-
S'abonnerAbonnez-vous à nos différents supports -
Magazines à l’unitéCommandez les nouvelles parutions ou complétez votre collection -
Livraison offerte à partir de 50€ d’achat ** Offre valable pour les numéros hors abonnements, livraison en France métropolitaine, appliquée une fois connecté !
- Kiosk OnlineLes magazines 100% online
- Diamond ConnectBase documentaire 100% digitale
Misc 140
Quand le navigateur web devient une arme…
Exploiter Chromium lors d’un pentest
- Désactivation des mécanismes de sécurité
- Exploration des possibilités d’exploitation
- Détection et prévention
14,90 € TTC
Anciens Numéros
Actus
p. 06 Brèves
Exploit
p. 08 Exploitation des protocoles de diagnostic automobile
Malware
p. 18 Malware et IA : évolution des capacités offensives et injection d’e-mails via l’API COM d’Outlook
Pentest
p. 28 Abuser des navigateurs web basés sur Chromium lors d’un test d’intrusion
Système
p. 40 Entraîner son SOC avec Ludus
Cryptographie
p. 56 Cryptographie post-quantique : les standards du NIST
Organisation & Juridique
p. 64 New Space & cybersécurité : immersion dans le quotidien d’un Directeur Sécurité de startup
p. 72 EThreat-Led Penetration Testing : retour d’expérience sur les simulations d’attaques avancées et exigées par la réglementation DORA
Lorsque j’ai commencé à m’intéresser au domaine de la sécurité à la fin des années 90, un ami m’avait prévenu « la sécurité, c’est un truc de vieux con » ; une punchline a priori provocatrice qui semble vouloir décourager tout nouveau pratiquant. C’est tout l’inverse, elle résume de manière percutante que notre discipline est avant tout complexe et transversale, qu’il y a beaucoup de choses à apprendre et que pour progresser, il faut de la rigueur, et savoir douter. Une phrase qui, des années plus tard, conserve tout son sens.
Depuis, le savoir est devenu plus largement accessible permettant un apprentissage plus rapide, car d’autres avant nous ont souvent testé, réussi ou échoué, mais ont surtout partagé leurs résultats. Néanmoins, la quantité de sujets à assimiler ne fait qu’augmenter : fonctionnement d’un noyau, développement logiciel, architecture réseau, cadres réglementaires ; la liste est longue. Au-delà des nouvelles technologies qui nous poussent à douter quotidiennement, ce sont avant tout les attaques et les mécanismes de protection qui nous font progresser, car la discipline a gagné en substance, non en légèreté.
Comprendre la sécurité, ce n’est pas juste connaître l’existence des concepts sans en maîtriser les détails, ou utiliser des outils sans comprendre les mécanismes techniques sur lesquels ils s’appuient. Car après tout, il est possible de comprendre un buffer overflow, sans savoir l’exploiter ni savoir comment s’en protéger. Comprendre la sécurité, c’est avant tout un état d’esprit où il faut sans cesse poser des questions, douter, et appréhender un système dans sa globalité, sur les plans techniques, opérationnels, et parfois financiers. Nous devons naviguer dans un environnement parfois flou, où l’approximation n’a pas sa place : seuls les résultats comptent.
L’IA, encore elle, vient troubler tout cela, et rebat les cartes. Si, elle nous permet de mieux comprendre le contexte, de nous assister dans l’exécution de tâches rébarbatives, elle ne remplace pas notre compréhension d’un sujet. Elle produit du code, génère des rapports, automatise des diagnostics, mais souvent trop sûre d’elle, elle nous prive de notre capacité de douter. L’exécution devenant triviale, notre valeur professionnelle repose de plus en plus sur notre capacité à émettre et partager un jugement, et de ce fait douter. L’IA rend visible ce qu’elle ne peut pas faire à notre place.
Apprendre, c’est difficile et c’est normal. Si tout semble simple, il est probable que vous appreniez mal et que vous n’ayez pas encore touché du doigt la complexité du sujet ; et il y a fort à parier que cela soit un mauvais investissement pour le futur. Le vrai apprentissage est celui qui laisse des traces durables, et forge des réflexes. L’IA nous force désormais à accepter l’inconfort de ne pas tout savoir immédiatement. Dans ce contexte, contrairement aux IA, savoir douter, admettre que l’on ne sait pas, est une manière de refuser des raccourcis intellectuels. Alors, où commencer quand on débute si la sécurité est un sujet complexe et qui nécessite de comprendre des mécanismes pour en douter ?
Heureusement, il n’est pas nécessaire de tout comprendre d’un coup pour commencer. La chance, c’est que l’histoire se répète. Si les systèmes deviennent plus complexes, les erreurs, elles, restent souvent les mêmes. Ce qui rend possible l’apprentissage, même pour des débutants : on peut être nouveau, et progresser avec méthode tant que l’on est exigeant intellectuellement.
Bienvenue aux nouveaux vieux cons ! Nous avons encore beaucoup de choses à construire ensemble.
Guillaume VALADON
@guedou – guillaume@miscmag.com
La publication technique des experts de la sécurité offensive & défensive
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Les navigateurs web sont devenus des outils incontournables du quotidien, une tendance renforcée par la migration croissante des services vers le Web. Cet article explore comment transformer ces navigateurs basés sur Chromium en un puissant LOLBIN (Living Off the Land Binary), dans le cadre d’une attaque de type HID (Human Interface Device), à l’aide d’une clé USB Rubber Ducky et des langages DuckyScript et JavaScript.
En rejoignant cette startup française du spatial de nouvelle génération, appelée également New Space, en tant que Directeur de la Sécurité, je savais qu’il faudrait tout construire, tout structurer, sans ralentir l’innovation, sans freiner le business. Dans le secteur du New Space, les enjeux de souveraineté, de rapidité, mais aussi de fiabilité sont exacerbés. Mais alors, comment créer une sécurité crédible, adaptée et sans dogmatisme ? C’est ce que je vais vous raconter ici, à travers mon quotidien, mes décisions, et les paradoxes qu’il faut apprendre à apprivoiser…
Le plus grand danger en cybersécurité, ce n’est pas la technologie, mais l’imagination de ceux qui l’exploitent. L’essor de l’intelligence artificielle transforme le paysage des cybermenaces, offrant aux attaquants de nouvelles opportunités d’exploitation. Dans cet article, nous verrons comment l’IA peut être utilisée pour étendre la portée d’un malware et amplifier sa capacité de propagation.
