Dans ce numéro...


La cité d’Ankh-Morpork gazouillait depuis quelques jours en raison de la rumeur d’une nouvelle loi d’Havelock Vétérini, le tyran bienveillant. Cette loi baptisée « sous surveillance amicale » prévoyait le déploiement de mystérieuses boîtes octarines [2] dans toute la ville, capables d’écouter n’importe quelle conversation de la cité, afin de détecter tous les complots ourdis contre le praticien. Officieusement, elles pourraient aussi servir à distraire le guet lors de longues soirées d’hiver.
Défini par Peter Van Eeckhoutte, son auteur, comme la boite à outils du développement d'exploits en environnement win32, mona.py [1] est un plugin qui fonctionne avec Immunity Debugger et WinDBG. Simple d'utilisation, il a l'énorme avantage de réunir les fonctionnalités de bon nombre d'autres outils tout en s'intégrant dans votre débogueur. Plutôt que de présenter toutes ses possibilités une par une, nous allons à travers des exemples pratiques montrer comment il permet de gagner du temps lors de l'écriture d'exploits en environnement Windows.
Ces mois de février et mars ont vu la médiatisation de trois malwares vraisemblablement développés par la même équipe. Un des éléments qui a fait beaucoup couler beaucoup d'encre est leurs noms : Bunny, Babar et Casper. Ces noms ont été choisis par les développeurs eux-mêmes. Je présume qu'ils doivent être fans de dessins animés ;). Cet article a pour but de décrire quelques fonctionnalités présentes dans chacun de ces trois malwares. 
Note : aucune attribution n’est évoquée dans l’article. Ce n'est pas le but de l’analyse. Cet article reste strictement dans le domaine technique.
Melissa vient de fêter ses seize ans. Il y a quelques mois, si on m'avait dit que j'écrirais un article sur les Macros Office dans MISC en 2015, j'aurais fait des yeux ronds. Dans le monde du malware, les macros étaient devenues ringardes depuis bien longtemps, une technologie obsolète du siècle dernier dont on ne parlait plus que dans les manuels d'histoire de la cybersécurité. Et pourtant... Les macros sont de retour, et le succès est là, comme les stars des années 80 en tournée !Combien de temps cela va-t-il durer ? Mystère. En tout cas, il est aujourd'hui de bon ton de savoir comment détecter et analyser ces documents avec macros envoyés par des inconnus.
Depuis quelque temps, pas une semaine ne semble passer sans qu’il n’y ait un article, un billet de blog, ou un white paper sur le sujet des APT, que ce soit pour décrire des campagnes d’attaque, des groupes d’attaquants, analyser des malwares dédiés à ces attaques, ou malheureusement faire du marketing à peu de frais. Cependant, force est de constater que même les professionnels de l’IT sont parfois victimes de méconnaissances ou d’idées reçues sur cette problématique. Le but de cet article est donc d’exposer brièvement les premières bases de connaissance d'une attaque APT, son mode opératoire, et de définir un peu plus les différences entre compromissions classiques et APT.
Passé le moment de la détection de l’APT (quel que soit le moyen, seule la victoire est belle), toute équipe CSIRT se retrouve rapidement déchirée sur la conduite à tenir. Non seulement on ne comprend pas tout, mais en plus il faut choisir entre éliminer le symptôme, et collecter un maximum de données sur l’attaque et l’attaquant pour agir de façon plus définitive.
Dans le contexte de réponse à incident, la phase d'investigation numérique peut être traitée soit en mode tour d'ivoire, soit en prenant en compte un écosystème plus global. Dans ce cadre, l'attaque sera mise en relation avec d'autres attaques déjà observées. C'est cet objectif que vise à atteindre toute la mécanique de la threat intelligence : modéliser les menaces pour savoir à un instant T ce à quoi une victime est confrontée.
Lors d'une attaque de type APT, les attaquants sont amenés à mettre en place des moyens de persistance dans le système d'information de leur victime. Pour cela, le RAT (Remote Administration Tool) est l'arme de choix, un type de malware conçu pour donner un accès quasi-complet à la machine infectée et à distance. Au royaume des RAT, PlugX fait partie des grands favoris.
Airbus Defense and Space a récemment organisé un challenge sécurité intitulé « Trust the Future », à destination des étudiants de certaines écoles et universités. Nous nous sommes intéressés à ces épreuves – une seule nous a résisté avant la date limite. Nous décrivons ici comment nous avons réussi ces épreuves, en essayant pour certaines de donner des moyens un peu atypiques pour arriver à la solution (pas de python, etc.)...
Aujourd'hui, quasiment toutes les activités sur l'Internet mettent en jeu de nombreuses requêtes DNS [1]. Ce protocole présente plusieurs caractéristiques du point de vue de la vie privée : le trafic est toujours en clair, et les requêtes DNS sont souvent vues par des acteurs qui sont loin du canal de communication entre Alice et Bob, canal qui fait l'objet de la plupart des analyses de confidentialité. Comme le montrent les révélations sur le programme NSA « More Cowbell » [MORECOWBELL], ces particularités du DNS sont activement exploitées dans des programmes de surveillance massive, mais aussi fréquemment pour de la surveillance plus ciblée. Peut-on améliorer le DNS pour préserver un peu plus la vie privée ? L'IETF explore actuellement plusieurs possibilités techniques en ce sens. Ou bien faudra-t-il abandonner le DNS et passer à un autre système de noms ?
Quelqu'un a pénétré dans la nuit dans vos locaux. Trois serveurs, pourtant installés dans un local sécurisé, ont disparu. Ils contenaient l'ensemble des données critiques de l’entreprise. Pourtant, aucune trace d'effraction. Ce scénario catastrophe est-il crédible ?

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

De la scytale au bit quantique : l’avenir de la cryptographie

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Imaginez un monde où nos données seraient aussi insaisissables que le célèbre chat de Schrödinger : à la fois sécurisées et non sécurisées jusqu'à ce qu'un cryptographe quantique décide d’y jeter un œil. Cet article nous emmène dans les méandres de la cryptographie quantique, où la physique quantique n'est pas seulement une affaire de laboratoires, mais la clé d'un futur numérique très sécurisé. Entre principes quantiques mystérieux, défis techniques, et applications pratiques, nous allons découvrir comment cette technologie s'apprête à encoder nos données dans une dimension où même les meilleurs cryptographes n’y pourraient rien faire.

Les nouvelles menaces liées à l’intelligence artificielle

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Sommes-nous proches de la singularité technologique ? Peu probable. Même si l’intelligence artificielle a fait un bond ces dernières années (elle est étudiée depuis des dizaines d’années), nous sommes loin d’en perdre le contrôle. Et pourtant, une partie de l’utilisation de l’intelligence artificielle échappe aux analystes. Eh oui ! Comme tout système, elle est utilisée par des acteurs malveillants essayant d’en tirer profit pécuniairement. Cet article met en exergue quelques-unes des applications de l’intelligence artificielle par des acteurs malveillants et décrit succinctement comment parer à leurs attaques.

Migration d’une collection Ansible à l’aide de fqcn_migration

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Distribuer du contenu Ansible réutilisable (rôle, playbooks) par l’intermédiaire d’une collection est devenu le standard dans l’écosystème de l’outil d’automatisation. Pour éviter tout conflit de noms, ces collections sont caractérisées par un nom unique, formé d’une espace de nom, qui peut-être employé par plusieurs collections (tel qu'ansible ou community) et d’un nom plus spécifique à la fonction de la collection en elle-même. Cependant, il arrive parfois qu’il faille migrer une collection d’un espace de noms à un autre, par exemple une collection personnelle ou communautaire qui passe à un espace de noms plus connus ou certifiés. De même, le nom même de la collection peut être amené à changer, si elle dépasse son périmètre d’origine ou que le produit qu’elle concerne est lui-même renommé.

Body