Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.
C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.
Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !
Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.
Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.
Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :
Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.
Voici une histoire qui va vous donner des sueurs froides dans le dos juste avant d’aller faire dodo ! Figurez-vous que Raspberry Robin, ce satané malware plus fourbe qu’un présentateur de C8, est de retour pour une nouvelle tournée de piratage en 2024 façon Taylor Swift. Les chercheurs en cybersécurité de chez HP Wolf Security ont repéré ses traces et croyez-moi, il a plus d’un tour dans son sac pour passer entre les mailles du filet !
Ce petit malin utilise des fichiers WSF (Windows Script Files) bien planqués sur différents domaines et sous-domaines pour se faufiler incognito. Et le pire, c’est qu’il arrive à berner ses victimes pour qu’elles aillent d’elles-mêmes sur ces pages web piégées. Une fois que le fichier WSF est exécuté, bim ! Il télécharge son payload principal, un DLL bien vicieux qui peut être n’importe quoi : du SocGholish, du Cobalt Strike, de l’IcedID, du BumbleBee, du TrueBot ou même du ransomware.
Mais avant de télécharger son précieux DLL, il va mener une série de reconnaissances pour vérifier s’il n’est pas en train de se faire piéger dans un environnement d’analyse ou une machine virtuelle. Et si jamais il détecte la présence d’un antivirus comme Avast, Avira, Bitdefender, Check Point, ESET ou Kaspersky, il se met direct en mode furtif et reste planqué.
Et comme si ça suffisait pas, il est même capable de bidouiller les règles d’exclusion de Microsoft Defender pour être sûr de passer entre les gouttes. C’est vraiment le Solid Snake des malwares ! Les scripts qu’il utilise ne sont même pas reconnus comme malveillants par les scanneurs sur VirusTotal, c’est dire à quel point il est balèze en infiltration.
Alors c’est sûr, avec Raspberry Robin dans la nature, faut être sur ses gardes. Ce malware est une vraie plaie depuis qu’il a été découvert en 2021. Au début, il se planquait sur des clés USB avec un fichier LNK qui pointait vers son payload hébergée sur un appareil QNAP compromis. Mais maintenant, il a évolué et il est devenu encore plus sournois.
Bref, gaffe à vous… Assurez-vous d’avoir un bon antivirus à jour, ne cliquez pas n’importe où et méfiez-vous comme de la peste des clés USB inconnues qui traînent.
Google cherche à bloquer le vol de cookies sur le navigateur Chrome, une technique courante employée par les cybercriminels. Pour cela, la société américaine introduit une nouvelle norme d'authentification sur les appareils.
Cybermalveillance.gouv.fr, la plateforme gouvernementale d'assistance aux victimes de piratage, a mis en ligne un programme de test et de sensibilisation à la cybersécurité pour le grand public. Baptisé SensCyber, il permet d'acquérir les bons gestes pour comprendre et éviter les cyberattaques.
Pour répondre à la demande urgente de personnels supplémentaires dans la cybersécurité, l'ANSSI, la sentinelle chargée de la protection numérique de l'administration française, publie un rapport pour briser les clichés du secteur.
Une équipe de hackers éthiques français a remporté un concours de piratage de Tesla pour la deuxième fois. Ces compétitions visent à sécuriser les véhicules, avant que des pirates malveillants s'attaquent sérieusement aux voitures connectées.
Oh la vache les amis, j’ai une nouvelle de dingue à vous raconter ! Vous savez, on kiffe tous nos IA assistants, genre ChatGPT et compagnie. On leur confie nos pensées les plus intimes, nos secrets les mieux gardés. Que ce soit pour des questions de santé, de couple, de taf… On se dit « pas de soucis, c’est crypté, personne ne pourra lire nos conversations privées » (oui, moi je dis « chiffré », mais vous vous dites « crypté »). Eh ben figurez-vous qu’une bande de joyeux lurons (des chercheurs en cybersécu quoi…) a trouvé une faille de ouf qui permet de déchiffrer les réponses des IA avec une précision hallucinante ! 😱
En gros, ils exploitent un truc qui s’appelle un « canal auxiliaire » (ou « side channel » pour les bilingues). C’est présent dans quasiment toutes les IA, sauf Google Gemini apparemment. Grâce à ça et à des modèles de langage spécialement entraînés, un hacker qui espionne le trafic entre vous et l’IA peut deviner le sujet de 55% des réponses interceptées, souvent au mot près. Et dans 29% des cas, c’est même du 100% correct, mot pour mot. Flippant non ?
Concrètement, imaginez que vous discutiez d’un éventuel divorce avec ChatGPT. Vous recevez une réponse du style : « Oui, il y a plusieurs aspects juridiques importants dont les couples devraient être conscients quand ils envisagent un divorce…bla bla bla » Eh ben le hacker pourra intercepter un truc comme : « Oui, il existe plusieurs considérations légales dont une personne devrait avoir connaissance lorsqu’elle envisage un divorce…«
C’est pas exactement pareil mais le sens est là ! Pareil sur d’autres sujets sensibles. Microsoft, OpenAI et les autres se font vraiment avoir sur ce coup-là… 🙈
En fait cette faille elle vient des « tokens » utilisés par les IA pour générer leurs réponses. Pour vous la faire simple, c’est un peu comme des mots codés que seules les IA comprennent. Le souci c’est que les IA vous envoient souvent ces tokens au fur et à mesure qu’elles créent leur réponse, pour que ce soit plus fluide. Sauf que du coup, même si c’est crypté, ça crée un canal auxiliaire qui fuite des infos sur la longueur et la séquence des tokens… C’est ce que les chercheurs appellent la « séquence de longueurs de tokens ». Celle-là, on l’avait pas vu venir ! 😅
Bon vous allez me dire : c’est quoi un canal auxiliaire exactement ?
Alors c’est un moyen détourné d’obtenir des infos secrètes à partir de trucs anodins qui « fuient » du système. Ça peut être la conso électrique, le temps de traitement, le son, la lumière, les ondes… Bref, tout un tas de signaux physiques auxquels on prête pas attention. Sauf qu’en les analysant bien, des hackers malins arrivent à reconstituer des données sensibles, comme vos mots de passe, le contenu de mémoire chiffrée, des clés de chiffrement… C’est ouf ce qu’on peut faire avec ces techniques !
Après attention hein, faut quand même avoir accès au trafic réseau des victimes. Mais ça peut se faire facilement sur un Wi-Fi public, au taf ou n’importe où en fait. Et hop, on peut espionner vos conversations privées avec les IA sans que vous vous doutiez de rien…
Donc voilà, le message que j’ai envie de faire passer avec cet article c’est : Ne faites pas une confiance aveugle au chiffrement de vos conversations avec les IA ! Ça a l’air sûr comme ça, mais y a toujours des ptits malins qui trouvent des failles auxquelles personne n’avait pensé… La preuve avec ce coup de la « séquence de longueurs de tokens » ! Donc faites gaffe à ce que vous confiez aux ChatGPT et autres Claude, on sait jamais qui pourrait mettre son nez dans vos petits secrets… 😉
Allez, je vous laisse méditer là-dessus ! Si vous voulez creuser le sujet, je vous mets le lien vers l’article d’Ars Technica qui détaille bien le truc.
Prenez soin de vous et de vos données surtout ! ✌️ Peace !
Oh my god !
Voici une bien mauvaise nouvelle pour les utilisateurs de Linux que nous sommes ! Un malware baptisé NerbianRAT sévit dans la nature depuis au moins 2 ans et il vient juste d’être identifié. Cette saleté est capable de voler vos identifiants en exploitant des failles de sécurité récemment corrigées.
C’est la boîte de sécu Checkpoint Research qui a révélé l’existence de cette variante Linux de NerbianRAT. D’après eux, c’est un groupe de cybercriminels nommé « Magnet Goblin » qui est derrière tout ça. Et leur technique est bien vicieuse : ils exploitent des vulnérabilités à peine patchées (les fameux « 1-day ») en rétro-ingéniérant les mises à jour de sécurité. Comme ça, ils peuvent cibler les machines pas encore à jour. Malin !
En plus de NerbianRAT, Checkpoint a aussi découvert un autre malware appelé MiniNerbian. C’est une version allégée utilisée pour backdoorer les serveurs e-commerce Magento et les transformer en serveurs de commande et contrôle pour le botnet NerbianRAT.
Mais le plus inquiétant c’est que Magnet Goblin est très réactif pour s’accaparer les dernières vulnérabilités 1-day et déployer ses saloperies comme NerbianRAT et MiniNerbian. Ça leur permet d’infecter des machines jusqu’ici épargnés comme les appareils qui se trouvent en périphérie de réseau comme le matériel IoT.
Checkpoint est tombé sur NerbianRAT en analysant les attaques récentes qui exploitent des failles critiques dans Ivanti Secure Connect. Dans le passé, Magnet Goblin a aussi exploité des 1-day dans Magento, Qlink Sense et possiblement Apache ActiveMQ pour propager son malware.
Les chercheurs ont trouvé cette variante Linux de NerbianRAT sur des serveurs compromis contrôlés par Magnet Goblin, avec des URLs du style :
http://94.156.71[.]115/lxrt
http://91.92.240[.]113/aparche2
http://45.9.149[.]215/aparche2
C’est pas tout ! Magnet Goblin déploie aussi une version modifiée d’un autre malware voleur d’infos appelé WarpWire. D’après la boîte Mandiant, cette variante engrange des identifiants VPN qu’elle expédie ensuite sur un serveur du domaine miltonhouse[.]nl
.
Contrairement à sa version Windows qui est bien obfusquée, NerbianRAT Linux se protège à peine. Son code contient même des infos de debug qui permettent aux chercheurs de voir des trucs comme les noms de fonctions et de variables. Du beau travail…
Alors les amis linuxiens, méfiance ! Même si on se sent à l’abri avec notre machot, faut bien garder à l’esprit qu’aucun OS n’est invulnérable. La sécurité c’est aussi une histoire de comportement. Pensez à mettre régulièrement à jour vos machines, évitez les sites et les programmes louches, et utilisez vos neurones.
Un petit scan antivirus de temps en temps, ça peut pas faire de mal non plus. Et puis au pire, si vous chopez NerbianRAT, dites-vous que vous aurez participé bien malgré vous à une opération de recherche collaborative via VirusTotal 😉
Je vous laisse méditer là-dessus. En attendant portez-vous bien, pensez à éteindre la lumière en partant et que la Force soit avec vous !
— Article en partenariat avec Any.run —
Aujourd’hui, j’aimerais vous parler d’un service qui va modifier totalement la manière dont nous analysons et protégeons nos systèmes contre les menaces informatiques et plus particulièrement contre les attaques de phishing et les malwares qui en découlent.
Il s’agit d’ANY.RUN, un outil basé sur le cloud qui permet d’analyser sans prendre de risque et sans prise de tête, tous types de malwares présents sous Windows ou Linux. Vous l’aurez compris, ce service est d’abord conçu pour aider les chercheurs en sécurité, mais également les équipes SOC (Security Operations Center) et DFIR (Digital forensics and incident response) à examiner en détail les menaces qu’ils détectent, mais également simuler différents scénarios et ainsi obtenir des tonnes d’infos sur le comportement de ces logiciels malveillants.
Pour rappel, un malware est un logiciel malveillant capable de s’infiltrer sur votre ordinateur, et dont le seul but est de vous nuire en vous voulant des données, en vous extorquant de l’argent, en endommageant votre système ou en exploitant votre machine au travers d’un botnet. Sous Windows, ces menaces sont particulièrement virulentes, exploitant la plupart du temps des vulnérabilités du système ou les comportements imprudents des utilisateurs. Mais je ne vous apprends rien en vous disant qu’un simple clic sur un lien dans un email de phishing peut suffire à déployer par exemple un ransomware qui chiffrera alors l’ensemble de vos fichiers et exigera une rançon (en cryptomonnaie ^^) pour les récupérer.
Contrairement à d’autres outils plus basiques comme VirusTotal, ANY.RUN propose un environnement en vase clos où chaque malware peut être exécuté sans risque, comme s’il se déployait sur un véritable système. Cette approche permet aux utilisateurs d’observer en temps réel les actions du malware : De la création de nouveaux processus et l’arrivée de fichiers malveillants jusqu’aux tentatives de connexion à des URL douteuses. Tout ce qui se passe dans le système infecté, y compris les modifications apportées à la base de registre et les communications réseau, est relevé de manière transparente.
Linux étant au cœur des infrastructures informatiques des entreprises et des organisations, il représente également une cible de choix pour les cybercriminels, ce qui se confirme puisque des chercheurs d’IBM ont noté sur 2020, une hausse de 40 % des malwares ciblant spécifiquement Linux. C’est pourquoi ANY.RUN propose en plus de sa sandbox Windows, un environnement basé sur Ubuntu.
Les outils d’audit fournis par ce service permettent également de générer des rapports contenant tout ce qu’il y a à retenir de votre analyse de malware. Je parle bien sûr de vidéos, de captures d’écran, de hash de fichiers, ainsi que toutes les données accumulées durant l’exécution de la tâche.
Comme vous pouvez le voir sur les captures écran, ANY.RUN supporte les dernières versions de tous les navigateurs et systèmes d’exploitation populaires. La plupart des signatures de logiciels malveillants produites par ANY.RUN sont également poussées vers la base ATT&CK de Mitre et sont présentées de manière visuelle et pratique, ce qui permet de former les nouveaux chasseurs de malwares.
Si vous voulez analyser une nouvelle menace potentielle, pas de problème avec ANY.RUN. Il vous suffit d’uploader un fichier ou d’utiliser une URL pour lancer l’analyse dans un environnement Windows de la version de votre choix. Vous pourrez alors ajuster la durée de l’exécution, et simuler des interactions réseaux via un proxy HTTPS ou router le réseau via un VPN/Proxy/Tor. La plateforme propose également plusieurs applications et outils préinstallés pour imiter un environnement utilisateur réel. Les paramètres de confidentialité et de conservation de la tâche sont facilement spécifiables et des fonctionnalités avancées comme l’interactivité automatisée ou l’accès à ChatGPT viendront enrichir encore plus l’analyse.
L’outil affiche le schéma d’attaque du malware dans une structure arborescente interactive, vous permettant de voir en un clin d’œil les principaux processus lancés. Ensuite, toutes les données collectées au travers de cette sandbox peuvent être rejouées autant de fois qu’on le souhaite pour des analyses futures ou tout simplement générer des rapports. Bien sûr, tout est exportable et partageable, ce qui vous permettra de travailler à plusieurs sur une menace.
Dans cet exemple d’un malware en pleine action, celui-ci cherche à s’ancrer dans le système par des modifications du registre Windows, signe d’une tentative de persistance. Il exécute également un fichier batch suspect qui pourrait déployer d’autres composants nuisibles. Il utilise également la commande vssadmin.exe
pour effacer les points de restauration du système. C’est une technique typique des ransomwares pour empêcher toute récupération de données après une attaque. Vous voyez, on en apprend beaucoup avec ANY.RUN.
Au-delà des possibilités d’analyse temps réel des malwares, l’intégration poussée de la Threat Intelligence (TI) au sein d’Any Run est également à souligner. Cela se matérialise au travers d’une base de renseignement sur les menaces qui est constamment enrichie par une communauté internationale de chercheurs. Cela permet de collecter et d’analyser les malwares dès qu’ils pointent le bout de leur nez. Les indicateurs de compromission (IOC) sont alors connus, ce qui offre un gros avantage pour la suite. D’ailleurs si vous voulez vous abonner, Any run vous offre gratuitement 50 options TI en passant par ce lien.
On y retrouve dans un flux JSON / STIX ou via le site web, tous les événements liés au malware, les adresses IP, les domaines utilisés, les hash de fichiers…etc. Comme ça, les équipes SOC sont à jour sur les menaces et leurs IOC et peuvent réagir beaucoup plus vite.
Vous l’aurez compris, ANY.RUN permet aux chercheurs en sécurité d’éliminer totalement ce besoin d’avoir une infrastructure d’analyse. C’est un gain de temps et de sécurité assuré ! Et comme c’est un outil professionnel, vous pouvez également l’utiliser en combinaison avec votre SIEM (Security Information and Event Management) / SOAR (Security Orchestration, Automation and Response).
Si l’analyse de malware fait partie de votre travail ou est une passion dévorante, je vous invite donc à essayer ANY.RUN durant les 14 jours d’essai offerts.
Largement de quoi vous faire une idée !