Exploiter Chromium lors d’un pentest

Lorsque j'ai commencé à m’intéresser au domaine de la sécurité à la fin des années 90, un ami m’avait prévenu « la sécurité, c’est un truc de vieux con » ; une punchline a priori provocatrice qui semble vouloir décourager tout nouveau pratiquant. C’est tout l’inverse, elle résume de manière percutante que notre discipline est avant tout complexe et transversale, qu’il y a beaucoup de choses à apprendre et que pour progresser, il faut de la rigueur, et savoir douter. Une phrase qui, des années plus tard, conserve tout son sens.

TikTok sanctionné pour transferts illégaux de données vers la Chine / LockBit piraté : fuite massive de données / La France dénonce des cyberattaques russes / Faille zero-day chez Commvault

Essentiels pour identifier des défauts, calibrer et paramétrer les calculateurs automobiles, les protocoles de diagnostic constituent une cible privilégiée dans la recherche de vulnérabilités. Intéressons-nous à deux de ces protocoles : UDS et XCP.

Le plus grand danger en cybersécurité, ce n’est pas la technologie, mais l’imagination de ceux qui l’exploitent. L’essor de l’intelligence artificielle transforme le paysage des cybermenaces, offrant aux attaquants de nouvelles opportunités d’exploitation. Dans cet article, nous verrons comment l’IA peut être utilisée pour étendre la portée d’un malware et amplifier sa capacité de propagation.

L’efficacité des capacités de détection d’un SOC repose en grande partie sur les mécanismes sous-jacents d’identification des menaces. Il apparaît donc crucial de former ses équipes SOC à l’aide de jeux de données représentatifs. Dans cette optique, les cyber ranges jouent un rôle essentiel en offrant un environnement personnalisé, contrôlé, permettant la simulation de scénarios réalistes et adaptés aux contextes opérationnels.

L’agence américaine NIST a publié le 13 août 2024 ses premiers standards pour la cryptographie à clef publique post-quantique, et l’ANSSI préconise d’avoir effectué une migration quasi complète vers de tels algorithmes d’ici 2030. Pourquoi un tel engouement autour des cryptosystèmes post-quantiques ? Quelles sont leurs caractéristiques et que signifient-ils en pratique pour les utilisateurs ? C’est ce que nous allons explorer dans cet article.

En rejoignant cette startup française du spatial de nouvelle génération, appelée également New Space, en tant que Directeur de la Sécurité, je savais qu’il faudrait tout construire, tout structurer, sans ralentir l’innovation, sans freiner le business. Dans le secteur du New Space, les enjeux de souveraineté, de rapidité, mais aussi de fiabilité sont exacerbés. Mais alors, comment créer une sécurité crédible, adaptée et sans dogmatisme ? C’est ce que je vais vous raconter ici, à travers mon quotidien, mes décisions, et les paradoxes qu’il faut apprendre à apprivoiser…

Entré en application en janvier, le règlement européen DORA impose désormais à une part des entités financières des exercices de simulation d’attaque, dits TLPT, ayant pour but d’identifier les groupes d’attaquants susceptibles de cibler une entité ainsi que les modes opératoires qu’ils utilisent, puis de les mettre en pratique de manière contrôlée. La démarche permet de tester puis d’améliorer les capacités de protection, détection et réponse de l’entité. Dans ce contexte, nous vous partageons un retour d’expérience sur le référentiel TIBER associé, ses avantages, spécificités, et complexités.