-
S'abonnerAbonnez-vous à nos différents supports -
Magazines à l’unitéCommandez les nouvelles parutions ou complétez votre collection -
Livraison offerte à partir de 50€ d’achat ** Offre valable pour les numéros hors abonnements, livraison en France métropolitaine, appliquée une fois connecté !
- Kiosk OnlineLes magazines 100% online
- Diamond ConnectBase documentaire 100% digitale
Misc HS 31
14,90 € TTC
Anciens Numéros
Actus
p. 06 Threat modeling : anticiper et identifier les menaces sur les infrastructures
Dossier : Red Team
p. 17 Introduction au dossier
p. 18 IPSpinner : un outil innovant de rotation d’adresses IP
p. 38 Comment (ne pas) définir ses stratégies d'accès conditionnel Entra ID
p. 52 CI/CD : de l'intégration à l'intrusion avec GitHub Actions
p. 70 SCCM : techniques d’exploitation pour les intrusions Red Team
p. 86 Contournements EDR : analyse de SentinelOne
Vulnérabilités
p. 100 Exploitation de l’AD CS : ESC12, ESC13 et ESC14
La Red team en 2025 : bloquée par les EDR et l’IA ?
Depuis plus de 10 ans, les Red Teams traumatisent les équipes sécurité internes (maintenant « blue teams » dans les SOC). Avec l’évolution des solutions EDR et de l’IA, en 2025 où en est-on ? Bientôt la fin ?
Difficile de retracer les premiers à utiliser le terme Red Team en France, ou à partir de quand exactement ça a été dérivé en cybersec. à partir du terme de l’armée américaine, mais une chose est sûre : la première trace dans MISC remonte à 2014 [1].
En plus du besoin de nouvelles techniques de contournement de sioux en permanence, ces missions sont aujourd’hui sans aucun doute source de stress pour les pentesters, avec l’épée de Damoclès de se faire détecter par la blue team, qui s’est fortement organisée dans les SOC depuis :
- La défense bénéficie de solutions Endpoint Detection Response (EDR), et de leurs autres dérivées aux multiples acronymes barbares présentées à InCyber chaque année.
- Les antispams et leurs mécanismes de détection sont toujours de plus en plus difficiles à contourner.
- La présence de honeypots vient piéger les red teamers quand les sondes les ont ratés.
- Les blue teams sont entraînées aux exercices de crise, et logiquement prêtes à réagir.
On pourrait aussi parler de l’intelligence artificielle, et en particulier des LLM, qui sont censés révolutionner tout l’écosystème blue team, mais qui en réalité « ne dépasseront jamais l’être humain » selon Stéphane Huot (Directeur INRIA de l’Université de Lille, intervenu lors du Campus Cyber Summit en 2024), et qui n’ont fait concrètement qu’augmenter la surface d’attaque (et les brûlures d’estomac des RSSI) en 2024, via notamment les chatbots...
Jérémy Luyé-Tanet
jeremy.luye-tanet@synacktiv.com
Pentest team leader / Pentester senior
Remerciements
Merci à Matthieu, et aussi à MISC pour l’opportunité de donner ma première contribution.
Références
[1] Sébastien Bombal, « La citadelle est tombée ! Cybercrise, comment s’organiser ? »,
MISC HS n°10, 2014 : https://connect.ed-diamond.com/MISC/mischs-010
La publication technique des experts de la sécurité offensive & défensive
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Il est clair que faire « tomber » des clés USB vérolées qui seront exécutées par l’accueil du bâtiment et qui nous donneront un accès à distance, lancer des attaques automatisées avec un mot de passe basé sur le nom de la société, casser la clé du réseau Wi-Fi depuis le parking, ou encore envoyer des pièces jointes vérolées avec un Meterpreter de base, pour un ponçage en règle d’un Système d’Information en 2025 ça peut devenir parfois un peu trop juste dans de nombreux cas, là où pourtant ça se passait bien la plupart du temps il y a quelques années !
Les politiques d'accès conditionnel d’Azure fournissent un puissant dispositif de protection des accès. Néanmoins, leur complexité et opacité entraînent bien souvent une mauvaise compréhension des mécanismes sous-jacents, offrant ainsi des opportunités aux attaquants pour contourner des protections comme l’authentification multifacteur. Dans cet article, nous étudierons l'implémentation de ces politiques en l'illustrant par des défauts de configuration fréquemment rencontrés.
L’Active Directory Certificate Service (AD CS) reste aujourd’hui une cible de choix dans la recherche de chemins de compromission d’un domaine Active Directory. Les pentesters disposent d’outils perfectionnés pour les identifier, mais les plus populaires d’entre eux n’intègrent pas les dernières ESC. Cet article a pour but de mettre en lumière ces nouvelles attaques afin de donner aux auditeurs les moyens de les exploiter.
