12,63 € TTC
p. 06 10 ans de NoLimitSecu
p. 12 Contournement d’un mécanisme de supervision des EDR via les appels système directs et indirects
p. 24 Démystification du reverse-engineering d’applications Android
p. 38 Techniques des injections de prompt, un nouvel eldorado de menaces dirigées vers l’IA
p. 48 CVE-2022-21340 : ou comment ouvrir les JAR sans en mettre partout
p. 56 Comment débuter l’analyse d’une famille de malwares
p. 64 Registre privé Docker : s’attaquer au cycle de développement d’une application
p. 74 Délégation d'autorisation avec les jetons Biscuit
Que nous le voulions ou non, l’actualité estivale sera sans aucun doute accaparée par les Jeux Olympiques et Paralympiques de Paris 2024 tant les chiffres sont vertigineux. Il est ainsi question de plus de 800 épreuves, de 10 millions de spectateurs, et de 4 milliards de téléspectateurs. Si les 15000 athlètes présents en France se sont, quant à eux, entraînés pendant des années à la fois sur le plan mental et physique dans l’espoir de remporter l’une des 5000 médailles, qu’en est-il de la sécurité informatique ?
Les compétitions sportives majeures sont sans conteste des cibles de choix pour des attaquants, car l’exposition médiatique est considérable. Sans grande surprise, les menaces ne leur sont pas spécifiques, mais les impacts peuvent être très particuliers. Ainsi, une défaillance de l’éclairage ou du chronométrage, suite à une attaque sur ces systèmes industriels, pourrait engendrer le report ou l’annulation d’une épreuve, et changer la donne pour les athlètes. Selon les informations communiquées par Omega, le partenaire responsable du chronométrage, les systèmes seraient désormais redondés pour pallier le moindre problème.
L’histoire montre bien que la cybersécurité est dorénavant au cœur des Jeux Olympiques. Les systèmes informatiques des derniers Jeux Olympiques ont été victimes de nombreuses attaques. Là encore, les chiffres sont vertigineux. Durant les Jeux Olympiques de Tokyo 2020, 450 millions d’attaques ont été recensées. C’est huit fois plus que pour Rio 2016. Pour Paris 2024, les prédictions anticipent de nouveau un facteur huit. De nombreux acteurs se sont d’ailleurs préparés au pire en collaboration étroite avec l’ANSSI qui a identifié plus de 300 entités liées aux jeux dont 80 sont jugées critiques. Si elles subissaient une attaque, des épreuves pourraient être annulées.
Une attaque annulant une épreuve pourrait être considérée comme un scénario catastrophe purement fictif, mais les Jeux Olympiques d’hiver de Pyeongchang 2018 ont créé un précédent. Le 9 février 2018, lors de la cérémonie d’ouverture, le malware Olympic Destroyer a causé l’arrêt des points d’accès Wi-Fi du stade, des systèmes de contrôle d’accès, et de gestion des billets. Cette opération de sabotage, attribuée à la Russie par les gouvernements anglais et américain, avait pour objectif simple et efficace de détruire des systèmes sous Windows. La reconstruction à partir des dernières sauvegardes dura 12 heures, a priori intensives pour les équipes impliquées, et permit de cantonner les effets de cette campagne au début de ces jeux sans autre conséquence.
La sécurité défensive empruntant les mêmes concepts que ceux du sport – entraînement, connaissance de l’adversaire, gestion du stress – je ne peux que souhaiter que les Jeux Olympiques et Paralympiques de Paris 2024 se déroulent sans interruption notable pour notre plaisir, et celui des athlètes.
Guillaume VALADON
@guedou – guillaume@miscmag.com
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Face à la menace constante des groupes cybercriminels, entreprises comme administrations accordent de plus en plus d’importance à la protection des endpoints (ordinateurs, téléphones, tablettes) et s’équipent de logiciels nommés EDR (Endpoint Detection and Response). Ces programmes permettent de superviser un système en temps réel et d’analyser son activité via diverses sources d’informations fournies par le système d’exploitation. Toute exécution de code considérée comme malveillante est interrompue et les équipes de défense sont alertées. Malgré la complexité apparente de ce type de logiciel et les récentes avancées des technologies de détection, des techniques existent pour passer outre. Dans cet article, nous nous intéresserons aux méthodes permettant de contourner l’un des mécanismes de supervision les plus répandus, le userland hooking, via les appels système direct et indirect, mais également à la détection de ces tentatives d’évasion.
Comment préanalyser plus finement des échantillons d’une même famille de malware afin de bien démarrer l’analyse d’un corpus important ? Présentation d’une approche par catégorisation.
Depuis ses origines et jusqu’à des mises à jour récentes des versions 8, 11 et 17, les archives Java, étaient comme une boîte de chocolats : on ne pouvait jamais savoir si on allait faire tomber la JVM… ou bien l’Android RunTime dans Android 13.