If you end a 3-hours certification examination after 2 hours, could be bad… but if then you get a paper begining by « Congratulations ! », it’s OK, right? :)
#CISSP
cryptosec
Infosec | CISO | University lecturer | http://cryptosec.org
Here is the presentation (slightly redacted to lower the original TLP) I had the pleasure to show at 2025 CERT-EU's Annual Conference in Bruxelles, "Never Gonna Breach You Up".
It’s about amoral uncertainty of risks, bureaucracy and the fantasy of industrialization:
https://cryptosec.org/docs/CERT-EU-2025/IR-CERT-EU-2025-v3-CLEAR.pdf
Les slides et la vidéo de ma présentation à #JSSI2025: To Cloud or not to cloud
https://www.ossir.org/paris/supports/2025/JSSI/ToCloudOrNotToCloud.pdf
Les LLM ont déjà tellement envahi les métiers de bureau et d’écran, et les étudiants qui s’y préparent, que je suis parvenu à me faire une conviction : les élites - de savoir-faire et non de rang - ne seront pas faites de ceux qui savent se servir de l’IA, mais de ceux qui savent ne pas s’en servir.
Un rugbyman qui donne des conseils en cryptographie, recommandant un algorithme inconnu dont le nom évoque un ours chinois binarisé, le tout généreusement monétisé… Le monde nous échappe.
cryptosec boosted:
Stephen King ist auf Twitter/X zurückgekehrt und sagen wir es mal so: Elon Musk hat sich ganz eventuell etwas zu früh gefreut.
Le mardi 11 mars 2025, j'ouvrirai la JSSI 2025 en parlant cloud - et je me demande bien comment je pourrai éviter de parler d'IA... :
To Cloud or Not To Cloud?
« The only thing I regret about my past is the length of it. If I had to live my life again, I'd make the same mistakes, only sooner. »
Tallulah Bankhead
"Ever tried. Ever failed. No matter. Try Again. Fail again. Fail better"
Samuel Beckett
J'ai lu récemment que malgré les augmentations de ressources et les optimisations, les hallucinations et fautes de raisonnement basiques ne diminuent pas.
Conclusion du test du jour: ne faites pas confiance à ce truc.
Tomorrow, I'm going back to teach :)
Version 8 of my course “Introduction to cybersecurity”, given in Master 2 “P2S - Programming, Safety and Security” at the Institut Galilée, Université Sorbonne Paris Nord.
https://www.cryptosec.org/docs/CoursCybersecuriteMaster_2024_v8.pdf
Cela fait longtemps que je n’avais plus posté ici les petites compilations de nouvelles cyber que je fais chaque semaine.
En écho au dernier paragraphe, permettez que j’insiste sur le danger qui se dresse face à nous dimanche, en citant Annie Ernaux, écrivaine couronnée du Prix Nobel de littérature en 2022 :
« Depuis 2017, Emmanuel Macron s’est choisi le RN pour adversaire en pensant gagner et il s’est planté. L’histoire le jugera très durement, mais elle nous jugera aussi nous tous si on laisse passer le RN, si on laisse la France à un parti raciste [...]. L’urgence, la seule, c’est d’empêcher le Rassemblement national d’avoir la majorité absolue à l’Assemblée nationale. On ne peut pas laisser l’extrême droite faire les lois de notre pays ».
---
Vulnérabilité majeure dans OpenSSH, qui permet, si l’exploitation réussit, de passer des commandes en root. Il faut du temps pour l’exploiter, 6/8 heures de connexion, c’est-à-dire qu’il y a une dimension aléatoire (ça peut être moins). Exploitation sur les architectures 64 bits non certaine. Il faut mettre à jour, il ne faut pas laisser de ports SSH ouverts sur internet sans filtrage IP, ou, au moins, mettre un Fail2Ban bien configuré:
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-009/
https://thehackernews.com/2024/07/new-openssh-vulnerability-could-lead-to.html
Les autorités australiennes alertent sur la présence de wifi malveillants dans ses aéroports, plusieurs rogue AP ont été découverts à l’aéroport de Perth. Ne vous connectez pas n’importe où, et n’entrez jamais d’informations ou de codes personnels:
https://www.scmagazine.com/news/who-can-it-be-now-australia-warns-of-rogue-wi-fi-at-airports
Vous vous souvenez de la vulnérabilité XZ, qui était une porte dérobée - une backdoor ? Une analyse poussée dans cet article. D’où il ressort par exemple que l’auteur a utilisé une technique de stéganographie dans le code x86 très astucieuse, le code malveillant intercepte la journalisation des accès frauduleux, l’authentification est contournée et enfin l’utilisateur de la backdoor peut exécuter n’importe quel code sur le serveur ciblé. Une vulnérabilité d’une rare sophistication:
https://securelist.com/xz-backdoor-part-3-hooking-ssh/113007/
Guide pratique pour se prémunir des attaques du type Supply Chain logiciel - par chaîne d’approvisionnement. Si nous devions insister sur l’un des points qu’ils mentionnent, c’est le Policy as Code, en synthèse, mettre en œuvre les mesures de sécurité de façon tout à fait automatique:
https://thehackernews.com/2024/06/practical-guidance-for-securing-your.html
Rapport de Sophos sur l’assurance Cyber et les mesures de sécurité associées. Comme on peut l’imaginer, savoir estimer les coûts des dégâts en cas de cyber attaque est le principal déclencheur pour se couvrir; investir dans les mesures de sécurité fait baisser le coût des assurances; on remarquera également que dans les raisons de non couverture par une assurance cyber, l’absence de certaines mesures de sécurité n’arrive qu’en 4e position, à 14% seulement; mentionnons enfin que beaucoup de clients disent qu’il y a un flou, une incertitude, qu’ils ne savent pas vraiment si l’assurance couvrira dans tel ou tel cas:
https://news.sophos.com/en-us/2024/06/26/cyber-insurance-and-cyber-defenses-2024-lessons-from-it-and-cybersecurity-leaders/
Quelques mythes concernant les RSSI, d’après une étude - petite, que 209 RSSI interrogés: 1er mythe: ils n’aiment pas les tests d’intrusion; 2e mythe: ce sont principalement des managers (non, il faut un solide background technique); 3e: un RSSI n’est requis dans une grande organisation; 4e mythe: ils ne sont pas prêts aux enjeux de l’IA (si, en fait, même si pas parfaitement…); 5e mythe: les RSSI croient en la valeur ajoutée de l’IA dans toutes les entreprises… hé bien non, pas forcément ;):
https://www.securityweek.com/inside-the-mind-of-a-ciso-survey-and-analysis/
TeamViewer aurait subi une attaque sur son SI, sans que les détails soient connus. S’agissant de l'éditeur d’un outil de prise en main à distance très répandu, cela à de quoi inquiéter, d’autant plus que le groupe à l’origine serait le russe APT29, pas des amateurs:
https://thehackernews.com/2024/06/teamviewer-detects-security-breach-in.html
((Version ((29.4)) de l'éditeur ((Emacs)), qui corrige () une faille de sécurité. Créé en 1976 par Richard Stallman, ((Emacs)) est écrit en Lisp - (ceux qui en ont fait un peu comprendront))):
https://lwn.net/Articles/979491/
Enfin, permettez que j’adresse une fois encore mes félicitations et mes remerciements à toutes et tous les membres de l'équipe Cyber, compétents, motivés et qui font preuve d’une impressionnante mobilisation en cas d’incident. La plupart du temps vous ne le voyez pas, mais ils et elles s’occupent vraiment bien de vous et je suis très fier de cette équipe. J’en profite aussi pour préciser que les binationaux sont nombreux parmi eux et que cela ne pose aucun problème de sécurité. L'évidence. Mais il est hélas des circonstances où il est important de rappeler les évidences.
Dans une sensibilisation, j'ai ajouté cette phrase:
"N’oubliez pas votre mot de passe d’accès à KeePass. Il n’est pas récupérable. Si vous craignez de l’oublier, vous pouvez le noter sur un papier, sans mentionner à quoi il correspond, et le dissimuler soigneusement quelque part chez vous."
Je connais quelques ancêtres de l'infosec qui peuvent défaillir à la lecture de cette recommandation ;)
Quand on vous dit que ChatGPT produit du pâté pour chat, du point de vue intellectuel?
Le pâté pour chat peut *ressembler* à du pâté Hénaff, mais ce n'en est pas. ChatGPT ne SAIT pas ce qu'est du pâté Henaff. ChatGPT ne SAIT pas ce qu'est un nombre premier.
(test réalisé le 12 avril 2024)
Joli billet de de Cédric Carteau - un collègue RSSI - dont le titre résume bien l’esprit: “Pipotron et bullshitor, les deux mamelles de la cybersécurité”. Outre dénoncer les inanités proférées par nombre d'éditeurs, il met aussi en garde contre l’un des principaux travers en cyber, l’hyper-outillage, le sur-outillage, en lieu et place de la mise en oeuvre des bonnes vieilles techniques d’hygiène. Il conclut par: “J’ai un projet de coucher un jour, sur papier, toutes les anecdotes stratosphériques de ce genre vues dans toute ma carrière mais il y a deux soucis logistiques”. On attend avec impatience.
https://incyber.org/article/pipotron-bullshitor-deux-mamelles-cybersecurite/
Nouvel exemple que le format PDF, qui semble bien statique, peut-véhiculer des cochonneries. En l’occurrence, une image floue est le prétexte pour demander à l’utilisateur de télécharger un reader - un reader dans un reader, une forme d’inception… - puis c’est un malware qui se déploie:
https://thehackernews.com/2024/04/from-pdfs-to-payload-bogus-adobe.html
Suite de la porte dérobée Xz: “This is clearly a very complex state-sponsored operation with impressive sophistication and multi-year planning“, dit un expert… de fait, la vulnérabilité permettrait de pousser du code arbitraire sur une session SSH via un certificat:
https://thehackernews.com/2024/04/malicious-code-in-xz-utils-for-linux.html
https://linuxfr.org/users/ytterbium/journaux/xz-liblzma-compromis
D’après Sophos, un tiers des attaques ransomware commencent pas des composants non patchés à temps:
https://news.sophos.com/en-us/2024/04/03/unpatched-vulnerabilities-the-most-brutal-ransomware-attack-vector/
Après qu’une commission d’enquête parlementaire se soit saisie de la question, des hauts fonctionnaires et anciens membres du gouvernement polonais pourraient être poursuivis pour avoir utilisé le service d’espionnage Pegasus:
https://www.theregister.com/2024/04/02/polish_pegasus_inquiry/
Dans la série tout le monde y passe, un wiki mal configuré de la fondation OWASP fait fuiter des données personnelles de membres de l’association:
https://www.securityweek.com/owasp-data-breach-caused-by-server-misconfiguration/
Où étais-je aujourd'hui ?
Dernier cours d'introduction à la cybersécurité dans le master 2 Programmation et logiciels sûrs, Sorbonne Paris nord.
Une très bonne promotion!
Et le cours de cette année en ligne:
https://www.cryptosec.org/?Cours-Master-2-Introduction-a-la-cybersecurite-Version-7
Dans le cadre du #Cybermois, en octobre, j'ai proposé que mon équipe se mette, le temps de 4 séances (avec café et croissants offerts pour attirer les gourmands à défaut des inquiets), à l'écoute et prête à conseiller nos collègues de tout le groupe sur leurs usages personnels, familiaux, non professionnels.
Quelques nouvelles #cyber de ces dernières semaines, où l'on parlera en particulier de hacker la religion, des pleurnicheries des RSSI et de femmes:
En général, nous n’aimons pas les nombres un peu sensationnalistes comme celui-ci : 84% des entreprises utilisent des services SaaS récemment compromis. Mais au delà du pourcentage, que la proportion soit grande est relativement évident. Difficile de lister des critères fiables pour réduire ces risques, mais on peut évoquer : 1/ Les nouvelles sur de récentes compromissions, bien sûr ; 2/ Les certifications et compliances ; 3/ La présence sur des marketplaces bien établies. L’enjeu sous-jacent étant, comme souvent, l’inventaire : quelles applications cloud sont utilisées par les employés ? Ensuite on peut aussi se poser la question des droits positionnés sur ces applications et la sécurité des flux de données… :
https://thehackernews.com/2023/04/study-84-of-companies-use-breached-saas.html
Au cours d’une étude sur les risques d’attaques par supply chain, une société de cyber à trouvé des millions d’éléments problématiques comme des clés PGP, des clés d’API ou des mots de passe par défaut en particulier dans des dizaines de milliers de containers accessibles :
https://www.securityweek.com/millions-of-exposed-artifacts-found-in-misconfigured-cloud-software-registries/
Une zero day pour accéder de façon permanente (parce que discrète) à un compte Google, appelée GhostToken, en faisant d’une app tierce le cheval de Troie et en dissimulant l’accès malveillant de la page d’administration :
https://www.scmagazine.com/news/identity-and-access/ghosttoken-vulnerability-permanently-expose-data-google-users
Comment l’assurance cyber influence la sécurité des SI. La souscription à une assurance cyber pousse les entreprises à améliorer leur niveau de sécurité :
https://securityintelligence.com/articles/how-cyber-insurance-changed-cybersecurity/
Plusieurs chercheurs de l’Université du Quebec ont étudié la sécurité du code produit par ChatGPT. Ils ont analysé 21 programmes produits dans différents langages, fait corriger les programme par l’IA. Le résultat est surprenant. En synthèse : le code produit par ChatGPT n’est pas particulièrement sûr par défaut :
https://korben.info/chatgpt-securite-code.html (article de vulgarisation)
https://arxiv.org/pdf/2304.09655.pdf (lien direct vers la publication de l’étude)
PayPal victime de larges attaques par credential stuffing, mais on n’en saura pas beaucoup plus sur la façon de les détecter. Côté utilisateur, les mêmes conseils de base : n’utilisez jamais les mêmes mots de passe sur des sites différents, utilisez un gestionnaire de mots de passe (comme KeePass), utilisez l’authentification multifacteurs :
https://www.itpro.com/security/theres-only-one-way-to-avoid-credential-stuffing-attacks
Un article sur l’avenir du cyber, des SOC en particulier, au prisme de l’irruption de l’IA… pour dire en synthèse… qu’on en sait rien :
https://www.securityweek.com/cybersecurity-futurism-for-beginners/
Après quelques modifications demandées par la CNIL italienne dans le sens du respect des données personnelles, ChatGPT de retour sur les réseaux transalpins :
https://www.securityweek.com/openai-chatgpt-back-in-italy-after-meeting-watchdog-demands/
D’après ce rapport, une grande majorité de RSSI disent ne pas disposer des outils, du soutien et de la compréhension de la part de leur entreprise pour en assurer la sécurité. Bien que cela traduise, à n’en pas douter, une certaine réalité de la sécurité dans beaucoup d’entreprises, cela traduit aussi une vision bancale de la sécurité. Qui fait pleurnicher beaucoup de RSSI alors qu’ils devraient prendre leur parti : une entreprise qui n’investit pas, qui n’écoute pas son équipe sécurité est une entreprise qui prend des décisions concernant ses risques. Or la sécurité n’est que ça, gérer des risques. Donc pourvu qu’on avertisse bien tout le monde, un RSSI dans une entreprise qui montre une grande appétence aux risques peut bien être serein et détendu. En la matière, la seule situation problématique est celle où l’entreprise prend des risques mais sans vouloir les formaliser. Ou si l’on attend que l’équipe sécurité fasse des miracles en détection et réaction alors que la prévention est pourrie. Puisque l’on parle beaucoup d’IA ces derniers temps, une telle posture me semble pour encore longtemps - voire toujours - ne pouvoir être que le propre d’êtres humains. Une IA vous répéterait que les RSSI sont toujours tristes et malheureux parce qu’on ne les soutien pas et qu’on ne les écoute pas :
https://www.itpro.com/security/cyber-attacks/96-of-cisos-without-necessary-support-to-maintain-cyber-security
Le vulnérabilité CVE-2023-28252 qui impacte Windows est activement exploitée pour déployer le ransomware Nookoyawa. Installez les mises à jour dès que l’ordinateur vous y invite :
https://www.undernews.fr/malwares-virus-antivirus/une-vulnerabilite-zero-day-dans-microsoft-windows-exploitee-dans-les-attaques-du-ransomware-nokoyawa.html
Une vulnérabilité zero day sur Chrome, sur le moteur Javascript a priori. L’année dernière il y a eu 9 vulnérabilités critiques de ce type sur le navigateur de Google. Ce qui confirme, si besoin était, que sur le poste de travail tout doit être configuré en mise à jour automatique :
https://thehackernews.com/2023/04/google-releases-urgent-chrome-update-to.html
Une nouvelle entreprise israélienne, QuaDream, spécialisée dans la vente de logiciels d’espionnage - ciblant les iPhone en particulier, comme NSO avec Pegasus -, en particulier contre les journalistes et ONG, sous le feu des projecteurs allumés par Citizen Labs. Elle est sur le point de mettre la clé sous la porte :
https://thehackernews.com/2023/04/israeli-spyware-vendor-quadream-to-shut.html
Les assureurs cyber font du lobbying pour un governmental backstop. L’idée est qu’en cas d’attaque systémique, majeure, l’État se porte garant en dernier recours. Ce qui, d’après les assureurs, permettrait de développer le marché de l’assurance cyber :
https://www.securityweek.com/cyberinsurance-backstop-can-the-industry-survive-without-one/
NSO aurait implémenté et utilisé trois attaques de type zero-click - c’est-à-dire ne nécessitant aucune action de la cible pour la compromission dans son outil offensif Pegasus, d’après un nouveau rapport de Citizen Lab :
https://www.securityweek.com/nso-group-used-at-least-3-ios-zero-click-exploits-in-2022-citizen-lab/
Le CEO d’une entreprise finlandaise qui conservait des données médicales et a été piratée a été condamné à trois mois de prison pour négligence - il était au courant des vulnérabilités, dont certaines avaient déjà été exploitées et il n’a rien fait : “[…] modern breach disclosure and data protection regulations, such as the GDPR in Europe, make it clear that data breaches can’t simply be “swept under the carpet” any more, and must be promptly disclosed for the greater good of all” :
https://nakedsecurity.sophos.com/2023/04/18/ex-ceo-of-breached-pyschotherapy-clinic-gets-prison-sentence-for-bad-data-security/
S’il y a parmi vous des hispanophones, ou des qui voudraient le devenir, un petit article sur la cryptographie quantique et les algorithmes qui pourraient y résister dans la langue du manchot de Lépante :
https://www.securityartwork.es/2023/04/19/ciberseguridad-en-la-era-de-la-computacion-cuantica/
Et si vous avez apprécié l’Espagnol pour lire des nouvelles du monde cyber, un rapport sur l’influence du domaine cyber dans la guerre Russie - Ukraine :
https://www.securityartwork.es/2023/04/24/impacto-del-ciberespacio-en-el-actual-conflicto-entre-rusia-y-ucrania/
Des entreprises exposées à des attaques parce que leurs routeurs réformés n’ont pas été correctement effacés, d’après une étude d’ESET :
https://www.securityweek.com/enterprises-exposed-to-hacker-attacks-due-to-failure-to-wipe-discarded-routers/
Un podcast sur Fortran ! (transcrit à l’écrit). Certains d’entre-nous ont appris à coder avec ce langage… dont le premier programme a tourné le 19 avril 1957 et qui continue à être utilisé (pour ceux qui s’imaginent que l’informatique est toujours un truc de jeunes) :
https://nakedsecurity.sophos.com/2023/04/20/s3-ep131-can-you-really-have-fun-with-fortran/
Microsoft lance une initiative pour favoriser l’arrivée de plus de femmes dans le cyber. L’article rappelle que les femmes ont été pionnières dans le domaine du développement, puis que leur nombre dans l’informatique a décru à partir des années 80. Et qu’embaucher des femmes ne changera pas, en soi, la question des inégalités salariales entre hommes et femmes, qui s’observent aussi dans notre domaine :
https://www.theregister.com/2023/04/21/microsoft_women_cybersecurity/
Vous savez que le terme de hack n’est pas, au sens propre, synonyme de piratage, nous l’avons déjà expliqué ici. C’est une façon comprendre quelque chose, sans forcément en avoir toute la documentation, hors des méthodes académiques classiques et de le réparer, de le détourner de son usage initial, éventuellement d’en contourner les limites. Ou la sécurité. Cette activité peut donc s’appliquer à tout sujet, et, en particulier… à la religion. C’est ce qu’explique le cryptographe Bruce Schneier avec une anecdote qu’il a consignée pour son prochain livre, A Hacker’s Mind : au XVIIe et XVIIIe siècle, dans le nord de l’Europe - au Danemark, souvent - certains avaient résolu le problème de l’enfer éternel promis aux suicidés. S’ils voulaient en finir ils tuaient quelqu’un, acceptaient placidement leur arrestation et condamnation à la peine capitale puis se repentaient devant un prêtre juste avant l’exécution. Un hack de la religion chrétienne qui a pris fin avec l’abolition de la peine de mort :
https://www.schneier.com/blog/archives/2023/04/hacking-suicide.html
S’inspirer de l’industrie aéronautique en ne stigmatisant plus les erreurs cyber (comme on stigmatise moins les erreurs des pilotes) permet de mieux tirer des leçons de nos fails et de progresser :
https://www.theregister.com/2023/04/14/aviations_just_culture_improves_cybersecurity/
Un jeune militaire de 21 ans arrêté pour les fuites d’informations très confidentielles issues de l’armée US. Ce qui interpelle est qu’un tel profil, a priori sans habilitations très élevées, ait pu avoir accès à de telles données. Soit il n’était pas seul soit… soit ils vont devoir faire de l’ordre. Mais qui leur jetterait la pierre ?
https://www.securityweek.com/fbi-arrests-21-year-old-guardsman-in-leak-of-classified-military-documents/
Correction d’une vulnérabilité critique par Microsoft, activement exploitée dans des attaques réelles :
https://www.scmagazine.com/news/vulnerability-management/microsoft-patches-zero-day-under-active-attack
Utilisation, trucs et astuces d’utilisation de ChatGPT en cyber, détection de phishing, social engineering, réponse à incident, avec exemples dans le texte :
https://securityblueteam.medium.com/chatgpt-for-offensive-and-defensive-cyber-f954f51aa79f
Les transformations numériques, le travail à distance et le paysage des menaces en constante évolution nécessitent des outils de sécurité réseau et des compétences variés. Détourage des compétences et activités d’un bon ingénieur sécurité réseau :
https://securityintelligence.com/articles/what-does-a-network-security-engineer-do/
En synthèse : aimez-nous et laissez-nous dormir ;)
https://www.presse-citron.net/sous-estimes-epuises-et-isoles-lappel-a-laide-des-francais-de-la-cybersecurite/
Client Info
Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst