cryptosec

Lectures de la semaine - 2022

24 juin 2022

Le grand cryptographe Bruce Schneier - "Applied cryptography", sa somme sur la cryptographie, fit entrer nombre d’entre-nous dans notre métier - a écrit au Congrès US pour leur expliquer que les cryptomonnaies étaient un "désastre" et les blockchains souvent inutiles. Le cœur du problème est que c’est une solution à des problèmes qui n’existent pas vraiment. Schneier explique que l’immense majorité des use case pourraient être traités autrement, sans blockchain, de façon plus élégante et efficace. L’absence de régulation pose des problèmes très sérieux ; on ne remplace pas la confiance par une technologie ; cette technologie ne peut pas résoudre les problèmes économiques et politiques liés aux monnaies. Il demande enfin : donnez un seul exemple où les blockchains sont la seule et la meilleure solution. Les avis de Bruce Schneier sont de ceux qu’il faut écouter :
https://www.schneier.com/blog/archives/2022/06/on-the-dangers-of-cryptocurrencies-and-the-uselessness-of-blockchain.html

Très belle liste de services (810) aidant à faire de l’OSINT, Open Source Intelligence, c’est à dire, en français, renseignement de sources ouvertes :
https://cipher387.github.io/osint_stuff_tool_collection/

Décodage d’un base64 obfusqué :
https://isc.sans.edu/diary/rss/28758

Defender, la solution anti-malware de Microsoft, désormais disponible sur toutes les plateformes (macOS, iOS, Android...), y compris celles contenant leur propre anti-virus. Defender les intégrera a priori dans son dashboard. La stratégie sécurité de Microsoft continue d’étonner par sa pertinence.
https://www.theregister.com/2022/06/17/microsoft_defender/

La question délicate des termes et conditions de assurances cyber, avec, en particulier les clauses d’exclusions pour faits de guerre :
https://thehackernews.com/2022/06/do-you-have-ransomware-insurance-look.html

Les deeps fakes seront de plus en plus présents dans les attaques cyber, d’après Cisco. C’est probable. De façon inattendue, il est possible que cela entraine un retour du besoin de l’humain. Du contact humain, réel. Et aussi, dans le domaine de l’information, un retour de l’importance des témoins, c’est-à-dire des journalistes (probablement les journalistes, français en particulier, devront-ils cultiver davantage la culture de l’investigation et de l’impartialité) :
https://www.itpro.co.uk/security/phishing/368299/deepfake-attacks-expected-to-be-next-big-threat-to-businesses

Pegasus, la suite. NSO, l’éditeur du logiciel d’espionnage confirme qu’au moins 5 pays de l’EU ont acheté et utilisé Pegasus :
https://thehackernews.com/2022/06/nso-confirms-pegasus-spyware-used-by-at.html

Des nouvelles des délires technoides : Amazon a montré que son truc parlant, Alexa, pouvait lire une histoire du soir à un enfant en imitant la voix de sa grand-mère morte. Ils n’ont pas annoncé mettre cette option à disposition. Mais il est probable que ce soit le cas dans un futur proche. Outre les risques d’utilisation d’une telle fonction pour créer des deep fakes vocaux, on peut vraiment se demander si tous ces ingénieurs et ces ressources n’ont rien de plus utile à faire :
https://grahamcluley.com/amazon-alexa-dead-grandma/

17 juin 2022

Les attaquants ne restent pas le même temps au sein des SI compromis avant de lancer leurs offensives, d’après ce rapport de Sophos. Plus de 50 jours pour les entreprises de moins de 100 personnes, une vingtaine pour les entreprises de 5000 personnes. L’explication paraît relativement simple : les petites entreprises ont probablement moins de moyens "sécurité", y rester longtemps est donc moins risqué. Sur le front des vecteurs de compromission : achat d’accès compromis (souvent sans authentification multi-facteur, on suppose) et exploitation de vulnérabilité non corrigées. Business as usual, en somme :
https://www.itpro.co.uk/security/cyber-attacks/368116/cyber-criminals-are-spending-longer-inside-business-networks

Une vulnérabilité sur les processeur M1 d’Apple, qui permet théoriquement d’exécuter du code arbitraire découverte par des chercheurs du MIT, nommée Pacman. Complexe, elle reste assez théorique pour le moment (c’est-à-dire difficile à exploiter en conditions réelles). Mais elle a une particularité : elle ne peut pas être corrigée. Ce qu’on appelle une vulnérabilité... ou une feature, by design :
https://thehackernews.com/2022/06/mit-researchers-discover-new-flaw-in.html

Offensive Security, les créateurs de la distribution Kali Linux - et ceux qui proposent les certifications de pentest les plus exigeantes au monde - vont proposer des sessions de training en livestream :
https://www.itpro.co.uk/security/penetration-testing/368217/kali-linux-team-free-cyber-security-training-twitch

Convergence des équipes de sécurité physique et logique par le biais des activités d’OSINT (recherches en sources ouvertes) :
https://www.securityweek.com/facilitating-convergence-physical-security-and-cyber-security-open-source-intelligence

Quelques critères pour détecter des fraudes, comme examiner les comportements, les requêtes entrantes, se concentrer sur la qualité et non la quantité... :
https://www.securityweek.com/lessons-better-fraud-decision-making

Un opérateur malveillant (APT) chinois utilise une 0day sur un pare-feu pour compromettre sa cible. L’exploitation de failles sur des pare-feu est suffisamment rare pour être remarquée :
https://thehackernews.com/2022/06/chinese-hackers-exploited-sophos.html

Des nouvelles du crime. Un meurtrier présumé admet avoir utilisé un Apple AirTag dissimulé dans la voiture de sa victime pour surveiller ses allées et venues. Ce machin permet de localiser l’objet auquel il est attaché... Sans doute devrions nous nous poser la question de l’utilité de développer de tels gadgets :
https://nakedsecurity.sophos.com/2022/06/14/murder-suspect-admits-she-tracked-cheating-partner-with-hidden-airtag/


 
cryptosec
17 juin 2022

 
 
 
 
 
Partager sur Twitter  |  Partager sur LinkedIn
 
Creative Commons - BY - NC - ND

Tous les textes, images et sons de cryptosec sont publiés selon les termes de la licence Creative Commons - Attribution - Pas d’Utilisation Commerciale - Pas de Modification - 3.0