Lectures de la semaine - 2022
24 juin 2022
Le grand cryptographe Bruce Schneier - "Applied cryptography", sa somme sur la cryptographie, fit entrer nombre d’entre-nous dans notre métier - a écrit au Congrès US pour leur expliquer que les cryptomonnaies étaient un "désastre" et les blockchains souvent inutiles. Le cœur du problème est que c’est une solution à des problèmes qui n’existent pas vraiment. Schneier explique que l’immense majorité des use case pourraient être traités autrement, sans blockchain, de façon plus élégante et efficace. L’absence de régulation pose des problèmes très sérieux ; on ne remplace pas la confiance par une technologie ; cette technologie ne peut pas résoudre les problèmes économiques et politiques liés aux monnaies. Il demande enfin : donnez un seul exemple où les blockchains sont la seule et la meilleure solution. Les avis de Bruce Schneier sont de ceux qu’il faut écouter :
https://www.schneier.com/blog/archives/2022/06/on-the-dangers-of-cryptocurrencies-and-the-uselessness-of-blockchain.html
Très belle liste de services (810) aidant à faire de l’OSINT, Open Source Intelligence, c’est à dire, en français, renseignement de sources ouvertes :
https://cipher387.github.io/osint_stuff_tool_collection/
Décodage d’un base64 obfusqué :
https://isc.sans.edu/diary/rss/28758
Defender, la solution anti-malware de Microsoft, désormais disponible sur toutes les plateformes (macOS, iOS, Android...), y compris celles contenant leur propre anti-virus. Defender les intégrera a priori dans son dashboard. La stratégie sécurité de Microsoft continue d’étonner par sa pertinence.
https://www.theregister.com/2022/06/17/microsoft_defender/
La question délicate des termes et conditions de assurances cyber, avec, en particulier les clauses d’exclusions pour faits de guerre :
https://thehackernews.com/2022/06/do-you-have-ransomware-insurance-look.html
Les deeps fakes seront de plus en plus présents dans les attaques cyber, d’après Cisco. C’est probable. De façon inattendue, il est possible que cela entraine un retour du besoin de l’humain. Du contact humain, réel. Et aussi, dans le domaine de l’information, un retour de l’importance des témoins, c’est-à-dire des journalistes (probablement les journalistes, français en particulier, devront-ils cultiver davantage la culture de l’investigation et de l’impartialité) :
https://www.itpro.co.uk/security/phishing/368299/deepfake-attacks-expected-to-be-next-big-threat-to-businesses
Pegasus, la suite. NSO, l’éditeur du logiciel d’espionnage confirme qu’au moins 5 pays de l’EU ont acheté et utilisé Pegasus :
https://thehackernews.com/2022/06/nso-confirms-pegasus-spyware-used-by-at.html
Des nouvelles des délires technoides : Amazon a montré que son truc parlant, Alexa, pouvait lire une histoire du soir à un enfant en imitant la voix de sa grand-mère morte. Ils n’ont pas annoncé mettre cette option à disposition. Mais il est probable que ce soit le cas dans un futur proche. Outre les risques d’utilisation d’une telle fonction pour créer des deep fakes vocaux, on peut vraiment se demander si tous ces ingénieurs et ces ressources n’ont rien de plus utile à faire :
https://grahamcluley.com/amazon-alexa-dead-grandma/
17 juin 2022
Les attaquants ne restent pas le même temps au sein des SI compromis avant de lancer leurs offensives, d’après ce rapport de Sophos. Plus de 50 jours pour les entreprises de moins de 100 personnes, une vingtaine pour les entreprises de 5000 personnes. L’explication paraît relativement simple : les petites entreprises ont probablement moins de moyens "sécurité", y rester longtemps est donc moins risqué. Sur le front des vecteurs de compromission : achat d’accès compromis (souvent sans authentification multi-facteur, on suppose) et exploitation de vulnérabilité non corrigées. Business as usual, en somme :
https://www.itpro.co.uk/security/cyber-attacks/368116/cyber-criminals-are-spending-longer-inside-business-networks
Une vulnérabilité sur les processeur M1 d’Apple, qui permet théoriquement d’exécuter du code arbitraire découverte par des chercheurs du MIT, nommée Pacman. Complexe, elle reste assez théorique pour le moment (c’est-à-dire difficile à exploiter en conditions réelles). Mais elle a une particularité : elle ne peut pas être corrigée. Ce qu’on appelle une vulnérabilité... ou une feature, by design :
https://thehackernews.com/2022/06/mit-researchers-discover-new-flaw-in.html
Offensive Security, les créateurs de la distribution Kali Linux - et ceux qui proposent les certifications de pentest les plus exigeantes au monde - vont proposer des sessions de training en livestream :
https://www.itpro.co.uk/security/penetration-testing/368217/kali-linux-team-free-cyber-security-training-twitch
Convergence des équipes de sécurité physique et logique par le biais des activités d’OSINT (recherches en sources ouvertes) :
https://www.securityweek.com/facilitating-convergence-physical-security-and-cyber-security-open-source-intelligence
Quelques critères pour détecter des fraudes, comme examiner les comportements, les requêtes entrantes, se concentrer sur la qualité et non la quantité... :
https://www.securityweek.com/lessons-better-fraud-decision-making
Un opérateur malveillant (APT) chinois utilise une 0day sur un pare-feu pour compromettre sa cible. L’exploitation de failles sur des pare-feu est suffisamment rare pour être remarquée :
https://thehackernews.com/2022/06/chinese-hackers-exploited-sophos.html
Des nouvelles du crime. Un meurtrier présumé admet avoir utilisé un Apple AirTag dissimulé dans la voiture de sa victime pour surveiller ses allées et venues. Ce machin permet de localiser l’objet auquel il est attaché... Sans doute devrions nous nous poser la question de l’utilité de développer de tels gadgets :
https://nakedsecurity.sophos.com/2022/06/14/murder-suspect-admits-she-tracked-cheating-partner-with-hidden-airtag/
17 juin 2022
Partager sur Twitter | Partager sur LinkedIn