Si vous ne l’avez pas encore fait, je vous recommande vivement d’activer la double authentification sur tous vos comptes en ligne. C’est hyper important !
Alors évidemment, pour cela vous aurez besoin d’une application 2FA et j’en ai déjà recommandé beaucoup comme Authy, 2FAS, Google Authenticator, celle de Lastpass et j’en passe. Et aujourd’hui, je vous en fait découvrir une nouvelle qui s’appelle très sérieusement Authenticator Pro (mais ça n’a rien à voir avec l’app de Google).
Authenticator Pro est donc une appli de 2FA qui fonctionne sous Android et supporte les algorithmes de hachage SHA1, SHA256 et SHA512, ainsi que les protocoles TOTP (basé sur le temps) et HOTP (basé sur un compteur). Elle gère également les codes Mobile-Otp, Steam et Yandex.
En plus d’être compatible avec la plupart des services et providers, Authenticator Pro vous permet également de sauvegarder vos données de manière sécurisée grâce à un bon chiffrement et les restaurer facilement en cas de changement de téléphone. Comme ça, pas de panique si votre cher smartphone vous laisse tomber.
Y’a un mode sombre pour ceux qui sont de la night et vous pourrez même organiser tous vos codes dans des catégories comme un bon maniaque du rangement. Vous l’aurez compris, Authenticator Pro fonctionne offline et surtout respecte votre vie privée. Niveau permissions, comme je sais que ça vous tient à cœur, sachez le, elle est plutôt du genre discrète : une seule autorisation requise pour fonctionner, c’est tout ! Cela concerne l’accès à la caméra pour flasher les QR codes des comptes à ajouter.
Et pour les plus geeks d’entre vous, l’app est compatible avec Wear OS. Comme ça vous pourrez valider vos connexions directement depuis votre poignet, tel un agent secret.
Une nouvelle mise à jour de Windows 10 et 11 vient causer des problèmes aux utilisateurs. Le dernier patch de sécurité de l’OS a pour effet d’empêcher l’utilisation de VPN. Malheureusement, Microsoft, bien qu’au courant du problème, ne devrait pas le résoudre tout de suite.
Cette saleté, baptisée « Dirty Stream« , permet à une app malveillante d’écrire tranquillou dans le répertoire d’une autre app et d’exécuter du code comme bon lui semble.
Mais comment c’est possible ce bazar ?
Eh bien figurez-vous que sous Android, les apps peuvent partager des données entre elles grâce à un système de « fournisseur de contenu ». Jusque là, tout va bien, sauf que certains petits malins ont trouvé le moyen de contourner les contrôles de sécurité en utilisant des « intents personnalisés » mal ficelées.
En clair, une app malveillante envoie un fichier avec un nom ou un chemin trafiqué à une app légitime qui, sans méfiance, l’exécute ou le stocke gentiment dans l’un de ses dossiers critiques. Et paf, l’attaquant peut alors faire mumuse avec les données de l’app cible, voler des infos sensibles comme les identifiants SMB et FTP stockés dans le fichier rmt_i.properties, ou carrément prendre le contrôle de l’app. Bref, c’est le boxon.
Et le pire, c’est que ce genre de boulettes est monnaie courante. Les chercheurs de Microsoft ont épinglé plusieurs apps populaires, comme le gestionnaire de fichiers de Xiaomi (1 milliard d’installations, tout de même) qui utilise un chemin spécifique /files/lib pour sauvegarder les fichiers, ce qui peut être détourné par un attaquant. Autant dire que ça fait un sacré paquet de téléphones exposés.
Heureusement, après avoir prévenu Google et les éditeurs concernés, des correctifs ont été déployés en vitesse. Mais ça la fout mal surtout quand on sait que selon l’équipe de recherche sur la sécurité des applications Android de Google, 20% des apps Android seraient vulnérables à ce type d’attaque. Ouch !
Alors, que faire pour se protéger ?
Et bien commencez par mettre à jour vos apps via le Google Play Store, à vérifier les permissions des app installées et surtout évitez d’installer des appli louches surtout si ça vient d’un store alternatif ou un APK tombé du camion. Et si vous êtes dev Android, il va falloir blinder vos apps en suivant ces bonnes pratiques :
Ignorer le nom retourné par le fournisseur de fichiers distant lors de la mise en cache du contenu reçu
Utiliser des noms générés aléatoirement ou assainir le nom de fichier avant d’écrire un fichier en cache
Vérifier que le fichier en cache se trouve dans un répertoire dédié avant d’effectuer une opération d’écriture
Utiliser File.getCanonicalPath et valider le préfixe de la valeur retournée pour s’assurer que le fichier est au bon endroit
Voilà, vous savez tout pour ne pas vous faire dirty streamer dans les grandes largeurs !
Imaginez… Vous vous pointez tranquillou au bar du coin pour siroter une petite mousse entre potes et là, surprise ! Pendant que vous trinquez gaiement, une borne de reconnaissance faciale vous scanne en douce pour vérifier si vous avez bien l’âge légal, que vous n’êtes pas accro aux machines à sous et encore moins Xavier Dupont de Ligonnès. Sympa l’ambiance, non ?
C’est exactement ce qui se passe depuis quelque temps dans certains bars et clubs en Australie, grâce (ou à cause, c’est selon) de la société Outabox et de ses bornes biométriques magiques. Le hic, c’est qu’un méchant pirate a visiblement réussi à mettre la main sur la base de données des joyeux fêtards, avec au menu les données de reconnaissance faciale, les scans de permis de conduire, les signatures, les infos d’adhésion au club, les adresses, les dates de naissance, les numéros de téléphone et même l’historique d’utilisation des machines à sous pour certains. Bref, de quoi ruiner une réputation en quelques clics !
Selon les informations rapportées par le site web « Have I Been Outaboxed », plus d’un million de personnes auraient été affectées par cette fuite de données. Le site affirme également que ces données sensibles se seraient baladées sur un bête tableau Excel sans protections. Cependant, ces déclaration sont à prendre avec précaution, car leur véracité n’a pas pu être confirmée de manière indépendante.
Les flics australiens sont sur le coup et ont déjà alpagué un individu qui risque de passer un sale quart d’heure mais le mal est fait et des tas de gens risquent de se faire spammer, arnaquer ou subir du chantage s’ils ont eu le malheur de mettre les pieds dans l’un des 19 clubs équipés de ces satanées bornes.
Les experts en sécurité et les défenseurs de la vie privée montent au créneau et dénoncent les dérives de ces technologies de surveillance, surtout quand c’est géré avec les pieds. Ça soulève pas mal de questions : à quel point peut-on faire confiance à des entreprises pour stocker ce genre de données ultra-sensibles ? Est-ce bien raisonnable de balancer sa trombine et ses infos persos à tout va pour pouvoir aller boire un coup ? Qui contrôle vraiment l’usage de ces systèmes ? Les régulateurs ont-ils les moyens de vérifier ce qui se passe derrière les écrans ?
Des initiatives commencent même à émerger pour mieux encadrer le déploiement de la reconnaissance faciale dans l’espace public. Certaines villes ou États l’ont carrément interdit mais dans l’ensemble, c’est encore un peu le Far West et les entreprises font un peu ce qu’elles veulent. Il y a sans doute un équilibre à trouver entre les usages légitimes (sécurité, prévention de la fraude…) et le respect de la vie privée des citoyens.
En attendant, méfiance ! Si vous passez en Australie pour les vacances et que vous voyez une borne louche vous faire de l’œil à l’entrée de votre bar préféré, n’hésitez pas à râler un bon coup pour éviter que ces pratiques se généralisent. Après tout, les données personnelles et la vie privée, c’est précieux et pas question de les brader sur l’autel de la techno-sécurité !
Et si un barman vous demande un selfie, COUP DE BOULE ! lol
Aujourd’hui, on va causer d’un sujet qui tient à cœur de tout le monde : la sécurité et la confidentialité de nos smartphones ! Ernestas Naprys, un journaliste de Cybernews, s’est amusé à comparer les systèmes Android et iOS pour voir lequel était le plus sûr et le résultat ne manque pas de piquant !
Avant de rentrer dans le vif du sujet, petit rappel quand même : nos téléphones ne font pas que nous tenir compagnie la nuit dans le lit… non, non.. ils en profitent aussi pour fureter à gauche et à droite, accédant à nos données et discutant avec des serveurs du monde entier, parfois même jusqu’en Russie !
Bref, notre Sherlock a installé le top 100 des applis iOS et Android sur des téléphones remis à zéro, les a lancé et laissé comater tranquillos pendant 5 jours.
L’objectif ? Tracer chaque petite connexion sortante pour voir à qui elle cause en douce.
Résultat des courses : L’iPhone se révèle être un sacré bavard, engrangeant 3308 requêtes par jour en moyenne, contre 2323 pour son rival Android. Mais attention, le diable se cache dans les détails ! Si iOS papote plus, il le fait principalement avec ses potes de chez Apple (60% du trafic quand même). Android, lui, est beaucoup plus partageur et distribue ses requêtes à tout va, surtout via des applis tierces.
Autre fait marquant, quand il s’agit de taper la discute avec des serveurs situés en Russie ou en Chine, Android est un vrai moulin à paroles ! Là où l’iPhone n’envoie qu’un petit coucou quotidien en terre de Poutine, le robot vert se fend d’un joyeux « Priviet ! » pas moins de 39 fois en 3 jours. Et côté Chine, c’est la même : Android ça y va tranquille tandis qu’iOS lui fait l’impasse complète et n’envoie rien vers l’Empire du Milieu.
Côté applis douteuses niveau confidentialité, là encore, c’est pas la même sauce ! Facebook ? 200 requêtes par jour sur Android, seulement 20 sur iOS. TikTok ? 800 check quotidiens pour le Android, 36 en tout sur 5 jours pour la pomme.
Alors, comment expliquer cet écart de comportement entre les deux systèmes ?
Notre expert avance 2 hypothèses :
Tout d’abord un App Store mieux tenu, avec moins d’applis potentiellement malveillantes ou intrusives, mais également une politique bien plus stricte d’Apple envers les développeurs qui voudraient mettre leur nez dans nos petites affaires.
Bon mais qu’est-ce qu’on fait nous du coup ?
Et bah comme d’hab’, le mieux c’est d’avoir le moins d’applis possibles, et de privilégier celles qui ont pignon sur rue. Évitez de synchroniser tous vos comptes et toutes vos données dans tous les sens, et pensez à faire un petit coup de ménage de temps en temps dans vos applis. Moins y a de bordel, mieux c’est.
Autre chose : privilégiez le bon vieux navigateur web plutôt que les mini-browsers intégrés dans les applis, qui sont de vraies passoires. Voici un petit tuto pour voir par vous-même à qui causent vos applis :
Ce 2 mai est la journée mondiale du mot de passe. Au Royaume-Uni, une loi interdit désormais de mettre des mots de passe par défaut trop faibles dans les objets connectés, comme « admin / password ». Un exemple à suivre.
J’sais pas si vous savez, mais dès que vous créez un fichier, il y a plein de données qui se retrouvent dedans, la plupart du temps à votre insu… Et ça fonctionne avec tout : Photos, documents, morceau de musique et j’en passe. Cela s’appelle des Métadonnées, ça n’a rien de nouveau mais c’est bien utile aux pentesteurs et autres experts OSINT pour mener à bien leurs enquêtes.
Évidemment, les mecs ont autre chose à faire et plutôt que d’aller fouiller tout à la main, ils se reposent sur des outils comme celui que je vous présente aujourd’hui et qui s’appelle MetaDetective.
Développé par des passionnés de cybersécurité, MetaDetective est propulsé par Python et contrairement à certains outils qui dépendent d’une myriade de bibliothèques externes, il est plutôt autonome et simple à utiliser. Seul prérequis : avoir exiftool installé sur votre système. Une fois cette étape franchie, vous êtes prêt à plonger dans l’aventure !
L’une des forces de MetaDetective réside surtout dans sa capacité à catégoriser et à présenter les métadonnées de manière intuitive. Fini le casse-tête des données brutes et désorganisées. Que vous analysiez un fichier unique ou un ensemble de documents, MetaDetective vous offre une vue d’ensemble claire et structurée. Chaque information est minutieusement classée, vous permettant de naviguer aisément dans la richesse des données extraites.
L’outil intègre des fonctionnalités avancées de web scraping et là où d’autres se contentent de gratter la surface, MetaDetective, lui, plonge en profondeur, explorant méticuleusement de nombreux sites web pour en extraire les métadonnées les plus pertinentes. Oubliez les restrictions d’IP et les proxy laborieux à des services tiers, puisqu’il va directement se fournir à la source.
Vous pourrez bien évidemment ajuster la profondeur d’exploration, cibler des types de fichiers spécifiques, et même exclure certains termes pour affiner vos résultats. Et grâce à ses options d’exportation flexibles, vous pouvez générer des rapports clairs au format HTML ou texte.
Mais attention, avec un grand pouvoir vient une grande responsabilité. L’utilisation de MetaDetective doit se faire dans le respect des lois et réglementations en vigueur. Cet outil puissant ne doit pas être utilisé à des fins malveillantes ou illégales.
Pour en savoir plus sur MetaDetective et accéder à sa documentation complète, rendez-vous ici.
Aujourd’hui, je vais vous causer d’un truc qui va révolutionner votre façon d’auditer le code : l’extension VSCode weAudit ! C’est développé par les génies de Trail of Bits et c’est vraiment chouette, vous allez voir.
Il s’agit un outil de revue de code collaborative (d’audit quoi…) qui vous permet de prendre des notes et de traquer les bugs directement dans VSCode. Plus besoin de jongler entre 36 outils, weAudit centralise tout
Il est d’ailleurs bourré de fonctionnalités ultra pratiques :
Des signets pour vos trouvailles et vos notes
Un suivi des fichiers audités pour savoir où vous en êtes
De la collaboration pour bosser en équipe sans vous marcher dessus
La création directe d’issues GitHub bien formatées
Comme ça, plus besoin de vous prendre la tête avec des outils externes. Vous pouvez aller jeter un œil au code sur le repo GitHub.
Bon allez, je vous donne un petit exemple pour vous montrer à quel point c’est facile à utiliser. Disons que vous tombez sur un bout de code louche. Hop, vous sélectionnez ce code et vous utilisez le raccourci Cmd+J pour ajouter un signet « Finding ». Ça va surligner le code en rouge et ajouter une note dans la liste des findings. Et si vous voulez ajouter des détails sur le problème, pas de souci ! Cliquez sur le finding, remplissez les champs et même créez direct une issue GitHub.
Un chatbot disponible sur un service en ligne ainsi que sur WhatsApp et Messenger analyse les SMS et mails de phishing et alerte l'utilisateur lorsqu'ils sont malveillants. Nous l'avons testé.
Ah, les data brokers, ces entreprises mystérieuses dont on entend parler à peine plus souvent que de la météo sur Pluton (jamais en gros). Pourtant, ces entités obscures ont les mains (ou plutôt les serveurs) pleines de données, récoltées dans les plus sombres recoins numériques. J’ai déjà abordé le sujet sur ce site, mais comment opèrent-ils concrètement ? Voyage dans les entrailles du web pour percer le mystère des data brokers et comment lutter avec l’aide d’Incogni.
Qui sont-ils et que font-ils ?
Les data brokers, ce sont un peu les fantômes du cyberespace. On les connait rarement de nom, mais ils traquent nos traces numériques comme des chasseurs de primes à la recherche d’informations. Ils collectent des données de toutes sortes, du registre foncier à notre historique d’achat en passant par nos profils sociaux et nos activités en ligne. Une fois leur butin amassé, ils compilent le tout pour dresser un portrait-robot le plus précis possible et le revendent ou le partagent avec des tiers. Faisant de notre petite personne la cible d’un jeu de piste numérique. Tout ça pour quelques brouzoufs (enfin quelques … parfois ça peut se compter en centaines voire milliers d’euros). Le marché de la data étant en pleine phase d’expansion, ce marché juteux devrait quasiment doubler d’ici la fin de la décennie pour atteindre plus de 450 milliards de $.
Les types de data brokers
Et oui, contrairement à ce que vous pensez peut-être, tous les data brokers ne sont pas tous taillés dans le même moule. Ils offrent une variété de produits aux acheteurs. Cela va des informations financières à votre santé personnelle, en passant par le marketing et la publicité. Voici un petit tour d’horizon des espèces les plus répandues qui peuplent cet écosystème obscur.
Les brokers en recherche de personnes
Vous vous souvenez de ces annuaires téléphoniques épais et lourd comme un parpaing ? Eh bien ce type de broker fait la même chose, mais en version 2.0. Ils vous permettent de fouiller dans les profils d’autres consommateurs, de retrouver d’anciens amis ou de déterrer des secrets bien enfouis. Et pas besoin de sonner à leur porte pour qu’ils vous livrent leurs trouvailles, tout est en ligne et à portée de clic. Sans doute les brokers les plus visibles pour tous. Notamment accessibles sur des sites comme PeekYou, Spokeo ou White Pages. Une sorte de niveau 1 de l’espionnage, la base.
Les courtiers en marketing et publicité
C’est un peu comme la cour de récré pour les marketeurs. Ils segmentent les consommateurs en fonction de leur comportement et de leurs préférences, offrant des cibles sur un plateau d’argent aux annonceurs. Ils peuvent même enrichir nos profils avec des informations supplémentaires pour un ciblage ultra-précis (comme les géolocalisations ou le groupe ethnique). C’est pas cool, mais limite ce sont quasi les moins dangereux de l’histoire.
Les courtiers en informations financières
Si je vous cite des noms comme Experian, Equifax et Transunion il y a de grandes chances que cela ne vous dise rien. Pourtant, imaginez-les comme les trois mousquetaires de la data financière. Ils rassemblent tout ce qui s’y rapporte, que ce soit des rapports de crédit, des historiques de paiement et des informations sur les comptes débiteurs. Leur but ? Vendre les données aux institutions financières afin que celle-ci puisse prendre des décisions. Ils sont régis par diverses lois (notamment en Europe), mais ça ne les empêche pas de jouer les acrobates avec nos données. Un exemple concret ? Si l’on vous refuse un crédit de manière répétitive sans que vous compreniez trop pourquoi, c’est peut-être parce que les banques ont en stock vos précédents comportements et qu’ils n’ont pas assez confiance.
Les brokers en gestion des risques
Ces petits malins détectent les différentes fraudes que vous auriez pu commettre et vérifient les identités des clients en un clin d’œil. Avec des outils sophistiqués, ils peuvent traiter des millions de transactions par heure, gardant un œil vigilant sur nos activités et notre historique. Nos remboursements de crédit, nos salaires, les attestations ou amendes reçues, les découverts et autres agios, etc.
Les courtiers en santé
Ah, la santé, un sujet cher à nos cœurs et à nos portefeuilles. Ces brokers traquent par exemple nos achats de médicaments en vente libre, nos recherches sur les symptômes d’une maladie, nos abonnements à des magazines de santé, l’installation de certaines applications, etc. Ils vendent alors ces informations à des compagnies pharmaceutiques et d’assurance santé, faisant de notre bien-être une marchandise à échanger.
Mais d’où viennent ces données ?
Vous vous demandez peut-être comment ces brokers mettent la main sur nos données. Eh bien, c’est un peu comme un jeu de piste géant, avec des indices cachés dans tous les coins du web, parfois là où l’on ne s’y attend pas (voir mon article sur les différents leaks du milieu de l’automobile).
Les sources gouvernementales
Les gouvernements sont généreux avec nos informations, fournissant des données sur tout, des naissances aux décès en passant par les permis de conduire. Les data brokers se servent à pleines mains dans ce buffet à volonté de données publiques, construisant des profils détaillés sans jamais nous demander notre avis. Et je ne parle même pas de ces derniers mois ou les organismes officiels de notre cher gouvernement sont entrés en mode « grande braderie » (fuites France Travail, Urssaf, etc.). Servez-vous ma bonne dame, 80% de la population française est à portée de clavier, livrée de bon coeur.
Les sources commerciales
Les entreprises aussi sont des donneurs généreux. Elles fournissent des historiques d’achat, des données de garantie et même des informations de carte de fidélité. Et comme un bon ami qui prête sans jamais demander à être remboursé, elles donnent tout ça gracieusement aux data brokers, qui se régalent sans se poser de questions.
Les sources publiquement disponibles
Nos vies numériques (ou tout du moins une partie) sont des sortes de livres ouverts pour les data brokers. Ils parcourent nos profils sociaux, nos messages sur les forums et nos commentaires sur les blogs pour trouver des indices sur nos vies. Des enquêteurs privés, mais avec des algorithmes à la place de loupes. Le point positif c’est qu’au moins sur cet aspect nous avons notre mot à dire. Nous pouvons limiter les informations que nous partageons, utiliser des identités alternatives, sécuriser et chiffre nos échanges, etc.
Le pistage web
Et enfin, il y a le traçage en ligne, la cerise sur le gâteau des data brokers. Avec des cookies et des identifiants publicitaires, ils suivent nos moindres mouvements sur le web, collectant des informations sur nos habitudes de navigation et nos achats en ligne, récupèrent la liste des applications que nous utilisons, etc. Comme si Big Brother avait embauché des paparazzis pour nous suivre partout où nous allons. Mais là encore nous avons une part de responsabilité et nous pouvons agir de manière proactive (navigateur sans traqueurs, VPN …).
C’est déjà trop tard ?
Peut-être, mais cela peut éventuellement changer. Ils sont partout, ils savent tout, et nous, on est là, à ne pas trop savoir quoi faire. Mais nous pouvons décider d’au moins leur donner du fil à retordre. Déjà en faisant attention à ce que nous partageons en ligne, en utilisant les bons outils, etc. Et en faisant appel à un service comme Incogni pour tout ce qui est déjà dans la nature et que l’on ne peut rattraper.
Incogni, le désormais bien connu outil de Surfshark, propose un abonnement pour vous aider à nettoyer les données personnelles des bases de données des courtiers en données et des entreprises qui les stockent. Basé sur des réglementations comme le RGPD en Europe et la CCPA en Californie, Incogni impose aux courtiers en données de supprimer les informations des utilisateurs. Ces données peuvent être des choses comme vos noms, adresses, numéros de téléphone, etc.
Son gros avantage est de tout automatiser. Vous n’avez pas besoin de contacter chaque broker pour lui demander de vous supprimer de sa base de données. Incogni va le faire pour vous et surtout, va s’assurer que le retrait perdure. Un autre aspect intéressant du tableau de bord de l’outil est que vous allez visionner très rapidement les différents niveaux de dangerosité des courtiers. Mais aussi de connaitre le champ d’action de chacun d’entre eux et si vous trainez plutôt du côté des données de santé ou de la publicité.
Concrètement pour voir comment cela se passe, je vous redirige vers mon test Incogni sur une période d’un an. On va dire que le gros du travail se fait sur les 3 premiers mois, et qu’ensuite les récalcitrants finissent pas craquer au fil des relances du service. En ce moment ce dernier est d’ailleurs à moins de 95€ TTC par an, environ 7.8€/mois.
Figurez-vous qu’Elektrobit, le géant allemand de l’électronique automobile, vient de nous pondre un truc qui va faire plaisir aux fans de libre : EB corbos Linux, le premier système d’exploitation open source qui respecte les normes de sécurité les plus pointues du monde de la bagnole.
En gros, les constructeurs en ont marre de se trimballer des kilomètres de câbles et des centaines de boîtiers noirs dans leurs caisses-. L’idée, c’est de tout centraliser sur quelques « super ordinateurs » qu’ils appellent des « plateformes de calcul haute performance ». Et chacun gère son domaine : la conduite, l’info-divertissement, les aides à la conduite… Bref, ça simplifie le bordel et ça permet de faire évoluer les fonctionnalités sans toucher au hardware.
Le hic, c’est que tout ce bazar logiciel doit être hyper sécurisé. Parce que si votre autoradio plante, c’est pas bien grave, mais si c’est votre direction assistée qui décide de partir en vacances, bonjour les dégâts ! C’est là qu’EB corbos Linux entre en scène.
Grâce à son architecture unique, ce système d’exploitation prend Linux et le rend compatible avec les exigences les plus draconiennes en matière de sécurité automobile, genre les normes ISO 26262 et IEC 61508 en utilisant un hyperviseur et un système de monitoring externe qui valide les actions du noyau. En gros, Linux peut continuer à évoluer tranquillou sans compromettre la sécurité.
Comme cette distrib est basé sur du bon vieux Linux, il profite de toute la puissance de l’open source. Genre les milliers de développeurs qui bossent dessus, les mises à jour de sécurité en pagaille, la flexibilité, la rapidité d’innovation… Tout ça dans une distrib’ véhicule-compatible, c’est quand même cool. En plus, Elektrobit a développé ce petit miracle main dans la main avec l’équipe d’ingénieurs d’Ubuntu Core chez Canonical. Autant dire que c’est du lourd !
Elektrobit a pensé à tout puisqu’ils proposent même une version spéciale pour les applications critiques, genre les trucs qui peuvent tuer des gens s’ils plantent. Ça s’appelle EB corbos Linux for Safety Applications, et c’est le premier OS Linux à décrocher la certification de sécurité automobile auprès du TÜV Nord.
Mais le plus cool, c’est qu’avec cet OS, vous pouvez laisser libre cours à votre créativité de développeur automobile. Vous voulez intégrer les dernières technos de conduite autonome, d’intelligence artificielle, de reconnaissance vocale… Pas de problème, Linux a tout ce qu’il faut sous le capot.
Imaginez que vous bossiez sur un système de reconnaissance de panneaux pour aider à la conduite. Avec ça, vous pouvez piocher dans les bibliothèques open source de traitement d’image, de machine learning, etc. Vous adaptez tout ça à votre sauce, en respectant les contraintes de sécurité, et voilà ! En quelques sprints, vous avez un truc qui déchire, testé et approuvé pour la route. Et si un autre constructeur veut l’utiliser, il peut, c’est ça la beauté de l’open source !
Autre exemple, vous voulez développer un système de monitoring de l’état de santé du conducteur, pour éviter les accidents dus à la fatigue ou aux malaises. Là encore, EB corbos Linux est votre allié. Vous pouvez utiliser des capteurs biométriques, de l’analyse vidéo, des algorithmes de détection… Tout en étant sûr que votre code ne mettra pas en danger la vie des utilisateurs.
Bref, vous l’aurez compris, c’est le meilleur des deux mondes avec d’un côté, la puissance et la flexibilité de Linux, de l’open source, de la collaboration à grande échelle et de l’autre, la rigueur et la sécurité indispensables au monde automobile, où la moindre erreur peut coûter des vies.
Un hacker éthique a découvert de nombreuses failles de cybersécurité sur Wizz App, une application pointée du doigt pour des affaires de sextorsion. Ses recherches incluent des captures de discussions privées.
La plateforme pour obtenir un laissez-passer dématérialisé doit ouvrir en mai 2024. Elle sera incontournable pour avoir un QR Code qui sera réclamé à l'entrée de certains périmètres sécurisés, durant les Jeux olympiques de Paris.
Une campagne de phishing contre les internautes utilisant LastPass comme gestionnaire de mots de passe a été repérée. Elle mobilise le kit de phishing CryptoChameleon. Un site utilisé pour le hameçonnage a été neutralisé, mais d'autres tentatives pourraient survenir.
Attention, ça va faire mal surtout si vous pensiez que vos conversations sur Discord étaient à l’abri des regards indiscrets. Désolé de casser l’ambiance, mais c’est loin d’être le cas.
Un petit malin a eu la bonne idée de créer un service en ligne baptisé « Spy Pet » qui s’amuse à aspirer en masse les données des serveurs Discord dont vos messages publics, les canaux vocaux que vous rejoignez, et les données liées à votre activité sur les différents serveurs. Et le pire, c’est que ces données sont ensuite revendues à bon prix (5$) à qui veut bien les acheter. De quoi être un brin parano !
Normalement, avec Discord, notre activité est éparpillée façon puzzle sur tout un tas de serveurs, et personne à part Discord lui-même ne peut voir ce qu’ont fait sur la plateforme dans son ensemble. Mais avec Spy Pet, n’importe qui peut potentiellement mater une partie de vos faits et gestes numériques pour une poignée de dollars. Le site se targue de pister plus de 14 000 serveurs et d’avoir en stock pas moins de 3 milliards de messages, de plus de 600 millions de comptes, mais difficile de vérifier ces chiffres.
Finalement, Discord n’est pas aussi privé qu’on pourrait le croire puisque les messages postés publiquement sur les serveurs sont à la merci du premier scraper venu. Heureusement, tout n’est pas perdu. Pour limiter les dégâts, voici quelques conseils :
Ouvrez l’œil sur les bots qui essaient de rejoindre vos serveurs. C’est souvent comme ça que les scrapers s’infiltrent mine de rien. Méfiez-vous des nouveaux venus sans photo de profil ni historique.
Si vous êtes admin, virez sans pitié les comptes louches qui traînent dans le coin.
Et surtout, partez du principe que tout ce que vous postez publiquement sur Discord peut potentiellement être vu par n’importe qui. Ça vaut pour tous les services en ligne d’ailleurs.
Bref, restez vigilants, sécurisez vos serveurs et réfléchissez avant de poster des trucs trop perso sur Discord ! Et si vous tenez vraiment à ce que vos échanges restent privés, passez plutôt par des apps de messagerie sécurisées de bout en bout, genre Signal ou Telegram. Ça évitera les mauvaises surprises !
Mateusz Jurczyk, un nom qui ne vous dit peut-être rien, mais retenez-le bien, car le bonhomme est fort. Ce chercheur en sécurité bien intentionné bosse pour Google Project Zero, une équipe de choc qui traque les failles dans tous les recoins depuis des années déjà. Et pendant quasi 2 ans, de mai 2022 à décembre 2023, il s’est lancé le défi d’ausculter un des organes les plus vitaux de Windows : sa base de registre.
Pour ceux qui débarquent, le registre, c’est un peu le cerveau de Windows. Une méga base de données qui stocke tous les réglages, options et préférences du système et des applis, organisés de manière hiérarchique avec des clés, des sous-clés et des valeurs. Bref, un truc super sensible et stratégique. Si un pirate arrive à mettre ses mains là dedans, bonjour les dégâts !
Mais notre Mateusz, c’est pas le genre à se dégonfler. Armé de ses outils et de ses connaissances en reverse engineering, il a plongé dans les millions de lignes de code de ce monolithe vieux de 30 ans et croyez-moi, il a frappé fort : pas moins de 50 failles critiques déterrées, dont 39 qui permettent une élévation de privilèges ! En gros, la totale pour passer de simple clampin à admin suprême sur une machine.
La force de son taf, c’est d’avoir exploré des endroits de la base de registres que personne n’avait vu avant. Des trucs bien planqués comme la récupération des transactions avortées, le chargement de ruches extraites ou les bails de virtualisation du registre (une fonctionnalité qui permet aux vieilles applis de tourner sans broncher sur les Windows récents). Bref, un vrai boulot de fourmi avec une grosse dose de persévérance.
Et le plus flippant, c’est que la moitié de ces failles seraient plutôt faciles à exploiter notamment via des techniques de corruption de mémoire ou de cassage des garanties de sécurité comme les ACL (les listes qui contrôlent qui a le droit de faire quoi dans le registre). Pour vous donner une idée, Mateusz a même créé des exploits de démo pour deux vulnérabilités, montrant comment détourner le registre à son avantage.
Heureusement, c’est un White Hat avec un grand cœur et toutes ses trouvailles ont été balancées en temps et en heure à Microsoft via le programme de divulgation responsable de Project Zero. Les ingés de Redmond ont évidemment remédié au boxon en patchant, avec des délais moyens de correction de 80 jours. Vous pouvez donc souffler !
Mais l’histoire est loin d’être finie. Il a tellement kiffé son voyage dans les méandres du registre, qu’il prévoit d’en faire une série de posts de blog pour partager son savoir. Au menu, des analyses bien poussées des bugs, des techniques d’exploit et plein de tips pour mieux protéger nos bécanes, comme :
Toujours avoir une sauvegarde du registre avant d’installer un nouveau soft : regedit.exe /e sauvegarde.reg
Scanner régulièrement le registre avec des outils comme CCleaner Registry Cleaner, Wise Registry Cleaner ou Glarysoft Registry Repair.
Se méfier des applis louches qui veulent mettre leur nez dans le registre et les virer en cas de doute.
Garder son Windows et ses drivers à jour pour bénéficier des derniers patchs de sécurité.
Utiliser les outils de monitoring comme l’Observateur d’événements ou les Performances Windows pour garder un œil sur l’activité du registre.
Les développeurs du jeu de tir tactique réaliste confirment s'être fait voler 4 To de données au mois de mars, ce qui représente un total de 2,1 millions de fichiers. Le studio Void Interactive, à l'origine du titre, continue de mener son enquête.
Aujourd’hui on va parler d’un outil de ouf pour trouver des buckets S3 ouverts : FestIn !
C’est le genre d’outil dont raffolent les chercheurs en sécurité puisqu’il qui explore tous les recoins du web pour dénicher des trucs que vous n’auriez jamais trouvé.
FestIn c’est la grosse artillerie de l’énumération de buckets S3 puisqu’il a tellement d’options que les autres outils à côté c’est de la gnognotte. Attention, c’est bien sûr à utiliser uniquement sur vos propres noms de domaines ou dans le cadre de missions d’audit pour lesquelles vous avez toutes les autorisations.
Avec lui, vous allez pouvoir :
Utiliser différentes techniques pour trouver des buckets : crawling du DNS et des pages web, analyse des réponses S3
Faire vos requêtes en passant par un proxy, no stress 🕶
Vous passer des credentials AWS, puisque ça marche avec n’importe quel provider compatible S3
Configurer vos propres serveurs DNS, parce que vous êtes trop beau gosse.
Profiter d’un crawler HTTP de compétition qui va retourner le web pour vous
Faire des recherches récursives et avoir du feedback entre les différents modules pour un max d’efficacité
Faire tourner le schmilblick en mode « watch » pour choper les nouveaux domaines en temps réel, ce qui est assez ouf quand on y pense.
Sauvegarder tous les domaines découverts dans un fichier, pour faire joujou avec plus tard
Indexer direct le contenu des objets des buckets pour faire des recherches full text de la mort, mieux que Google ! 😎
Cibler votre recherche sur des domaines spécifiques si vous voulez pas vous éparpiller
Pour l’installer c’est fastoche, au choix :
pip install festin
Ou en mode Docker :
docker run --rm -it cr0hn/festin -h
C’est du brut, du bourrin, puisqu’on va envoyer des requêtes en masse et gratter un max d’infos. Attention cependant, on reste fair-play, on ne veut pas faire planter le serveur non plus.
Par défaut, FestIn prend un unique domaine en argument :
festin mon-super-site.com
Mais on peut aussi lui filer un fichier texte contenant une liste de domaines, histoire d’être plus productif :
Crée un fichier domaines.txt avec tes domaines, un par ligne.
Lance la commande :
cat domaines.txt | festin -f -
FestIn balance plusieurs tests en même temps pour aller plus vite. Par défaut, il en lance 5. Si vous êtes pressé et que votre machine encaisse, vous pouvez augmenter ce nombre avec l’option -c :
festin -c 10 mon-super-site.com
Attention cependant, ne balancez pas un truc de fou, ça risque de faire bugger le site ciblé. On est là pour glaner des infos, pas pour casser du serveur.
L’outil dispose également d’un petit bot intégré qui va scanner le site à la recherche de liens pouvant mener à des buckets S3. On peut le configurer avec plusieurs options :
Timeout (-T ou –http-timeout) : Si le site est lent, on augmente le timeout pour pas que le scan plante. Par défaut, c’est 5 secondes.
Récursion max (-H ou –http-max-recursion) : On limite la profondeur du scan pour éviter de partir en vadrouille sur tout le net. Par défaut, c’est 3 niveaux, genre site.com -> lien -> site2.com -> lien -> site3.com.
Limite de domaine (-dr ou –domain-regex) : On peut dire au robot de se focaliser uniquement sur les sous-domaines qui correspondent à une expression régulière.
Liste noire (-B) : Fich un fichier texte contenant des mots clés. Si un domaine contient un de ces mots, on l’ignore.
Liste blanche (-W) : Même principe, mais à l’envers. On scanne uniquement les domaines contenant des mots clés de la liste blanche.
Pour cela, vous devez créer un fichier blacklist.txt contenant « cdn » et « photos » (on ignore les liens vers des CDN et des images) puis lancer la commande :
Attention : l’option -dr attend une expression régulière valide au format POSIX. Par exemple, mondomaine.com est invalide, alors que \.mondomaine\.com est correct.
FestIn crache un paquet d’infos intéressantes, pas seulement sur les buckets S3, mais aussi sur d’autres éléments identifiés. Ces infos peuvent ensuite être utilisées avec d’autres outils comme nmap.
Pour récupérer les résultats, FestIn propose trois modes qu’on peut combiner :
Fichier de résultats FestIn (-rr ou –result-file) : Ce fichier contient une ligne JSON par bucket trouvé, avec le nom de domaine d’origine, le nom du bucket et la liste des objets qu’il contient.
Fichier de domaines découverts filtrés (-rd ou –discovered-domains) : Celui-là liste un domaine par ligne. Ce sont des domaines trouvés par le crawler, le DNS ou les tests S3, mais qui ont été filtrés selon les options définies.
Fichier brut de tous les domaines découverts (-ra ou –raw-discovered-domains) : Comme son nom l’indique, c’est la liste brute de tous les domaines identifiés par FestIn, sans aucun filtre. Idéal pour du post-traitement et de l’analyse.
récupérer les résultats dans trois fichiers distincts et enchaîner avec nmap :
FestIn peut utiliser Tor pour plus de discrétion. Il faut juste avoir un proxy Tor lancé en local sur le port 9050 (configuration par défaut). Activez-le avec l’option --tor :
tor & festin --tor mon-super-site.com
Et il peut aussi effectuer des recherches DNS. Voici les options dispo :
Désactiver la découverte DNS (-dn ou –no-dnsdiscover) : Si on a pas besoin de ce type de recherche.
Serveur DNS personnalisé (-ds ou –dns-resolver) : Pratique si on veut utiliser un serveur DNS différent de celui par défaut.
Comme ceci :
festin -ds 8.8.8.8 mon-super-site.com
Ce script ne se contente pas de dénicher les buckets S3 ouverts, il peut aussi télécharger leur contenu et l’indexer dans un moteur de recherche plein texte. Ça permet ensuite de lancer des recherches directement sur le contenu des buckets ! Pour activer l’indexation, FestIn utilise Redis Search, un projet Open Source.
Il faut deux options :
Activer l’indexation (–index) : Indispensable pour que le contenu soit stocké dans le moteur de recherche.
Configuration du serveur Redis Search (–index-server) : Uniquement si votre serveur Redis Search est sur une IP/port différent de localhost:6379 par défaut.
Lancez d’abord Redis Search en tâche de fond :
docker run --rm -p 6700:6379 redislabs/redisearch:latest -d
Puis lancez FestIn avec l’indexation et le serveur distant :
Attention : l’option --index-server doit obligatoirement commencer par le préfixe redis://.
Bien sûr, on a pas forcément envie de relancer FestIn à chaque nouveau domaine à analyser. C’est pour ça qu’il existe le mode surveillance. FestIn se lance et attend l’ajout de nouveaux domaines dans un fichier qu’il surveille. Pratique pour l’utiliser avec d’autres outils comme dnsrecon.
Lancez FestIn en mode surveillance avec le fichier domaines.txt :
festin --watch -f domaines.txt
Dans un autre terminal, ajoutez des domaines à domaines.txt :
echo "encore-un-autre-site.com" >> domaines.txt
Dès qu’un nouveau domaine est ajouté au fichier, FestIn le scanne automatiquement à la recherche de buckets S3 ouverts. Pour aller plus loin, on peut combiner FestIn avec un outil de reconnaissance DNS comme DnsRecon. L’idée est de récupérer des sous-domaines potentiels liés au domaine principal et de les balancer ensuite à FestIn pour scanner d’éventuels buckets S3 cachés.
Etape 1 : Scruter le domaine cible avec DnsRecon
On va utiliser DnsRecon pour trouver des sous-domaines associés à cible.com. Sauvegardez la sortie dans un fichier CSV :
dnsrecon -d cible.com -t crt -c cible.com.csv
Etape 2 : Préparer le fichier pour FestIn
On isole les sous-domaines du fichier CSV pour les injecter dans FestIn (un domaine par ligne) :
Etape 3 : Lancer FestIn et récupérer les résultats
On balance le fichier de sous-domaines à FestIn en activant la recherche Tor, la concurrence à 5, un serveur DNS personnalisé et en sauvegardant les résultats dans des fichiers distincts :
festin -f cible.com.domaines -
Et pour automatiser tout ça sur plein de domaines à la chaîne, on a même un petit script loop.sh bien pratique dans les examples du repo GitHub.
Voilà les amis, vous avez toutes les clés pour utiliser FestIn comme un pro et aller secouer les buckets S3 qui traînent ! C’est quand même un outil hyper complet et puissant, pensez à l’utiliser avec un proxy ou Tor pour pas vous faire bloquer, et amusez vous bien mais toujours de manière éthique et responsable hein !
Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.
C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.
Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !
Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.
Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.
Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :
Patcher encore plus vite les vulnérabilités critiques, en priorité les « 0day » qui menacent les systèmes en prod
Monitorer en continu l’émergence de nouvelles vulnérabilités et signatures d’attaques
Mettre en place des mécanismes de détection et réponse aux incidents basés sur l’IA pour contrer le feu par le feu
Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de « cyber-hygiène »
Repenser l’architecture de sécurité en adoptant une approche « zero trust » et en segmentant au maximum
Investir dans la recherche et le développement en cybersécurité pour garder un coup d’avance
Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.
Connexion
