Exploit Corner

p. 06  Étude et exploitation de la faiblesse cryptographique des signatures de licences de Windows XP

Malware Corner

p. 14  Comment protéger les sauvegardes des ransomwares ?

Threat Intel Corner

p. 24  Révélez l’invisible : augmentez votre capacité de détection grâce au modèle des « signaux faibles »

Pentest Corner

p. 36  CERTs, mais que faire de cette information ? - Compromission d’un domaine Windows à travers AD CS

Système

p. 48  C0WViD : protéger l’intégrité du firmware des ordinateurs à usage général au niveau matériel

Code

p. 58  FavShield : vérification facile d'intégrité d'une page côté navigateur

Organisation & Juridique

p. 66  Petit guide à destination du manager cyber débutant, de l’APT au CPT
p. 76  Le droit du bug bounty ?

Cette période estivale est l’occasion de faire un petit bilan de quelques évolutions du monde de la cybersécurité, depuis que j’ai endossé, il y a une dizaine d’années, le rôle de rédacteur en chef de MISC. Des changements législatifs, l’émergence de nouvelles formes de menaces, quelques ruptures technologiques, l’évolution du profil des attaquants et les questions de souveraineté ont radicalement modifié le paysage de la cybersécurité et le métier des professionnels du secteur.

Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur en 2018 dans l’Union Européenne, a été un catalyseur pour la protection des données personnelles. Cette mesure législative a forcé les organisations à mettre en œuvre des mesures techniques et organisationnelles pour assurer la sécurité des données. Mais, à mon sens, davantage encore, le RGPD a suscité une grande attention de la par du public, bien au-delà des seuls professionnels du numérique. Dès le collège, chacun a acquis une compréhension des enjeux de sécurité des données personnelles et de quelques règles élémentaires à respecter. Cette loi a agi comme un formidable levier de sensibilisation, permettant à tout un chacun d’intégrer des mesures de base en matière de protection des données numériques.

Simultanément, la cybermenace s’est largement renforcée et est devenue un sujet avec une forte couverture médiatique. Les attaques de type ransomware et les vols d’informations ont connu une ascension alarmante, s’installant durablement dans le paysage numérique. La cybercriminalité s’est organisée et professionnalisée, se hissant au rang d’activité lucrative au même titre que le trafic de drogues ou la traite des êtres humains. Les États ont également investi le cyberespace, le transformant en un terrain stratégique majeur aux côtés des théâtres traditionnels - terre, mer et air - où se jouent les équilibres géopolitiques du monde contemporain.

Face à ces défis, les EDR se sont imposés et remplacent progressivement les antivirus traditionnels pour offrir une détection en temps réel des activités suspectes. Les organisations ayant atteint un certain niveau de maturité en matière de sécurité ont mis en place des SOC pour superviser 24h/24 et 7J/7 les événements de sécurité et pouvoir immédiatement isoler tout ou partie du réseau en cas de suspicion de compromission. L’authentification à deux facteurs est progressivement en train de se généraliser dans le cadre professionnel, mais aussi pour les services numériques grand public.

Le Cloud computing s’est également imposé de la PME à la grande entreprise en passant par l’État français avec sa stratégie « Cloud au centre » [1]. Cette transformation a souvent amélioré la sécurité, en particulier pour les petites structures sans personnel technique, leur permettant enfin d’abandonner leurs vieux serveurs Lotus tournant sous NT4. Néanmoins, cette centralisation des données vers des acteurs souvent américains, mais également chinois [2] a également fait émerger une prise de conscience des pays européens quant aux problématiques de souveraineté des données. L’affaire Snowden survenue il y a dix ans a mis en lumière que les États utilisaient toutes les technologies à leur disposition pour espionner, y compris les pays alliés. La nécessité de développer des offres de service numériques souveraines apparaît ainsi nécessaire non seulement pour le développement économique, mais aussi pour se prémunir contre les indiscrétions d’alliés trop curieux.

Récemment, l’intelligence artificielle, et plus particulièrement les IA génératives, ont été au centre de toutes les attentions. D’une part elles peuvent jouer un rôle significatif pour améliorer la protection et la détection proactive des menaces, et d’autre part pour le risque qu’elles représentent si elles sont exploitées par des attaquants pour automatiser des attaques ou propager massivement de fausses informations. Étant donné l’apparition récente de ces technologies, nous manquons encore de recul pour cerner l’ensemble de leurs applications potentielles. Cependant, il est raisonnable de considérer qu’elles auront un impact majeur sur l’évolution de la cybersécurité dans les années à venir et l’évolution des menaces.

Si l’on se risque à faire un peu de prospective pour la prochaine décennie, elle sera sans doute marquée par le développement de l’IA avec une généralisation de ses usages tant du côté offensif que défensif. Une autre rupture technologique pourrait être la suprématie quantique dans le domaine de la cryptanalyse avec des impacts considérables. Sur le plan réglementaire, il est probable que les tensions géopolitiques induisent des durcissements législatifs et un protectionnisme accru de la part des pays européens comme c’est déjà le cas de la Chine vis-à-vis de l’Occident et des États-Unis avec les constructeurs et fournisseurs chinois.

Ces défis sont autant d’opportunités pour les experts en cybersécurité qui continueront de jouer un rôle crucial, que ce soit dans la conception et la mise en œuvre de services numériques, la mise en place de défenses robustes, la réponse aux incidents, la conformité réglementaire ou l’informatique offensive. Si les dix dernières années ont été marquées par des défis et des innovations, les transformations sont loin d’être terminées et seront passionnantes.

Cédric Foll / cedric@miscmag.com / @follc

[1] https://www.numerique.gouv.fr/services/cloud/doctrine/

[2] https://www.france24.com/fr/info-en-continu/20220926-jo-2024-de-paris-atos-h%C3%A9bergera-les-donn%C3%A9es-sensibles-pour-le-compte-du-chinois-alibaba