Frais de port Offerts !*

Misc 125

Web 2023 

Les nouvelles surfaces d’attaques !

  1. Automatisez vos recherches de vulnérabilités web avec Nuclei
  2. GraphQL : analyse de la sécurité d’une API d’un nouveau genre
  3. DisseXSSion d’un payload générique

Plus de détails

12,63 €

 
SOMMAIRE :

IoT Corner

p. 06  Quelles exigences pour la sécurité des objets connectés ?

Pentest Corner

p. 14  La face cachée d’eBPF

Threat Intel Corner

p. 20  MITRE ATT&CK : la rançon du succès

Dossier : Web 2023

p. 28  Introduction
p. 29  DisseXSSion d’un payload générique
p. 40  GraphQL : analyse de la sécurité d’une API d’un nouveau genre
p. 52  Automatisez vos recherches de vulnérabilités web avec Nuclei

Système

p. 60  Orchestrez votre sécurité ! 

Réseau

p. 68  Attaque d’un système industriel

Organisation & Juridique

p. 78  Évolution de la cybersécurité et crise du recrutement, quelles perspectives ?

EDITO :


Une fois après avoir racheté Twitter, Elon Musk licencie plus de la moitié des effectifs. Un crash de la plateforme à brève échéance semblait probable. Peut-être que celui-ci se sera produit à l’heure où vous lirez ces lignes, mais le système a finalement plutôt bien tenu alors que l’activité sur la plateforme n’a pas fléchi et qu’un événement tel que la coupe du monde faisait craindre le pire. Elon Musk a certes fait fuir une partie des annonceurs avec ses errements sur les comptes certifiés à 8$, mais les utilisateurs sont toujours présents et l’exode annoncé vers Mastodon n’a clairement pas eu lieu. Beaucoup d’utilisateurs qui indiquaient rejoindre le mammouth continuent finalement d’alimenter leur compte Twitter et se contentent de crossposter sur les deux plateformes.

La capacité de Twitter à fonctionner correctement malgré l’hémorragie d’ingénieurs peut surprendre. On voit ici ou là quelques nouveaux problèmes tels qu’une augmentation du nombre de messages privés de spam ou encore des suspensions temporaires de comptes comme cela a été brièvement le cas du compte @MISCRedac mi-décembre. Donc, sauf à considérer que les ingénieurs qui sont partis ne servaient pas à grand-chose, la résilience du dispositif est admirable et démontre la qualité technique de la plateforme et des ingénieurs qui l’ont conçue. Car toute personne ayant géré une production informatique sait que malgré les automatismes mis en place, un système se met vite à dysfonctionner sans intervention humaine à titre préventif sur la structure. Changement de disques, redémarrage de processus bloqués après une mise à jour, nettoyage de fichiers suite à un bug, mises en place de mesures de sécurité spécifiques et ciblées en cas d’attaque… Beaucoup d’interventions, invisibles pour les utilisateurs, sont nécessaires pour qu’un service continue à fonctionner.

Le prochain challenge pour les équipes restantes va être de réussir à déployer des correctifs et de nouvelles fonctionnalités sans induire de dysfonctionnement. Car là encore, cette étape est souvent complexe et nécessite d’être prototypée pour s’assurer qu’aucune régression fonctionnelle, voire de rupture de service, n’intervienne. Si déployer des mises à jour est déjà complexe dans un environnement totalement maîtrisé, si la connaissance de l’ensemble du système a été en partie perdue, c’est une autre paire de manches.

Enfin, il est également amusant de constater qu’Elon Musk coche à peu près toutes les cases de ce qui peut être considéré comme des erreurs de management. Mesure kafkaïenne de la performance des employés basée sur le nombre de lignes de codes écrites pour décider qui sera gardé. Management par la terreur avec des licenciements annoncés en direct sur Twitter par des salariés ayant osé le contredire. Communication erratique avec des décisions disruptives immédiatement remises en cause comme les comptes certifiés à 8$. Ceci a fait fuir nombre d’annonceurs après avoir permis la diffusion de fake news par des comptes certifiés comme la fausse annonce de la gratuité de l’insuline aux États-Unis [1].

Nous saurons dans quelques mois si Elon Musk a eu raison contre tous en jouant les pompiers pyromanes avec ses clients comme ses salariés et réussi à maintenir Twitter techniquement tout en redressant sa situation financière. En attendant, l’image de génie visionnaire que pouvait avoir Elon Musk est largement écornée par sa gestion de la plateforme, apparaissant plutôt comme un enfant capricieux et colérique prenant plaisir à casser ses jouets.


Cédric Foll
 / cedric@miscmag.com / @follc

[1] https://www.fiercepharma.com/marketing/eli-lilly-hit-new-twitter-blue-fake-account-forced-apologize-over-free-insulin-tweet

A propos du magazine
Logo

LE MAGAZINE POUR LES EXPERTS DE LA SéCURITé informatique multiplateformes

Face à la transformation digitale de notre société et l’augmentation des menaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 15 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Déjà vus

Nouveaux produits