12,90 € TTC
p. 06 Étude et exploitation de la faiblesse cryptographique des signatures de licences de Windows XP
p. 14 Comment protéger les sauvegardes des ransomwares ?
p. 24 Révélez l’invisible : augmentez votre capacité de détection grâce au modèle des « signaux faibles »
p. 36 CERTs, mais que faire de cette information ? - Compromission d’un domaine Windows à travers AD CS
p. 48 C0WViD : protéger l’intégrité du firmware des ordinateurs à usage général au niveau matériel
p. 58 FavShield : vérification facile d'intégrité d'une page côté navigateur
p. 66 Petit guide à destination du manager cyber débutant, de l’APT au CPT
p. 76 Le droit du bug bounty ?
Cette période estivale est l’occasion de faire un petit bilan de quelques évolutions du monde de la cybersécurité, depuis que j’ai endossé, il y a une dizaine d’années, le rôle de rédacteur en chef de MISC. Des changements législatifs, l’émergence de nouvelles formes de menaces, quelques ruptures technologiques, l’évolution du profil des attaquants et les questions de souveraineté ont radicalement modifié le paysage de la cybersécurité et le métier des professionnels du secteur.
Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur en 2018 dans l’Union Européenne, a été un catalyseur pour la protection des données personnelles. Cette mesure législative a forcé les organisations à mettre en œuvre des mesures techniques et organisationnelles pour assurer la sécurité des données. Mais, à mon sens, davantage encore, le RGPD a suscité une grande attention de la par du public, bien au-delà des seuls professionnels du numérique. Dès le collège, chacun a acquis une compréhension des enjeux de sécurité des données personnelles et de quelques règles élémentaires à respecter. Cette loi a agi comme un formidable levier de sensibilisation, permettant à tout un chacun d’intégrer des mesures de base en matière de protection des données numériques.
Simultanément, la cybermenace s’est largement renforcée et est devenue un sujet avec une forte couverture médiatique. Les attaques de type ransomware et les vols d’informations ont connu une ascension alarmante, s’installant durablement dans le paysage numérique. La cybercriminalité s’est organisée et professionnalisée, se hissant au rang d’activité lucrative au même titre que le trafic de drogues ou la traite des êtres humains. Les États ont également investi le cyberespace, le transformant en un terrain stratégique majeur aux côtés des théâtres traditionnels - terre, mer et air - où se jouent les équilibres géopolitiques du monde contemporain.
Face à ces défis, les EDR se sont imposés et remplacent progressivement les antivirus traditionnels pour offrir une détection en temps réel des activités suspectes. Les organisations ayant atteint un certain niveau de maturité en matière de sécurité ont mis en place des SOC pour superviser 24h/24 et 7J/7 les événements de sécurité et pouvoir immédiatement isoler tout ou partie du réseau en cas de suspicion de compromission. L’authentification à deux facteurs est progressivement en train de se généraliser dans le cadre professionnel, mais aussi pour les services numériques grand public.
Le Cloud computing s’est également imposé de la PME à la grande entreprise en passant par l’État français avec sa stratégie « Cloud au centre » [1]. Cette transformation a souvent amélioré la sécurité, en particulier pour les petites structures sans personnel technique, leur permettant enfin d’abandonner leurs vieux serveurs Lotus tournant sous NT4. Néanmoins, cette centralisation des données vers des acteurs souvent américains, mais également chinois [2] a également fait émerger une prise de conscience des pays européens quant aux problématiques de souveraineté des données. L’affaire Snowden survenue il y a dix ans a mis en lumière que les États utilisaient toutes les technologies à leur disposition pour espionner, y compris les pays alliés. La nécessité de développer des offres de service numériques souveraines apparaît ainsi nécessaire non seulement pour le développement économique, mais aussi pour se prémunir contre les indiscrétions d’alliés trop curieux.
Récemment, l’intelligence artificielle, et plus particulièrement les IA génératives, ont été au centre de toutes les attentions. D’une part elles peuvent jouer un rôle significatif pour améliorer la protection et la détection proactive des menaces, et d’autre part pour le risque qu’elles représentent si elles sont exploitées par des attaquants pour automatiser des attaques ou propager massivement de fausses informations. Étant donné l’apparition récente de ces technologies, nous manquons encore de recul pour cerner l’ensemble de leurs applications potentielles. Cependant, il est raisonnable de considérer qu’elles auront un impact majeur sur l’évolution de la cybersécurité dans les années à venir et l’évolution des menaces.
Si l’on se risque à faire un peu de prospective pour la prochaine décennie, elle sera sans doute marquée par le développement de l’IA avec une généralisation de ses usages tant du côté offensif que défensif. Une autre rupture technologique pourrait être la suprématie quantique dans le domaine de la cryptanalyse avec des impacts considérables. Sur le plan réglementaire, il est probable que les tensions géopolitiques induisent des durcissements législatifs et un protectionnisme accru de la part des pays européens comme c’est déjà le cas de la Chine vis-à-vis de l’Occident et des États-Unis avec les constructeurs et fournisseurs chinois.
Ces défis sont autant d’opportunités pour les experts en cybersécurité qui continueront de jouer un rôle crucial, que ce soit dans la conception et la mise en œuvre de services numériques, la mise en place de défenses robustes, la réponse aux incidents, la conformité réglementaire ou l’informatique offensive. Si les dix dernières années ont été marquées par des défis et des innovations, les transformations sont loin d’être terminées et seront passionnantes.
Cédric Foll / cedric@miscmag.com / @follc
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
En juin 2021, les experts chez SpecterOps ont sorti un papier de recherche sur les possibilités d’exploiter des défauts de configuration au sein d’AD CS. Aujourd’hui, et malgré le fait que presque deux ans soient passés, les audits effectués par OWN ont révélé une certaine latence sur la sensibilisation à ces problématiques du côté des entreprises. Il est en effet assez répandu aujourd’hui lors d’un test d’intrusion de pouvoir exploiter des défauts de configuration AD CS pour compromettre le domaine trivialement. Cet article a donc pour but de sensibiliser les acteurs aux risques d’un AD CS mal configuré et également de donner les moyens aux pentesters de découvrir et exploiter ces défauts lors de leurs audits.
Générer une clé de licence pour Windows XP nécessite de calculer une signature à base de courbes elliptiques. La courbe utilisée n’est pas une courbe standard. Pourquoi une telle courbe a été utilisée ? Comment est-ce que la clé privée a pu être retrouvée ? Voici les questions auxquelles cet article tentera d'apporter des réponses.
Insérer un code malveillant dans un firmware est une tâche aisée lorsque l’on a un accès physique à la machine cible. Mais est-il seulement possible de se prémunir de cette attaque ? La réponse à cette question est heureusement positive et nous allons voir comment dans cet article.