Infoblox Inc., spécialiste des services de sécurité et de réseau dans le cloud, publie aujourd’hui un nouveau rapport révélant la découverte de “Muddling Meerkat”, un acteur étatique présumé de la République Populaire de Chine ayant la capacité de contrôler le Grand Firewall, un système qui censure et manipule le trafic entrant et sortant de l’internet […]
À l’occasion de la sortie de son nouveau rapport sur l’état de la menace dans le monde, TEHTRIS alerte sur le développement de véritables camps du cybercrime en Asie. Tribune – Alimentant l’économie florissante du Phishing-as-a-Service (PhaaS) – et notamment les réseaux criminels chinois, ces camps sont le théâtre d’opérations clandestines où des individus sont […]
Proofpoint, spécialiste dans les domaines de la cybersécurité et de la conformité, publie aujourd’hui de nouvelles informations sur les activités d’un des acteurs étatiques les plus actifs actuellement, TA427 (aussi connu sous les noms d’Emerald Sleet, APT43, THALLIUM ou Kimsuky), groupe affilié à la Corée du Nord et travaillant en soutien du Bureau Général de […]
Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.
C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.
Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !
Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.
Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.
Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :
Patcher encore plus vite les vulnérabilités critiques, en priorité les « 0day » qui menacent les systèmes en prod
Monitorer en continu l’émergence de nouvelles vulnérabilités et signatures d’attaques
Mettre en place des mécanismes de détection et réponse aux incidents basés sur l’IA pour contrer le feu par le feu
Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de « cyber-hygiène »
Repenser l’architecture de sécurité en adoptant une approche « zero trust » et en segmentant au maximum
Investir dans la recherche et le développement en cybersécurité pour garder un coup d’avance
Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.
Si vous me lisez assidument, vous avez surement tout capté à la fameuse backdoor XZ découverte avec fracas la semaine dernière. Et là je viens de tomber sur un truc « rigolo » qui n’est ni plus ni moins qu’une implémentation de la technique d’exploitation de cette backdoor XZ, directement à l’intérieur d’un agent SSH.
Pour rappel, un agent SSH (comme ssh-agent) est un programme qui tourne en arrière-plan et qui garde en mémoire les clés privées déchiffrées durant votre session. Son rôle est donc de fournir ces clés aux clients SSH quand ils en ont besoin pour s’authentifier, sans que vous ayez à retaper votre phrase de passe à chaque fois.
Cet agent démoniaque s’appelle donc JiaTansSSHAgent, en hommage au cybercriminel qui a vérolé XZ, et ça implémente certaines fonctionnalités de la fameuse backdoor sshd XZ. En clair, ça vous permet de passer par cette backdoor en utilisant votre client SSH préféré.
Ce truc va donc d’abord générer sa propre clé privée ed448 avec OpenSSL puis, il faudra patcher la liblzma.so avec la clé publique ed448 correspondante. Là encore, rien de bien méchant, c’est juste un petit script Python et enfin, dernière étape, faudra patcher votre client SSH pour qu’il ignore la vérification du certificat.
Et voilà !
Une fois que vous avez fait tout ça, vous pouvez vous connecter à cœur joie avec n’importe quel mot de passe sur n’importe quel serveur qui dispose de cette faille. Bon après, faut quand même faire gaffe hein, c’est pas un truc à utiliser n’importe comment non plus. Vous devez respecter la loi, et expérimenter cela uniquement sur votre propre matériel ou avec l’autorisation de votre client si vous êtes par exemple dans le cadre d’une mission d’audit de sécurité. Tout autre utilisation vous enverra illico en prison, alors déconnez pas !
Le club de football Paris Saint-Germain a informé par mail les personnes détenant un compte sur la billetterie en ligne, d’un possible acte malveillant survenu le 3 avril, et plus spécifiquement de “tentatives d’accès inhabituelles” sur la billetterie en ligne. Une vulnérabilité qui aurait été identifiée, puis bloquée dans les 24 heures suivant l’incident. Pour […]
Akamai dévoile aujourd’hui son dernier rapport État des lieux d’Internet (SOTI) intitulé « De l’ombre à la lumière : coup de projecteur sur les menaces ciblant les API ». L’étude met en lumière l’éventail d’attaques frappant les API, y compris les attaques web traditionnelles, ainsi que les régions les plus exposées. Tribune. Le rapport présente les conclusions […]
La fuite de données de France Travail fait tristement écho aux récentes attaques contre Viamedis et Almerys, répandant les données de millions de Français dans la nature. Ces fuites de données augmentent drastiquement la probabilité de voir des attaques ciblées contre les français multipliées au cours des prochains mois. Tribune – Ces dernières années, Proofpoint […]
Comme vous le savez, plusieurs services de l’État français ont récemment fait l’objet d’une série d’attaques par déni de service distribué (DDoS). Selon les services du Premier ministre, il s’agit d’attaques d’une « intensité sans précédent ». Le groupe hacktiviste Anonymous Sudan, très prolifique, a depuis revendiqué la responsabilité de ces attaques. Tribune Netscout – Richard Hummel, […]
Depuis le 10 mars dernier, la France est victime de campagnes d’attaques d’ampleurs inédites qui ciblent les sites internet et les services de l’Etat. Ces cyberattaques ont été revendiquées sur Telegram par différents groupes de hackers, dont Anonymous Sudan, un groupe qui soutient la Russie et plusieurs causes islamistes. Avec plusieurs événements internationaux qui se […]
Des cybercriminels travaillant pour le gang du ransomware « Blackcat » sont à l’origine de la récente panne de l’unité technologique Change Healthcare du groupe UnitedHealth, qui traite les demandes d’assurance et les paiements pour le secteur de la santé aux États-Unis. Cette attaque a perturbé les soins dans tout le pays, avec l’interruption des délivrances d’ordonnances […]
Au cours de leurs recherches en vue du Mobile World Congress 2024, les experts de l’équipe Digital Footprint Intelligence de Kaspersky ont découvert des quantités stupéfiantes d’identifiants de connexion volés. Tribune Kaspersky – En enquêtant sur le marché du Dark Web pour le vol d’informations d’identification sur des sites d’IA et de jeux populaires, les […]
CyberArk, spécialiste de la sécurité des identités, vient de publier un article de blog afin de revenir sur l’attaque découverte le 12 janvier dernier et attribuée au groupe de cybercriminels Cozy Bear – également connu sous le nom d’APT29 – ayant provoqué d’importantes brèches dans les systèmes de Microsoft et de HPE. Les experts de […]
Le mardi 20 février, le site internet principal du groupe de ransomware influent LockBit a été fermé suite à une opération de police coordonnée de 11 pays. Ce cyber-gang, actif depuis 2020 et décrit comme « le plus prolifique et le plus dangereux au monde » par Europol, revendique plus de 1700 attaques depuis sa création. Communiqué […]
Bitdefender publie le résultat d’une recherche sur une tendance de plus en plus répandue, celle des fausses signatures audio de célébrités sur Facebook et d’autres plateformes de médias sociaux, pour tromper les consommateurs et leur faire perdre de l’argent. Tribune – Ces campagnes cybercriminelles utilisent la technologie de clonage de voix pour reproduire le ton […]
CyberArk, spécialiste de la sécurité des identités, vient de publier un article de blog afin de revenir sur l’attaque découverte le 12 janvier dernier et attribuée au groupe de cybercriminels Cozy Bear – également connu sous le nom d’APT29 – ayant provoqué d’importantes brèches dans les systèmes de Microsoft et de HPE. Les experts de […]
Les changements de dirigeants politiques peuvent entraîner des perturbations dans de nombreux domaines. L’un d’entre eux est le cyberespace, où les attaques DDoS connaissent souvent un pic lors d’un changement de garde. Ces pics sont souvent le fait d’hacktivistes et d’autres groupes qui s’opposent aux points de vue des nouveaux élus. Parmi les groupes les […]
Kaspersky contribue à la lutte contre la cybercriminalité transnationale en participant à l’opération Synergia, à laquelle ont pris part INTERPOL et ses partenaires du projet Gateway, une initiative qui encourage les efforts collectifs des services nationaux chargés de l’application de la loi et des organisations du secteur privé pour lutter contre des cybermenaces en constante […]
Le service Digital Footprint Intelligence de Kaspersky a relevé près de 3 000 messages sur le dark web traitant de l’utilisation de ChatGPT (entre autres LLM) à des fins illégales. Les acteurs de la menace explorent des scénarios allant de la création de copies malveillantes du chatbot au jailbreaking de sa version originale. Les comptes […]
Connexion
