Actus

p. 06   Brèves

Malware

p. 08   Explorer la distribution de malwares via la navigation sur le Web
p. 18   Analyse de malware assistée par Intelligence Artificielle

Pentest

p. 28   Exploitation du chiffrement du framework PHP Laravel

Forensic

p. 44   Désossage d’API : l’exemple de Snapchat

Système

p. 56   Renforcer la sécurité de vos connexions RDP avec une YubiKey

Organisation & Juridique

p. 68   Retour d’expérience sur la conformité DORA
p. 74   En quoi l’identification des risques façonne-t-elle le DevSecOps ?

Depuis fin de 2022, la vague de l’IA générative, amorcée par l’arrivée de ChatGPT, déferle sur le monde et le monde de la sécurité n’y a pas échappé. Sans surprise, les aspects offensifs ont rapidement attiré l’attention, avec en premier lieu, la manipulation des réponses d’un modèle à l’aide de prompts malveillants, pour le pousser à ignorer ses mesures de sécurité et à divulguer des données sensibles.

Depuis, l’écosystème de l’IA se développe à un rythme frénétique parfois difficile à suivre pour les défenseurs. Du côté des utilisateurs, la tentation est grande de fournir à un LLM toutes sortes de données, y compris sensibles, pour espérer gagner en rapidité et en efficacité. Le nerf de la guerre des leaders du domaine est la donnée et les informations qu’elle contient. Partager des informations avec ces modèles revient souvent à alimenter leur amélioration. En 2023, des employés de Samsung se sont d’ailleurs rendus célèbres pour avoir partagé des données confidentielles avec ChatGPT. Ce cas d’école souligne la nécessité de désormais inclure des clauses explicites relatives aux données de l’entreprise vis-à-vis de l’IA dans les chartes d’utilisation et les politiques de sécurité.

Les utilisateurs sont également tentés de télécharger et de tester le dernier framework ou le dernier outil à la mode. Une aubaine pour les attaquants, qui exploitent cette curiosité pour compromettre les chaînes d’approvisionnement, déployer des mineurs de cryptomonnaies ou plus simplement voler des secrets d’authentification. Ainsi, un employé de Disney a récemment été licencié après avoir installé un outil de génération d’images depuis GitHub, dont le comportement était malveillant. Cela a permis aux attaquants d’accéder aux systèmes internes de Disney, notamment Slack, où ils ont volé des téraoctets de données.

Les usages offensifs, petit à petit, se sont diversifiés et ont su s’approprier les outils d’IA générative, par exemple pour générer des campagnes de phishing plus réalistes ou pour exploiter automatiquement des vulnérabilités. Dans ce numéro, vous trouverez un article décrivant r2ai, dont l’exemple présenté vise à assister un analyste dans l’étude d’un malware. Cette approche illustre comment l’IA peut être mise au service de la sécurité pour accélérer l’identification et la compréhension des menaces, tout en soulignant les défis et les coûts associés.

La gouvernance s’est également emparée du sujet et il existe désormais de nombreuses possibilités pour obtenir automatiquement des politiques parfaitement conformes à nos référentiels préférés. L’épineux problème des questionnaires de sécurité trouve également une solution simple grâce à la génération automatique de réponses, en s’appuyant sur des politiques internes. C’est un gain de temps appréciable pour adapter ses réponses à des questionnaires contractuels souvent variables d’un client à l’autre, à condition que les politiques soient réellement en place et utilisées. Cela n’enlève toutefois en rien la nécessité d’une relecture avisée, afin d’éviter de s’engager contractuellement sur des clauses acceptées par un LLM ayant halluciné des réponses.

Pour conclure cet édito, quoi de plus naturel que de laisser le mot de la fin à ChatGPT :
L’IA générative ouvre de nouvelles perspectives, mais nécessite une vigilance accrue face aux risques qu’elle engendre. Une gouvernance solide et des pratiques sécuritaires adaptées sont essentielles pour tirer parti de ses avantages tout en protégeant les données sensibles.

À méditer.

J’aurai pour ma part ouvert sur mes interrogations liées à la sécurisation des infrastructures utilisées dans les phases d’apprentissage et d’inférence. En effet, elles me semblent suffisamment différentes pour nécessiter des mécanismes de sécurité et d’observabilité qui leur sont propres, et requièrent probablement une attention particulière.

Guillaume VALADON  
@guedou – guillaume@miscmag.com