MITRE ATT&CK : la rançon du succès

Magazine
Marque
MISC
Numéro
125
Mois de parution
janvier 2023
Spécialité(s)


Résumé

Aujourd’hui, que vous travailliez dans une équipe de Cyber Threat Intelligence (CTI), un Security Operations Center (SOC), un Computer Security Incident Response Team (CSIRT), ou même comme pentester, il y a fort à parier que nous ne pouviez faire l’économie d’utiliser, peut-être même au quotidien, la matrice MITRE ATT&CK. Un tel succès appelle une analyse critique de ses causes, l’examen de ses éventuelles limites, ainsi que la définition de quelques bonnes pratiques d’utilisation.


Body

1. ATT&CK : un référentiel au succès spectaculaire

La matrice ATT&CK [1], pour Adversarial Tactics, Techniques, and Common Knowledge, a été conçue et publiée en 2015 par MITRE, une organisation non-lucrative américaine. Elle fait partie d’une vaste galaxie de référentiels de classification peuplant le petit monde de la cybersécurité, parmi les STIX, eCSIRT/ENISA, CVE et autres ETSI. Si l’outil est donc âgé de moins de 10 ans, force est d’admirer la facilité avec laquelle il a acquis une place centrale en ce laps de temps ; à son crédit, un fonctionnement simple combiné à un haut niveau de précision technique.

1.1 La matrice ATT&CK : fonctionnement et principes de base

ATT&CK, comme son nom l’indique, est un ensemble catégorisé de comportements adverses, c’est-à-dire susceptibles d’être employés par des groupes d’attaquants. Il s’agit donc d’un outil qui s’adresse tout particulièrement à la CTI, en ce que celle-ci est amenée à découvrir, analyser et suivre des menaces.

Le référentiel se compose de deux grands concepts, imbriqués : les Tactics, et les Techniques.

  • Les Tactics : bien mal nommées, ces dernières sont les différentes phases d’une cyber kill chain, « à la mode MITRE » (en complément à celle de Lockheed Martin). Concrètement, en allant de gauche à droite, il est possible d’observer les 14 différentes phases théoriques d’une cyberattaque, selon qu’elles sont observées ou non.
    • Exemples : Reconnaissance, Collection, Lateral movement, Command and control, etc..
  • Les Techniques : très nombreuses, celles-ci représentent des familles d’actions pouvant être réalisées, toujours par un groupe d’attaquants, au sein d’un système d’information compromis ou qu’un attaquant souhaite compromettre. Ce que beaucoup ont tendance à oublier, est que les Techniques ATT&CK n’ambitionnent aucunement d’être tellement granulaires qu’elles prétendraient atteindre une quelconque exhaustivité ; nous y reviendrons un peu plus loin. Ces Techniques sont classées par Tactics, c’est-à-dire par phase de la cyber kill chain, et peuvent ainsi exister sous plusieurs occurrences/aspects/expressions.
    • Exemples : Account scanning, Scheduled task/jobs, Account discovery, Data encrypted for impact, etc..

À noter que des Techniques peuvent bénéficier de sub-Techniques, offrant un niveau supplémentaire de granularité.

Dans son utilisation la plus basique, ATT&CK permet donc de cartographier une grande partie des comportements d’un groupe d’attaquants selon les phases de son attaque et les moyens déployés pour la conduire. Sur la base d’une telle cartographie, il est alors simple de produire les profils de certains groupes, et de les capitaliser. Les Threat Intelligence Platforms (TIP), telles qu’OpenCTI [2], permettent de suivre ces données dans le temps, de les exporter, croiser, comparer, partager, etc..

Enfin, il convient de noter que le référentiel est en constante évolution, MITRE n’hésitant pas à créer et développer Techniques et sub-Techniques pour refléter l’évolution des comportements d’attaquants.

La matrice ATT&CK est donc un référentiel puissant, car aussi précis qu’ajustable ; son utilisation, inévitable en analyse de la menace et donc en CTI, a pourtant largement dépassé ce cadre initial.

Petit focus sur une TIP open source : OpenCTI

OpenCTI est une Threat Intelligence Platform (TIP), dite de nouvelle génération (qui se distingue ainsi de solutions plus anciennes telles que MISP) ; open source, la solution permet de capitaliser un grand nombre d’éléments opérationnels, tels que les classiques IOC, d’intégrer différents référentiels tels que les Tactics et Techniques ATT&CK, des données géographiques, etc.. L’ensemble de ces éléments peut ensuite être exploité de diverses manières, afin d’anticiper les comportements adverses ou enrichir la détection de cyberattaques.

1.2 Un référentiel omniprésent en cybersécurité

Aujourd’hui, force est de constater que l’influence d’ATT&CK a largement dépassé les ambitions initiales de MITRE. En effet, au-delà de la CTI, il est fréquent de retrouver le référentiel à divers endroits.

En matière de détection de cyberattaques, il est régulièrement demandé à un SOC d’être en capacité d’exprimer quel niveau de couverture il offre quant à une ou plusieurs Techniques. Loin d’être déracinée, ce genre de représentation, si elle n’est pas sans poser question (cf. ci-dessous), offre le mérite de fournir un instantané de certaines capacités de détection.

En réponse à incident, produire un rapport relatif à l’attaque à laquelle il a fallu réagir inclut de plus en plus souvent la liste des Techniques dont les analyses forensiques ont montré qu’elles ont été utilisées par un attaquant, voire de fournir des recommandations quant à la surveillance de leur potentielle occurrence et la mise en place de mesures défensives.

Enfin, lors de pentests ou d’exercices de type Red Team, il est devenu commun de guider les actions d’acteurs offensifs selon les Techniques qui ont été proposées et/ou intégrées aux divers scénarios d’attaque préparés.

Mais le succès d’ATT&CK pose quelques questions.

2. Les limites de l’utilisation d’ATT&CK

La matrice est tellement devenue une référence que son utilisation sert de prétexte à nombre de demandes à l’intérêt douteux. Ainsi, comment interpréter la demande suivante, que l’on peut imaginer formulée par un dirigeant à l’endroit de son SOC interne : « je souhaite que la Technique Account Discovery soit entièrement couverte par mon SOC » ?

Plus encore : certains appels d’offres et autres demandes commerciales se basent parfois sur ATT&CK pour formuler des demandes n’ayant qu’un sens opérationnel limité.

Certains acteurs vont demander que toutes les Techniques ATT&CK soient couvertes par un SOC. D’autres vont souhaiter disposer d’une cartographie de toutes les Techniques ayant été vues au sein d’un secteur, tous groupes d’attaquants confondus… et l’on passe sur les demandes plus farfelues, comme celles demandant à ce qu’un malware spécifique soit placé au sein de la matrice ATT&CK (!)...

Nous allons voir, dans les prochains paragraphes, des illustrations de limites méthodologiques à l’utilisation d’ATT&CK.

2.1 Un référentiel omniprésent en cybersécurité

Un outil, particulièrement en sciences humaines, doit demeurer au service de la production de valeur ajoutée.

Une démarche scientifique suppose la construction d’hypothèses, qui sont ensuite confrontées à la réalité via l’expérimentation et l’analyse des résultats qui en sont issus. Cette dernière étape peut être facilitée par l’utilisation de modèles, grilles et autres outils méthodologiques, existants ou développés pour l’occasion.

Dès lors qu’un chercheur se mettrait à tordre les résultats de ses expériences pour les faire absolument entrer dans les cases préconçues des grilles d’analyse qu’il aurait choisi d’utiliser, il s’éloignerait de la méthode scientifique en tant que telle.

Bien évidemment, si l’on prend en considération le fait que, souvent, la construction d’outils méthodologiques est complexe, et donc chronophage, l’on peut comprendre aisément les difficultés que peuvent avoir certains à s’en éloigner d’un, surtout s’il a prouvé à maintes reprises sa robustesse et la fiabilité des résultats qu’il permet d’obtenir. Cependant, bien que très humain, ce refus de reconnaître les limites méthodologiques d’un outil d’analyse est de nature à biaiser les analyses produites.

À vouloir tout faire entrer, parfois au forceps, dans ATT&CK (ou dans STIX), que ce soit les notions de risque, de code malveillant, de périmètre de détection, la garantie de production d’analyses scientifiquement solides et valides se perd... sans compter que l’on irrite quelque peu des experts légitimement plus préoccupés de la pertinence de leur activité opérationnelle que par le respect de la doctrine d’utilisation d’un outil.

Le danger des « palais vides »

En histoire des idées, il arrive d’opposer deux catégories de philosophes : d’un côté, les philosophes « systémiques », qui construisent de grands ensembles conceptuels permettant d’appréhender la réalité ; ainsi vont les Platon, Kant et autres Hegel. De l’autre, les « fragmentaires » ; eux, détestent les systèmes, convaincus qu’ils sont qu’aucune réalité ne saurait être réduite à une quelconque construction, aussi complexe soit-elle. Pour ces derniers, tels qu’Héraclite, Nietzsche ou Cioran, les systèmes sont autant de palais vides que n’habite pas le monde réel (pour paraphraser Kierkegaard). Nul doute que nos amis fragmentaires auraient quelques commentaires à adresser à ceux croyant qu’un référentiel, aussi puissant soit-il, mérite que l’on torde la réalité pour l’y faire entrer !

2.2 Petit florilège (personnel et non-exhaustif) des limites d’ATT&CK

Au-delà de la limite méthodologique exprimée dans le paragraphe précédent, nous allons voir que l’utilisation d’ATT&CK n’est pas sans défis.

2.2.1 La confusion autour de ce qu’est une Technique

Ainsi que cela a été vu plus haut, ATT&CK propose une (longue) liste de Techniques au sein de laquelle « piocher » afin de décrire un comportement adverse. Toutefois, ces Techniques ne correspondent pas à des actions précises, mais à des familles d’actions ; pour chaque Technique, il existe N expressions, ou aspects de celle-ci.

ATT&CK se veut un lexique de description, un vocabulaire. À ce titre, l’outil va permettre de décrire un comportement « à grosses mailles ».

  • Exemple : la Technique Command & Scripting Interpreter va s’attacher au fait qu’un attaquant a utilisé un outil en ligne de commandes ou un script en exploitant une. Toutefois, elle ne précisera pas quel outil a été utilisé (pour cela, on peut certes, parfois, choisir une sub-Technique), pas plus qu’elle ne propose des exemples de commandes précises.

La distinction peut sembler triviale ; elle est cependant essentielle à garder à l’esprit, selon ce que l’on demande à l’outil.

Mettons que votre SOC interne surveille l’utilisation de la ligne de commandes Windows ; si vous imaginez qu’un attaquant y fasse appel, vous allez indiquer que la Technique Command & Scripting Interpreter est couverte. Est-ce à dire pourtant que vous pouvez être tranquille ? Certes non, ne serait-ce que parce que votre SOC interne ne surveille peut-être pas d’autres expressions de la même Technique, telles que l’utilisation de Powershell ou les shell Linux.

Limite n°1 : ATT&CK peut fournir le portrait-robot d’une attaque... mais pas une photographie !

2.2.2 L’arbitraire inhérent à toute évaluation de couverture

Continuons à partir de notre exemple précédent : certains d’entre vous auront immédiatement pensé qu’un moyen de parer à ce déficit de représentation est de définir une échelle de notation (scoring).

  • Exemples : surveiller une expression d’une Technique vaut 1 ; deux expressions, 2 ; trois, 3 ; etc..

Toutefois, à partir de quel score peut-on considérer qu’une Technique est entièrement, ou même convenablement, couverte ?

Répondre à cette question suppose de connaître le nombre exact d’expressions potentielles d’une Technique, et de faire alors un simple rapport... Sauf qu’ATT&CK ne prétend aucunement fournir cette information ! (certes, d’autres outils le font, cf. ci-dessous, mais il vous faudra alors combiner deux solutions)

Poursuivons : imaginons que l’on dispose de ce nombre exact, et fixons-le arbitrairement à 10 ; imaginons également que notre SOC interne surveille 6 expressions différentes de cette Technique ATT&CK. Cela nous donnerait un taux de couverture de 60%. Comment interpréter ce pourcentage ?

Les habitués d’EBIOS [3] savent bien que la perception d’un risque relève avant tout de la subjectivité de celui qui l’interprète, et va nécessairement dépendre du contexte auquel il se rapporte. 60%, cela peut paraître faible ; toutefois, imaginons que 2 des expressions de la Technique relèvent de systèmes d’exploitation de type Linux, et qu’il n’y en ait aucun dans le système d’information auquel se réfère notre cartographie ATT&CK. En ce cas, la couverture réelle serait donc de 6 Techniques sur 8, soit un bien meilleur 75 % !

D’aucuns pourraient vouloir alors remplacer le nombre exact d’expressions potentielles de la Technique évoquée plus haut par le nombre d’expressions potentielles de la Technique selon ce qui est applicable au système d’information analysé...

Tous ces éléments montrent qu’utiliser ATT&CK pour représenter convenablement autre chose qu’un ensemble de comportements offensifs peut se révéler, a minima, complexe, car nécessitant d’importantes connaissances opérationnelles, notamment au niveau de l’état de l’art des expressions d’une Technique.

Limite n°2 : utiliser ATT&CK peut demander de définir un grand nombre d’éléments (arbitrairement) et de disposer d’une importante masse d’informations.

2.2.3 ATT&CK n’est pas un outil de qualification des risques... pas plus qu’un outil de classification de codes malveillants

Le corollaire immédiat de la limite précédente est que si un outil, initialement conçu pour servir d’autres objets, nécessite pour lui en faire accomplir un nouveau une importante somme d’informations et de travail, peut-être qu’une simple réflexion de type coûts/bénéfices montrerait qu’il serait plus intéressant d’utiliser alors d’autres solutions à sa place.

Limite n°3 : on n’enfonce pas des clous avec des microscopes ! (autrement dit : choisissez rationnellement vos outils méthodologiques)

2.2.4 Trop de Techniques tuent les Techniques !

Enfin, quiconque a déjà utilisé ATT&CK sait que la liste des Techniques qu’il fournit est très importante. Non seulement cela signifie que la connaître intimement frôle la gageure, mais la situation se complique encore dès lors que MITRE la met à jour, et que toute la capitalisation déjà effectuée doit être actualisée !

Cette fois, imaginons un service de CTI. Celui-ci capitalise des informations sur un groupe d’attaquants, en utilisant plusieurs outils, dont ATT&CK. Selon les éléments dont il dispose, ce service de CTI va pouvoir enrichir sa connaissance de la menace, par exemple au sein de sa TIP. Si le groupe d’attaquants était, au départ de la capitalisation, relativement peu documenté, il est possible/probable que les mois et années passant, la masse d’informations le concernant augmente. Au départ, si seules certaines Techniques lui étaient attachées, peut-être que par la suite, ce nombre va aller grandissant, jusqu’à atteindre un nombre important.

Dès lors, si un groupe d’attaquant est capable d’utiliser beaucoup de Techniques ATT&CK, quel est l’intérêt réel de capitaliser les informations le concernant sans un haut niveau de granularité ? Certes, le service de CTI peut basculer vers une capitalisation orientée attaques attribuées à ce groupe, et les rattacher chacune à celui-ci ; toutefois, non seulement il faut que la TIP du service de CTI le permette, mais aussi que ce niveau de granularité ait été pensé dès le départ, c’est-à-dire au moment où le groupe d’attaquants n’était pas très connu... au risque d’alourdir le processus de capitalisation. Sinon, l’alternative consiste à repasser sur l’ensemble des connaissances capitalisées sur le groupe d’attaquants, et de tout requalifier !

Limite n°4 : maintenir à jour une cartographie demande du temps (beaucoup) et une (excellente) préparation en amont.

Ces limites sont sans doute évidentes à qui utilise d’ATT&CK au quotidien ; nous aurions pu en citer d’autres, telles que celles qui émergent dès lors que MITRE publie une mise à jour importante, ou que des acteurs utilisent des versions différentes et souhaitent pourtant échanger des informations via un format standardisé... Ces illustrations montrent toutefois, peut-être de manière quelque peu simplifiée, comment le succès d’un outil, tout à fait légitime par ailleurs, peut nuire à l’utilité opérationnelle dès lors qu’on ne tiendrait pas compte de ses limites méthodologiques.

3. Une valeur ajoutée opérationnelle certaine... pour peu que l’on sache demeurer pragmatique

Ainsi donc, ATT&CK est passé de matrice éminemment utile en CTI à référentiel phare de la cybersécurité. Il s’agit pourtant de ne pas prendre prétexte des quelques limites exprimées plus haut pour rejeter en bloc cet outil d’une utilité immense, pour peu que l’on dépasse certaines frontières entre activités opérationnelles, et que l’on utilise l’excellent ATT&CK Navigator [4] pour superposer des couches (layers) de connaissances opérationnelles !

3.1 Anticipation de cyberattaques par comparaison de TTP issues de la CTI avec la couverture d’un SOC

La première utilisation exploite la capitalisation de connaissances sur la menace telle qu’un service de CTI va pouvoir produire ; une forme de cette capitalisation pourra exister comme cartographie ATT&CK d’une cyberattaque conduite par un groupe d’attaquants spécifique, peut-être suivi dans la durée, car s’intéressant à un secteur d’activités particulier (par exemple celui de la structure concernée, dans le cas d’un service de CTI interne ; ou celui de clients, s’il est question d’un service commercial de CTI).

Si la structure en question bénéficie également d’un SOC, et que la couverture de celui-ci a pu être traduite sous forme de cartographie ATT&CK, alors comparer les TTP qu’un groupe d’attaquants peut mobiliser à celle-ci permet d’identifier rapidement d’éventuelles lacunes dans la détection. Bien sûr, il conviendra de garder en tête les limites évoquées plus haut, au risque de se croire couvert alors qu’on ne l’est pas totalement.

3.2 Évaluation de la prise en compte de retours d’expériences de réponse à incidents

La même logique peut être suivie, mais en partant, cette fois, non pas de l’anticipation d’une menace à venir, mais de l’expérience issue d’une cyberattaque ayant déjà eu lieu. Ainsi, au lieu de se baser sur ce que va pouvoir produire un service de CTI sur un groupe d’attaquants jugé d’intérêt, il s’agira cette fois de comparer la cartographie ATT&CK d’une attaque passée avec la couverture de détection en place.

Si un CERT est intervenu et a produit un rapport d’incident, et/ou si un retour d’expériences quelconque a été rédigé, le suivi de la prise en compte des recommandations pourra se nourrir de cette approche comparative.

3.3 Identification des axes d’amélioration d’une couverture de détection

Enfin, il y a un cas où, sans même opérer de comparaison, il est possible d’exploiter une cartographie ATT&CK d’une couverture d’un SOC. En effet, bénéficier d’un instantané relatif à la couverture ATT&CK d’un SOC permet, d’un seul coup d’œil et en regardant cette fois les Tactics, de se rendre compte si certaines phases de la cyber kill chain ne souffrent pas d’un déficit de supervision.

Le principe de la défense en profondeur exige que soient mis en place des rideaux de défense successifs afin de multiplier les probabilités de bloquer une cyberattaque ; si celle-ci ne l’a pas été au moment de la phase Execution, peut-être le sera-t-elle lors du Lateral Movement... ou encore lors de celle de la Command and control.

Si, en regardant la couverture assurée par un SOC, certaines Tactics semblent délaissées, voire aucunement supervisées, cela peut a minima donner des idées de pistes d’amélioration de la détection.

4. ATT&CK comme base méthodologique à d’autres outils d’analyse

En sus de ces utilisations transverses d’ATT&CK, il est possible d’aller plus loin. En effet, certains acteurs, tout à la fois conscients des limites de l’outil telles qu’elles ont été décrites, mais désireux de capitaliser sur ses forces, ont construit, autour (et parfois à partir) d’ATT&CK, d’autres solutions qui se révèlent de puissants compléments.

4.1 MITRE D3FEND

Ainsi qu’on l’a vu, le « A » de ATT&CK vient de « adversary », et témoigne du prisme éminemment offensif de la matrice éponyme ; à partir de là, il était aisé d’anticiper que MITRE allait, à un moment ou un autre, changer de perspective pour adopter celle de la défense.

D3FEND [5] est également une matrice, mais qui, elle, liste les contre-mesures défensives que l’on peut prendre pour faire face à des actions offensives ; là où l’outil devient très intéressant, est qu’il permet de partir d’une Technique issue d’ATT&CK, et d’afficher les contre-mesures recommandées pour y faire face.

Encore une fois, il convient d’avoir conscience des limitations de ce nouvel outil : les contre-mesures que propose D3FEND sont certes assez granulaires, mais non-priorisées, et, surtout, se basent initialement sur ce qu’un attaquant pourrait faire (et non sur la réalité du système d’information de la victime).

À noter que D3FEND a été publié mi-2021, et est encore en phase expérimentale. Certaines Techniques que l’on peut choisir en entrée ne sont pas (encore) corrélées à des contre-mesures, et celles déjà documentées sont régulièrement complétées. L’outil est toutefois d’ores et déjà une excellente source de recommandations opérationnelles.

4.2 DeTT&CT

Ce second outil, appelé DeTT&CT [6] pour Detect Tactics, Techniques and Combat Threats, n’a pas été produit par MITRE, mais par NVISO Labs. DeTT&CT se veut un outil s’adressant à la défense, renversant là encore le prisme premier d’ATT&CK.

Son objectif est de proposer un ensemble de fonctionnalités permettant à des défenseurs (typiquement à une Blue Team) de construire, qualifier et représenter graphiquement une couverture de détection ; là où l’outil permet d’aller beaucoup plus loin que les grands principes de base décrits dans les parties précédentes, est qu’il prend en compte les sources de données (comme des logs), leur fiabilité, mais aussi la qualité de leur collecte.

Il propose également des échelles de notation (scoring) : une pour évaluer la visibilité de certaines sources de données, allant de 0 (« rien n’est visible ») à 4 (« toutes les sources de données permettant de détecter l’expression d’une Technique ATT&CK sont collectées et de qualité ») ; une autre sur la qualité et l’utilité de la détection, allant de -1 (« aucune détection »), à 5 (« toutes les expressions d’une Technique ATT&CK sont couvertes et la détection ne génère que très peu de faux positifs »). Bien sûr, DeTT&CT suppose, pour être efficacement utilisé, de connaître son système d’information sur le bout des doigts...

Conclusion

Nous l’avons vu, le propre d’outils, tels que les grilles d’analyse et donc la matrice ATT&CK, est de faciliter la production de valeur ajoutée opérationnelle. Un outil ne saurait être une fin en soi, par définition, sinon il perdrait son qualificatif d’outil. Plus encore : il ne peut être utile à toutes les démarches, à toutes les analyses, et dans tous les cas (et ce, même si la cybersécurité est un secteur où l’on adore détourner des outils de leurs usages initiaux !).

La matrice ATT&CK est et demeure un excellent référentiel, puissant, utile à de nombreux égards... à condition de se demander en amont : dans quels cas peut-il m’être utile ? De quelles façons ? En complément de quelles sources de données et de quels autres outils ? Et d’essayer, dans la mesure du possible, de ne pas lui en demander abusivement.

Remerciements

Merci à Félix Aimé, camarade d’indignation de longue date ; nos discussions animées autour de cas farfelus auxquels nous avons dû faire face ont rendu possible cet article. Merci aussi à celle qui se reconnaîtra, dont les avis critiques et éclairés ont donné l’idée de ce texte.

Références

[1] Matrice ATT&CK Enterprise, MITRE, https://attack.mitre.org/matrices/enterprise/

[2] OpenCTI, Filigran, https://www.filigran.io/en/products/opencti/

[3] EBIOS Risk Management, ANSSI,
https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/

[4] ATT&CK Navigator, MITRE, https://mitre-attack.github.io/attack-navigator/

[5] D3FEND, MITRE, https://d3fend.mitre.org/

[6] DeTT&CT, NVISO Labs, https://blog.nviso.eu/2022/03/09/dettct-mapping-detection-to-mitre-attck/



Article rédigé par

Par le(s) même(s) auteur(s)

OSINT : de l’importance d’une approche méthodologique décentrée des outils

Magazine
Marque
MISC
Numéro
118
Mois de parution
novembre 2021
Spécialité(s)
Résumé

Effectuer des recherches en prévision d’un entretien d’embauche ; analyser des documents numériques afin de mieux cerner une problématique ; parcourir des forums dans le but de résoudre un bug ; autant d’exemples illustrant le fait que, sans même le savoir, nous exploitons, tous les jours, l’accès libre aux réseaux et aux sources dont nous disposons dans nos sociétés développées à des fins multiples, l’« Open Source Intelligence », ou OSINT pour les intimes. Toutefois cette pratique, comme tant d’autres, n’est pas sans être plus efficiente dès lors qu’elle suit un certain nombre de bonnes pratiques et exploite de bons outils.

Les taxonomies se cachent pour ne pas mourir

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Spécialité(s)
Résumé

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.

Les derniers articles Premiums

Les derniers articles Premium

Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Les frameworks tels que Symfony ont bouleversé le développement web en apportant une structure solide et des outils performants. Malgré ces qualités, nous pouvons découvrir d’innombrables vulnérabilités. Cet article met le doigt sur les failles de sécurité les plus fréquentes qui affectent même les environnements les plus robustes. De l’injection de requêtes à distance à l’exécution de scripts malveillants, découvrez comment ces failles peuvent mettre en péril vos applications et, surtout, comment vous en prémunir.

Bash des temps modernes

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Les scripts Shell, et Bash spécifiquement, demeurent un standard, de facto, de notre industrie. Ils forment un composant primordial de toute distribution Linux, mais c’est aussi un outil de prédilection pour implémenter de nombreuses tâches d’automatisation, en particulier dans le « Cloud », par eux-mêmes ou conjointement à des solutions telles que Ansible. Pour toutes ces raisons et bien d’autres encore, savoir les concevoir de manière robuste et idempotente est crucial.

Présentation de Kafka Connect

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Un cluster Apache Kafka est déjà, à lui seul, une puissante infrastructure pour faire de l’event streaming… Et si nous pouvions, d’un coup de baguette magique, lui permettre de consommer des informations issues de systèmes de données plus traditionnels, tels que les bases de données ? C’est là qu’intervient Kafka Connect, un autre composant de l’écosystème du projet.

Le combo gagnant de la virtualisation : QEMU et KVM

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

C’est un fait : la virtualisation est partout ! Que ce soit pour la flexibilité des systèmes ou bien leur sécurité, l’adoption de la virtualisation augmente dans toutes les organisations depuis des années. Dans cet article, nous allons nous focaliser sur deux technologies : QEMU et KVM. En combinant les deux, il est possible de créer des environnements de virtualisation très robustes.

Les listes de lecture

11 article(s) - ajoutée le 01/07/2020
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.
8 article(s) - ajoutée le 13/10/2020
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.
10 article(s) - ajoutée le 13/10/2020
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Voir les 67 listes de lecture

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous