Tony Goacher a résolu un petit casse-tête avec élégance. Son projet CrowdClock, ce sont des badges lumineux pour festival qui clignotent tous en rythme, parfaitement synchronisés. Sauf qu'il n'y a aucun badge maître, aucune appli, aucun appairage. Les badges se mettent d'accord tout seuls.
Le truc tient en une technique toute bête. Chaque badge fait tourner sa propre horloge interne et diffuse en continu sa valeur tout autour de lui, via ESP-NOW (un protocole sans fil léger, qui permet à de petits modules de discuter directement entre eux sans passer par le Wi-Fi). Quand un badge capte une valeur d'horloge plus élevée que la sienne, il adopte cette valeur, tout simplement.
Avec cette seule règle, ça fonctionne. Mettez deux groupes de badges désynchronisés dans la même pièce, et en quelques instants tout le monde s'aligne sur l'horloge la plus avancée, puisetdéroule les mêmes animations lumineuses en même temps. D'habitude, synchroniser une flotte d'appareils, ça demande un serveur, une désignation de maître et une négociation en bonne et due forme entre tout ce petit monde. Là, rien de tout ça. Cette absence de mémoire partagée est même ce qui rend le système très solide : un badge qui arrive, qui repart, qui tombe en panne de batterie, rien de tout ça ne flingue la synchro.
Niveau matériel, c'est très accessible : un microcontrôleur ESP32, un anneau de 16 LED RGB adressables (le genre de LED qu'on pilote une par une), une batterie et un support imprimé en 3D. Rien d'exotique, rien de cher. Le code est publié en open source sur GitHub, donc n'importe qui peut reproduire le projet et s'en inspirer. Le tout revient à quelques euros de composants pour chaque badge, de quoi en fabriquer toute une fournée pour un atelier ou un festival.
CrowdClock a été monté avec des jeunes au sein d'une association qui s'appelle Inclusive Bytes, pour un festival. L'idée derrière tout dépasse donc le simple gadget : la foule ne regarde plus le spectacle lumineux, elle le compose. Pour beaucoup de ces jeunes, c'était probablement le premier contact avec les systèmes distribués, et c'est difficile de trouver meilleure démo.
Microsoft a levé le voile sur les jeux vidéo qui rejoindront les différents catalogues du Xbox Game Pass en mai. Un mois marqué par l'arrivée de Forza Horizon 6.
478 binaires Unix peuvent servir à devenir root sur un système mal configuré.
C'est ce que recense
GTFOBins
, le projet open source monté par Emilio Pinna et Andrea Cardaci, qui est devenu LE bookmark obligatoire de tout pentester Linux.
Ce ne sont pas des exploits, hein, mais juste des fonctions parfaitement légitimes de programmes installés partout, et qui dans le bon contexte (genre un bit SUID oublié, qui fait tourner un binaire avec les droits du propriétaire, souvent root) permettent de spawner un shell, lire un fichier protégé, ou grimper d'un cran dans la hiérarchie des privilèges. Petit rappel quand même, faut déjà avoir un pied sur la machine, ce n'est pas une porte d'entrée magique depuis Internet.
Une fois sur leur site, vous tapez le nom d'un binaire dans le moteur de filtre (ou vous cliquez sur une fonction), et hop, vous tombez sur les commandes exactes à recopier-coller, et c'est plié en moins de dix secondes.
Par exemple, si votre cible a un sudo find sans mot de passe, le site vous donne sur un plateau d'argent sudo find . -exec /bin/sh \; -quit.
Un mawk qui tourne en SUID root ? Direct, mawk 'BEGIN {system("/bin/sh")}' et bonjour le shell privilégié. Un vim mal configuré (compilé avec le support Python ou Lua, ce qui est le cas dans la plupart des distros desktop) ? La page documente comment l'utiliser via :py ou :lua pour exécuter du code arbitraire et retomber sur ses pattes.
C'est donc la fin des recherches désespérées sur StackOverflow à 3h du matin pendant un CTF...
La philosophie de ce projet est claire... on ne casse rien, on détourne juste l'usage prévu. Le hic, c'est que la frontière entre détournement et exploitation est mince quand un sudoers mal écrit donne accès à un binaire trop puissant.
Les 478 binaires sont rangés selon 11 fonctions et 4 contextes d'exécution. Côté fonctions, vous avez : Shell (228 binaires permettent de spawner un shell, oui presque la moitié du catalogue), File-read (199), File-write (84), Inherit (71), Upload (34), Download (32), Command (30), Reverse-shell (21), Privilege-escalation (14), Library-load (11), et Bind-shell (7). Côté contextes : Unprivileged, Sudo, SUID, et Capabilities.
Et sur la page d'un binaire, chaque case du tableau vous dit super clairement "voilà comment t'en sors selon ce que tu as sous la main".
Les champions toutes catégories ce sont les langages interprétés et les shells eux-mêmes. zsh, socat, ruby, python, php, node, lua plus bash, tous cumulent 7 fonctions différentes chacun. C'est logique, dès que vous avez un interpréteur sous la main vous pouvez faire à peu près tout (lire, écrire, exécuter, ouvrir une socket).
D'ailleurs c'est pour ça que les sysadmins paranoïaques tirent une tête bizarre quand on leur dit qu'on a installé Python sur un serveur de prod sans cas d'usage explicite. Pfff... je les comprends, un Python qui traîne sur un serveur Debian avec un sudo NOPASSWD au-dessus, c'est game over en trois lignes.
Y'a un autre détail que je trouve cool également, c'est l'intégration
MITRE ATT&CK
. Chaque fonction du site est mappée à une technique du framework officiel, accessible via /mitre.json.
Donc pour les blue teams qui veulent justifier une règle de détection en réunion, c'est tout simplement cadeau !! Et pour ceux qui automatisent leurs scans, l'API JSON complète est dispo sur /api.json, du coup vous pouvez parser les 478 entrées avec un jq ou un petit script Python pour générer des règles de monitoring custom.
Bref, GTFOBins c'est aussi un cadeau pour les défenseurs, à condition de retourner la logique du projet. Voilà, ça vaut le coup d'y passer dix minutes par mois sur un audit.
Pour les Windowsiens qui se sentent oubliés, sachez que l'équivalent existe et s'appelle
LOLBAS
(Living Off The Land Binaries And Scripts), bien suivi par les analystes Windows depuis 2018. Même philosophie, même format, même utilité, juste appliqué aux exécutables Microsoft signés que Windows installe par défaut.
Les deux projets se citent mutuellement et forment ensemble la cartographie communautaire des techniques de Living Off The Land cross-OS. Si vous bossez sur les deux côtés du fossé, gardez les deux onglets ouverts en permanence ^^ !
Maintenant si l'angle élévation de privilèges via shell restreint vous intéresse, j'avais déjà couvert
une vieille faille sudo qui permettait carrément de sortir d'un chroot
, et plus largement la
bibliothèque Payloads All The Things
qui complète bien GTFOBins sur tout ce qui est exploitation web et post-exploitation. Les deux projets sont complémentaires, GTFOBins se concentre sur les binaires Unix et les abus locaux de fonctionnalités légitimes (shells, transferts, lectures, élévation conditionnelle), PayloadsAllTheThings ratisse plus large côté exploitation web.
Côté admin, le réflexe utile, à vrai dire c'est de lister vos binaires SUID avec find / -perm -4000 -type f 2>/dev/null, vérifier /etc/sudoers plus les fichiers /etc/sudoers.d/* avec sudo -l, puis de passer chaque candidat dans le filtre GTFOBins.
Si une entrée matche, c'est qu'il y a une fuite potentielle à boucher. Attention quand même, l'absence dans GTFOBins ne valide pas une règle sudo ou un SUID custom (wildcards, variables d'env, paths inscriptibles peuvent toujours créer un chemin d'évasion). Bref, c'est à faire avant de filer le moindre sudo NOPASSWD à quelqu'un !
Voici l'histoire de Neukgu, un loup coréen de deux ans qui s'est fait la malle d'un zoo de Daejeon le 8 avril dernier, et qui a tenu en haleine toute la Corée du Sud pendant neuf jours.
Sauf que dans la foulée de l'évasion, un homme de 40 ans génère une fausse photo IA du loup en train de traverser un carrefour, la diffuse en ligne, et l'image finit par remonter jusqu'aux autorités qui n'y voient que du feu.
La séquence qui suit est assez improbable. La municipalité de Daejeon envoie une alerte d'urgence par SMS à la population, signalant un loup au niveau du carrefour en question. Les autorités présentent même l'image en conférence de presse officielle sur l'évasion.
Toute l'opération de recherche se déplace vers cette zone, alors que le vrai loup est très probablement ailleurs. Bref, des centaines d'agents lancés sur une fausse trace générée pour rigoler.
Pendant ce temps, Neukgu continue sa balade. Il sera finalement attrapé près d'une voie rapide neuf jours après l'évasion, sain et sauf.
La police, elle, remonte jusqu'au générateur d'images en croisant la vidéosurveillance et les logs d'utilisation des plateformes IA. Le suspect, 40 ans, raconte avoir fait ça "pour s'amuser".
Moyen rigolo du coup. Il est désormais poursuivi pour entrave au travail des autorités par tromperie, un délit qui peut coûter jusqu'à 5 ans de prison ou environ 7000 euros d'amende.
Côté postérité, Neukgu est devenu une star locale. Issu d'un programme de réintroduction du loup coréen (officiellement éteint à l'état sauvage), il a eu droit à des viennoiseries à son effigie dans une boulangerie du coin, plus d'un million de vues sur la vidéo de son retour, et la ville réfléchit même à le nommer mascotte officielle. Le président Lee Jae Myung avait publiquement prié pour son retour. Sympathique épilogue.
L'affaire pose quand même une vraie question sur l'authentification des images dans des contextes où elles deviennent opérationnelles. Quand une image IA arrive jusqu'à un SMS d'alerte gouvernemental, le filtre humain a clairement raté un étage, même si ça va devenir de plus en plus compliqué avec le temps.
Bref, premier cas vraiment grand public où une fausse photo IA détourne une opération policière, avec poursuites à la clé. Et ça ne sera pas le dernier.
Hier, plusieurs sites ont relayé une information alarmante comme quoi Windows 11 serait touché par un bug sérieux rendant tous vos périphériques Bluetooth invisibles et obligeant Microsoft à intervenir en urgence. Mais ce que ces sites se sont bien gardé bien vous dire (pour vous pousser à cliquer et réagir), c’est que ce bug ne … Lire la suite
Depuis quelques jours, une rumeur enflamme les forums et les réseaux sociaux : Microsoft s’apprêterait à lancer Windows 12 en 2026, avec un design radicalement revu, l’intelligence artificielle au cœur du système et même un abonnement mensuel à la clé. L’information, relayée massivement sur Reddit, a provoqué une vague d’indignation chez des utilisateurs déjà échaudés … Lire la suite
Depuis plusieurs semaines, des articles alarmistes affirment que Windows 11 « couperait les vivres » aux anciennes imprimantes, que votre vieille imprimante « pourrait cesser de fonctionner du jour au lendemain » et que le seul recours serait de racheter un nouveau matériel. Sauf que c’est largement exagéré, et parfois tout simplement faux. En réalité, Microsoft ne met pas … Lire la suite
Connexion
