et infiltration en tout genre.
Dans quelques années, un ordinateur quantique ultra-puissant pourrait être en mesure de déchiffrer nos conversations privées. Pour éviter d'être pris de court, Apple annonce être reparti à zéro avec iMessage. Début mars, l'application de messagerie instantanée basculera vers « un protocole cryptographique post-quantique ».
L'OSINT est une méthode née à l’issue de la guerre froide, alors que les États-Unis se demandaient quelle nouvelle forme donner aux renseignements. En 2005, la CIA lui crée un Centre dédié. Depuis, l’OSINT a largement investi le monde militaire, des renseignements, de la Justice, des grandes entreprises et des journalistes.
VoltSchemer, c'est le nom d'une nouvelle technique d'attaque qui cible les smartphones par l'intermédiaire des chargeurs sans-fil. Grâce à cette technique, il est possible d'endommager la batterie du smartphone, ou dans le pire des cas, de le faire exploser.
Des chercheurs de l'Université de Floride, en collaboration avec l'entreprise CertiK, sont à l'origine de cette attaque théorique baptisée "VoltSchemer". Les résultats de leurs travaux sont disponibles dans ce document PDF de 17 pages. L'attaque VoltSchemer vise les chargeurs sans-fil et cette technique permet d'injecter une interférence électromagnétique intentionnelle (IEMI) dans les dispositifs, à partir d'un émetteur externe.
Pour mettre en pratique l'attaque, l'appareil malveillant peut être dissimulé de différentes façons, comme le montre l'image ci-dessous issue du rapport publié par les chercheurs.
D'après ces chercheurs, la technique VoltSchemer peut être utilisée pour contrôler des assistants vocaux à l'aide de commandes inaudibles, endommager l'appareil en cours de chargement via une surchauffe ou une surcharge, ou encore contourner le mécanisme de protection de la norme Qi qui permet de détecter les objets étrangers pour endommager les objets à proximité à l'aide d'un champ magnétique. Concernant la norme Qi, elle fait référence à la charge sans-fil et elle a été développée par le Wireless Power Consortium dans le but de gérer la communication entre trois éléments : l'adaptateur d'alimentation, le chargeur sans fil et l'appareil à charger.
L'appareil posé directement sur le chargeur peut surchauffer au point d'exploser ou de s'enflammer, ce qui peut être à l'origine d'un incendie. Au-delà d'endommager le smartphone posé directement sur le chargeur sans-fil, la technique peut endommager les appareils et objets aux alentours : clé USB, disque SSD, carte NFC, document avec un clip métallique, clé de voiture, etc. Voici la preuve avec cette série de photos publiées par les chercheurs :
Les appareils vulnérables
Les chercheurs en sécurité ont également indiqué qu'ils avaient testé leurs attaques sur 9 chargeurs sans-fil différents et qu'ils les avaient tous trouvés vulnérables. Ici, il est question de modèles de marques plus ou moins connues, notamment Anker, Philips, Renesas ou encore WaiWaiBear.
Il y en a surement beaucoup d'autres vulnérables puisque cette technique n'implique aucune modification sur le chargeur sans-fil ou le smartphone. Il s'agit d'exploiter une faiblesse dans le fonctionnement normal du processus de charge sans-fil.
SubdoMailing, c'est le nom d'une campagne publicitaire malveillante qui est utilisée pour envoyer 5 millions d'e-mails par jour, à partir de 8 000 domaines légitimes et 13 000 sous-domaines. Faisons le point sur cette menace !
Nati Tal et Oleg Zaytsev, chercheurs en sécurité chez Guardio Labs ont mis en ligne un rapport pour évoquer cette campagne malveillante lancée en 2022. Si c'est campagne a été surnommée "SubdoMailing", ce n'est pas un hasard : les cybercriminels détournent des sous-domaines abandonnés et des domaines appartenant à des entreprises populaires pour émettre leurs e-mails malveillants.
Par exemple, les pirates utilisent des noms de domaine de MSN, McAfee, VMware, Unicef, Java.net, Marvel, Pearson, ou encore eBay. Dans le cas de VMware, les cybercriminels ont détourné le sous-domaine "cascade.cloud.vmware.com", tandis que pour MSN, ce serait le sous-domaine "marthastewart.msn.com".
L'avantage de ces domaines, c'est qu'ils semblent légitimes, aussi bien aux yeux du destinataire que des serveurs de messagerie. Ainsi, ils sont susceptibles de passer les filtres anti-spams et les mécanismes d'authentification des e-mails. Autrement dit, les e-mails malveillants parviennent à passer les contrôles SPF, DKIM et DMARC !
Plusieurs techniques utilisées : CNAME, SPF, etc...
Il est intéressant de noter que les cybercriminels analysent les zones DNS des domaines populaires à la recherche d'un enregistrement CNAME faisant correspondre un sous-domaine vers un domaine externe qui serait disponible. Ensuite, les cybercriminels ont eux-mêmes l'acquisition du domaine externe pour l'exploiter au sein de cette campagne malveillante. L'achat est effectué via NameCheap. Comme le montre l'exemple ci-dessous donné par les chercheurs en sécurité, le sous-domaine "marthastewart.msn.com" avait un enregistrement CNAME qui renvoyait vers "msnmarthastewartsweeps.com" mais qui n'appartenait plus à MSN (Microsoft) depuis plus de 20 ans !
Source : Guardio Labs
Une seconde technique est utilisée et elle vise à tirer profit d'enregistrements SPF qui ne sont pas maintenus à jour. Ce qui intéresse les cybercriminels, c'est l'option "include :" puisqu'elle peut pointer vers des domaines externes qui ne sont plus enregistrés. Dans ce cas, c'est une aubaine pour les cybercriminels. Le cas du domaine SPF du domaine "swatch.com" est un parfait exemple puisqu'il fait référence à un domaine disponible à la vente : "directtoaccess.com" ! En achetant ce fameux domaine, les cybercriminels peuvent émettre des e-mails pour "swatch.com" de manière légitime !
Source : Guardio Labs
Une campagne de phishing supplémentaire !
Que se passe-t-il si l'on clique sur le lien d'un e-mail ? Les boutons et liens intégrés dans les e-mails redirigent les utilisateurs vers différents sites contrôlés par les cybercriminels. Parfois, il s'agit simplement de sites avec de la publicité, alors que dans d'autres cas, l'utilisateur doit faire face à une alerte de sécurité pouvant mener à un vol d'informations : compte Facebook, compte iCloud, fin d'abonnement Amazon Prime, etc... Différents prétextes sont utilisés.
Résultat, les cybercriminels disposent d'un important réseau de 8 000 domaines et 13 000 sous-domaines exploité par des serveurs SMTP situés dans le monde entier ! Guardio Labs évoque près de 22 000 adresses IP uniques utilisées pour envoyer environ 5 millions d'e-mails par jour. Cette technique est bien rodée et elle se montre très efficace !
Enfin, à partir de l'outil mis en ligne par Guardio Labs, vous pouvez vérifier si votre domaine est affecté ou non :
Les mots de passe ne sont plus nécessaires pour se connecter au PlayStation Network : Sony prend désormais en compte les passkeys. Les joueurs et les joueuses ont tout intérêt à s'y intéresser pour augmenter le niveau de sécurité de leur compte.
Une faille de sécurité critique découverte dans l'application ScreenConnect Server est très appréciée par les cybercriminels. Elle est exploitée par plusieurs gangs, dont Black Basta et Bl00dy. Faisons le point.
ScreenConnect et la faille de sécurité CVE-2024-1709
Lundi 19 février 2024, ConnectWise, éditeur de la solution ScreenConnect, a mis en ligne un bulletin de sécurité pour évoquer une faille de sécurité critique présente dans la partie "Serveur" de son application : CVE-2024-1709. ScreenConnect est une solution de prise en main à distance, et vous avez la possibilité d'héberger votre propre serveur, ou d'utiliser l'infrastructure de ConnectWise.
En exploitant cette vulnérabilité, un attaquant peut contourner l'authentification et exécuter du code à distance, sans aucune interaction de la part d'un utilisateur. La vulnérabilité est facile à exploiter et implique que l'attaquant soit en mesure de communiquer avec le serveur ScreenConnect. Résultat, elle peut être utilisée pour compromettre le serveur grâce à la création d'un compte administrateur.
Le problème, c'est qu'il y a énormément de serveurs ScreenConnect exposés sur Internet : on parle de plus de 10 000 serveurs, si l'on effectue une recherche via Shodan. Seuls environ 15% de ces serveurs utilisent la version 23.9.8 permettant de se protéger.
ConnectWise invite ses utilisateurs à patcher leur serveur dès que possible : "ConnectWise recommande aux partenaires de procéder immédiatement à une mise à jour vers la version 23.9.8 ou une version plus récente afin de remédier aux vulnérabilités signalées." - D'ailleurs, vous devez suivre l'upgrade path suivant : 2.1 → 2.5 → 3.1 → 4.4 → 5.4 → 19.2 → 22.8 → 23.3 → 23.9.
Remarque : ConnectWise a également corrigé la vulnérabilité CVE-2024-1708, de type Path-traversal.
Une vulnérabilité exploitée par plusieurs groupes de cybercriminels
Depuis une semaine, et un jour après la mise en ligne du correctif de sécurité, cette vulnérabilité est exploitée massivement par les cybercriminels. D'après Shadowserver, il y a plusieurs dizaines d'adresses IP à l'origine d'attaques à destination de serveurs ScreenConnect, dans le but de les compromettre en exploitant la faille de sécurité CVE-2024-1709.
Désormais, nous savons que les gangs de ransomware Black Basta et Bl00dy sont sur le coup ! Les chercheurs de Trend Micro ont fait cette découverte lors de l'analyse de plusieurs incidents de sécurité. Après avoir compromis le serveur ScreenConnect, les pirates ont pu accéder au réseau de l'entreprise ciblée pour déployer un web shell.
Trend Micro évoque également des notes de rançon, ainsi que d'autres malwares tel que XWorm, un logiciel malveillant assez polyvalent (remote access trojan avec des fonctions de ransomware).
Si vous utilisez ScreenConnect, patchez dès que possible ! Cette faille de sécurité critique est massivement exploitée par les gangs de ransomware !
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publiée un nouveau document : "Panorama de la cybermenace 2023". L'occasion de faire le point sur les menaces actuelles, les tendances et les évolutions.
Si la couverture du rapport "Panorama de la cybermenace 2023" de l'ANSSI met en action un ballon de basket au milieu de dominos, ce n'est surement pas un hasard. Nous sommes à quelques mois des Jeux Olympiques de Paris 2024, et la situation est tendue et cela ne va surement pas s'arranger. Les cybercriminels vont certainement chercher à profiter de l'occasion, à leur façon.
Toujours plus d'attaques par ransomware
Même si les entreprises sont de plus en plus nombreuses à investir dans la cybersécurité pour mieux protéger leur infrastructure et leurs données, et que dans le même temps, les forces de l'ordre mènent des opérations pour démanteler les réseaux de cybercriminels (comme l'opération Cronos, par exemple), les attaques par ransomware sont toujours plus nombreuses.
À ce sujet, l'ANSSI précise : "Le nombre total d’attaques par rançongiciel portées à la connaissance de l’ANSSI est supérieur de 30% à celui constaté sur la même période en 2022."
En effet, le graphique ci-dessous qui compare 2022 et 2023 montre qu'il y a une croissance constante, année après année. Tout en sachant que ce graphique fait référence seulement aux attaques par ransomware signalées à l'ANSSI.
Source : ANSSI
Dans 34% des cyberattaques par ransomware, c'est une TPE, une PME ou une ETI qui est ciblée. En seconde place, nous retrouvons les collectivités locales et territoriales, dans 24% des cas. Comme vous le savez probablement, les établissements de santé ne sont pas épargnés : ils sont victimes d'une attaque par ransomware sur 10.
Il est intéressant de noter que c'est le gang de ransomware LockBit (et ses affiliés) qui est le plus souvent à l'origine de ces attaques. Ceci est une tendance au niveau mondial, en ce qui concerne LockBit. Nous retrouvons également d'autres groupes de cybercriminels bien connus comme ALPHV/Black Cat, Akira, ou encore ESXiArgs.
"Les acteurs malveillants n’ont pas forcément besoin d’un haut niveau de sophistication pour cibler des entités de secteurs encore trop vulnérables, comme la santé et les collectivités territoriales. Les attaques informatiques à but lucratif peuvent néanmoins avoir des impacts très importants pour la réputation et la continuité d’activité de ces structures.", précise l'ANSSI. Pourtant, il y a bien des actions en cours pour sécuriser les SI de nos hôpitaux et autres établissements. C'est important de le préciser.
Bien souvent, les cybercriminels exploitent des vulnérabilités connues ou des failles de sécurité zero-day, ce qui implique deux choses : les équipes de sécurité doivent être réactives lorsqu'il y a une faille de sécurité à combler à l'aide d'un patch, et elles doivent disposer d'outils capables de détecter une éventuelle intrusion.
Les attaques DDoS, pour déstabiliser l'adversaire
Au-delà des attaques à but lucratif, les cybercriminels mènent des actions de déstabilisation par l'intermédiaire d'attaques par déni de service distribué (DDoS). Mais ce n'est pas tout, comme l'explique l'ANSSI : "Outre les attaques par DDoS, l’ANSSI a eu connaissance de campagnes de déstabilisation reposant sur l’intrusion dans un système d’information, puis son sabotage ou la publication d’informations exfiltrées." - Ceci ne concerne pas la France, mais plutôt des entreprises et entités gouvernementales ukrainiennes. Tout ceci s'est intensifié depuis le début de la guerre en Ukraine.
Ce type d'attaque pourrait tout à fait s'inviter à la fête lors des Jeux Olympiques de Paris 2024.
Les cybercriminels sont opportunistes !
Les cyberattaques ne sont pas systématiquement ciblées car les cybercriminels sont bien souvent opportunistes. En effet, ils vont chercher à exploiter des failles de sécurité critiques présentes dans des produits populaires. Même lorsque les vulnérabilités sont corrigées par l'éditeur, parfois depuis plusieurs mois, elles continuent de faire des victimes et c'est regrettable.
"Dans une part significative des cas, des correctifs étaient pourtant disponibles pour ces vulnérabilités au moment de leur exploitation, et ces dernières avaient fait l’objet d’une publication (avis, bulletin ou alerte de sécurité) sur le site du CERT-FR." - Sur IT-Connect, nous essayons également de vous sensibiliser en relayant les informations sur les dernières vulnérabilités représentant un risque élevé.
Si l'on s'intéresse au "Top 5" des vulnérabilités exploitées (au sein d'incidents où l'ANSSI est intervenue), nous retrouvons des failles de sécurité critiques, notamment celle dans le logiciel MOVEit Transfer de Progress Software. "Parmi les vulnérabilités précédemment décrites, la CVE-2021-21974 affectant VMWare ESXi et la CVE-2023-34362 affectant la solution MOVEit Secure Managed File Transfer de l’éditeur Progress Software ont donné lieu à des campagnes d’exploitation opportunistes à des fins lucratives.", précise l'ANSSI, en faisant référence aux attaques de gangs de ransomware tels que Cl0p et ESXiArgs.
Sans oublier d'autres vulnérabilités dans les produits Fortinet (notamment la faille dans le VPN SSLdécouverte au début de l'année 2023), Ivanti ou encore Microsoft. La France n'est pas épargnée par le fait que certaines vulnérabilités sont massivement exploitées.
L'ANSSI et les Jeux Olympiques de Paris 2024
L'ANSSI estime que les Jeux Olympiques seront une cible pour tous types de cyberattaques, et une partie du document explique le rôle de l'ANSSI dans l'organisation de cet événement. "Le pilotage de la stratégie de prévention des cyberattaques en vue des JOP2024 a été confié à l’ANSSI par la Première ministre.", peut-on lire.
Pour les JO, les actions de l'ANSSI s'articulent autour de 5 axes principaux :
parfaire la connaissance des menaces pesant sur les Jeux
sécuriser les systèmes d’information critiques
protéger les données sensibles
sensibiliser l’écosystème des Jeux
se préparer à intervenir en cas d’attaque affectant les Jeux
En pratique, ceci se traduit notamment par la réalisation d'audit et un accompagnement technique plus ou moins poussé, en fonction des entités. L'occasion de voir où en sont les entités impliquées dans l'organisation des JO, et de définir un plan de bataille pour améliorer leur niveau de sécurité.
"Les actions de sécurisation visent à accompagner les entités impliquées de manière adaptée à leur besoin. Elles consistent en la réalisation d’audits et d’un accompagnement technique pour les entités critiques, en un programme spécifique pour les entités sensibles, et à l’accès à des outils et des services, notamment pour l’évaluation du niveau de sécurité et la gestion de crise.", précise l'agence française.
Pour accéder au document publié par l'ANSSI et en savoir plus, suivez ce lien :
Dans son rapport annuel, l'ANSSI, l'agence en charge de la surveillance cyber des administrations, note un retour des pirates du renseignement russe. L'espionnage reste « la menace qui a le plus impliqué les équipes » de l'ANSSI.
Le piratage de Viamedis et Almerys est lourd de conséquences : moins d'un mois après ces deux incidents de sécurité, il y a déjà plus de 217 000 cas d'usurpations d'identité recensés ! Une donnée effrayante.
Rappel des faits
Le 1er février 2024, l'organisme de tiers-payant de santé Viamedis a subi une cyberattaque lors de laquelle les pirates sont parvenus à voler des documents et des informations au sujet des clients. Puis, quelques jours plus tard, c'est Almerys qui a subi le même sort.
En effet, le lundi 5 février 2024, un second organisme de tiers-payant de santé a subi une cyberattaque : Almerys. Les cybercriminels ont pu accéder au portail Almerys dédié aux professionnels de santé grâce à des identifiants et mots de passe de certains comptes de professionnels de santé clients d'Almerys.
Résultats, 33 millions de citoyens français sont plus ou moins impactés par ces incidents de sécurité, notamment, car parmi les clients de Viamedis et Almerys, il y a des mutuelles populaires.
Les escrocs et les pirates sont bien décidés à tirer profit de ces incidents de sécurité. Pour eux, c'est une aubaine car il y a 33 millions de cibles potentielles... D'après l'outil de surveillance FranceVerif, ils sont déjà passés à l'action parce que dès le 16 février, il y avait déjà 96 000 usurpations d'identités recensées. Jour après jour, ce chiffre ne cesse d'augmenter. En date du 26 février 2024, FranceVerif recensait 217 000 usurpations.
En principe, ce chiffre devrait énormément augmenter dans les semaines et mois à venir puisque les enchères sont toujours en cours sur le Dark Web. Autrement dit, il reste toujours des données à vendredi. À ce sujet, FranceVerif précise : « Et nous ne sommes que sur la vente des données d’environ 300 000 personnes... il reste encore 32,7 millions de personnes dont les données n’ont pas encore été vendues. »
Dans le cas présent, l'usurpation d'identité est envisageable car les pirates disposent de presque toutes les informations nécessaires pour le faire : nom, prénom(s), date de naissance, rang de naissance, numéro de Sécurité sociale, nom de l'assureur santé et numéro de contrat de l'assureur. Tout dépend des contrôles effectués par l'opérateur que vous avez au bout du fil, car il peut manquer l'adresse e-mail et le numéro de téléphone...
D'ailleurs, le numéro de Sécurité sociale est une mine d'or car il révèle des informations sur le titulaire : sexe, année de naissance ou encore le département de naissance. En complément, n'oublions pas que les cybercriminels ont toujours la possibilité de croiser les informations entre plusieurs fuites de données, afin d'obtenir les pièces manquantes du puzzle.
L'Offensive Security a mis en ligne une nouvelle version de sa distribution phare : Kali Linux ! Il est l'heure de faire le point sur Kali Linux 2024.1, qui comme son nom l'indique, est la première version de l'année 2024.
Amélioration de l'interface graphique
Cette nouvelle année est marquée par un rafraichissement du thème graphique de Kali Linux. C'est une habitude pour l'équipe de Kali de procéder à ce type de changement en début d'année, pour marquer le coup.
"Avec des mises à jour significatives du menu de démarrage, de l'affichage de la connexion et d'un ensemble de fonds d'écran captivants, à la fois pour nos éditions Kali normale et Kali Purple", précise l'équipe de Kali Linux. Une série de fonds d'écran a été dévoilée et elle est accessible via le paquet "kali-community-wallpapers".
Voici un aperçu du bureau de Kali Linux 2024.1 :
Au-delà des changements visuels, cette version apporte plusieurs nouveautés pour les utilisateurs des environnements de bureau Xfce et Gnome.
Avec Xfce, vous pouvez maintenant facilement copier votre adresse IP "VPN" dans le presse-papiers, d'un seul clic. Pour que cette fonctionnalité soit accessible, vous devez installer le paquet "xclip" sur la machine. "Grâce à cette amélioration, la gestion de vos connexions VPN sur Kali Linux devient encore plus transparente et intuitive.", peut-on lire.
Avec Gnome, Kali poursuit sa transition vers des applications basées sur GTK4 par le remplacement de la visionneuse d'images eye-of-gnome (eog) par Loupe. Par ailleurs, la dernière version du gestionnaire de fichiers Nautilus a été intégrée, ce qui permet une amélioration significative de la vitesse de recherche des fichiers.
Quatre nouveaux outils
Comme à chaque nouvelle version, de nouveaux outils sont ajoutés à Kali Linux. La version 2024.1 ajoute 4 nouveaux outils :
blue-hydra- BlueHydra est un service de découverte de périphériques Bluetooth construit sur la base de la bibliothèque bluez.
OpenTAXII- Implémentation du serveur TAXII d'EclecticIQ (version Python).
readpe - Outils en ligne de commande pour manipuler les fichiers Windows PE
snort- Célèbre système de détection et de prévention d'intrusion
Pour en savoir plus sur cette version, veuillez vous référer au site officiel de Kali Linux, via ce lien.
Une faille de sécurité critique a été découverte et corrigée dans l'extension WordPress nommée LiteSpeed Cache. Il s'agit d'une extension populaire : on parle de 5 millions d'installations actives. Faisons le point.
LiteSpeed Cache est une extension pour WordPress dont l'objectif est d'améliorer la vitesse de votre site web grâce à diverses optimisations autour de la mise en cache, du chargement différé de ressources, ou encore de la minification de fichiers JavaScript et CSS. À ce jour, on compte plus de 5 millions d'installations actives de cette extension.
La faille de sécurité critique qui a fait l'objet d'un rapport détaillé sur le blog de Patchstack est associée à la référence CVE-2023-40000. Même si elle est mise en lumière seulement maintenant, elle n'est pas récente puisqu'elle a été corrigée en octobre 2023 au sein de la version 5.7.0.1 de l'extension LiteSpeed Cache. En fait, elle a été découverte le 17 octobre 2023 par Patchstack, qui l'a ensuite remonté au développeur de l'extension, qui a mis en ligne un correctif le 25 octobre 2023.
Il s'agit d'une vulnérabilité de type XSS qui est exploitable à distance, sans être authentifié. Un attaquant peut élever ses privilèges grâce à cette faille de sécurité. Le chercheur en sécurité Rafie Muhammad précise : "[Elle] pourrait permettre à n'importe quel utilisateur non authentifié de voler des informations sensibles et, dans ce cas, d'escalader les privilèges sur le site WordPress en effectuant une seule requête HTTP.
Comment se protéger ?
Depuis tout ce temps, d'autres versions de LiteSpeed Cache ont été publiées. Aujourd'hui, la dernière version est la 6.1 et elle a été publiée le 5 février 2024. Si vous effectuez un suivi régulier de vos mises à jour, vous êtes probablement déjà protégés.
Au minimum, pour vous protéger, vous devez passer sur la version 5.7.0.1 ou supérieure dès que possible.
À en croire les statistiques relatives aux versions actives, il y a encore 39,8% des installations actives qui tournent sur une version inférieure à la version 5.7 de l'extension. Sans compter 10.8% d'installations actives sur la version 5.7. Cependant, les chiffres ne sont pas assez précis pour savoir s'il s'agit de la version 5.7.0.1 ou non.
Dans le domaine de la sécurité offensive, la certification professionnelle OSCP est mondialement reconnue et elle a une véritable valeur sur le marché de l'emploi. Toutefois, l'obtenir n'est pas une chose aisée. Une bonne manière de s'y préparer est de passer une autre certification : l'eCPPT. Dans cet article, nous allons vous expliquer pourquoi en comparant ces deux certifications.
La certification OSCP
Créée par la société américaine OffSec, à l'origine de la distribution Kali Linux, la certification professionnelle OSCP (Offensive Security Certified Professional) est conçue dans un but précis : vous permettre de prouver vos compétences pratiques en matière de pentest (ou tests d'intrusion, en français). Autrement dit, ce n'est pas une certification que l'on obtient par hasard.
Cette certification implique d'avoir de réelles compétences et son examen est particulièrement éprouvant sur 2 jours. En effet, lors de l'épreuve pratique, vous devez hacker plusieurs machines en un temps imparti : 23 heures et 45 minutes ! Ce n'est pas tout, puisque vous devez rendre des comptes en produisant un rapport d'audit qui doit être envoyé dans les 24 heures à l'OffSec.
Si vous souhaitez en savoir plus sur la certification OSCP, vous pouvez consulter ce précédent article :
La certification eCPPT (Certified Professional Penetration Tester) est proposée par l'INE Security, aux côtés d'autres certifications orientées cybersécurité. À l'instar de la certification OSCP, l'examen final vise à évaluer vos compétences en pentest par la pratique : analyse et collecte d'informations sur une cible, compromission de plusieurs machines sous Windows et Linux, utilisation avancée de Metasploit, exploitation de vulnérabilités au niveau du réseau et des applications web, etc... Les sujets sont variés, et une fois cette première étape franchie, vous devez rédiger un rapport d'audit.
Différences entre OSCP et eCPPT
Ces deux certifications ont un objectif commun : vous permettre de prouver vos compétences en pentesting et hacking éthique. Alors, quelles sont les différences ? L'OSCP et l'eCPPT sont toutes les deux reconnues mondialement, même si l'OSCP a une réputation tout de même supérieure, probablement car son examen pratique demande beaucoup de rigueur et une certaine expérience en test d'intrusion.
Même si les examens visent à évaluer vos compétences en hacking et en rédaction de rapport, ils se déroulent de façon différente ! En effet, l'examen de la certification eCPPT dure 14 jours, ce qui est assurément moins stressant que dans le cas de l'OSCP où vous disposez seulement de 48 heures.
Ceci nous amène à évoquer une autre différence : le niveau de difficulté. Contrairement à l’OSCP où vous êtes livré à vous-même pour trouver les réponses, l’eCCPT a une courbe d’apprentissage moins abrupte avec un accompagnement plus structuré. Pour la plupart des candidats, la certification eCPPT est moins décourageante à obtenir que la certification OSCP. L’obtention d’eCPPT est donc un très bon moyen de se préparer à la certification reine qu’est l’OSCP.
Peu importe ce que vous choisissez, il y a un travail important à fournir afin d'être à la hauteur : un investissement personnel et du temps doit être réservé. Si vous voulez aller au bout, l’équipe d’Ambient IT ne plaisante qu’à moitié en vous disant : “Pas de Netflix, Pas de Copine, Pas d’enfant”. N'allez pas croire que l'obtention d’une certification en cybersécurité sera une formalité. Au final, si vous réussissez, vous obtenez une certification valide sans limites de temps dans un cas comme dans l'autre.
Se former pour préparer l'eCPPT ou l'OSCP
Que ce soit pour préparer l'eCPPT et/ou l'OSCP, sachez que vous pouvez être accompagné par l'organisme de formation Ambient IT. Si nous prenons l'exemple de la certification eCPPT, la formation proposée correspond à 4 jours de préparation à l'examen (soit 28 heures).
La formation de votre choix est dispensée en français par un formateur certifié qui pourra vous conseiller et vous coacher, en plus de vous aiguiser techniquement. Ceci vous permettra d'avoir une réelle stratégie pour réussir l'examen final et obtenir la certification. Un passage à l'examen officiel est également inclus dans le coût de la formation ainsi qu’un accès aux labs.
Avant d'envisager une inscription, sachez qu'il y a plusieurs prérequis techniques. En effet, il est attendu une expérience en administration Linux (Shell) et Windows, des connaissances basiques en programmation, en réseau et une maîtrise de l’anglais technique.
Pour le financement, vous pouvez utiliser votre CPF (Compte personnel de formation), comme l'indique cette page. Sachez que pour les salariés du secteur informatique (convention Syntec), l’OPCO Atlas abonde jusqu'à 4 000€ le solde CPF. Il est important de préciser que le gouvernement envisage un reste à charge de 10% pour les bénéficiaires du CPF courant 2024.
Il y a deux prochaines sessions de formation prévues : l’une au format bootcamp plus adapté pour l’OSCP et l’autre sur 4 journées en continue pour l’eCPPT. Pour vous inscrire, vous pouvez utiliser les liens suivants :
Connexion
