Connexion
Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.
C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.
Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !
Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.
Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.
Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :
Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.
Voici une histoire qui va vous donner des sueurs froides dans le dos juste avant d’aller faire dodo ! Figurez-vous que Raspberry Robin, ce satané malware plus fourbe qu’un présentateur de C8, est de retour pour une nouvelle tournée de piratage en 2024 façon Taylor Swift. Les chercheurs en cybersécurité de chez HP Wolf Security ont repéré ses traces et croyez-moi, il a plus d’un tour dans son sac pour passer entre les mailles du filet !
Ce petit malin utilise des fichiers WSF (Windows Script Files) bien planqués sur différents domaines et sous-domaines pour se faufiler incognito. Et le pire, c’est qu’il arrive à berner ses victimes pour qu’elles aillent d’elles-mêmes sur ces pages web piégées. Une fois que le fichier WSF est exécuté, bim ! Il télécharge son payload principal, un DLL bien vicieux qui peut être n’importe quoi : du SocGholish, du Cobalt Strike, de l’IcedID, du BumbleBee, du TrueBot ou même du ransomware.
Mais avant de télécharger son précieux DLL, il va mener une série de reconnaissances pour vérifier s’il n’est pas en train de se faire piéger dans un environnement d’analyse ou une machine virtuelle. Et si jamais il détecte la présence d’un antivirus comme Avast, Avira, Bitdefender, Check Point, ESET ou Kaspersky, il se met direct en mode furtif et reste planqué.
Et comme si ça suffisait pas, il est même capable de bidouiller les règles d’exclusion de Microsoft Defender pour être sûr de passer entre les gouttes. C’est vraiment le Solid Snake des malwares ! Les scripts qu’il utilise ne sont même pas reconnus comme malveillants par les scanneurs sur VirusTotal, c’est dire à quel point il est balèze en infiltration.
Alors c’est sûr, avec Raspberry Robin dans la nature, faut être sur ses gardes. Ce malware est une vraie plaie depuis qu’il a été découvert en 2021. Au début, il se planquait sur des clés USB avec un fichier LNK qui pointait vers son payload hébergée sur un appareil QNAP compromis. Mais maintenant, il a évolué et il est devenu encore plus sournois.
Bref, gaffe à vous… Assurez-vous d’avoir un bon antivirus à jour, ne cliquez pas n’importe où et méfiez-vous comme de la peste des clés USB inconnues qui traînent.
Oh la vache les amis, j’ai une nouvelle de dingue à vous raconter ! Vous savez, on kiffe tous nos IA assistants, genre ChatGPT et compagnie. On leur confie nos pensées les plus intimes, nos secrets les mieux gardés. Que ce soit pour des questions de santé, de couple, de taf… On se dit « pas de soucis, c’est crypté, personne ne pourra lire nos conversations privées » (oui, moi je dis « chiffré », mais vous vous dites « crypté »). Eh ben figurez-vous qu’une bande de joyeux lurons (des chercheurs en cybersécu quoi…) a trouvé une faille de ouf qui permet de déchiffrer les réponses des IA avec une précision hallucinante ! 😱
En gros, ils exploitent un truc qui s’appelle un « canal auxiliaire » (ou « side channel » pour les bilingues). C’est présent dans quasiment toutes les IA, sauf Google Gemini apparemment. Grâce à ça et à des modèles de langage spécialement entraînés, un hacker qui espionne le trafic entre vous et l’IA peut deviner le sujet de 55% des réponses interceptées, souvent au mot près. Et dans 29% des cas, c’est même du 100% correct, mot pour mot. Flippant non ?
Concrètement, imaginez que vous discutiez d’un éventuel divorce avec ChatGPT. Vous recevez une réponse du style : « Oui, il y a plusieurs aspects juridiques importants dont les couples devraient être conscients quand ils envisagent un divorce…bla bla bla » Eh ben le hacker pourra intercepter un truc comme : « Oui, il existe plusieurs considérations légales dont une personne devrait avoir connaissance lorsqu’elle envisage un divorce…«
C’est pas exactement pareil mais le sens est là ! Pareil sur d’autres sujets sensibles. Microsoft, OpenAI et les autres se font vraiment avoir sur ce coup-là… 🙈
En fait cette faille elle vient des « tokens » utilisés par les IA pour générer leurs réponses. Pour vous la faire simple, c’est un peu comme des mots codés que seules les IA comprennent. Le souci c’est que les IA vous envoient souvent ces tokens au fur et à mesure qu’elles créent leur réponse, pour que ce soit plus fluide. Sauf que du coup, même si c’est crypté, ça crée un canal auxiliaire qui fuite des infos sur la longueur et la séquence des tokens… C’est ce que les chercheurs appellent la « séquence de longueurs de tokens ». Celle-là, on l’avait pas vu venir ! 😅
Bon vous allez me dire : c’est quoi un canal auxiliaire exactement ?
Alors c’est un moyen détourné d’obtenir des infos secrètes à partir de trucs anodins qui « fuient » du système. Ça peut être la conso électrique, le temps de traitement, le son, la lumière, les ondes… Bref, tout un tas de signaux physiques auxquels on prête pas attention. Sauf qu’en les analysant bien, des hackers malins arrivent à reconstituer des données sensibles, comme vos mots de passe, le contenu de mémoire chiffrée, des clés de chiffrement… C’est ouf ce qu’on peut faire avec ces techniques !
Après attention hein, faut quand même avoir accès au trafic réseau des victimes. Mais ça peut se faire facilement sur un Wi-Fi public, au taf ou n’importe où en fait. Et hop, on peut espionner vos conversations privées avec les IA sans que vous vous doutiez de rien…
Donc voilà, le message que j’ai envie de faire passer avec cet article c’est : Ne faites pas une confiance aveugle au chiffrement de vos conversations avec les IA ! Ça a l’air sûr comme ça, mais y a toujours des ptits malins qui trouvent des failles auxquelles personne n’avait pensé… La preuve avec ce coup de la « séquence de longueurs de tokens » ! Donc faites gaffe à ce que vous confiez aux ChatGPT et autres Claude, on sait jamais qui pourrait mettre son nez dans vos petits secrets… 😉
Allez, je vous laisse méditer là-dessus ! Si vous voulez creuser le sujet, je vous mets le lien vers l’article d’Ars Technica qui détaille bien le truc.
Prenez soin de vous et de vos données surtout ! ✌️ Peace !
Oh my god !
Voici une bien mauvaise nouvelle pour les utilisateurs de Linux que nous sommes ! Un malware baptisé NerbianRAT sévit dans la nature depuis au moins 2 ans et il vient juste d’être identifié. Cette saleté est capable de voler vos identifiants en exploitant des failles de sécurité récemment corrigées.
C’est la boîte de sécu Checkpoint Research qui a révélé l’existence de cette variante Linux de NerbianRAT. D’après eux, c’est un groupe de cybercriminels nommé « Magnet Goblin » qui est derrière tout ça. Et leur technique est bien vicieuse : ils exploitent des vulnérabilités à peine patchées (les fameux « 1-day ») en rétro-ingéniérant les mises à jour de sécurité. Comme ça, ils peuvent cibler les machines pas encore à jour. Malin !
En plus de NerbianRAT, Checkpoint a aussi découvert un autre malware appelé MiniNerbian. C’est une version allégée utilisée pour backdoorer les serveurs e-commerce Magento et les transformer en serveurs de commande et contrôle pour le botnet NerbianRAT.
Mais le plus inquiétant c’est que Magnet Goblin est très réactif pour s’accaparer les dernières vulnérabilités 1-day et déployer ses saloperies comme NerbianRAT et MiniNerbian. Ça leur permet d’infecter des machines jusqu’ici épargnés comme les appareils qui se trouvent en périphérie de réseau comme le matériel IoT.
Checkpoint est tombé sur NerbianRAT en analysant les attaques récentes qui exploitent des failles critiques dans Ivanti Secure Connect. Dans le passé, Magnet Goblin a aussi exploité des 1-day dans Magento, Qlink Sense et possiblement Apache ActiveMQ pour propager son malware.
Les chercheurs ont trouvé cette variante Linux de NerbianRAT sur des serveurs compromis contrôlés par Magnet Goblin, avec des URLs du style :
Lateo.net - Flux RSS en pagaille (pour en ajouter : @ moi) 
http://94.156.71[.]115/lxrthttp://91.92.240[.]113/aparche2 http://45.9.149[.]215/aparche2C’est pas tout ! Magnet Goblin déploie aussi une version modifiée d’un autre malware voleur d’infos appelé WarpWire. D’après la boîte Mandiant, cette variante engrange des identifiants VPN qu’elle expédie ensuite sur un serveur du domaine miltonhouse[.]nl.
Contrairement à sa version Windows qui est bien obfusquée, NerbianRAT Linux se protège à peine. Son code contient même des infos de debug qui permettent aux chercheurs de voir des trucs comme les noms de fonctions et de variables. Du beau travail…
Alors les amis linuxiens, méfiance ! Même si on se sent à l’abri avec notre machot, faut bien garder à l’esprit qu’aucun OS n’est invulnérable. La sécurité c’est aussi une histoire de comportement. Pensez à mettre régulièrement à jour vos machines, évitez les sites et les programmes louches, et utilisez vos neurones.
Un petit scan antivirus de temps en temps, ça peut pas faire de mal non plus. Et puis au pire, si vous chopez NerbianRAT, dites-vous que vous aurez participé bien malgré vous à une opération de recherche collaborative via VirusTotal 😉
Je vous laisse méditer là-dessus. En attendant portez-vous bien, pensez à éteindre la lumière en partant et que la Force soit avec vous !
— Article en partenariat avec Any.run —
Aujourd’hui, j’aimerais vous parler d’un service qui va modifier totalement la manière dont nous analysons et protégeons nos systèmes contre les menaces informatiques et plus particulièrement contre les attaques de phishing et les malwares qui en découlent.
Il s’agit d’ANY.RUN, un outil basé sur le cloud qui permet d’analyser sans prendre de risque et sans prise de tête, tous types de malwares présents sous Windows ou Linux. Vous l’aurez compris, ce service est d’abord conçu pour aider les chercheurs en sécurité, mais également les équipes SOC (Security Operations Center) et DFIR (Digital forensics and incident response) à examiner en détail les menaces qu’ils détectent, mais également simuler différents scénarios et ainsi obtenir des tonnes d’infos sur le comportement de ces logiciels malveillants.
Pour rappel, un malware est un logiciel malveillant capable de s’infiltrer sur votre ordinateur, et dont le seul but est de vous nuire en vous voulant des données, en vous extorquant de l’argent, en endommageant votre système ou en exploitant votre machine au travers d’un botnet. Sous Windows, ces menaces sont particulièrement virulentes, exploitant la plupart du temps des vulnérabilités du système ou les comportements imprudents des utilisateurs. Mais je ne vous apprends rien en vous disant qu’un simple clic sur un lien dans un email de phishing peut suffire à déployer par exemple un ransomware qui chiffrera alors l’ensemble de vos fichiers et exigera une rançon (en cryptomonnaie ^^) pour les récupérer.
Contrairement à d’autres outils plus basiques comme VirusTotal, ANY.RUN propose un environnement en vase clos où chaque malware peut être exécuté sans risque, comme s’il se déployait sur un véritable système. Cette approche permet aux utilisateurs d’observer en temps réel les actions du malware : De la création de nouveaux processus et l’arrivée de fichiers malveillants jusqu’aux tentatives de connexion à des URL douteuses. Tout ce qui se passe dans le système infecté, y compris les modifications apportées à la base de registre et les communications réseau, est relevé de manière transparente.
Linux étant au cœur des infrastructures informatiques des entreprises et des organisations, il représente également une cible de choix pour les cybercriminels, ce qui se confirme puisque des chercheurs d’IBM ont noté sur 2020, une hausse de 40 % des malwares ciblant spécifiquement Linux. C’est pourquoi ANY.RUN propose en plus de sa sandbox Windows, un environnement basé sur Ubuntu.
Les outils d’audit fournis par ce service permettent également de générer des rapports contenant tout ce qu’il y a à retenir de votre analyse de malware. Je parle bien sûr de vidéos, de captures d’écran, de hash de fichiers, ainsi que toutes les données accumulées durant l’exécution de la tâche.
Comme vous pouvez le voir sur les captures écran, ANY.RUN supporte les dernières versions de tous les navigateurs et systèmes d’exploitation populaires. La plupart des signatures de logiciels malveillants produites par ANY.RUN sont également poussées vers la base ATT&CK de Mitre et sont présentées de manière visuelle et pratique, ce qui permet de former les nouveaux chasseurs de malwares.
Si vous voulez analyser une nouvelle menace potentielle, pas de problème avec ANY.RUN. Il vous suffit d’uploader un fichier ou d’utiliser une URL pour lancer l’analyse dans un environnement Windows de la version de votre choix. Vous pourrez alors ajuster la durée de l’exécution, et simuler des interactions réseaux via un proxy HTTPS ou router le réseau via un VPN/Proxy/Tor. La plateforme propose également plusieurs applications et outils préinstallés pour imiter un environnement utilisateur réel. Les paramètres de confidentialité et de conservation de la tâche sont facilement spécifiables et des fonctionnalités avancées comme l’interactivité automatisée ou l’accès à ChatGPT viendront enrichir encore plus l’analyse.
L’outil affiche le schéma d’attaque du malware dans une structure arborescente interactive, vous permettant de voir en un clin d’œil les principaux processus lancés. Ensuite, toutes les données collectées au travers de cette sandbox peuvent être rejouées autant de fois qu’on le souhaite pour des analyses futures ou tout simplement générer des rapports. Bien sûr, tout est exportable et partageable, ce qui vous permettra de travailler à plusieurs sur une menace.
Dans cet exemple d’un malware en pleine action, celui-ci cherche à s’ancrer dans le système par des modifications du registre Windows, signe d’une tentative de persistance. Il exécute également un fichier batch suspect qui pourrait déployer d’autres composants nuisibles. Il utilise également la commande vssadmin.exe pour effacer les points de restauration du système. C’est une technique typique des ransomwares pour empêcher toute récupération de données après une attaque. Vous voyez, on en apprend beaucoup avec ANY.RUN.
Au-delà des possibilités d’analyse temps réel des malwares, l’intégration poussée de la Threat Intelligence (TI) au sein d’Any Run est également à souligner. Cela se matérialise au travers d’une base de renseignement sur les menaces qui est constamment enrichie par une communauté internationale de chercheurs. Cela permet de collecter et d’analyser les malwares dès qu’ils pointent le bout de leur nez. Les indicateurs de compromission (IOC) sont alors connus, ce qui offre un gros avantage pour la suite. D’ailleurs si vous voulez vous abonner, Any run vous offre gratuitement 50 options TI en passant par ce lien.
On y retrouve dans un flux JSON / STIX ou via le site web, tous les événements liés au malware, les adresses IP, les domaines utilisés, les hash de fichiers…etc. Comme ça, les équipes SOC sont à jour sur les menaces et leurs IOC et peuvent réagir beaucoup plus vite.
Vous l’aurez compris, ANY.RUN permet aux chercheurs en sécurité d’éliminer totalement ce besoin d’avoir une infrastructure d’analyse. C’est un gain de temps et de sécurité assuré ! Et comme c’est un outil professionnel, vous pouvez également l’utiliser en combinaison avec votre SIEM (Security Information and Event Management) / SOAR (Security Orchestration, Automation and Response).
Si l’analyse de malware fait partie de votre travail ou est une passion dévorante, je vous invite donc à essayer ANY.RUN durant les 14 jours d’essai offerts.
Largement de quoi vous faire une idée !
— Article en partenariat avec Surfshark —
Quoi de mieux pour démarrer l’année que de faire un petit résumé des différentes avancées mises en place par Surfshark VPN en 2023 ? Parce que je vous connais, vous avez encore procrastiné cet achat de protection numérique malgré les dernières offres à prix cassé de ces dernières semaines. Et parce que le budget fromage à raclette passait avant tout.
Mais vous avez changé ! Vous avez décidé de démarrer 2024 en prenant vos responsabilités et en protégeant toute votre famille. De l’ordinateur familial, à la tablette de votre conjoint(e), en passant par la console du gamin et aux smartphones de tout le monde. Tous les appareils du domicile pourront être protégés via un seul abonnement Surfshark VPN.
Je pourrai m’arrêter là, car de l’illimité en simultané il n’y a quasi qu’eux pour le proposer. Mais c’est aussi l’un des VPN les plus actif et novateur, avec pas mal de nouveautés proposées rien qu’en 2023 ! L’occasion de fêter leurs 5 ans d’existence.
On commence par le début : la connexion. Puisqu’il est possible de connecter autant de machines que vous voulez à votre compte, entrer un mot de passe complexe chaque fois n’était pas le plus rapide (bien choisir ses mots de passe). Dorénavant il est possible de le faire via le scan d’un simple QR Code ou via votre compte Google/Apple. À vous de choisir entre sécurité et facilité d’utilisation.
L’ajout du MultiHop dynamique. Apparue début 2023, cette fonctionnalité permet de vous connecter à 2 serveurs en même temps … de manière dynamique. Ce qui rend encore plus difficile le suivit de votre activité en ligne. Le multihop n’est pas nouveau en soi (l’option existait déjà par le passé, mais avec 2 serveurs prédéterminés), c’est plutôt la personnalisation qui l’est. Vous pouvez maintenant choisir vos serveurs de connexions Surfshark en fonction de ceux qui vous conviennent le mieux.
L’automatisation a aussi fait son apparition (surtout sur iOS pour l’instant). Vous pouvez dorénavant activer/désactiver automatiquement votre VPN selon des actions spécifiques et/ou via commandes vocales. Démarrage à une certaine heure, mise en route en fonction du site visité ou du réseau wifi détecté, etc. Ce n’est pas une révolution en soi, mais c’est plutôt pratique.
Toujours plus rapide ! Cela fait maintenant plusieurs mois que le VPN améliore son parc de serveurs à travers le monde. Ces derniers passent peu à peu d’une vitesse de 1Gb/s à 10Gb/s, un petit x10 qui fera plaisir à tout le monde. Et qui prépare l’arrivée massive de la 5G dans les prochains mois.
La protection de votre webcam. Ajoutée courant de l’année, cette option vous permet de gérer les applications dont vous voulez bloquer ou autoriser l’accès à votre caméra. Et si une application veut y accéder sans votre consentement, une notification vous préviendra. Certains vont faire des économies de duct tape papier collant 😉
Du côté de la fonctionnalité Surfshark Alert, ils vont un peu plus loin. Alors que le but initial était de simplement vous alerter si vos données personnelles avaient fuité quelque part, maintenant vous recevez aussi des indications de quoi en faire. Vous saurez donc quel site à leaké vos infos, à quelle date, quelles sont les données concernées et quelles actions effectuer le plus rapidement possible.
Je passe rapidement sur les différentes améliorations visuelles et d’UX, car elles parsèment la vie de quasi tous les logiciels existants. Rien de très spécial même si cette fois c’est notamment le tableau de bord dans son ensemble qui a été retravaillé. Nous avons aussi eu droit à une refonte de la fonctionnalité Cleanweb, plus de lisibilité et d’unicité entre les applications et la version desktop, etc.
Quant à la création d’identités alternatives ou l’arrivée de l’IP fixe, j’en ai déjà parlé en détail, je ne reviens donc pas dessus. Et pour finir l’année, Surfshark a lancé un début de centre de formation avec une première série basée la compréhension des différentes menaces (plus d’une centaine), les ressorts psychologiques utilisés par les hackers, etc. Des vidéos, quiz et ressources à télécharger pour 30$ (ou 20$ si vous utilisez le VPN).
L’outil a également continué à passer des audits de sécu avec succès. Comme l’audit indépendant Mobile App Security Assessment (MASA), validé il y a quelques jours.
Bref il y a encore eu pas mal de choses à se mettre sous la dent en 2023, et avec tous ces ajouts le prix n’a pas changé ! À savoir que vous pouvez bénéficier du VPN pendant 28 mois pour moins de 67€ TTC ! (moins de 2.4€/mois). N’attendez plus et démarrez 2024 en sécurité 😉
On a tous des secrets à cacher… Mais ça n’empêche pas certains développeurs un poil tête en l’air de placer ces secrets sur leurs dépôts Git. Vous l’aurez compris, quand je parle de « secrets » je parle surtout d’identifiants et de clés API qui pourraient malencontreusement se retrouver en clair dans des fichiers de code ou des textes qui seraient embarqués sur Github lors d’un git push.
Alors que faire pour éviter cela ?
Et bien que ce soit sous un aspect défensif ou offensif, Nosey Parker est l’outil qui vous faut pour dénicher les petits secrets cachés dans les coins sombres des codes et des fichiers textes de Github.
L’outil est capable de scanner des fichiers, des répertoires et l’historique entier de dépôts Git et de les passer au peigne fin à l’aide d’expressions régulières et quand il trouve quelque chose, hop l le mets de côté dans un datastore.
Cela va donc vous permettre de faire des audits de code ou tout simplement de vérifier que vous n’êtes pas ce développeur distrait dont je parlais en introduction d’article.
Pour utiliser Nosey Parker, vous pouvez le lancer via Docker ou récupérer l’outil pour macOS ou Linux ici.
Ensuite, pour scanner un dépôt git local, et mettre les résultats dans un datastore, il faut faire comme ceci :
noseyparker scan --datastore cpython cpython.gitSi vous voulez carrément scanner un dépôt Git, rien de plus simple :
noseyparker scan --datastore noseyparker --git-url https://github.com/praetorian-inc/noseyparkerPour afficher à nouveau les trouvailles d’un Scan depuis son datastore :
noseyparker summarize --datastore noseyparkerEt pour avoir le rapport détaillé :
noseyparker report --datastore noseyparkerEt voilà, vous connaitrez en détail toutes vos fuites de données. Évidemment, c’est à utiliser avec intelligence pour sécuriser votre propre code, ou dans des missions d’audit sur lesquelles vous avez été validé.
— Article en partenariat avec Cyber Management School —
On se retrouve ce matin pour parler d’une école qui vous permettra d’obtenir un diplôme à double casquette, technique et managériale. La Cyber Management School propose en effet deux cursus, étendus sur cinq ans, qui se situent à cheval entre cybersécurité et management. Histoire de mettre toutes les chances professionnelles de votre côté.
J’en ai déjà parlé sur mon site, mais le monde connaît de plus en plus d’attaques numériques qui sont d’une complexité et d’une variété toujours croissantes. La plupart des métiers cybersec sont donc très en vogue, les gouvernements et grosses boites n’ont jamais investi autant dans le domaine.
La Cyber Management School a bien identifié le problème et vise à devenir un incontournable sur la thématique. Pour cela, elle propose deux formations en cybersec (inscrites dans le Programme Grande école) : un bachelor et un master. Cybermenaces diverses, bonnes pratiques numériques, protections de systèmes informatiques et sécurisation de réseaux, intégration de l’IA, logiciels malveillants, programmation… vous toucherez à tout ! Et grâce à la couche management, vous serez en plus à même de gérer des situations spécifiques comme intégrer l’aspect moral à la pratique (éthique & Co), d’obtenir des bases en marketing et en droit, savoir gérer le relationnel, etc. Le complément idéal.
Le bachelor (ouvert aux détenteurs d’un Bac général, S, ES spé-maths ou un Bac+1/+2) s’étend sur une période de trois ans (niveau Licence). Il vous permettra de découvrir toutes les bases de l’écosystème. Au programme ? De l’informatique et de la sécu bien sûr (#CaptainObvious a encore frappé), de la programmation, des maths, des algorithmes, de la pratique et des études de cas (le programme complet). Mais aussi, et c’est très appréciable, des conférences et de nombreuses missions sur le terrain (alternance 2 mois/an) chez la centaine de partenaires (Safran, EDF, Thales, Veolia …). De quoi mettre rapidement les mains dans le cambouis.
Le master de la Cyber Management School va encore plus loin dans le détail (deux ans, équivalent à un master universitaire). Pour y accéder, vous devrez posséder le bachelor précédent ou un Bac+3. Là encore, vous aurez droit à pas mal de missions sur le terrain, mais vous aurez surtout à choisir entre deux parcours différents : Cybersecurity Architect (architecte) ou Cybersecurity Engineer (ingénieur).
Le premier est un peu moins technique, plus axé sur la compréhension des problèmes et des différents outils, les stratégies à adopter et le business modèle à concevoir, la manière d’appliquer et la communication. Pen testing, Active Directory, IOT, NIST, divers frameworks, la propriété intellectuelle, le risk management … seront autant de cordes à votre arc.
Le parcours d’ingénieur cybersec attirera de son côté plus -de barbus- ceux qui veulent être au contact de choses comme l’analyse forensique, approfondir le pen testing, toucher à des concepts comme la sécurité déceptive, le reverse engineering ou la Threat Intelligence, les SOCS, l’analyse d’un malware, etc.
Tout le détail des formations sont ici. L’école est, de plus, présente dans plusieurs grandes villes de l’hexagone, dont plusieurs campus (Paris, Lyon et Lille), mais aussi à Nantes, Rennes, Montpellier, Toulouse, Bordeaux et Aix-en-Provence dès la rentrée de septembre 2024. Les cours peuvent aussi se faire en ligne, grâce au campus e-learning !
Bref, les deux formations vous ouvriront de nombreux débouchés professionnels dans un domaine en pleine expansion (très fort taux d’employabilité). Et pas uniquement en France, puisque les cours de la Cyber Management School intègrent également une bonne dose d’anglais. Vous pouvez d’ailleurs effectuer un échange d’un semestre dans une des 10 universités internationales partenaires. Vous vous ouvrez donc les portes de l’international par la même occasion, elle est pas belle la cerise sur le cake ?
Si vous voulez creuser plus en détail, vous pouvez demander la brochure ici, et n’hésitez pas à aller leur poser des questions directement lors des nombreuses journées portes ouvertes organisées tout au long de l’année.
Alors, prêt à vous lancer dans un métier d’avenir ?
Ce n’est pas si souvent que l’on tombe sur une vulnérabilité qui fait réfléchir à l’équilibre entre la simplicité et la sécurité. En effet, les chercheurs de Team82 ont découvert un bug intéressant chez Synology, qui prouve que parfois une solution simple peut créer un problème complexe.
Synology est un nom populaire dans le monde des systèmes de stockage réseau (NAS). Leur système d’exploitation, DiskStation Manager (DSM), est conçu pour vous aider à gérer et partager vos fichiers facilement et de manière centralisée. Mais, malheureusement, ils ont utilisé une approche trop simpliste pour générer le mot de passe administrateur du NAS lors de sa création. Et cela a ouvert une voie exploitable par les attaquants.
Cette vulnérabilité, référencée sous le code CVE-2023-2729, provient de l’utilisation de la méthode Math.random() pour générer le mot de passe administrateur. Cette méthode n’est pas cryptographiquement sécurisée, et un attaquant pourrait récupérer suffisamment d’informations afin de reconstruire le mot de passe admin.
Toutefois, rassurez-vous, il faut que pas mal de conditions soient réunies pour que cela se produise en vrai. Mais on ne sait jamais ^^.
Alors, comment ça se passe en réalité ?
Et bien, l’équipe de recherche a découvert qu’en faisant fuiter la sortie de quelques valeurs générées par Math.random(), il était possible de reconstruire la valeur de la seed utilisée pour le générateur de nombres pseudo-aléatoires (PRNG). En connaissant cette seed, un attaquant pourrait alors prédire les valeurs futures et générer le mot de passe administrateur permettant alors de prendre le contrôle du compte admin.
Bien sûr, ce n’est pas si simple : pour exécuter l’attaque, il faut d’abord trouver un moyen de récupérer certaines valeurs Math.random(). Mais les chercheurs ont découvert que certains GUID générés lors de la première installation utilisaient également Math.random(), et que ces GUID pouvaient être utilisés pour reconstruire la graine PRNG.
Cependant, même si un attaquant réussissait à récupérer ces informations, cela ne suffirait pas en soi. Par défaut, le compte administrateur intégré est désactivé, et la plupart des utilisateurs ne l’activeraient pas (Et ils ont raison !).
Cette vulnérabilité a été découverte en préparant le concours Pwn2Own et les gens qui ont travaillé là dessus s’accordent pour dire que cette faille serait presque impossible à exploiter dans une situation réelle. Toutefois, ils ont quand même décidé de partager leur découverte pour souligner l’importance d’utiliser des générateurs de nombres aléatoires cryptographiquement sécurisés lors de la création de mots de passe.
Bref, si vous êtes développeurs, n’utilisez pas Math.random() pour générer des nombres aléatoires quand il s’agit de faire de la sécurité. À la place, il est recommandé d’utiliser l’API Web Crypto et, plus précisément, la méthode window.crypto.getRandomValues().
Synology a évidemment été informé de la vulnérabilité, et ils ont rapidement publié un correctif pour les appareils concernés. Les utilisateurs de DSM 7.2 sont donc invités à mettre à niveau leur système vers la version 7.2-64561 ou ultérieure.
Vous allez adorer ce que j’ai déniché pour vous aujourd’hui.
Si vous êtes un passionné de technologie ou un développeur en herbe cherchant à améliorer vos compétences, voici un trésor que je vous offre. J’ai découvert grâce à Lorenper (merci !!) une liste de cours et certifications gratuits proposée par le Cloud Study Network. C’est une communauté tech mondiale partageant ses connaissances et de bonnes vibrations qui débusque des formations gratuites permettant d’obtenir des certifications sur tout un tas de technologies différentes. C’est gratuit, mais certaines offres sont limitées dans le temps et expireront bientôt, alors faut vous dépêcher !
Alors, de quoi s’agit-il exactement ?
Eh bien, il y a sur ce repo Github, toute une sélection de liens qui vous mèneront à des cours et certifications gratuits en anglais sur divers sujets, notamment Alibaba Cloud, Linux Foundation, cPanel, Plesk, Google Analytics, AWS, API Academy, Microsoft AI, Zerto, Tigera, The Things Network, Chef, et New Relic. Vous trouverez également d’autres plateformes telles que Coursera, Microsoft, Nirmata, HeadSpin, LambdaTest, Gatling Academy et ExtremeNetworks Academy, où vous pourrez vous initier à des compétences telles que le deep learning, GitOps et Apollo Graph.
Mais ce n’est pas tout ! Il y a également des formations en ligne, comprenant des cours et des certifications sur divers sujets tels que la cybersécurité, la mise en réseau IPv6 et les certifications étudiantes dispensés par des boites comme Isovalent, AWS et Microsoft.
Il existe aussi des cours et certificats gratuits sur le marketing numérique proposé par Google. Exasol offre également des formations et certifications gratuites (d’une valeur de 150 € chacune). Et ce n’est pas tout, vous pouvez trouver des cours Salesforce gratuits avec des parcours d’apprentissage et des superbadges. Donc c’est assez large quand même !
Alors, comment accéder à tous ces trésors ?
Vous pouvez les trouver sur cette page GitHub : Liste de certifications gratuites. Tout ce que vous avez à faire, c’est de vous rendre sur cette page, de choisir les cours qui vous intéressent le plus et de commencer à apprendre. C’est aussi simple que cela !
Ne manquez pas cette occasion unique de booster votre carrière et d’élargir vos connaissances !
Cette semaine, tout le monde était super jouasse puisque Google Authenticator s’est vu ajouter une fonction permettant de sauvegarder les données 2FA dans le cloud Google et ainsi, en faciliter la restauration qu’on soit sous Android ou iOS.
Alors oui, ça semble super cool surtout pour ceux qui ont peur de perdre leurs données ou qui ont déjà perdu un smartphone. Mais ATTENTION !
Cette nouvelle option soulève pas mal de préoccupations en matière de confidentialité. D’après les chercheurs en sécurité de Mysk, il semblerait que les données ne soient pas chiffrées de bout en bout. Ainsi, Google pourrait voir et stocker les « secrets » (seed 2FA) sur ses serveurs, sans rien pour sécuriser ces informations.
C’est hyper inquiétant, car chaque code QR 2FA contient un secret qui est utilisé pour générer ces codes 2FA à usage unique. Si quelqu’un de mal intentionné obtient ce secret, il peut très facilement contourner la protection 2FA.
Le drame illustré en 3 actes :
Et même si je ne doute pas de la sécurité des serveurs chez Google, on sait tous que même les entreprises les plus préparées subissent parfois des fuites de données.
D’ailleurs, dans ce backup en route vers le cloud Google, on trouve également d’autres informations, telles que le nom du compte et le nom du service. Comme Google peut y accéder en clair, ils savent donc exactement quels services en ligne vous utilisez. Go la pub personnalisée !!
Et si vous demandez à Google un export de vos données personnelles, vous ne trouverez pas de trace de ces fameux secrets 2FA. Bref, j’ai l’impression qu’il sont tombés derrière l’armoire.
Les chercheurs conseillent donc de désactiver cette fonctionnalité de synchronisation jusqu’à ce que le chiffrement de bout en bout soit effectif (avec phrase de passe donc…)
Bref, maintenant vous savez. Une personne azerty en vaut deux… (roh roh roh)
— Article en partenariat avec le Ministère des Armées —
Vous ne le savez peut-être pas, mais après le bac, j’ai fait un BTS en alternance et c’était vraiment un rêve devenu réalité, car je pouvais enfin bidouiller toute la journée sur des ordinateurs sans aucune modération, aussi bien à l’école que dans l’entreprise qui m’a pris en alternance. Évidemment déjà à l’époque, je m’intéressais beaucoup à la cybersécurité, mais à ma connaissance, il n’y avait aucune école spécialisée sur ce sujet.
Heureusement, ça a bien changé, car maintenant, les passionnés de cybersécurité ont l’embarras du choix au niveau des écoles qui forment à des métiers « cyber ».
Maintenant, la cybersécurité est partout dans notre vie quotidienne et les menaces en ligne (dont je vous parle régulièrement) sont nombreuses. Cela peut provoquer des catastrophes humaines, mais également économiques et c’est aussi un terrain d’affrontement pour les armées du monde entier.
C’est pour ça que j’aimerai vous présenter le BTS Cyber-Défense de Saint Cyr qui est une formation assez unique en son genre puisqu’elle a été lancée en 2017 sur l’initiative de l’Armée de Terre et des services spécialisés du Ministère des Armées. Il s’agit avant tout de répondre aux besoins de recrutement de l’armée en matière de cybersécurité. C’est un peu comme si l’armée vous disait : « Vous aimez la cybersécurité ? Alors, venez nous aider à protéger notre pays ! ».
Je suis sûr que si vous êtes encore au lycée, en sortie de Bac STI2D, Bac Scientifique ou Bac Pro SN, ça peut vous intéresser. Il s’agit d’un BTS CIEL (Cybersécurité, Informatique et réseaux, Électronique, anciennement BTS SNIR) reprenant en totalité le programme officiel de l’Éducation Nationale, sauf qu’en plus, ils y ont rajouté des spécificités propres au Ministère des Armées.
Ce BTS Cyber-Défense de Saint Cyr va bien au-delà d’une simple formation de 2 ans après le bac : c’est carrément une nouvelle vie qui s’offre à ceux qui choisiront cette voie puisqu’un contrat d’engagement est signé avec le Ministère. Vous serez logé (c’est de l’internat), nourri et blanchi avec un peu d’argent de poche et en 2 ans, vous obtiendrez un niveau opérationnel se rapprochant de celui de quelqu’un qui aurait fait une licence. Vous l’aurez compris, c’est une formation intense.
Et en sortie, lorsque vous réussirez votre diplôme, un emploi vous sera proposé (et il sera obligatoire), soit en tant que civil pour rejoindre les services spécialisés du Ministère des Armées (Commandement des systèmes d’information, cyberdéfense, renseignement), soit en tant que militaire, c’est-à-dire que vous intégrerez un régiment quelque part en France. Vous suivrez alors une formation complémentaire spécifique, soit à l’École des Transmissions, soit au sein du service pour lequel vous travaillerez. Et si vous voulez continuer les études, et bien c’est toujours possible et même encouragé, mais uniquement en cours à distance / cours du soir.
C’est ouvert à toutes les personnes de nationalité française et vous n’avez pas nécessairement besoin d’avoir des connaissances en informatique à l’entrée. Il faut juste être motivé, exigeant avec soi-même et avoir une très bonne capacité de travail. Et surtout, vous l’aurez compris, être bien motivé pour travailler au Ministère des Armées. Notez que les admissions dans cette formation sont également ouvertes aux candidats en réorientation après une première année d’études dans un domaine scientifique ou technique.
Alors y’a quoi exactement dans cette formation de 40h de cours par semaine ?
Et bien évidemment, vous aurez des cours de cybersécurité (connaissance du milieu, défense et attaque) à hauteur de 4h par semaine, des cours d’anglais (4h par semaine au total) avec le passage du TOEIC, histoire d’être au point. Il y a également 4h de sport par semaine donc c’est mieux si vous êtes en bonne condition physique. Et également une préparation militaire supérieure. Ça veut dire que vous allez tout apprendre sur la chose militaire, de la reconnaissance des grades au maniement des armes en passant par une formation de commandement.
Hé oui, c’est indispensable puisqu’après, ceux qui choisiront la voie militaire pourront se retrouver en train de taper des lignes de commande dans un shell lors d’une opération dans un pays étranger. Bref, un boulot de technicien supérieur dans des conditions de travail exceptionnelles, des moyens uniques avec des missions que vous ne pourriez jamais réaliser dans une entreprise classique, comme de la lutte informatique réellement offensive.
Voici un peu à quoi ressemble le quotidien d’une personne qui a suivi ce cursus au sein de l’armée :
Des travaux pratiques sont également donnés par des employeurs militaires et civils, ce qui vous permettra d’être bien dans le bain avec la réalité du terrain et en fin de première année, vous effectuerez 5 semaines de stage au Ministère des Armées, histoire de parfaire encore plus votre formation en vous confrontant aux réalités du métier.
Ce qui est cool également avec cette formation, c’est que tout est teinté cybersécurité, y compris les cours plus traditionnels d’informatique, et que les profs sont tous issus du monde professionnel, avec pour certains, une expérience dans le secteur de la défense. Donc si vous aimez la cybersécurité et votre pays, je pense que c’est une voie intéressante à envisager, avec tous les avantages d’une carrière militaire (qui a dit la retraite ? );-))
Si ça vous chauffe, vous pouvez faire votre demande sur ParcourSup en cliquant ici. Depuis son ouverture en 2017, cette formation affiche un taux de réussite de 100% à l’examen final.
