Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé Hackers. Afficher tous les messages
Aucun message portant le libellé Hackers. Afficher tous les messages

mardi 21 novembre 2023

Les hackers du Dark Web - Aleph

 Les hackers du Dark Web - Aleph

La présence de deux types de hackers

Lorsque nous parcourons le dark web nous pouvons observer l’activité de black hats mais aussi de white hats.


Un white hat est un hacker doté d’une éthique,  il s’oppose au black hat, qui lui est un hacker malintentionné.


Mais tout n’est pas toujours blanc ou noir, certains hackers peuvent être gris. Ils agissent alors différemment, parfois avec éthique, parfois non, en fonction des sujets qui les intéressent ou qu’ils défendent.


Peu importe la couleur du chapeau, leur présence se traduit essentiellement par des blogs qui ont trait à la technologie de l’anonymat, ou des sites officiels de conférences de hackers.


hacking_trainingforum_hackers_ethiques

Exemples de white hats


Une véritable économie de la donnée

Depuis ces 3 dernières années, une véritable économie de la donnée s’est développée. L’explosion du nombre de fuites de données est une des conséquences principales avec l’utilisation de l’hameçonnage (ou phishing en anglais) comme vecteur de compromission.


En effet, le nombre d’adresses électroniques est tellement important, que l’hameçonnage est désormais la technique la plus rentable pour compromettre un système d’information. Des hackers isolés récupèrent ou achètent des bases de données entières d’adresses électroniques, pour ensuite lancer des campagnes d’hameçonnage ou mettre en place des scénarii de fraudes au président avec de l’hameçonnage ciblé.


hackers_données_vente

Exemple d’une vente de données issues de plusieurs pays


Les groupes de hackers semblent se renforcer avec le temps au sein du dark web et nous remarquons une véritable consolidation des groupes.


Ces derniers touchent des cibles , possèdent des sites dédiés à leur activité et présentent leurs actions comme arme de communication. Cela a pour but d’inciter les entités touchées à s’acquitter d’une rançon ou entrer en contact avec ces derniers afin d’endiguer toute fuite.


hacker_darkweb

Site du groupe de hackers Suncrypt 


Néanmoins, même malveillants, tous les hackers ne sont pas mercantiles. De nombreux forums d’entraide référençant des techniques et des tutoriels de hack existent. Ces derniers dispensent diverses techniques de compromission à travers la mise à disposition de guides, ou de virus prêts à l’emploi.


discussions_hacker_darkwebtutorial_hack_darkweb_screenshotforum_hacker_darkweb

Guides et tutoriels proposant diverses techniques de hack


Avec le développement de la digitalisation des entreprises liées au télétravail, les hackers deviennent de plus en plus mercantiles. La donnée est une ressource précieuse pour toutes les entreprises et facilement exploitable par les hackers. C’est pourquoi la revente de celles-ci ou de services à haute valeur ajoutée devient une de leur principale activité sur le dark web.


Certains hackers perpétuent eux-même la cyberattaque dans le but de revendre les données, d’autres ont pour seul but de nuire à une entité. La finalité est toujours la même, mettre au profit ses connaissances ou ses informations dans un double but : mercantile et malveillant.


Des revendeurs individuels écument les forums en proposant des fuites de données à la vente. Ces fuites sont issues de leurs propres à travers des cyberattaques ou sont simplement des données volées à d’autres dans le but de gagner de l’argent facilement. En parallèle, ils diffusent un échantillon ou des images pour en prouver la véracité.


Ces données sont majoritairement des adresses électroniques, qui peuvent être utilisées pour lancer des campagnes de phishing.


Le commerce de la donnée volée est le résultat d’actions de black hat.


fuite_de_données_hack_darkweb_vente

Extrait d’un forum revendant des fuites de données


Il existe également des hackers à louer. Ces derniers proposent des cyberattaques à la demande. La finalité est de compromettre une entité désignée selon un mode opératoire choisi.


Nous remarquons une véritable croissance de services proposés comme nous l’avions vu dans notre précédent article des ransomwares as a service. Il devient possible à n’importe qui de solliciter les services d’un hacker. Il est toutefois difficile de déterminer si ces plateformes sont des arnaques ou si elles proposent des services réels.


cyberattaque_à_la_demande_dark_webcyberattaque_hack_darkweb

Exemples de services de cyberattaques à la demande


Nous avons traité ici essentiellement des activités juteuses des blacks hats mais les white hats sont tout aussi présents bien que moins visibles à première vue.


REF.: www.aleph-networks.eu/les-communautes-sur-le-dark-web-hackers-2/

mardi 31 octobre 2023

Comment les pirates attaquent-ils Internet ?

 Comment les pirates attaquent-ils Internet ?

Les pirates utilisent diverses méthodes pour attaquer Internet et exploiter les vulnérabilités des systèmes. Certaines techniques courantes incluent :


1. Phishing : envoi d'e-mails ou de messages trompeurs pour inciter les utilisateurs à révéler des informations sensibles telles que des mots de passe ou des détails de carte de crédit.


2. Logiciels malveillants : distribution de logiciels malveillants tels que des virus, des vers ou des ransomwares pour compromettre les appareils et les réseaux.


3. DDoS (Distributed Denial of Service) : submerger un serveur ou un réseau cible avec un flot de trafic, le rendant inaccessible aux utilisateurs légitimes.


4. Injection SQL : exploitation d'applications Web mal codées en injectant des commandes SQL malveillantes pour obtenir un accès non autorisé aux bases de données.


5. Attaques Man-in-the-Middle (MitM) : intercepter la communication entre deux parties pour écouter, voler des données ou manipuler les informations échangées.


6. Cross-Site Scripting (XSS) : injection de scripts malveillants dans des pages Web consultées par d'autres utilisateurs, permettant aux attaquants d'exécuter du code sur les navigateurs des victimes.


7. Ingénierie sociale : manipuler des individus pour qu'ils divulguent des informations sensibles par le biais de manipulations psychologiques.


8. Exploits Zero-Day : exploiter des vulnérabilités jusqu'alors inconnues dans les logiciels ou le matériel avant que les développeurs n'aient la possibilité de publier un correctif.


9. Craquage de mots de passe : utilisation d'outils automatisés pour deviner des mots de passe faibles ou utilisation de techniques telles que les attaques par dictionnaire et les attaques par force brute.


10. Écoute clandestine : intercepter et surveiller le trafic réseau pour recueillir des informations sensibles ou accéder aux informations d'identification.


Il est essentiel de rester vigilant, de maintenir les logiciels à jour, d'utiliser des mots de passe forts et de mettre en œuvre les meilleures pratiques de sécurité pour se défendre contre ces attaques.




REF.: https://www.quora.com

dimanche 29 octobre 2023

L'ancien hacker vedette Kevin Mitnick est mort

 L'ancien hacker vedette Kevin Mitnick est mort

Sécurité : Cet américain de 59 ans avait multiplié les piratages dans sa jeunesse, au point de devenir l’un des fugitifs les plus recherchés par le FBI dans les années 1990.


la rédaction de ZDNet

Par Gabriel Thierry | Vendredi 21 Juillet 2023


1

Réaction

plus +

L'ancien hacker vedette Kevin Mitnick est mort


C’était le pirate informatique le plus célèbre du monde. Kevin Mitnick vient de mourir des suites d’un cancer du pancréas, a dévoilé le New-York Times. Cet américain de 59 ans, devenu une légende controversée du hacking, est mort le 16 juillet 2023, après un an de combat contre la maladie, précise la notice nécrologique publiée en ligne.



 


Reconversion dans la sécurité informatique 

Comme le rappelle le quotidien de la côte Est américaine, Kevin Mitnick s’était reconverti dans la sécurité informatique dans les années 2000. Devenu auteur et conférencier, il avait notamment lancé sa propre entreprise de revente de failles informatiques, Absolute Zero Day Exploit Exchange, et pris en 2011 le poste de Chief hacking officer chez KnowBe4, un spécialiste américain de la sensibilisation à la sécurité informatique.


Cette fin de parcours plus sage succédait à une jeunesse tumultueuse. Le californien avait d’abord trouvé, adolescent, une faille dans la billetterie des bus, une façon de voyager gratuitement à Los Angeles. Assez classiquement pour l’époque, Kevin Mitnick s’était mis ensuite au phreaking, cette façon de téléphoner gratuitement.



Ingénierie sociale 

C’était, dira-t-il plus tard, “son introduction à l’ingénierie sociale”, l’une de ses compétences phares qu’il mobilisera dans sa carrière de pirate. Il se faisait par exemple passer pour un dirigeant d’entreprise pour obtenir des mots de passe. Surnommé “Condor”, Kevin Mitnick enchaîne dans les années 1980 et 1990 les hack. Il fait ainsi main basse sur des secrets industriels du secteur des télécommunications ou des numéros de carte de crédit glanés au cours de ces intrusions informatiques.


Celui qui a réussi à pirater des ordinateurs de son district scolaire ou encore le commandement de la défense aérienne de Colorado Springs est condamné une première fois en 1988. Mais il deviendra mondialement célèbre après sa traque, au milieu des années 1990. Considéré comme l’un des criminels informatiques les plus recherchés des Etats-Unis, il réussit à échapper aux enquêteurs du FBI pendant deux ans.



Arrêté grâce au concours de Tsutomu Shimomura 

Kevin Mitnick est finalement arrêté en 1995, plusieurs semaines après avoir piraté - une attaque par IP spoofing, une usurpation d’adresse IP - l’ordinateur d’un expert en sécurité informatique, Tsutomu Shimomura. Piqué au vif, ce chercheur au San Diego Supercomputer Center va s’investir à corps perdu dans la traque du pirate. Assez critique sur le manque d’expertise informatique des enquêteurs du FBI, il joue un rôle clé dans l’arrestation du fugitif, finalement localisé en Caroline du Nord.


La chasse à l’homme sera racontée dans “Takedown” par l’expert en informatique et le journaliste John Markoff. Un livre jugé diffamatoire par l’intéressé, condamné à cinq ans de prison et présenté comme un pirate irascible et teigneux. Rancunier - en témoigne ce tweet, près de trente ans plus tard - , Kevin Mitnick expliquera plus tard avoir d’abord été poussé par l’adrénaline de la recherche de la faille. ”Mes méfaits étaient motivés par la curiosité, je voulais en savoir le plus possible sur le fonctionnement des systèmes téléphoniques et la sécurité informatique”, dira-t-il.


REF.: https://www.zdnet.fr/actualites/l-ancien-hacker-vedette-kevin-mitnick-est-mort-39960754.htm?utm_campaign=NL_Zdnet_24072023&utm_content=24072023&utm_medium=email&utm_source=EMAIL&rwid=DC5D037AB87B71933A2AC103EF86A25D3975E242A4660C955F952ABE91FC6ECD

jeudi 26 octobre 2023

 Comment les pirates cachent-ils leur adresse IP lors du piratage ?

 Comment les pirates cachent-ils leur adresse IP lors du piratage ?

Je ne ferais pas du tout confiance à TOR. Si l'on souhaite brouiller les pistes sur Internet, trouvez un point d'accès WiFi gratuit, modifiez l'adresse MAC de votre carte WiFi et démarrez votre ordinateur à partir d'un "live CD", fonctionnant totalement en RAM.


Il est fortement conseillé de le faire depuis une zone densément peuplée. Mieux vaut une zone densément peuplée, loin de chez vous. Bien sûr, lorsque vous vous rendez à un tel point, éteignez complètement votre téléphone portable ou laissez-le derrière vous.


Le problème est qu’il n’existe aucun moyen réel de masquer votre adresse IP sur Internet, puisque le protocole IP l’exige intrinsèquement. Tout ce que vous pouvez espérer faire est de l’obscurcir ou d’adopter l’approche que j’ai décrite ci-dessus.


Bien entendu, l’approche ci-dessus, combinée à l’utilisation d’anonymiseurs, sera utile, mais gardez à l’esprit que le destinataire de vos activités peut également être suivi. Si cette personne vous est connue, alors tous les paris sont ouverts.


Et en fin de compte, tout dépend du degré d’anonymat que vous souhaitez conserver. Si vos efforts comportent de faibles exigences de sécurité, vous pouvez lésiner sur certains des éléments ci-dessus.


J'ajoute ceci à la réponse : vous devez vraiment changer votre adresse MAC, car de nombreux points d'accès enregistrent désormais les « demandes de sonde » que votre ordinateur tente de se connecter automatiquement au WiFi. Un certain nombre d'endroits l'utilisent pour suivre les mouvements de diverses personnes "de manière anonyme" afin de créer un profil (pour des raisons commerciales - pensez à Minority Report ici, qui suivait les personnes sur leur profil rétinien et diffusait des publicités ciblées lorsqu'elles passaient devant les écrans ! ) de vous lorsque vous vous déplacez d'un lieu à l'autre autour de chez vous. Et oui, votre téléphone intelligent possède une adresse MAC traçable, alors pensez à garder votre WiFi éteint jusqu'à ce que vous en ayez besoin si vous ne souhaitez pas être suivi de cette manière.


REF.: https://www.quora.com

samedi 21 octobre 2023

Hackers: Le correctif n'existe pas encore pour le HTTP/2 Rapid Reset des grands serveurs web

 Hackers: Le correctif n'existe pas encore pour le HTTP/2 Rapid Reset des grands serveurs web


Des pirates ont lancé une attaque jamais vue pour bloquer Internet - et ils vont bientôt recommencer


 Éric Le Bourlout

21/10/23 11:34

De mystérieux hackers ont profité d'une faille dans l'un des mécanismes d'Internet pour mener la plus grande attaque de l'histoire contre les serveurs de Google. Et ils pourraient recommencer pour bloquer l'accès à de nombreux sites Web.


L'attaque n'a duré que deux petites minutes, mais a certainement provoqué un petit moment de panique chez les ingénieurs de Google. Fin août, ils ont observé un subit déferlement de requêtes Web sur leur infrastructure. Un déluge de connexions simultanées, avec un pic à… 398 millions de requêtes par seconde. Imaginez : c'est comme si 400 millions d'internautes cherchaient à se connecter exactement au même moment au même site ! Google n'avait jamais vu ça. En 2022, une attaque similaire (dite par "déni de service" ou DDoS dans le jargon) avait déjà fait les gros titres. Mais avec "seulement" 42 millions de connexions simultanées en pic, elle fait figure de nain face à celle qui a eu lieu cet été. "Pour donner une idée de son ampleur, l'attaque du mois d'aout a généré davantage de requêtes que le nombre total de pages articles vues sur Wikipédia sur l'ensemble du mois de septembre 2023", précise Google.  



Deux minutes, des milliards de connexions. © Google

L'objectif des pirates était clair : saturer les ressources réseau de Google de connexions afin de rendre ses services et les sites Web qu'il héberge inaccessibles. Bloquer provisoirement une partie du Web, en somme. D'autant que les hackers n'ont pas seulement frappé Google. Deux autres géants du "cloud", Amazon et Cloudflare, ont aussi repéré au même moment des attaques par déni de service d'une puissance sans précédent. Fort heureusement, Google et les autres entreprises touchées sont parvenues à limiter la casse. Il y a bien eu quelques sites momentanément inaccessibles ici et là, mais l'impact de cette série d'attaques a été contenu en quelques jours.  


Une faille qui fragilise des millions de sites Web

Fin de l'histoire ? Pas vraiment. Car la technique employée par les pirates profite d'une vulnérabilité d'un protocole indispensable pour le Web, qui va être bien difficile à corriger pour de bon. Vous connaissez certainement son nom, affiché en permanence dans la barre d'adresse de votre navigateur : HTTP. La plupart des sites auxquels vous vous connectez tous les jours profitent désormais du HTTP/2, une version plus performante du protocole historique, capable d'afficher bien plus rapidement les pages Web.


On ne va pas ici entrer dans ses spécifications techniques, mais pour résumer très grossièrement, HTTP/2 est en mesure de gérer bien plus d'échanges de messages entre un client (votre navigateur) et un serveur (qui héberge un site) simultanément. C'est idéal pour afficher des pages Web plus rapidement, mais cela profite aussi à ceux qui souhaitent perpétrer des attaques par déni de service, car ils peuvent ainsi multiplier les requêtes et saturer plus vite les serveurs qu'ils visent.



Cette infographie montre bien les différences entre une attaque par déni de service classique et la nouvelle, qui permet de multiplier les requêtes sans attendre la réponse du serveur © Google

Dans l'attaque qui nous intéresse, baptisée HTTP/2 Rapid Reset, les pirates sont allés encore plus loin. Pour la première fois, ils ont profité d'une fonction spécifique de HTTP/2 qui permet d'annuler une requête sans attendre la réponse du serveur. Par cette astuce, ils peuvent décupler le nombre de messages qu'ils transmettent.



Faites très attention en achetant des câbles USB-C - ils ne sont pas tous identiques


Suivez cette règle simple pour recharger votre téléphone - vous prolongerez la vie de sa batterie

Pour corriger ce problème, il faudra donc que tous les serveurs Web du monde appliquent un correctif… qui n'existe pas encore. Et c'est plutôt inquiétant. Car si des mastodontes comme Google ou Amazon disposent de contremesures techniques permettant d'éviter ces attaques d'un nouveau genre, des sites hébergés ailleurs pourraient en revanche les subir de plein fouet dans les mois qui viennent.


Cloudflare insiste par ailleurs sur un point très préoccupant. Le botnet — un réseau de PC vérolés, aux ordres de pirates — qui a servi à lancer cette attaque n'était riche que de 20 000 machines environ. C'est peu. Si un botnet plus massif initiait la même attaque, il pourrait avoir un impact beaucoup plus grand. "Certains botnets actuels se composent de centaines de milliers ou de millions de machines. Internet dans son ensemble ne reçoit habituellement qu'entre 1 et 3 milliards de requêtes chaque seconde, il n'est pas inconcevable que l'utilisation de cette méthode puisse concentrer l'intégralité du nombre de requêtes du réseau sur un petit nombre de cibles", indique l'entreprise dans une note. Autant dire que cette attaque "record" sera sans doute bientôt dépassée par une autre, bien plus massive, qui pourrait bloquer des milliers voire des millions de sites Web dans le monde…


REF.: https://www.commentcamarche.net/securite/piratage/29235-des-pirates-ont-lance-une-attaque-jamais-vue-pour-bloquer-internet-et-ils-vont-bientot-recommencer/#utm_source=facebook&utm_medium=social

mardi 26 septembre 2023

La face cachée de la brèche de sécurité chez Microsoft

 

La face cachée de la brèche de sécurité chez Microsoft

 21 septembre 2023

Chronique

La face cachée de la brèche de sécurité chez Microsoft

Par: RENÉ-SYLVAIN BÉDARD

Chroniqueur, CScience


Depuis le début du mois de juin, plusieurs articles rapportent qu’une attaque sophistiquée aurait atteint sa cible en l’infrastructure infonuagique de Microsoft. Selon les diverses sources, un groupe de cybercriminels nommé Storm-0558 et basé en Chine aurait eu accès aux boîtes aux lettres de certains fonctionnaires du gouvernement américain. 


Déjà, c’est assez sensationnaliste… mais ce n’est qu’une partie de l’histoire. Je vais donc tenter de vulgariser le modèle de sécurité de Microsoft, et vous verrez rapidement que ce n’est ni tout noir, ni tout blanc. Il y a des nuances…


D’ABORD, UN PEU DE TERMINOLOGIE !

Menace Persistente Avancée (ou Advanced Persistent Threat, APT): c’est un terme utilisé pour décrire un type de cyberattaque sophistiqué. Imaginez-le comme un cambrioleur très intelligent et déterminé, qui essaie d’entrer dans votre maison. Au lieu de simplement essayer de casser une fenêtre ou de forcer une porte, ce cambrioleur est si patient et si ingénieux qu’il peut passer des mois, voire des années à étudier votre maison, à apprendre vos routines et à trouver le moment parfait pour entrer sans être détecté. Une fois à l’intérieur, il peut rester caché, écouter vos conversations, lire vos documents personnels, etc.


Collecte des identifiants (credential harvesting) : la collecte des identifiants, ou « Credential Harvesting » en anglais, c’est un peu comme un voleur qui essaie de copier votre clé de maison sans que vous le sachiez. Dans le monde numérique, vos « clés » sont vos identifiants – votre nom d’utilisateur et votre mot de passe.


Imaginez que vous alliez voir une fausse agence de sécurité qui prétend être la vraie. Vous lui donnez votre clé pour qu’elle puisse en faire une copie, la pensant digne de confiance. Mais en réalité, les gens de cette agence sont des voleurs. Une fois qu’ils ont votre clé, ils peuvent entrer chez vous à tout moment, sans éveiller de soupçons.


C’est exactement ce que font les pirates informatiques lors de la collecte des identifiants. Ils créent des sites Web ou de faux courriels,  mais convaincants, vous incitant à entrer vos identifiants. Une fois que vous le faites, ils ont alors accès à vos comptes et à toutes les informations qui s’y trouvent


Jeton d’authentification : Un jeton d’authentification peut s’apparenter à un tampon d’entrée pour un concert ou un festival. Lorsque vous arrivez à l’événement, vous présentez votre billet, et on vous donne un bracelet ou un tampon qui prouve que vous avez le droit d’être là. Pour le reste de l’événement, tant que vous montrez votre bracelet ou votre tampon, vous pouvez entrer et sortir à votre guise sans avoir à montrer à nouveau votre billet.


Dans le monde numérique, un jeton d’authentification fonctionne de manière similaire. Lorsque vous vous connectez à un site Web ou à une application avec votre nom d’utilisateur et votre mot de passe, le système vous donne un « jeton » numérique. Pour le reste de votre session, ce jeton prouve que vous êtes bien qui vous prétendez être, ce qui vous permet d’accéder à différents aspects du service sans avoir à entrer à nouveau vos identifiants. Cela rend les choses plus pratiques et plus sûres pour vous.


Empoisonnement/falsification du jeton (token poisoning/forgery) : il s’agit plus simplement d’une fraude. C’est un peu comme si quelqu’un modifiait votre tampon d’entrée lors d’un événement pour vous donner accès à des zones que vous ne devriez pas voir. Par exemple, quelqu’un pourrait modifier un tampon d’entrée standard pour qu’il ressemble à un tampon VIP, donnant à cette personne un accès illégitime aux coulisses de l’événement.


Dans le monde numérique, « empoisonnement de jeton » se réfère à une technique où un attaquant modifie un jeton d’authentification de manière malveillante. Cela pourrait permettre à l’attaquant d’obtenir un accès non autorisé à certaines parties d’un système ou d’un réseau, ou de se faire passer pour un autre utilisateur. C’est une forme d’attaque très sophistiquée qui nécessite une bonne compréhension des systèmes d’authentification et de sécurité pour être réalisée.


Clé de signature MSA : C’est une clé spéciale qui vous donne accès à un certain type de serrure dans une grande entreprise. Imaginons que dans cette entreprise, il y a un système de serrures qui ne peut être ouvert que par des clés MSA. Si vous avez une telle clé, vous pouvez ouvrir toutes ces serrures spécifiques.


Dans le monde de la cybersécurité, une clé MSA fait référence à une clé de sécurité spéciale utilisée dans l’environnement Microsoft pour accéder à certains services ou données. MSA signifie Microsoft Account, donc une clé MSA serait une sorte de clé d’accès pour votre compte Microsoft, donnant accès à divers services ou fonctionnalités associés à ce compte.


Il est important de garder ces clés en sécurité, car si elles tombent entre de mauvaises mains, elles pourraient donner à quelqu’un d’autre un accès non autorisé à vos données ou services.


L’ATTAQUE EXPLIQUÉE À HAUT NIVEAU

Le 16 juin 2023, basée sur des informations rapportées par un client, l’équipe de cybersécurité de Microsoft a débuté une enquête en profondeur sur des activités anormales au niveau du courriel. Durant les semaines qui ont suivies, l’enquête révèle qu’à partir du 15 mai, le groupe de cybercriminels Storm-0558 a obtenu de façon illégale l’accès à un nombre restreint de boîtes aux lettres, de clients fédéraux américain et, du même coup, aux comptes qui leur étaient liés.


La méthode utilisée a consisté à produire et utiliser des jetons d’accès falsifiés, que les cybercriminels auraient générés en obtenant une clé MSA compromise, qui servait à signer les données de ces clients.


En d’autres mots, les cybercriminels ont obtenu la copie d’une clé maître pour quelques organisations ciblées, dans le cas présent, des ministères américains, et s’en sont servis pour créer des faux jetons d’accès. À la suite de ces activités, ils se sont servis de ces jetons pour accéder aux boîtes aux lettres. Il est important de noter que pour avoir accès à ce niveau de profondeur d’authentification, nous sommes en position de penser que cette attaque dure depuis des mois, voire des années pendant lesquelles ont été surveillés ces ministères en particulier. Car il s’agit, bien sûr, d’une menace persistante et avancée.


Microsoft a complété son enquête en invalidant lesdits clés et jetons, et en mettant en place des automatismes de surveillance supplémentaires.


LE MODÈLE DE SÉCURITÉ DE MICROSOFT EXPLIQUÉ

 Donc lorsqu’on analyse l’attaque à haut niveau, sans nécessairement s’informer quant au modèle de sécurité, il est facile de se dire, « Ah! C’est de la faute de Microsoft! »… Mais sachez que la ligne de responsabilité n’est pas aussi claire qu’elle en a l’air.



Figure 1: Traduite de l’original de Microsoft, par Indominus


Comme vous le voyez, la responsabilité de la sécurité des données dans le nuage de Microsoft est délimitée et surtout, partagée.


Chaque type de service à son niveau de responsabilité. Nous voyons ici clairement que Microsoft est totalement responsable de la sécurité de ces centres de données, réseaux et serveurs physiques, mais que cette responsabilité est graduellement transférée vers le client au fur et à mesure que ce dernier prend le contrôle de l’environnement. 


C’est pourquoi les données, les appareils et les identifiants des clients sont de la responsabilité entière de ce dernier. Ils ne sont pas gérés par Microsoft, alors comment peut-il en être responsable?


UN AUTRE MYTHE PERSISTANT…

J’ai entendu nombre de clients me dire, « Nous allons migrer le tout dans le nuage de Microsoft et ils vont gérer ma sécurité!! ». Réponse rapide : Non, ce ne sera pas le cas.


Le seul moyen qu’a Microsoft de se faire accepter comme fournisseur de service global et de n’avoir aucune interférence au niveau des actifs digitaux de la compagnie. C’est d’ailleurs l’un des fers de lance de tout le modèle des nouveaux copilotes (voir mon article précédent). Microsoft insiste et signe : « Vos données vous appartiennent » .


Ces termes de loi sont au contrat d’utilisation de l’infonuagique.  Microsoft se présente d’ailleurs fréquemment devant la cour supérieure américaine pour débattre du fait que si le gouvernement souhaite avoir accès aux données d’une compagnie, il doit la demander à cette dernière.


VOTRE NIVEAU DE RESPONSABILITÉ VIENT DONC D’AUGMENTER

Vous ne le saviez pas au début de la lecture de cet article, mais vous devez commencer à vous en douter.. La responsabilité de votre entreprise envers ces données qui sont hébergées dans Microsoft 365 vient d’augmenter dramatiquement.


Et vous croyiez que la configuration par défaut suffisait? Encore une fois, j’ai des petites nouvelles pour vous… La configuration par défaut n’est pas là pour vous offrir le plus haut niveau de sécurité ou même le plus haut niveau de filtrage des pourriels. Pourquoi? Le concept est pourtant fort simple : la compatibilité.


Si vous offrez au grand public un système aussi complexe que Microsoft 365, et que vous souhaitez que chaque entreprise puisse l’utiliser, vous ne pouvez pas vous permettre de le rendre inaccessible, ou même compliqué à utiliser. Il faut que ça fonctionne, tout simplement.


Alors que si nous mettons en place la quarantaine proactive, les filtres d’accès et les accès conditionnels pour une PME qui n’a pas de service TI ou d’expert en cybersécurité, tout cela ne tournera pas aussi rondement.


L’implication devient que ces PME doivent en être conscientes et surtout, doivent avoir accès à des experts pour sécuriser et opérer le tout. Dans le cas où vous vous demandez si vous êtes sécuritaire, n’hésitez pas à nous le demander, nous offrons aux lecteurs de CScience une consultation gratuite de 30 minutes pour évaluer votre cybersécurité. Profitez-en, c’est gratuit!


CE QUE MICROSOFT A MIS EN PLACE POUR PALLIER CE TYPE D’ATTAQUE

Comme vous vous en doutez, Microsoft a commencé par rendre désuètes les clés, jetons et clé MSA liés à cette attaque.  Ils ont ajouté de nombreux algorithmes en arrière-plan pour détecter toutes les anomalies possibles entre les comptes MSA, les jetons et les identifiants qui les inities.


De plus, de nombreuses pages d’explications ont été mises à disposition des cyber-défenseurs pour assurer qu’une attaque de ce genre serait rapidement identifiée et stoppée dès sa détection.


QUELQUES PRATIQUES À METTRE EN PLACE

Outre les pratiques de sécurité et d’hygiène numérique de base, comme l’authentification multifacteurs (MFA) et vous assurez d’utiliser des mots de passes complexes, je vous recommande fortement de sécuriser vos appareils.


Ces derniers sont les principaux conduits à travers lesquels ces attaques prennent racine. Le tout débute par un courriel ou un site contentant du code malveillant. Un appareil qui n’est pas protégé, mais surtout surveillé, par une équipe de cybersécurité bien équipée, est une invitation à la catastrophe.


Les appareils sont les conduits à travers lesquels les données sont extraites, mais également les portes par lesquelles les cybercriminels se donnent des accès. 


PROTÉGEZ-LES!

Ce genre de brèche était, je crois, évitable.


Pour qu’une menace de ce type devienne permanente, cela implique que personne n’ait vu l’intrus s’introduire dans vos systèmes. Ceci implique que soit a) certains systèmes sensibles ne sont pas audités, que ces journaux d’audits ne soient pas vérifiés, étudiés. Mais surtout, qu’il n’y ai pas d’humain derrière les consoles qui analyse, en temps réel, les erreurs, activités anormales et tentatives d’attaques.


La corrélation de données de cybersécurité sert exactement à cela, de prendre des événements qui semblent anodins et déconnectés et de refaire le chemin de ces attaques pour en découvrir le vrai motif.


Je comprends que pour des PME, cela peut être complexe, et couteux, mais pour le gouvernement américain, ceci devrait être un service essentiel.


J’aimerais vous lire, selon vous, à la lecture de ce qui précède, qui croyez-vous était responsable? Qui aurait dû mieux sécuriser les accès? 

Nota: Storm-0558 reste très mystérieux. Dans son rapport, Microsoft indique seulement qu’il s’agit d’un « groupe étatique basé en Chine. Il se concentre sur l’espionnage, le vol de données et l’accès aux informations d’identification ». Les groupes de hackeurs développent leurs propres outils informatiques, mais laissent aussi des traces. Le groupe serait notamment connu pour « utiliser des logiciels comme Cigril et Bling, pour l’accès aux informations d’identification ».


Fabrice Epelboin, spécialiste des médias sociaux et de la cybersécurité précise que les attaques du type « APT » (menace persistante avancée, NDLR) sont devenues classiques, encore plus pour des entreprises aussi grande que Microsoft. « Comme un château fort, plus vous avez d’espace à défendre, plus vous avez de surfaces d’attaques » formule-t-il.


À bientôt!


REF.: https://www.cscience.ca/chroniques/la-face-cachee-de-la-breche-de-securite-chez-microsoft/?utm_source=facebook&utm_medium=cpc&utm_campaign=2023-09-22+Brèche+de+sécurité+Microsoft&utm_content=2023-09-22+Brèche+de+sécurité+Microsoft_Facebook_Mobile_Feed&utm_term=Non+initiés&fbclid=IwAR2tR6J6ETnQX2Gn7QdS0jlhnXjNfBpnVvLE5-pYhbJcRdnyPi_vVbnl6js_aem_AU7cokM4WHGB2IvW6j56-X0WCQuF22tgdkr1Lv2bZn2FDZvke2ZmdmpBSoQnczd9fGK5OQ9QlvC2TKNZMGMfT3zr

lundi 11 septembre 2023

PhoneSploit Pro, l’outil de pentest tout-en-un pour Android

 PhoneSploit Pro, l’outil de pentest tout-en-un pour Android

@KORBEN  —  9 SEPTEMBRE 2023


Si vous êtes expert en sécurité, PhoneSploit Pro est un outil tout-en-un écrit en Python qui va vous intéresser. Spécialement conçu pour exploiter à distance les appareils Android en utilisant ADB (Android Debug Bridge) et Metasploit-Framework, ce projet vise à faciliter la réalisation de tests de pénétration sur les appareils Android.


Évidemment, PhoneSploit Pro peut également être utilisé comme une trousse à outils ADB pour effectuer diverses opérations sur les appareils Android que ce soit via le Wi-Fi ou un simple câble USB.



Parmi les nombreuses fonctionnalités de PhoneSploit Pro, il y a la connexion à distance à l’appareil en utilisant ADB, l’accès au shell de l’appareil connecté, l’arrêt du serveur ADB, etc… L’outil permet également de faire des captures d’écran et de les récupérer automatiquement sur votre ordinateur, ou encore d’enregistrer ce qui se passe à l’écran pendant une certaine durée.


Vous pourrez également télécharger et envoyer de fichiers, lancer une application et avoir accès aux moindres recoins du smartphone.


Voici quelques-unes des fonctionnalités de PhoneSploit Pro :


Copier toutes les photos de la caméra sur l’ordinateur.

Envoyer des SMS via le périphérique cible.

Déverrouiller et verrouiller le périphérique avec une facilité déconcertante.

Extraire tous les SMS, contacts et journaux d’appels du périphérique vers l’ordinateur.

Obtenir des informations sur le périphérique et la batterie.

Et obtenir une image de tout ce qui se passe à l’écran ou contrôler le périphérique cible.

Pour profiter de toutes ces fonctionnalités, il vous suffit de vous assurer que tous les logiciels requis sont installés, puis de suivre le tutoriel pour configurer votre téléphone Android. Une fois la configuration terminée, vous pourrez connecter votre téléphone Android à votre ordinateur via Wi-Fi en utilisant adb. Sur Linux ou macOS, ouvrez le terminal et collez les commandes suivantes pour installer PhoneSploit Pro :


git clone https://github.com/AzeemIdrisi/PhoneSploit-Pro.git 


cd PhoneSploit-Pro/ 


python3 phonesploitpro.py


Sur Windows, les étapes sont légèrement différentes. Ouvrez le terminal, saisissez les commandes suivantes :


git clone https://github.com/AzeemIdrisi/PhoneSploit-Pro.git


cd PhoneSploit-Pro/


Puis téléchargez la dernière version de platform-tools et copiez tous les fichiers extraits de platform-tools ou du répertoire adbdirectory dans le répertoire PhoneSploit-Pro, et enfin exécutez


python phonesploitpro.py.


PhoneSploit Pro est compatible avec plusieurs systèmes d’exploitation, mais je vous recommande d’utiliser Linux pour profiter pleinement de ses fonctionnalités.


Évidemment, ce projet est uniquement destiné à des fins éducatives ou dans le cadre d’une mission de cybersécurité réalisée par un professionnel. L’utilisation de cet outil sur le téléphone de quelqu’un sans sa permission est totalement interdite et vous finirez en prison si vous ne respectez pas la loi (sauf si à un moment vous avez eu une responsabilité politique importante. Dans ce cas, vous n’aurez qu’un bracelet électronique et vous pourrez continuer à mener une vie normale).


REF.: https://korben.info/phonesploit-pro-ultime-outil-piratage-android-tests.html

jeudi 31 août 2023

Piratage de Pôle emploi : des millions de numéros de sécurité sociale en vente sur le darknet

 

Piratage de Pôle emploi : des millions de numéros de sécurité sociale en vente sur le darknet

La plateforme Duolingo elle-aussi victime de vol de données utilisateurs.


Publié le 26 août 2023 à 12:00Par Sami TrabchaCadenas ouvert

Un prestataire de pôle emploi a subi une attaque informatique

Aucune donnée sensible n’a été dérobée

Duolingo a également subi une attaque un peu plus grave

À l’heure du tout connecté, il n’est pas rare de voir des fuites de données faire la une de l’actualité. C’était encore le cas cette semaine avec Pôle emploi. En effet, l’organisme public a été victime d’une attaque informatique de grande ampleur.


Les pirates qui en sont à l’origine ne s’en sont cependant pas pris directement à l’établissement public, mais à l’un de ses prestataires.


Quelles données ont fuité ?

Quand il s’agit de cyberattaques, les malfaiteurs ont pour habitude d’essayer de dérober les informations les plus sensibles, telles que des identifiants bancaires ou des numéros de carte bleue.


Mais cette fois-ci, la fuite a concerné les noms et prénoms des allocataires, leur statut de demandeur d’emploi ainsi que leur numéro de sécurité sociale. Ces données ont d’ailleurs été mises en vente pour 900 $ sur le darknet et des forums spécialisés.


Une nouvelle fuite annoncée 24 h plus tard

Un jour après l’annonce du vol des données des allocataires de Pôle emploi, on apprend que 2,6 millions de personnes ont également subi le même sort. Cette seconde fuite concerne cependant l’application Duolingo.


Les données utilisateurs de l’outil gratuit destiné à l’apprentissage des langues ont également été proposées à la vente par les pirates informatiques, pour la somme de 1500 $.


Les informations subtilisées dans cette affaire incluent, en plus des noms et prénoms des victimes, leurs adresses email.


Quelle utilité pour les pirates ?

En prenant connaissance du type d’information dérobée par les hackers, on pourrait se demander : à quoi pourraient-elles bien leur servir ?


Concernant les données de Pôle Emploi, les numéros d’allocataires pourraient par exemple être utilisés à des fins d’usurpation d’identité. Et en ce qui concerne celles ayant été dérobées à Duolingo, et notamment pour les adresses email, ces dernières pourraient permettre à des malfaiteurs d’envoyer des courriels visant à arnaquer les destinataires.


On ne le rappellera jamais assez, il est nécessaire de prendre des précautions quant à la protection de ses données personnelles. Pour ce faire, il ne faut pas hésiter, sur ordinateur particulièrement, à se procurer un antivirus performant et à activer l’authentification à deux facteurs dès qu’un site ou une application le permet. Changer régulièrement ses mots de passe est également efficace, en profitant des fonctionnalités des gestionnaires de mots de passe et en privilégiant notamment ceux qui ne stockent pas vos coffres-forts en ligne.


REF.: https://www.iphon.fr/post/fuite-donnees-pole-emploi-duolingo

vendredi 30 juin 2023

Piratage de carte de fidélité : attention au vol de cagnotte !

 

 

Piratage de carte de fidélité : attention au vol de cagnotte !

 

Les piratages de cartes de fidélité de magasins se multiplient en France, les hackers vidant sans vergogne les cagnottes de leurs victimes. Voici ce qu'il faut faire pour vous protéger de cette nouvelle forme de vol.

Pour inciter leurs clients à revenir régulièrement et les pousser à acheter davantage, la plupart des enseignes de la grande distribution leur proposent des programmes et des cartes de fidélité permettant de cumuler des points donnant droit à des réductions sur leurs achats, des promotions, voire à des équivalents en euros qui servent de cagnottes. Des montants souvent modestes, mais qui, accumulés sur plusieurs mois, peuvent représenter des sommes assez importantes, ce qui n'est pas négligeable en période d'inflation – certain passe même à la surconsommation par plaisir de jouir d'un bon plan. C'est le cas d'Auchan, qui propose à ses clients sa carte Waaoh, mais aussi de Carrefour, Super U ou encore Casino.

 

Mais leurs détenteurs feraient mieux de faire preuve de prudence en ce moment ! Depuis plusieurs mois, les vols de cartes se multiplient, comme le rapportait en avril dernier La Voix du Nord. De son côté, 60 millions de consommateurs indique recevoir depuis maintenant plusieurs mois des témoignages de personnes s'étant fait pirater leur carte fidélité, en particulier celle de Carrefour. En novembre 2022, Système U indiquait à BFM Business "avoir recensé quelques centaines de cas sur un nombre total de porteurs [de cartes de fidélité] de 7 millions". En effet, d es pirates rachètent des identifiants sur des forums du Dark Web, probablement récupérés de façon frauduleuse par phishing. Grâce à eux, ils peuvent alors payer leurs courses en vidant la cagnotte de leurs victimes, avec des sommes parfois importantes...

 

Cartes de fidélité : des identifiants vendus sur le Dark Web

De nombreux clients ont malheureusement été confrontés à des arnaques de ce genre et témoignent sur différents forums, comme Dealabs. C'est le cas de Claire, cliente d'Auchan, qui explique que "en plein confinement, on m'a dit que j'avais utilisé 150 € à Paris. J'ai dû aller déposer plainte pour récupérer ma cagnotte". La Voix du Nord rapporte également la mésaventure de Cassandre, qui s'est vue dérober "l'équivalent de toute une année de cagnotte destinée au repas de Noël". Même son de cloche chez Carrefour, une cliente expliquant qu'"on a volé et utilisé les 207 € de ma cagnotte dans un magasin à Toulon, alors que je vis à Draguignan". Mises bout à bout, ces arnaques permettent de subtiliser des sommes importantes. Ainsi, une escroc a été jugée cette année pour avoir payé une quinzaine d'achats pou un montant total estimé entre 3 700 et 4 700 € !

 

Les identifiants des cagnottes de fidélité sont généralement dérobés grâce à un hameçonnage tout ce qu'il y a de plus classique : la victime reçoit un e-mail ou un SMS venant soi-disant de l'enseigne et lui demande de cliquer sur un lien frauduleux pour ensuite l'inviter à entrer ses numéros d'identification – qui sont donc envoyés au serveur du cybercriminel. Ce dernier peut également réussir à "craquer" le compte personnel à l'aide des informations d'autres comptes disponibles sur le Dark Web (nom, prénom, adresse mail, etc.), d'autant plus que l'on a tendance à utiliser le même mot de passe sur plusieurs comptes pour mieux le retenir. Ensuite, les cartes de fidélité sont revendues sur le Dark Net ou sur des plateformes de chat comme Discord. Ces données sont vendues à un prix d'environ 25 % du montant cumulé sur la carte de fidélité, qui peut grimper jusqu'à 60 % de la cagnotte s'il y a aussi accès au code PIN de la carte, expliquait Le Télégramme en novembre dernier.

Cagnotte de carte de fidélité : que faire en cas de piratage ?

Par mesure de précaution, mieux vaut vérifier régulièrement le solde de sa cagnotte sur le site ou l'application de l'enseigne. En cas de piratage, il faut se tourner directement vers l'enseigne concernée pour connaître les modalités de remboursement  – quand il y en a – et obtenir une nouvelle carte de fidélité. Par exemple, en cas d'anomalie avec sa carte Waaoh, il ne faut surtout pas hésiter à contacter Auchan, quitte à faire bloquer sa carte :

  • par téléphone au 03 59 30 59 300
  • par mail à l'adresse service-client@auchan.fr
  • sur les réseaux sociaux : Facebook ou Twitter
  • par courrier à Service Clients Groupe Auchan CS 10636 59656 Villeneuve-d'Ascq Cedex.

Dans tous les cas, mieux vaut prendre quelques mesures pour se protéger. En premier lieu, il faut éviter de partager ses identifiants avec des tiers. Ensuite, mieux vaut changer de mot de passe pour en adopter un complexe (sans information personnelle, avec des majuscules, des minuscules, des chiffres et des caractères spéciaux) et surtout unique. Enfin, rappelons qu'il ne faut surtout pas cliquer sur les liens ou pièces jointes envoyés dans des e-mails ou des SMS, même si cela a l'air de venir de l'enseigne.

L'enseigne indique dans les conditions générales d'utilisation de la carte Waaoh que "si vous êtes victime de la perte ou du vol de votre carte, Auchan ne pourra être tenu responsable de l'utilisation frauduleuse du montant crédité sur votre carte 'Waaoh' et aucune demande de remboursement ne sera recevable par le magasin". Certaines victimes ont toutefois réussi à obtenir une nouvelle carte avec la somme volée créditée dessus, mais ce n'est pas le cas toutes – il semblerait que ce soit au cas par cas. "Pour que le remboursement soit effectué, nous avons besoin d'avoir la preuve qu'il s'agit d'une fraude, comme montrer que le magasin Auchan où la carte a été utilisée est loin du lieu de travail où l'on était bien ce jour-là", a indiqué le service clients d'Auchan à La Voix du Nord. Mieux vaut donc ne pas laisser trop d'argent dessus !

 

REF.:  https://www.commentcamarche.net/securite/arnaque/28081-piratage-de-carte-de-fidelite-attention-au-vol-de-cagnotte/

jeudi 22 juin 2023

Piratage ChatGPT : plus de 100 000 comptes en vente sur le Dark Web

 

 

Piratage ChatGPT : plus de 100 000 comptes en vente sur le Dark Web

 

Attention ! Plus de 100 000 comptes ChatGPT ont été piratés et mis en vente sur le Dark Web. De quoi accéder à des données sensibles pour les utiliser à des fins malveillantes. Vérifiez si vous êtes concerné !

De par sa popularité qui n'en finit plus de croître, ChatGPT représente une véritable mine d'or pour les cybercriminels. Nombre d'entre eux utilisent l'IA pour enrichir leurs faux profils sur les sites de rencontre ou sur LinkedIn, générer leurs campagnes de phishing ou encore cloner l'application mobile en y rajoutant un petit malware en plus. Et c'est sans compter sur les failles de sécurité de la plateforme, à l'image de celle de mars où toutes les conversations, les données personnelles et les informations de paiement des utilisateurs avaient été mélangées et exposées aux yeux de tous. Mais les pirates visent également les comptes des utilisateurs. En effet, le groupe de cybersécurité Group-IB révèle dans un rapport que, entre juin 2022 et mai 2023, plus de 100 000 comptes ChatGPT ont été compromis et mis en vente sur le Dark Web. Sont principalement touchés l'Inde, le Pakistan, le Brésil, le Vietnam, l'Égypte, les États-Unis, la France – le seul pays d'Europe concerné –, le Maroc, l'Indonésie et le Bangladesh. La majorité des identifiants ont été dérobés grâce à des malwares comme Raccoon, Vidar et RedLine. Alors, êtes-vous concerné ?

Piratage ChatGPT : des données sensibles en libre accès

La compromission des comptes a permis aux pirates de récolter de nombreuses données personnelles – voire bancaires pour les personnes abonnées à ChatGPT Plus – qui pourront être utilisées pour mener des campagnes de phishing plus ciblées et de plus grande ampleur. En fouillant l'historique des conversations, les hackers peuvent également accéder à un véritable trésor de données sensibles, qu'elles soient personnelles ou professionnelles – c'est pour cette raison que les grandes entreprises de la tech telles que Google, Apple ou Samsung interdisent l'usage des chatbot comme ChatGPT, Bing AI et Bard à leurs employés (voir notre article). De plus, comme les internautes ont généralement la très mauvaise habitude d'utiliser un même mot de passe pour plusieurs comptes, ces derniers peuvent eux aussi être piratés.

 

Les conséquences d'une telle compromission sont plus graves qu'elles ne peuvent paraître au premier abord. En effet, les comptes piratés peuvent être utilisés pour mener des activités illégales, comme générer des arnaques et des campagnes de phishing – ChatGPT est très doué pour ça –, mais aussi créer facilement du code malveillant et mettre au point de nouvelles attaques, sans que les autorités ne puissent remonter jusqu'à leur véritable auteur. Enfin, comme certains comptes sont dotés d'un accès à l'API de GPT-4 – le dernier modèle de langage qui alimente ChatGPT –, les pirates peuvent facilement le vendre sur le marché noir, étant donné que cette API n'est accessible que sur liste d'attente et est réservée à un nombre limité d'utilisateurs.

Piratage ChatGPT : comment vérifier que son compte n'a pas été compromis ?

Pour vérifier que votre compte ChatGPT – ou tout autre compte d'ailleurs – n'est pas sur le Dark Web, le plus simple est d'utiliser des outils comme Have I Been Pwned ? – que l'on pourrait traduire par "est-ce que mon mot de passe a été piraté ?" – ou le vérificateur de violation de données pCloud. Il suffit de rentrer votre adresse mail dans la barre de recherche pour savoir si elle a fait partie d'une ou plusieurs violations de données, et sur quelle plateforme (voir notre fiche pratique).

Que vous soyez concerné ou non, nous vous recommandons de prendre les mesures nécessaires pour sécuriser votre compte – mieux vaut prévenir que guérir ! Tout d'abord, il est préférable d'opter pour la connexion via votre compte Google ou Microsoft, ce qui vous assure un niveau de sécurité plus élevé – les géants de la tech sont rodés contre les cyberattaques – et vous permet d'activer la sacro-sainte double authentification (2FA). Dans la mesure du possible, effacez vos historiques de conversation avec ChatGPT contenant du contenu sensible, que ce soit sur vous ou sur l'entreprise pour laquelle vous travaillez. Installez également un antivirus sur vos appareils afin d'éviter de vous faire voler vos identifiants par un malware et, bien évidemment, faites attention à ce que vous téléchargez !

 

REF.:  https://www.commentcamarche.net/securite/piratage/28505-piratage-chatgpt-plus-de-100-000-comptes-en-vente-sur-le-dark-web/

mardi 23 mai 2023

Le piratage de ChatGPT ne fait que commencer

 Le piratage de ChatGPT ne fait que commencer
Matt Burgess


En conséquence, les auteurs de jailbreak sont devenus plus créatifs. Le jailbreak le plus important était DAN, où ChatGPT a été invité à prétendre qu'il s'agissait d'un modèle d'IA malveillant appelé Do Anything Now. Cela pourrait, comme son nom l'indique, éviter les politiques d'OpenAI dictant que ChatGPT ne doit pas être utilisé pour produire du matériel illégal ou nuisible. À ce jour, les gens ont créé une douzaine de versions différentes de DAN.

Cependant, bon nombre des derniers jailbreaks impliquent des combinaisons de méthodes - plusieurs caractères, des histoires toujours plus complexes, la traduction de texte d'une langue à une autre, l'utilisation d'éléments de codage pour générer des sorties, etc. Albert dit qu'il a été plus difficile de créer des jailbreaks pour GPT-4 que la version précédente du modèle alimentant ChatGPT. Cependant, certaines méthodes simples existent encore, affirme-t-il. Une technique récente qu'Albert appelle "suite de texte" indique qu'un héros a été capturé par un méchant, et l'invite demande au générateur de texte de continuer à expliquer le plan du méchant.

Lorsque nous avons testé l'invite, cela n'a pas fonctionné, ChatGPT indiquant qu'il ne peut pas s'engager dans des scénarios qui promeuvent la violence. Pendant ce temps, l'invite "universelle" créée par Polyakov a fonctionné dans ChatGPT. OpenAI, Google et Microsoft n'ont pas directement répondu aux questions sur le jailbreak créé par Polyakov. Anthropic, qui gère le système Claude AI, affirme que le jailbreak "fonctionne parfois" contre Claude, et qu'il améliore constamment ses modèles.

"Alors que nous donnons à ces systèmes de plus en plus de puissance, et qu'ils deviennent eux-mêmes plus puissants, ce n'est pas seulement une nouveauté, c'est un problème de sécurité", explique Kai Greshake, un chercheur en cybersécurité qui a travaillé sur la sécurité des LLM. Greshake, avec d'autres chercheurs, a démontré comment les LLM peuvent être impactés par le texte auquel ils sont exposés en ligne via des attaques par injection rapide.

Dans un article de recherche publié en février, rapporté par Vice’s Motherboard, les chercheurs ont pu montrer qu’un attaquant peut planter des instructions malveillantes sur une page Web ; si le système de chat de Bing a accès aux instructions, il les suit. Les chercheurs ont utilisé la technique dans un test contrôlé pour transformer Bing Chat en un escroc qui demandait des informations personnelles aux gens. Dans un cas similaire, Narayanan de Princeton a inclus un texte invisible sur un site Web disant à GPT-4 d'inclure le mot "vache" dans une biographie de lui - il l'a fait plus tard lorsqu'il a testé le système.

"Maintenant, les jailbreaks ne peuvent pas provenir de l'utilisateur", explique Sahar Abdelnabi, chercheur au CISPA Helmholtz Center for Information Security en Allemagne, qui a travaillé sur la recherche avec Greshake. "Peut-être qu'une autre personne planifiera des jailbreaks, planifiera des invites qui pourraient être récupérées par le modèle et contrôlera indirectement le comportement des modèles."

Aucune solution rapide

Les systèmes d'IA générative sont sur le point de perturber l'économie et la façon dont les gens travaillent, de la pratique du droit à la création d'une ruée vers l'or pour les startups. Cependant, ceux qui créent la technologie sont conscients des risques que les jailbreaks et les injections rapides pourraient poser à mesure que de plus en plus de personnes accèdent à ces systèmes. La plupart des entreprises utilisent le red-teaming, où un groupe d'attaquants essaie de percer des trous dans un système avant qu'il ne soit publié. Le développement de l'IA générative utilise cette approche, mais cela peut ne pas suffire.

Daniel Fabian, le chef de l'équipe rouge chez Google, a déclaré que l'entreprise "traitait soigneusement" le jailbreak et les injections rapides sur ses LLM, à la fois offensivement et défensivement. Des experts en apprentissage automatique font partie de son équipe rouge, explique Fabian, et les subventions de recherche sur la vulnérabilité de l'entreprise couvrent les jailbreaks et les attaques par injection rapide contre Bard. "Des techniques telles que l'apprentissage par renforcement à partir de la rétroaction humaine (RLHF) et l'ajustement sur des ensembles de données soigneusement sélectionnés sont utilisées pour rendre nos modèles plus efficaces contre les attaques", déclare Fabian.

 

REF.:  https://www.wired.com/story/chatgpt-jailbreak-generative-ai-hacking/

samedi 25 février 2023

L'IME d' Intel et les logiciels espions embarqués:

 L'IME d' Intel et les logiciels espions embarqués:


 si Intel Management Engine est un logiciel espion intégré agressif dans votre CPU qui suit la façon dont vous utilisez votre PC et peut le faire fonctionner à distance, existe-t-il un moyen de le désactiver et d'avoir toujours un CPU fonctionnel ? Il y a toute une communauté qui développe des "exploits" qui neutralisent l'IME. Cet article est lié à d'autres articles expliquant comment le neutraliser sur différentes générations de matériel. Désactiver la porte dérobée d'Intel sur le matériel moderne Alors que le moteur de gestion Intel (et, dans une mesure similaire, le processeur de sécurité de la plate-forme AMD) continue d'affliger les processeurs informatiques modernes avec des risques de sécurité, quelques petits progrès se poursuivent t… https://hackaday.com/2020/06/16/disable-intels-backdoor-on-modern-hardware/ Vraiment, tout ce que vous aviez à faire était de rechercher les logiciels espions du moteur de gestion Intel et vous pourriez trouver beaucoup plus d'informations. Je vous suggère de le faire maintenant. L'utilisation de ces solutions peut violer diverses licences que vous avez avec Intel. Ils ne sont pas non plus garantis eux-mêmes comme étant exempts de logiciels malveillants. Je ne recommande rien de tout cela, mais vous pouvez chercher les réponses que vous voulez à travers cet article. 

 

Par:  Caveat emptor. https://okorohworld.quora.com/If-Intel-Management-Engine-is-an-aggressive-embedded-spyware-unit-in-your-CPU-which-tracks-how-you-use-your-PC-and-can-o-1?__nsrc__=4&__snid3__=49281920488


Et ce que les hackers ont vus: (du bizounnage avec cancellation de garantie ,comme pour toute autre piratage)

Désactiver la porte dérobée d'Intel sur le matériel moderne 40 commentaires par :

 Bryan Cockfield 16 juin 2020 

 Alors que le moteur de gestion Intel (et, dans une mesure similaire, le processeur de sécurité de la plate-forme AMD) continue d'affliger les processeurs informatiques modernes avec des risques de sécurité, de petits progrès continuent d'être réalisés pour les utilisateurs qui apprécient la sécurité du matériel et des logiciels qu'ils possèdent. La dernière tentative de désactivation du ME est une carte mère ASRock pour les puces Intel de 8e et 9e génération. (Il existe également un lien vers un article Reddit sur ce projet).  

Tout d'abord, un bref rappel : le ME est complètement amovible sur certains ordinateurs construits avant 2008, et peut être partiellement désactivé ou désactivé sur certains ordinateurs construits avant 2013 environ. Cela ne permet pas beaucoup d'options pour ceux d'entre nous qui veulent du matériel moderne, mais grâce à une sorte de petit "exploit", certains chipsets modernes sont capables d'éteindre le ME. Cela est dû à l'exigence du gouvernement américain selon laquelle le ME doit être désactivé pour les ordinateurs dans les applications sensibles. Intel autorise donc la définition d'un certain bit non documenté, appelé bit HAP, qui désactive le ME. Les chercheurs ont pu localiser et manipuler ce bit sur cette carte mère spécifique pour désactiver le ME. Bien que cela ne supprime pas complètement le micrologiciel, cela arrête toute exécution de code d'une manière acceptable pour une grande organisation gouvernementale, donc si vous avez besoin à la fois de sécurité et de matériel moderne, c'est l'un des rares moyens d'atteindre cet objectif. Il existe également d'autres options très limitées, mais si vous souhaitez supprimer complètement le ME, même sur un ancien matériel, le processus lui-même n'est pas aussi simple que vous pourriez l'imaginer.

 

REF.:   https://hackaday.com/2020/06/16/disable-intels-backdoor-on-modern-hardware/

 

 



REF.: https://hackaday.com/2020/06/16/disable-intels-backdoor-on-modern-hardware/

lundi 30 janvier 2023

Bien comprendre la chaîne d’une cyberattaque – Le Monde Informatique

 

Bien comprendre la chaîne d’une cyberattaque – Le Monde Informatique

Bien comprendre la chaîne d’une cyberattaque – Le Monde Informatique

Tamlin Magee IDG (adaptation Jean Elyan) , publié le 16 Juillet 2018

10-13 minutes


Une bonne compréhension de l’anatomie et des processus successifs mis en oeuvre dans une cyberattaque réussie permet de trouver des parades et d’atténuer de futures attaques.

L’armée américaine a été la première à formaliser le concept de « kill chain » ou « chaîne de frappe », six étapes définies par l’acronyme F2T2EA (Find, Fix, Track, Target, Engage, Assess) qu’il faut effectuer pour atteindre une cible. Les stratégies de défense aérienne ont beaucoup travaillé pour réduire ce cycle F2T2EA : de 24 h lors de la Guerre du Golfe, il était passé à 12 minutes, 15 ans plus tard. C’est une chaîne, dans le sens où la défaillance d’un des maillons peut mettre en péril tout le processus d’attaque pu de riposte. En 2011, l’entreprise de défense Lockheed Martin a mis au point un modèle de chaîne de frappe qui s’applique aux menaces de cybersécurité, ce qu’elle appelle cette fois-là « cyber kill chain » ou « chaîne de frappe cybernétique ». Cette chaîne répertorie sept actions qui permettent généralement de réussir une cyberattaque :

– La reconnaissance : c’est la collecte d’informations et le repérage de la cible. Il s’agit soit de collecte d’adresses électroniques, soit de techniques d’ingénierie sociale. Rechercher la cible sur les réseaux sociaux, ou toute autre information disponible sur le web. Ou encore, rechercher des serveurs ouverts, ou des serveurs connectés à Internet et essayer de cibler ceux qui utilisent des informations d’identification par défaut, assez faciles à trouver à l’aide de Shodan par exemple.

– L’armement : pour Lockheed, l’armement consiste à « coupler un exploit avec une porte dérobée dans une charge utile livrable ». En d’autres termes, il s’agit de construire un système d’attaque – trouver un moyen de compromettre le réseau, trouver le bon logiciel malveillant pour accomplir la mission, par exemple un cheval de Troie avec accès à distance, et une technique pour tromper la cible et l’inciter à déclencher l’attaque.

– La livraison : dans cette phase, il s’agit de livrer un pack d’attaque à la victime par e-mail, web, USB, etc. Cette étape, plutôt explicite fait référence à la logistique d’acheminement de la charge utile de A à B à C.

– L’exploitation : une fois la livraison effectuée, il faut une solution pour exploiter la vulnérabilité sur le système cible pour exécuter le code malveillant.

– L’installation : c’est l’installation dudit code.

– La commande et le contrôle : Il s’agit du « canal de commande qui va servir à manipuler la victime à distance ». Maintenant que la cible est totalement compromise, le système compromis va retourner un Ping à l’attaquant. Le signal passe généralement par l’intermédiaire d’un bot, d’un zombie ou d’un autre système compromis, afin de brouiller la piste qui permettrait de remonter à l’attaquant initial.

– Les actions sur les objectifs : c’est là que l’attaquant effectue la mission qu’il s’était donnée au départ : espionner, compromettre des systèmes plus profonds sur le réseau, voler des identifiants, installer des ransomwares ou tout simplement faire des dégâts dans un système.

À l’image de la « kill chain » militaire, une cyberattaque typique doit inclure toutes ces étapes pour réussir. Aujourd’hui, la majorité des attaques suivent plus ou moins ce schéma. Mais on peut raisonnablement imaginer qu’actuellement les pirates développent des attaques plus sophistiquées et ne pas exclure que des attaques faisant davantage appel à l’automatisation, voire même à l’intelligence artificielle, sont peut-être menées à l’état sauvage. Cependant, la plupart des pirates utilisent les méthodes qui sont à leur portée : Phishing, ransomware worms, etc.

Se défendre à chaque étape de la chaîne d’attaque.

Dans un livre blanc publié en 2015 par Lockheed Martin (PDF), les auteurs passent en revue certaines mesures de précaution que les entreprises peuvent prendre pour limiter les dommages à chaque étape de la chaîne.

La reconnaissance : elle est difficile à défendre parce qu’elle peut souvent s’appuyer sur l’exploitation d’informations disponibles sur le Web pour établir un profil détaillé de la cible. Après un vol de données, il arrive souvent que ces données soient vendues sur le Dark Web pour quelques dollars, ou se retrouvent à la vue de tous sur Internet. Par exemple, après le piratage massif de 68 millions de comptes DropBox en 2012, des données avaient été retrouvées sur Pastebin en 2014. L’entreprise peut néanmoins collecter les logs des visiteurs pour faire des recherches ultérieures en cas d’attaque. Lockheed Martin conseille aussi de scruter les données des navigateurs et de créer des alertes pour repérer les comportements de navigation typique des cyberattaques. Ensuite, si l’entreprise soupçonne une action de reconnaissance, elle peut mobiliser des ressources de défense sur les personnes ou les technologies, ce qui lui donnera un avantage considérable pour se protéger.

– L’armement : cette phase concerne essentiellement l’attaquant, de sorte qu’il est peu probable de savoir à l’avance à quoi ressemblera la charge utile avant l’attaque. Mais il est toujours possible d’appliquer des règles de mises à jour rigoureuses dans toute l’entreprise et de sensibiliser les employés. Deux atouts sur lesquels misent généralement les attaquants sont en effet le défaut d’application des correctifs ou des mises à jour et l’erreur humaine. Si une entreprise repère une attaque, elle peut analyser le malware si elle en a les ressources, éventuellement dans une machine virtuelle sécurisée. Elle pourra ainsi comprendre pourquoi et comment le malware est construit, mais aussi identifier des points de vulnérabilité dans ses systèmes. « Il faut tout examiner ! » conseille encore Lockheed Martin.

– La livraison : toute entreprise ayant une compréhension rudimentaire des meilleures pratiques en matière de sécurité devrait mettre en place des solutions de protection périmétrique, c’est-à-dire des pare-feu et, idéalement, un balayage actif des menaces sur le réseau lui-même, pour identifier d’éventuelles anomalies. Mais le meilleur pare-feu ne sert à rien s’il n’a pas été correctement configuré par une personne qui sait ce qu’elle fait. Le pare-feu ne peut être efficace s’il se limite à une activité de journalisation sans empêcher ou signaler les activités malveillantes. Encore une fois, Lockheed Martin recommande de sensibiliser les utilisateurs et de réaliser des tests pour éprouver les salariés. Beaucoup d’attaques commencent par l’envoi de courriels factices aux employés. Elles permettent déjà à l’attaquant d’évaluer le niveau de vigilance de l’entreprise. Mais, encore une fois, les humains sont humains – et ils font des erreurs. Du point de vue technique, il serait utile de faire des analyses de vulnérabilité et de demander à des équipes de réaliser des tests de pénétration réguliers. Lockheed Martin recommande aux entreprises de durcir les points d’extrémité, notamment de restreindre les privilèges administrateur à l’aide de Microsoft Enhanced Mitigation Experience Toolkit (EMET) et d’ajouter des règles personnalisées pour empêcher l’exécution de shellcode. Le contracteur recommande encore de « tout vérifier », en particulier les points d’extrémité, pour essayer de comprendre la racine de l’exploit.

– Installation : si l’entreprise constate que des logiciels malveillants ont été exécutés sur son réseau, le premier conseil des auteurs du rapport de Lockheed Martin est ne pas paniquer. « Faites de votre mieux pour isoler l’attaque, même si cela suppose de réduire les opérations courantes de la journée ». Ils recommandent également d’auditer les processus d’extrémité pour rechercher de nouveaux fichiers inhabituels et d’utiliser un système de prévention d’intrusion hôte pour alerter ou bloquer les chemins les plus couramment utilisés pour réaliser des installations. Encore une fois, le mieux est d’essayer de comprendre le malware, savoir s’il est du type Zero-day, si sa signature est ancienne ou récente, les privilèges qu’il cherche à obtenir, où il est localisé, et comment il fonctionne.

Dernière chance pour bloquer une attaque

Quant à l’étape de « commande et de contrôle », Lockheed Martin la définit comme « la dernière chance pour la cible de bloquer l’opération… Car, si les attaquants ne peuvent pas envoyer leurs ordres, la cible peut encore bloquer l’attaque ». Mais, cela ne peut pas s’appliquer à tous les malwares, en particulier ceux qui visent un sabotage systématique ou qui veulent créer le plus grand désordre possible. Voici ce qu’il est possible de faire selon Lockheed : lancer une analyse des logiciels malveillants sur l’ensemble de l’infrastructure, durcir le réseau en réduisant le nombre de points de présence Internet, et mettre en place des proxies pour tous les types de trafic, y compris HTTP et DNS. L’entreprise peut également introduire des blocs de catégories de proxy, des gouffres ou « sinkhole » DNS et s’informer sur les attaques en cherchant sur Internet ce que l’on sait peut être déjà sur l’attaque et sur l’infrastructure d’attaque.

– Actions sur les objectifs : de nombreuses attaques restent inaperçues pendant des jours, des semaines, des mois, voire des années. Donc, si l’entreprise détecte une intrusion, les auteurs estiment que la bataille est à moitié gagnée. Elle peut déjà prendre rapidement des mesures d’atténuation. Elle peut par exemple chercher si des données ont été exfiltrées et lesquelles, si le malware s’est répandu (en particulier latéralement), rechercher si des identifiants non autorisés ont été utilisés. Selon Lockheed Martin, c’est le moment de sortir son manuel d’interventions en cas d’incident. Cela implique aussi de parler avec les cadres au plus haut niveau de l’entreprise – et prévoir aussi de s’entendre sur une stratégie de communication avec le service concerné. Elle devra probablement prendre contact avec les autorités locales chargées de la protection des données et avec la police, et éventuellement divulguer l’attaque au public.

En terme d’attaques, la probabilité est plutôt de l’ordre du « quand » que du « si », et le grand public comprend cela de mieux en mieux, de sorte qu’il est préférable, du point de vue des relations publiques, d’être ouvert et transparent dès le début, plutôt que de se taire (comme l’avait fait Uber). Selon la gravité de l’attaque, l’entreprise devra peut-être faire appel à des experts externes. Il faudra aussi qu’elle essaye de tirer les leçons de l’attaque et d’améliorer ses processus de sécurité pour réduire à l’avenir des risques d’attaques similaires.

REF.: https://www.lemondeinformatique.fr/actualites/lire-bien-comprendre-la-chaine-d-une-cyberattaque-72336.html

dimanche 29 janvier 2023

Votre empreinte digitale aide les pirates à attaquer les réseaux informatiques


 

 
Votre empreinte digitale aide les pirates à attaquer les réseaux informatiques

    juin 22, 2022

Qu’est-ce qu’une empreinte numérique ?

Une empreinte numérique, aussi appelée ombre numérique ou empreinte électronique, désigne les traces, les données que vous laissez derrière vous quand vous utilisez internet. Oui, dès que vous visiter un site internet, vous laissez une trace. De même que lorsque vous envoyez un email ou pour toute autre utilisation, les données de votre activité en ligne peuvent être suivies pas à pas par qui sait s’y prendre.

L’ensemble de ces données laissées ici ou là s’appelle l’empreinte numérique.

Cette empreinte peut se développer de plusieurs manières :

    Activement, lorsque vous laissez vos données en toute conscience (votre email pour vous inscrire à une newsletter, un post sur votre réseau social préféré, un achat dans un e-commerce ou en laissant votre avis sur le restaurant où vous avez dîné hier soir).
    Passivement, lorsque vous cliquez sans trop faire attention sur « j’accepte les cookies » par exemple, vous autorisez le site à suivre vos activités. Et il est facile de savoir où vous voyagez, où vous vous trouvez en temps réel, votre état de santé, etc. Une fois que vous avez autorisé une organisation à accéder à vos informations, elle est en droit de vendre ou de partager vos données à n’importe quel tiers. Pire, en cas de violation de données, elles peuvent être volées et utilisées à mauvais escient.

Que deviennent mes données ?

Ces données sont collectées, assemblées, stockées et analysées par tous : les grandes entreprises de média sociaux, les fabricants d’applications, les publicitaires… Comme vous pouvez maintenant l’imaginer, si toutes ces données peuvent être consultées par n’importe qui, rien ne les empêche d’atterrir entre les mains d’un pirate informatique aux intentions malveillantes. Votre empreinte numérique met bel et bien en péril votre vie privée, mais elle affecte aussi la cybersécurité.

Que peuvent faire les pirates informatiques de ces données ?

Les cybercriminels peuvent utiliser les informations personnelles et confidentielles recueillies en ligne pour attaquer.

Si, par exemple, votre question de sécurité de mot de passe de votre banque est « quel est le nom de mon chien », et que vous l’avez écrit en légende d’une photo que vous avez postée sur Instagram, rien n’empêche ce pirate d’accéder à votre mot de passe et à vider vos comptes en banque…

Ces informations servent aussi à peaufiner et à personnaliser au maximum une attaque de phishing pour accéder aux informations confidentielles de votre entreprise ou à monter une attaque contre elle en accédant à ses réseaux sécurisés grâce à (ou à cause) de vous.

Et ce n’est pas de la science-fiction ! Depuis début 2020, les attaques de phishing impliquant l’ingénierie sociale ont doublé.

La réussite de ces attaques dépend de l’authenticité du contenu des messages. si vous semez trop d’informations en ligne, le pirate n’aura aucun mal à vous attaquer facilement, en vous faisant croire qu’il vous connaît bien.

S’il connaît vos amis, les lieux que vous fréquentez et votre métier, vous serez susceptible de lui faire confiance beaucoup plus facilement. Il peut ensuite cibler votre travail, votre entreprise, votre famille et vos amis.
Que faire pour prévenir ces attaques ?

Tout d’abord, dès que vous vous apprêtez à laisser une information qui vous concerne en ligne, réfléchissez-y à deux fois. Car lorsque l’information sera sortie, elle sera disponible pour tout le monde, y compris les personnes malveillantes.

Il est aussi indispensable, voire vital d’éduquer le plus possible. Chef d’entreprise, formez vos employés, parents, prévenez votre famille, et amis, parlez-en autour de vous : il existe des façons simples de naviguer en toute sécurité sur internet et d’utiliser les réseaux sociaux de manière responsable.


REF.: https://www.pandasecurity.com/fr/mediacenter/securite/empreinte-numerique/?track=180715

jeudi 19 janvier 2023

Crackme: destiné à tester les capacités en rétro-ingénierie d'un programmeur+le livre Reverse Engineering for Beginners

 

 Crackme: destiné à tester les capacités en rétro-ingénierie d'un programmeur+le livre Reverse Engineering for Beginners

Crackme: un programme simple destiné à tester les capacités en rétro-ingénierie d'un programmeur

 


Un crackme (littéralement « crack-moi » en anglais) est un programme simple destiné à tester les capacités en rétro-ingénierie d'un programmeur. Le but typique d'un crackme est d'être modifié afin que la routine d'enregistrement de celui-ci fonctionne dans tous les cas.

Les crackmes (et implicitement les protocoles de sécurité qu'ils utilisent) sont tantôt programmés et vus soit comme de simples jeux, soit comme de réels entraînements destinés à enlever des protections logicielles ou matérielles. Cependant les crackme faisant appel à des protections matérielles ("hardware" en anglais) sont beaucoup moins courantes.

Le terme de crackme est parfois utilisé génériquement pour désigner les reversemes (programme nécessitant l'ajout ou la réparation de fonctions) ou les keygenmes (programme nécessitant la programmation d'un keygen).

L'évolution de l'accessibilité aux nouvelles technologies a permis à de plus en plus de passionnés d'informatique de développer leur connaissance en matière de hacking-blanc (piratage légal), et le développement en masse des sites web référençant des crackme en est l'exemple parfait. Désormais tout un chacun peut se procurer un crackme et progresser dans la sécurité informatique, ce qui est d'autant plus renforcé par l'aspect clairement ludique de la grande majorité des crackme.

Les crackme logiciels

Un crackme "logiciel" désigne le genre le plus courant de crackme, à savoir un petit logiciel dont la principale fonction est d'être "hacké". Ces mêmes logiciels sont généralement désassemblés par les ingénieurs en sécurité informatique. Une fois désassemblé, un crackme laisse apparaître des failles plus ou moins évidentes à comprendre (en fonction du niveau de celui-ci).

Les ingénieurs ou bien plus simplement les passionnés d'informatique peuvent alors profiter des faiblesses (ou faille informatique) du crackme pour le résoudre, à savoir le rendre accessible dans tous les cas.

Les crackme d'un nouveau genre (hardware ou web)

Avec l'évolution des nouvelles technologies, de nouveaux genres de crackme sont apparus, par exemple des sites web spécialisés dans la cryptanalyse et dont le fonctionnement rappellent ceux des crackme.

Par exemple le site newbiecontest qui propose des épreuves ludiques de niveaux croissants permettant de mettre au jour des failles de sécurité allant de la simple faille web du déni de service aux failles bien plus complexes de certains crackme.

Les crackme hardware correspondent en fait à des systèmes électroniques ou physiques ("hardware" en anglais) mis en place dans le seul but d'être piratés pour faire progresser le monde de la cryptographie. Cependant il est à noter que de nos jours de tels systèmes sont très rarement accessibles au public et restent des outils utilisés principalement par les professionnels de la sécurité informatique. 

-

Un livre gratuit pour vous mettre au Reverse Engineering

Je ne sais pas pour vous, mais quand j’ai envie de me détendre, je peux me mettre à cuisiner, à écrire sur le blog, à faire un peu de musique sur FL Studio ou jouer à reverser quelques crackmes.

Je faisais pas mal de reverse engineering quand j’étais ado, ça remonte un peu, et j’étais clairement rouillé. Et en septembre, je m’y suis remis un peu. Les outils ont changé, les crackmes se sont complexifiés, mais la démarche intellectuelle reste la même. Et c’est clairement un gros kiffe de comprendre comment fonctionne un algo et essayer de l’apprivoiser, le détourner ou le contourner.

Alors évidemment, pour apprendre il existe de nombreuses ressources un peu partout sur la toile et principalement en anglais et surtout, il y a Root Me qui permet de se lancer directement sur des challenges avec un niveau de difficulté croissant.

Et si le sujet vous intéresse et que vous voulez vous y mettre, il existe un livre au format PDF, qui s’appelle « Reverse Engineering for Beginners« , disponible dans plusieurs langues dont le FRANÇAIS et qui vous permettra d’apprendre les bases du reverse engineering. Comprendre le code assembleur, savoir chercher les trucs qui comptent dans le code, les bons outils pour bosser et pas mal d’exemples et d’études de cas.


C’est un contenu assez long (+1000 pages) mais les vacances de Noël arrivent dont vous allez bientôt avoir un peu de temps devant vous.

Bonne lecture !

Que faire après le bac quand on est passionné de cybersécurité ?


Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

REF.:https://korben.info/un-livre-gratuit-pour-vous-mettre-au-reverse-engineering.html

Annexes

Articles connexes 

https://beginners.re/

Liens externes

  • (en) crackmes.de [archive] crackmes.de, contenant de nombreux crackmes à but ludique uniquement. (lien mort)
  • (en) crackmes.one [archive] crackmes.one, successeur de crackmes.de
  • (fr) defisfc.free.fr [archive] Sauvegarde du site contenant de nombreux crackmes
  • (fr) CrackMe-Bros.fr [archive] Site web français et gratuit proposant des crackme "web" ludique et de différents niveaux pour progresser dans la cryptanalyse
  • (fr) HackAndModz.net [archive] Site web contenant de nombreux challenges dans le domaine de la rétro-ingénierie (CrackMe, UnpackMe, KeygenMe, etc.)

REF.:  https://fr.wikipedia.org/wiki/Crackme