12,90 € TTC
p. 06 Quelles exigences pour la sécurité des objets connectés ?
p. 14 La face cachée d’eBPF
p. 20 MITRE ATT&CK : la rançon du succès
p. 28 Introduction
p. 29 DisseXSSion d’un payload générique
p. 40 GraphQL : analyse de la sécurité d’une API d’un nouveau genre
p. 52 Automatisez vos recherches de vulnérabilités web avec Nuclei
p. 60 Orchestrez votre sécurité !
p. 68 Attaque d’un système industriel
p. 78 Évolution de la cybersécurité et crise du recrutement, quelles perspectives ?
Une fois après avoir racheté Twitter, Elon Musk licencie plus de la moitié des effectifs. Un crash de la plateforme à brève échéance semblait probable. Peut-être que celui-ci se sera produit à l’heure où vous lirez ces lignes, mais le système a finalement plutôt bien tenu alors que l’activité sur la plateforme n’a pas fléchi et qu’un événement tel que la coupe du monde faisait craindre le pire. Elon Musk a certes fait fuir une partie des annonceurs avec ses errements sur les comptes certifiés à 8$, mais les utilisateurs sont toujours présents et l’exode annoncé vers Mastodon n’a clairement pas eu lieu. Beaucoup d’utilisateurs qui indiquaient rejoindre le mammouth continuent finalement d’alimenter leur compte Twitter et se contentent de crossposter sur les deux plateformes.
La capacité de Twitter à fonctionner correctement malgré l’hémorragie d’ingénieurs peut surprendre. On voit ici ou là quelques nouveaux problèmes tels qu’une augmentation du nombre de messages privés de spam ou encore des suspensions temporaires de comptes comme cela a été brièvement le cas du compte @MISCRedac mi-décembre. Donc, sauf à considérer que les ingénieurs qui sont partis ne servaient pas à grand-chose, la résilience du dispositif est admirable et démontre la qualité technique de la plateforme et des ingénieurs qui l’ont conçue. Car toute personne ayant géré une production informatique sait que malgré les automatismes mis en place, un système se met vite à dysfonctionner sans intervention humaine à titre préventif sur la structure. Changement de disques, redémarrage de processus bloqués après une mise à jour, nettoyage de fichiers suite à un bug, mises en place de mesures de sécurité spécifiques et ciblées en cas d’attaque… Beaucoup d’interventions, invisibles pour les utilisateurs, sont nécessaires pour qu’un service continue à fonctionner.
Le prochain challenge pour les équipes restantes va être de réussir à déployer des correctifs et de nouvelles fonctionnalités sans induire de dysfonctionnement. Car là encore, cette étape est souvent complexe et nécessite d’être prototypée pour s’assurer qu’aucune régression fonctionnelle, voire de rupture de service, n’intervienne. Si déployer des mises à jour est déjà complexe dans un environnement totalement maîtrisé, si la connaissance de l’ensemble du système a été en partie perdue, c’est une autre paire de manches.
Enfin, il est également amusant de constater qu’Elon Musk coche à peu près toutes les cases de ce qui peut être considéré comme des erreurs de management. Mesure kafkaïenne de la performance des employés basée sur le nombre de lignes de codes écrites pour décider qui sera gardé. Management par la terreur avec des licenciements annoncés en direct sur Twitter par des salariés ayant osé le contredire. Communication erratique avec des décisions disruptives immédiatement remises en cause comme les comptes certifiés à 8$. Ceci a fait fuir nombre d’annonceurs après avoir permis la diffusion de fake news par des comptes certifiés comme la fausse annonce de la gratuité de l’insuline aux États-Unis [1].
Nous saurons dans quelques mois si Elon Musk a eu raison contre tous en jouant les pompiers pyromanes avec ses clients comme ses salariés et réussi à maintenir Twitter techniquement tout en redressant sa situation financière. En attendant, l’image de génie visionnaire que pouvait avoir Elon Musk est largement écornée par sa gestion de la plateforme, apparaissant plutôt comme un enfant capricieux et colérique prenant plaisir à casser ses jouets.
Cédric Foll / cedric@miscmag.com / @follc
[1] https://www.fiercepharma.com/marketing/eli-lilly-hit-new-twitter-blue-fake-account-forced-apologize-over-free-insulin-tweet
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Depuis les débuts d'Internet, les technologies web n'ont cessé d'évoluer. Des langages de programmation comme PHP ont permis de passer de sites statiques à du contenu ultra-dynamique permettant de répondre à toute sorte de besoins. Les hackers n’ont pas mis longtemps à identifier les premières vulnérabilités web et déjà en 1996 l’US Air Force en faisait les frais.
GraphQL est certainement l'une des étoiles montantes du milieu des API. Il séduit toujours plus d’entreprises, et est actuellement déployé sur des centaines de milliers de sites. Armé de son langage homonyme et d'un paradigme bien différent du modèle REST, celui-ci tente de répondre à des problématiques d'optimisation, de simplification et de clarté. Mais qu’en est-il de la sécurité ?
Les vulnérabilités XSS, omniprésentes et très communément remontées lors d’audits de sécurité, pentests et Bug Bounty, restent mal considérées et sous-évaluées. Les protections et spécificités des navigateurs modernes ainsi que les contre-mesures applicatives complexifient la conception de payloads génériques. Cet article vise à présenter la dissection d’un payload dans un contexte (très) contraint et filtré rencontré lors d’un audit.