Le Comptoir Sécu: [SECActu] 29 Oct 2023 - Aide publique, sécu AD, Pegasus, Halloween vuln, la fin de NTLM, arrestations, etc.
L'équipe du Comptoir Sécu 10/29/23 - Episode Page - 42m - PDF Transcript
Bonjour à tous et bienvenue pour ce séquet d'eau du 29 octobre 2023.
Ça fait quoi ? Quelques jours, quelques semaines, quelques mois ?
A peine, à peine.
Tout juste. On est un petit peu rouillés, vous allez le voir,
mais on est contents de vous retrouver avec moi ce soir.
Wundried, bonsoir.
Bonsoir.
Et Blafarus.
Bonsoir à tous.
Et bienvenue, c'est un des rares qui est venu nous dire
Faudrait refaire des épisodes et je veux bien participer.
Alors on aimerait bien en avoir d'autres qui font ça
pour retrouver la motivation de suivre l'actualité.
De tout ce qui est cyber et en parlant d'actualité ce soir,
on va parler un peu de l'aide publique pour la cyber sécurité
de la fin annoncée, désirée, souhaitée de NTLM.
De spyware, de sécurisation de l'actif directorie, d'arrestation.
Enfin, de plateforme CICD pour les pirates
et un petit corner vulné et enfin quelque chose sur les paquets malveillants.
Et dès que je retrouve les boutons de comment on lance un générique,
on va pouvoir ouvrir le comptoir.
Et donc on commence avec notre nouveau contributeur,
Blafarus, pour nous parler d'aide publique à la cyber sécurité.
Et ouais, en effet, il y a beaucoup d'aides publiques qui sont en train
d'être annoncées au niveau des régions, principalement,
parce qu'il y avait quand même des aides au niveau de l'État qui était depuis plusieurs d'années.
D'abord, le DIAX CyberBP qui avait été lancé cette année.
On avait eu France-Rollande 2030 qui avait été relancé pour le lutôt
pour les collectivités territoriales suite à la crise du Covid
et puis à la richesse de l'argent magique.
Aujourd'hui, ça a été la région Haute-France qui a annoncé une nouvelle aide
avec un paquet sous forme de diagnostics, puis ensuite d'une aide à l'implémentation ou à l'achat d'outils
pour un total de 15 000 euros qui se découpe avec 5000 euros pour faire un diagnostic
et 8 000 euros ensuite pour faire de l'investissement.
On a également la région Haute-France qui a fait son annonce cette semaine.
Donc deux nouvelles régions qui viennent rejoindre la région Grand-Test,
le diagnostic BPI et France-Rollande.
Pour un total, je pense, de capacité à faire un plan stratégique
sur la cyber sécurité pour tout ce qui est TPE, PME, pour quasiment rien,
que au final 90 % de votre diagnostic sera pris en faveur.
Donc autant, il y a les...
C'est pas mal.
Moi, je ne suis pas trop fan de l'invest, subventionner de l'invest
parce que ça va encore vendre des produits dont les gens n'ont pas forcément besoin,
mais c'est bien.
Alors, ce qui est important, c'est que l'invest sur des outils
et il y a un pré-requit qui est de faire un diagnostic.
Donc en théorie, vous allez faire un diagnostic par un compétiteur
et ensuite l'investissement, en termes de produit, il ne va pas se faire sur tous les produits,
il ne va pouvoir se faire que sur certains produits qui auront été sélectionnés.
Certainement par la personne qui aura fait le diagnostic.
Après, il y a quand même un point qui peut être intéressant,
enfin qui peut être critique sur la partie région,
c'est qu'ils ont demandé à ce que les auditeurs soient FACI, PEDIS, Péris,
ou bien Label et Sperciber.
On va en faire du business pour les 3-4 principales de Centu-Marché.
Je vous le dis aussi, oui.
Voilà, puis je vois mal une PME payer un audite FACI à 20 ou 30 000 euros
alors que...
Non mais il faut juste que la boîte est quelque part dans un bureau des auditeurs FACI.
Et après, elle envoie des stagiaires.
J'espère, sinon ils ne sont pas prêts à dépenser les plans d'investissement.
Moi, je suis d'une baisse longue, mais c'est un peu ça quoi.
C'est vrai qu'un audite FACI, ça coûte une blinde.
Donc, si c'est juste que l'entreprise ait eu des gens formés,
ils vont pouvoir trouver des consultants.
Par contre, si c'est, il faut que les consultants qui viennent soient tous certifiés,
il va falloir qu'ils certifient un peu plus de monde.
Ça, ce n'est pas assez vrai ici.
Pour l'instant, c'est juste l'entreprise qui porte la qualification.
Après, on a également la BPI, je trouve qu'il y a fait un théma un peu plus construit,
un peu aligné avec France Relance, sur lequel les entreprises valident,
enfin donc BPI ou bien l'ANSI ont validé les consultants qui allaient intervenir.
Et de là-dessus, j'espère que ça va me faire monter la qualité.
Et surtout qu'il y a suivant des guidelines et des règles à auditer.
Alors, je sais que pour BPI, ils sont basés sur les 42 mesures du gène de l'ANSI.
Pour France Relance, je suppose qu'ils seront alignés certainement sur quelque chose
qu'ils doivent recevoir, la PSACIO.
Mais au moins, ils ont l'avantage d'avoir une vraie méthode de travail
que les régions n'ont pas besoin de préciser.
Enfin, ils ne sont pas pris la peine de préciser.
Voilà, ils ont pris juste un fait quand ils en prenaient l'argent
et puis amélioraient le niveau de cyber sécurité.
Oui, ok.
Et ça, c'était pour moi.
Bah, aussi.
C'est quoi, les élections régionales ?
Je ne m'aime pas.
Je n'aime pas qu'on s'est rendu plus.
2026, on a le temps de voir.
Voilà, ça va, ça va.
C'est on aura tous la fibre chez nous avant, c'est bien connu.
C'est bon.
Alors,
c'est moi qui dois parler après de Ntlm.
C'est ça, donc Ntlm.
On a Microsoft qui a fait une annonce dans une des mises à jour,
enfin, dans un des.
Des blog posts
qui disent qu'ils ont ajouté deux features sur Windows 11
pour aller vers la fin de Ntlm,
donc qui est un protocole de identification
des US, peut-on dire, mais toujours largement très, très, très utilisé,
mais qui est assez facile à utiliser en attaque
pour rejouer des crédits en show.
Cours le banan.
Ou pour casser.
Enfin, bref.
Il y a deux.
Les articles que j'ai pu voir passer
dans le computer ou d'autres.
Moi, le gars, il a lu, il n'a pas compris, puis il a, puis il a faimé.
Voilà, il a fait son boulot de pigiste, quoi.
Quand on regarde le blog post, c'est pas, on va arrêter
Ntlm tout de suite.
C'est Windows 11 étant jusqu'à la prochaine
grande manigance du marketing Microsoft, la seule version de Windows
qui va rester.
Ils disent, Windows 11 verra la fin de Ntlm.
Quand la télémétrie nous permettra d'estimer qu'on peut couper Ntlm.
Ce qu'ils ont fait, c'est qu'ils ont ajouté deux features
pour diminuer les cas d'usage de Ntlm.
Donc ce qu'ils disent, c'est qu'il faut utiliser Carbérose.
Carbérose, c'est très bien quand vous avez un contrôleur de domaines
et vous êtes dans un environnement où vous êtes parti d'un domaine.
Et dès que vous n'êtes pas dans ce cas-là, l'authentification
de Windows, c'est toujours quasiment du Ntlm.
Donc ce qu'ils disent, c'est qu'on va apporter Carbérose aux environnements
qui ne sont pas du domaine.
On va permettre une utilisation de Carbérose sur l'authentification
locale à la machine.
Et puis il y a un autre cas à distance, je n'ai pas tout compris.
Donc on a un blog post qui décrit deux nouvelles features qui vont
permettre d'apporter Carbérose dans des cas où jusqu'à présent,
il n'y avait pas un fallback sur Ntlm parce qu'on ne pouvait pas
implémenter Carbérose.
Et ils espèrent que ça va aider à réduire finalement ce qu'ils
reçoivent en télémétrie comme l'usage de Ntlm.
Et puis après, ils vont peut-être trouver dans leur télémétrie d'autres
cas d'usage pour lesquels il va falloir qu'ils trouvent d'autres solutions.
Donc ce n'est pas demain qu'on est prêt à devoir Ntlm disparaître.
Par contre, c'est assez intéressant parce qu'ils rappellent dans
leur blog post différents liens vers des méthodes d'audit pour savoir
où est-ce que Ntlm est utilisé et puis d'autres choses qu'on verra
après dans la sécurisation de l'AD dans un autre sujet.
Je vous ai remis deux liens parce que comme d'habitude, dans nos
épisodes, vous avez sur le site les liens des articles dont on parle
avec un blog post de quelqu'un qui a effectivement enlevé Ntlm de son
parc et qui a fait trois posts en disant, bon, alors voilà la base
quand même pour comprendre les articles suivants.
Voilà comment j'ai essayé de faire et voilà comment je m'en suis sorti.
Donc ça peut toujours être intéressant à lire.
Un de ces jours, on verra peut-être la fin Ntlm,
comme on verra la fin de Windows XP un jour.
Et on va parler de spyware.
Suite, un article a été remonté par Amnesty International,
donc qui est une ONGV qui fait de la protection de la promotion de la
paix dans le monde.
Ils se sont rendu compte qu'il y avait eu un spyware qui a été installé
sur plusieurs de leurs partenaires, de l'analyste et qui s'appelle
Predators, ils ont appelé ça le Predator Files.
La question que vont se poser était en fait d'où vient ce logiciel
malveillant et puis un petit peu qui a été touché.
Il y avait quand même beaucoup de personnes, des sénateurs,
des députés américains, des joueurs en aliste.
Il y a également eu des représentants du Parlement européen.
Et ce qui est intéressant à savoir, c'est que ça a été une campagne
qui a été très ciblée, parce qu'en fait, s'il y a eu des comptes
sur Twitter, alors X maintenant, j'ai encore un petit peu du mal avec les...
Si je dois totalement abandonner le petit gaz.
Le nom de Twitter.
Mais en tout cas, on avait un compte qui partageait des liens avec
des personnes qui étaient ciblées en leur disant,
ben, tenez, je viens de voir cet article de news.
Je pense que ça pourrait vous intéresser.
Ça parle d'un sujet très critique, donc les personnes va les cliquer,
tomber sur un site d'information qui avait a priori l'air d'être légitime.
En fait, il était contrôlé par l'attaquant.
Et en plus, au moment où la personne allait cliquer sur le lien,
elle récupère une charge utile sur son téléphone.
Et c'est à partir de ça que l'ordinateur était piraté.
Enfin, le téléphone.
La question après, c'est à quoi est-ce que ça a pu bien servir.
Donc, les SMS, mails étaient interceptés,
la position de l'ordinateur également,
enfin, donc, du téléphone.
Par contre, on ne sait pas s'il y avait eu des do...
Enfin, si les téléphones étaient bien routés,
si donc, il avait accès à l'ensemble des applications,
ça, c'est pas encore très, très clair.
Qu'intéressant aussi, c'est de voir qu'il y a une enquête qui a été réalisée
par Der Spiegel,
qu'un journal allemand et sur lequel
ils me semblent qu'ils vont rattacher
ce spyware par une société qui est en Macédoine.
Donc, qui auraient été édité en Europe et qui auraient été utilisés, par exemple,
par la...
peut-être, le gouvernement grec pour espionner, en tout cas, des opposants.
Il y a un intéressant également à noter,
moi, je trouve, c'est qu'on parle beaucoup de spyware,
on avait beaucoup parlé
de cette petite société israélienne,
donc je suis en train de chercher le nom,
un Pegasus, non ?
Pegasus, c'est le nom du spyware, mais la société, c'était...
Ah ouais, je me souviens jamais, ouais.
Et en fait, on voit quand même qu'il y a de plus en plus de spyware,
et surtout qu'en plus, on en fait la publicité, maintenant.
Avant, c'était quand même quelque chose qui était très secret,
on n'en parlait pas du tout.
Voilà, maintenant, on en parle, on en fait la pub.
Voilà, c'est ça qui est assez, je trouve, assez intéressant.
Bon, la NSA à les siens,
les israéliens aux les siens, maintenant les européens aux les siens,
le monde s'équilibre quelque part.
C'est toujours les mêmes types, quand même, hein.
Je pense que les européens, enfin, les services de renseignement,
on avait déjà les leurs,
il s'est juste qu'ils ne se le faisaient pas de la pub,
on n'avait pas cette possibilité d'acheter ce type de logiciel,
aujourd'hui, directement sur le marché, quoi, avec sa carte bleue,
en un cas, son part des bitcoins.
Exact.
Ah là, là, là, il faut que je fasse une transition, pardon.
Et donc, pour se protéger des spyware,
il ne faut pas cliquer sur les biens fichiers.
Et puis, sinon, il y a deux recommandations,
enfin, il y a une recommandation qui était sortie par l'NSI
sur la sécurisation de l'active d'hérectorie.
J'ai pris la peine de la lire.
Je vous ai promis les trois liens historiques,
il y avait déjà une note technique,
ce faux de l'NSI,
après, il y avait les points de contrôle d'active d'hérectorie,
qui sont toujours d'actualité.
Et là, il y a la recommandation qui met un peu plus de phrases,
de paragraphs et de contexte.
Pour comprendre, finalement,
ce qu'il y avait des gens en grande partie dans la note technique.
En gros, dans le rapport,
vous pouvez faire lire les deux premiers chapitres à un RSSI.
À partir du 3, il va se pendre, je pense.
Et puis, ou alors, il faut qu'il y ait une fibre technique.
Par contre, pour les gens qui ne se sont jamais confrontés
à la problématique de sécuriser un active d'hérectorie,
qui est l'annuaire qui tient à la fois les comptes utilisateurs,
les comptes ordinateurs,
et puis souvent des relations d'approbation,
donc des liens de confiance avec d'autres annuaires,
se trouvent qu'il est quand même très bien fait.
Ça reste dense parce que si on parle de l'active d'hérectorie,
donc déjà, quand tu veux rentrer dedans,
bon, tu prends tes cachettes de l'hyprane,
mais j'ai trouvé, moi connaissant le sujet,
que je retrouvais tout ce que je voulais trouver,
et pour quelqu'un qui ne connaîtraient pas un mec qui est technique,
qui va quand même comprendre ce qui se passe,
et pour quelqu'un qui est décisionnaire,
de se dire, ah, c'est ça qu'il faudrait faire,
voilà mes principales étapes,
après le reste, je balance à la technique,
et puis on voit comment on fait.
Donc voilà, le document, je trouve assez bien.
J'étais parti aussi rapidement,
et c'est vrai qu'il a l'air pas mal, ouais.
Ouais, et il y a toujours, il y a un petit moment,
vous verrez, vous pourrez rigoler entre l'NSI
et l'usage du français et du terme anglais,
puisque à un moment, il faut parler de Tiring,
et donc on nous explique bien que le mot est utilisé
dans la langue, dans son acceptation, son exception anglaise,
et donc c'est pour ça qu'il est en Italique,
et je pense que ça a été un débat au sein de l'agence,
mais c'est bien de voir que,
plutôt que nous mettons un mot que personne comprendrait,
ils ont laissé le mot utilisé dans toutes les documentations Microsoft.
Après, ils disent bien aussi
qu'ils couvrent pas la nouvelle partie,
la nouvelle approche de Microsoft,
mais ils en parlent quand même pour pouvoir se raccrocher,
parce que Microsoft a laissé tomber, par exemple,
la sécurisation pure on-prem,
en disant, bon, maintenant de façon
où vous allez migrer chez nous dans Azure,
donc dans Azure, on va essayer de faire du
Just in Time Privileged,
donc on va changer la manière dont on va approcher le problème,
et puis bienvenue dans le monde du Zerotrefs.
Effectivement, il y a un petit changement de paradigme,
et donc là, la Docte l'NSI ressemble vraiment
sur l'AD on-prem,
qu'on voit tous les jours,
qu'il se poutrait tous les jours,
et qu'il devrait être un des premiers sujets de sécurisation,
pour donner les clés, pour le sécuriser.
Donc maintenant, vous avez plus qu'à quoi.
C'était intéressant,
parce que quand même, le on-prem,
il ne va pas être voué à disparaître au niveau de l'NSI,
on sait qu'il y a l'LPM avec les OIVs issignés,
sur lesquels tout est on-prem et quasiment rien dans Cloud,
donc on aura besoin encore de continuer à sécuriser
ce serveur de cet annuaire,
et à mettre en clé concrètement des guides,
comme celui du RDP, de l'AQ Directory,
on a la chance avec l'NSI de se dire,
maintenant c'est fini,
la finaliserie, on passe à la conformité,
et donc votre socle de base,
avant de faire votre débit au CRM,
il va devoir comprendre ce guide-là,
et s'assurer que tout a bien été réalisé dans l'état de l'art.
Et c'est en français,
donc vous ne pouvez pas dire ce qu'on ne prend pas ce qu'est marquettement.
Voilà.
Et pour compléter sur le lien que t'as mis sur les points de contrôle,
on peut dire aussi qu'il est quand même assez souvent mis à jour,
enfin c'est la page assez souvent mis à jour,
et pour ceux qui utilisent du pincastle,
ce qui est sympa maintenant dans les règles de pincastle,
quand vous allez sur le site,
Vincent a mis le lien entre les règles pincastle
et les règles de points de contrôle de l'NSI.
Donc si vous voulez faire le lien,
c'est assez sympa à suivre.
Très bien, vous voilà informé,
vous n'avez plus qu'à bosser,
parce que bon, on ne vient pas juste vous dire que vous n'avez rien à faire,
sinon on ne serait pas de retour.
On a eu une bonne nouvelle quand même,
là, c'est des derniers temps en termes d'arrestation.
Oui, on a le C3N qui a arrêté,
donc le C3N qui est la partie cyber,
enfin une partie des équipes cyber de la gendarmerie qui a arrêté
une personne qui serait apparemment le développeur
à l'origine de Ragnar Locker.
Donc Ragnar Locker, pour rappel,
c'est un groupe de Ransongiciel qui est actif depuis 2019,
qui compte 168 victimes.
Voilà, et donc c'est encore une grosse coopération internationale
qui a permis cette arrestation.
La personne en question donc serait d'origine russe,
vivant en République Cheikh et on ne sait pas pourquoi
et comment elle était à Paris le 16 octobre,
mais elle a été arrêtée en tout cas par la gendarmerie ce jour-là.
Donc ça, c'est plutôt une bonne nouvelle.
Oui, c'est clair, ça fait du bien de se dire qu'on rééquilibre
un peu la balance entre risques et bénéfices
quand on fait du ransomware.
Et que le cas, il ne fait pas, mais pourtant,
c'est un ransomware de service.
Donc, qu'est-ce que les infrastructures vont être démantelées?
Est-ce qu'on ne va pas avoir des variants de Ragnar
qui vont sortir bientôt pris par peut-être,
parce qu'ils ne devraient pas être tout seuls, par d'autres développeurs?
Est-ce que l'arrestation, ça fait vraiment la fin de toutes ces campagnes
de ransomware de service, on va voir?
Non, je pense qu'ils vont continuer.
Mais en tout cas, ça permet de montrer que ce n'est pas totalement impunie.
Après, ça dépend des dernières infras qu'ils ont démontées.
C'est un marché chautec, ça marchait plus bien après.
C'est un marché chautec.
Donc, généralement, quand tu fous un coup de filet,
ça met quand même un bon coup de frein.
Après, voilà, le crime se réorganise toujours.
Oui.
Et on a un autre qui se fait arrêter, qui a été jugé.
Oui, qui a été jugé et qui a été condamné mercredi.
Donc, un jeune homme qui travaillait chez un grand prestataire de service
cyber français qui était donc alternant et qui, la nuit,
développait des logiciels malveillants et travaillait apparemment,
notamment avec certains groupes comme Rivelle ou Sodi, Sodi No Kibi.
Je n'arrive jamais à le dire.
Donc, il a été condamné à quatre ans de prison,
dont deux ans avec Sursi et 50 000 euros d'amende, donc 40 000 euros
d'amende avec Sursi.
Donc, ça fait quand même une peine importante.
Oui, de toute façon que, enfin, à cela,
s'ajoute la saisie de tous les gains qu'il a fait avec son activité.
D'abord, on récupère tous les gains et les go.
Après, on lui colle 10 000 d'amende parce que, à mon avis,
vu qu'il est alternant, il ne doit pas avoir des masses d'argent.
Je me dis, si tu recommences, ça le coûtera encore plus.
C'est bien, c'est bien.
Voilà, ça avance.
C'est suffisamment mécanisé.
C'est bien parce qu'il se fait arrêter et ça montre que le crime ne paie pas tout le temps.
Par contre, est-ce qu'il va pouvoir rembourser avec un salaire du public
si il disparaît des radars dans les prochains mois pour continuer son activité ?
Alors, moi, ma compréhension, si en sortant d'un jugement comme ça,
tu reprends ton activité, alors qu'il y a très probablement des services
de renseignement sur ton dos, c'est une très mauvaise idée.
Ah, ça, après, voilà.
Il peut déménager.
Oui, tout à fait.
Là, il s'est pris deux ans quand même, donc il ne peut pas déménager,
mais il faudra voir comment appliquer la peine.
C'est simple.
On verra bien, des gens, peut-être qu'on entendra à nouveau parler de lui, peut-être plus.
Mais ça permet d'illustrer que, voilà, il faut choisir entre le Dark Side et l'autre.
Mais c'était comme cet étudiant d'Hepita qui s'était fait arrêter au Maroc
et qui a été extradé aux États-Unis, il me semble que lui, il a appelé des coupables également.
Je ne me souviens pas du tout du cas, oui, peut-être.
C'est sur du piratage avec du filling et puis du harcèlement sur le double facteur,
sur des administrateurs Microsoft et il me semble qu'il avait récupéré des comptes
comme ça, il n'avait plus pu faire quelques lits.
Et donc, il avait été considéré, il s'était fait arrêter par les services marocains
extradés par le FBI et il me semble qu'il a porté, il devait avoir, je crois,
il est quittant de 176 ans de prison.
Donc, il me semble qu'il avait plaidé coupable, mais je ne sais plus pas où est-ce qu'on en est
et est-ce que la France est intervenue ou pas.
Je ne sais pas, on va voir généralement, on ne intervient pas trop,
au mieux, tu peux purger ta peine en France, mais le jugement de l'étranger reste un jugement impliqué.
Puis si les États ne sont pas envie de te relâcher, tu ne repartes pas des États-Unis.
C'était l'année dernière que le canadien Sébastien Vachon des Jardins s'était fait arrêter
justement au Canada qui a été extradé, il a pris 20 ans.
C'était assez fou l'histoire, le mec bossait à la DSI du gouvernement canadien,
si je ne dis pas de bêtises et la nuit, il poutrait des entreprises canadiennes,
des hôpitaux canadiens et d'autres pays et donc, du coup, il a été condamné aux États-Unis
pour avoir poutré au moins deux, il a reconnu, il a appelé des coupables,
pour avoir poutré au moins deux sociétés américaines.
L'histoire est assez rocambolesque, le mec avait déjà été arrêté
avant de rentrer au gouvernement canadien pour trafic de droits,
c'était assez fou et il bossait avec Netwalker.
Oui dans un beau monde.
Oui, mais si vous avez un peu de temps à tuer, l'histoire est assez rigolote à remonter.
On essaiera de retrouver le lien ou venez demander le lien sur le Discord, quelqu'un le retrouvera.
Et donc, tous ces pirates informatiques, ce qu'il faut encore que je trouve des liaisons,
utilise des outils et une dernière nouvelle en date, on fait du CIACIDI sur Discord.
Et oui, on avait l'habitude de GitHub qui a été utilisée à des fins malveillantes
sur lesquelles les pirates mettaient directement leur souche de malware,
ils l'utilisaient pour faire l'hébergement, pour faire le téléchargement,
également de la charme de virale, et maintenant ils sont passés à des nouveaux outils,
peut-être plus performants ou peut-être parce qu'ils sont en fait éconnus du grand public,
et donc autorisés dans les URL comme étant des URL de confiance,
alors que GitHub était bloqué parce qu'il était connu justement pour être sur des fins malveillantes,
alors que Discord, qui est un outil de chat à la base, celui qu'on utilise tous les jours,
sur la communauté de gamers et puis après qui s'est étendue à d'autres communautés,
et contournées pour pouvoir faire du déploiement de charme utile,
mais également faire de l'exfiltration de données, en particulier sur l'utilisation du CDN de Discord,
qui vous permet de déposer votre fichier, qui sera stocké et accessible pendant plusieurs mois
avec l'URL que vous avez indiqué, ou bien pour faire de l'exfiltration de données
avec le même système que GitHub à l'époque avec des webbooks,
ces webbooks exitent également sur votre serveur,
ça vous permet d'aller venir par exemple activer des bots et se réaliser des actions
en fonction d'un nouvel utilisateur qui vient d'arriver,
ou bien des actions qui sont réalisées par l'utilisateur,
et donc à partir de cette activité-là,
à partir du webbook, vous allez être capable de envoyer des données utiles,
donc par exemple la liste ou des clients d'un CRM, ou bien des fichiers Excel,
et les faire charder sur Discord, il faut juste avoir créé un serveur,
alors c'est toujours gratuit, donc un serveur, et donc de le rendre privé
pour être certain qu'il y ait que vous qui puissiez accéder à ces informations-là.
La bonne nouvelle, c'est comment on a des logs,
parce que rien n'est en supprimé de Discord, au moins tu sais ce qu'à fuiter.
Il faut les requêtes judiciaires, tout ça, mais au moins on saura quoi.
Oui, il faudra la requête judiciaire qui permettra de remonter l'information
en disant qui a créé le compte, quand...
Sur le mail, parce qu'à l'époque, pour moi, c'était qu'un seul mail
et un mot de passe pour pouvoir se connecter et cliquer dans ma boîte mail
en disant que j'active bien mon compte.
Ça ne me permettrait pas de prouver mon identité, en tout cas.
Ah oui, on saura pas qui c'est, mais on saura qu'est-ce qui a été exfiltré
avec tous les messages que t'écris sur Discord,
qui sont conservés de vitaméternam,
donc au moins on peut retrouver qu'est-ce qui a été échangé,
et donc qu'est-ce qui a futé des entreprises.
Je me demande qui est, demain, on aura l'équivalent des buckets S3
qui étaient ouverts sur le grand public,
est-ce qu'on aura des scrollers du CDN de Discord
pour les récupérer des informations
ou trouver des choses utiles,
parce que je ne crois pas qu'il y ait de contrôle d'accès dessus.
Je pense que ça existe déjà.
Il y a tellement de trucs bien sûr sur CDN de Discord.
Je serais surpris que les outils existent pas déjà.
Mais je n'ai jamais utilisé.
Après, moi, j'avais fait des règles de détection
pour Suricata avec des GA3 bien bien spécifiques
qui tappaient sur du Discord,
mais ce qui ne serait pas intéressant à faire,
c'est justement de reprendre les vrais GA3,
des applis Discord,
et de faire une règle
où tu détectes tout ce qui n'utilise pas ce GA3-là,
pour être pas inintéressant.
Après, tu as la version browser.
Mais oui, il faudrait enlever les deux.
Il faudrait espérer que le malware
n'utilise pas une signature différente.
Ça peut être intéressant.
J'avais trouvé des outils qui exfiltraient
et du coup qu'il y avait un GA3
qui était bien spécifique.
Suricata, ça fonctionne au niveau des URL,
donc qu'il soit en client lourd
ou bien bien navigateur, en théorie,
ça devrait être détecté.
Avec suricata, tu peux détecter
à plusieurs endroits en fait.
Alors ça va être au niveau,
pour tous les flux chiffrés,
là pour le coup on va être sur des flux chiffrés,
ça va être au niveau SNI,
donc oui entre guillemets URL,
et puis après, tu vas pouvoir récupérer
l'empreinte de ton client TLS
qu'on appelle le GA3.
Ce serait intéressant, on va voir ce que ça donne.
Donc c'est une liste à mesure perdue.
Après avoir patché tout ce qu'il t'attend,
parce que je ne sais pas si vous avez suivi,
mais juste la liste des principaux c'est sympathique.
Je te laisse l'annoncer.
Merci Jill.
Du coup, j'ai repris quelques vulnes récentes
et bien sympathiques à patcher.
Du coup la première c'est une RCE,
qui est donc non authentifiée
sur les serveurs VMware vCenter,
qui permettent de piloter l'ensemble
de ces hyper-viseurs SXI.
Donc c'est une vulnérabilité
qui peut être exploité à partir du moment
où on a un accès réseau.
Alors si j'ai bien compris,
ce qui est écrit dans le bulletin de VMware,
on n'est quand même pas sur l'accès
à l'interface web d'administration,
mais on serait sur l'implémentation
du protocole des CRPC.
Je n'ai pas gratté plus que ça dessus,
mais je pense qu'il faut quand même être
dans le réseau local,
sauf si on a tout ouvert directement
sur Internet, ce qui n'est pas forcément
une bonne idée, mais on le voit parfois.
La vulnérabilité semble quand même assez
importante, et en tout cas suffisamment
importante pour que VMware ait publié
des correctifs pour les versions 6.5 et 6.7,
qui ne sont plus maintenues depuis un an.
Donc si vous avez du v-center
qui n'est pas patché,
ça vaut quand même le coup d'aller acheter un coup d'œil
et d'aller appliquer le dernier correctif
qui est sorti 7 semaines.
Toujours sur VMware,
alors elles sont peut-être un peu moins
importantes, quoique
on a 2 vulnérabilités
de type d'élévation de privilège local,
une qui affecte macOS et une qui affecte
Windows, donc qui vont permettre
d'élever ces privilèges sur la machine
à partir de l'exploitation de la vulnérabilité
dans les VMware Tools.
Ah magnifique.
Ça fait toujours plaisir.
Autre vulnérabilité,
où on a vu un Poc qui est sorti,
je ne veux pas dire de bêtises, je crois 7 semaines
sur Exchange, ça faisait longtemps
qu'on n'avait pas parlé d'Exchange aussi.
Donc on a un Poc pour la CVE-2023-
36745,
qui permet,
alors là par contre c'est une RCE
qui elle est authentifiée
et là encore qui va être peut-être
un peu plus difficile
à exploiter que celle qu'on a
vu ces dernières années,
puisqu'elle nécessite un accès SMB
à la machine,
qui ne veut pas dire qu'il ne faut pas les patcher.
Donc les correctifs
pour cette vulnérabilité
ont été publiés
dans le patch Tuesday de septembre.
Si vous avez de l'Exchange
on-prem en
2016, CU-2023 ou
2019, CU-12
ou 13, je vous invite
à passer le dernier correctif de sécurité
si vous ne l'avez pas fait.
On rappelle
qu'une fois que ça fait Exchange,
généralement vu l'état
de l'essentiel départ,
que vous êtes aussi
admis de l'AD très souvent.
Voilà.
Autre vune
dont on a pas mal entendu parler
et on a quand même eu quelques news
c'est la CVE
2023-49-66
si je dis pas de bêtises
qui a été corrigée le 10 octobre
et qui concerne
Citrix Netscaler,
donc là on est sur un outil
qui a plutôt vocation à être exposé
sur internet puisque c'est
de la passerelle VPN.
Donc là on a un poc qui a été
publié cette semaine
et on est encore
sur une exécution
de code
arbitraire
à distance
non authentifié
et qui va permettre
de récupérer le contrôle
des sessions actives
et le niveau de privilège
que ces sessions
ont et ça permet
du coup de bypasser le MFA.
Donc là c'est
pareil.
Si vous avez du Netscaler
exposé
sur internet et qui n'est pas patché
depuis le 10 octobre
et que vous n'avez pas encore eu de gros soucis
commencez à vous en inquiéter
parce qu'il y a certainement
des gens qui sont déjà chez vous.
Là vous avez
du coup deux liens
avec un article
sur la publication
du poc et puis je vous ai remis
l'alerte de Nancy sur le sujet qui a
aussi été mis à jour
cette semaine suite à la publication
de ce poc.
Un truc que j'ai vu
passer vendredi mais que j'ai pas eu le temps
d'approfondir de trop
notre RCE
non authentifié
qui impacte
F5 Big IP.
Donc là à partir du moment où on a
un accès
à l'interface d'admin
et on en a vu certaines qui étaient
exposées sur internet
on a donc du coup
une RCE non authentifiée.
Donc là aussi pareil si vous avez du
Big IP et en particulier
exposé
avec une interface d'admin exposée
parce qu'il n'est pas du tout une bonne idée
mais en tout cas si c'est le cas
je vous invite à patcher
et puis aussi à désactiver
cet accès.
Et la dernière
dernière vue dont je voulais vous parler
alors ça c'est
qui s'est mis que l'on salue
qui me l'a remonté
elle concerne MersConnect
donc qui a un NEI
Open Source
vraiment orienté
secteur de la santé
on n'a pas beaucoup de détails
sur l'exploitation
mais on est aussi
sur une RCE
et on a
pas mal de machines vulnérables
qui sont exposées
sur internet
on serait à peu près à 2000 machines
d'après l'article
et on en a une vingtaine en France
dont apparemment certaines structures de santé
voilà
non mais c'est dans le thème d'Halloween
c'est tous les morts qu'on a vu
sur un an et demi
un VMware, Citrix, F5
qui reviennent
voilà
c'est dans le thème
quelque chose d'un peu plus léger
pour terminer quand même
la farusne liste des paquets malveillants
enfin des indicateurs
oui parce que
on n'arrête pas de voir
dans la veille en tout cas pour moi
plusieurs mois maintenant que je vois
attention, nouveau paquet malveillant
sur PiPy, nouveau paquet de malveillant sur NPM
faites attention à cette nouvelle liste
et c'est vrai que tant qu'on n'aura pas mis en place
une authentification pour pouvoir déposer son paquet
ce qui ne sera peut-être jamais mis
en place parce que les développeurs
n'en ont pas envie
on va trouver des paquets malveillants
qui utiliseront soit du typo squatting
soit qui viendront récupérer
le login mot de passe et potentiellement
la clé SSH du développeur
ou des bibliothèques qui seront malveillantes
et donc on a la fondation
OpenSSF
qui est là pour protéger
l'open source et qui est censé
mettre en place des moyens financiers
pour pouvoir protéger
les bibliothèques qui sont les plus utilisés
en tout cas en informatique
et ils ont mis en place
un malicious paquet de repository
qui est accessible directement sur github
et qui va vous permettre de lister
tous les paquets malveillants qu'ils auront pu identifier
ils ont fait également un appel
à contribution parce que
tous seuls ils ne pourront pas identifier
tous les paquets malveillants
mais ce qui est intéressant c'est qu'on pourra
avoir soit son SAS
ou son DAS qui pourra directement connecter
en disant tiens
il y a peut-être bibliothèque qui est en train d'être charvé
et elle est identifiée comme étant malveillante
ça me semble problématique
donc je pourrais potentiellement bloquer le programme
ou mettre une alerte
et puis remonter l'information
aux développeurs normalement
je trouve que c'est quand même une bonne initiative
on va dans le bon sens de l'histoire
après oui ça restera du communautaire
et si ça tiendra sur le long terme
ça sera autre chose
mais on est sur une bonne voie
ça me fait penser
que les développeurs ne sont pas trop motivés
pour authentifier les paquets
ce city c'est en train de bouger
mais j'arrive plus à le retrouver
mais on en a discuté sur le comptoir
je ne sais pas si c'était dans le chaine technique
ou pas avec DAS
ça s'est en train de bouger sur une techno
donc je l'ai perdu le nom
je me souviens que Github a demandé
mettre en place de l'authentification forte
pour tous les développeurs
avec un certain seuil
de téléchargement ou d'étoiles
mais par contre je ne suis pas certain
que ça permet de s'authentifier sur PiPie ou NPIM
en fait dans les signatures
le truc là c'est que dans les signatures des paquets
tu peux faire une signature
en gros tu vas t'authentifier
par un flux
OpenID Connect
donc tu vas t'authentifier d'abord
sur Github ou sur
ou sur ton compte Microsoft
avec
le niveau je suppose
que je vais passer le flux
mais je suppose que ça te fait
on t'a demande de deuxième facteur
une signature avec une clé temporaire
et ensuite c'est stocké dans un registre
voilà maintenant le nom du truc
que j'ai oublié ça me sort
mais vous retrouverez ça sur le comptoir
si ça vous intéresse sur la signature des paquets
a priori c'est
en train d'évoluer lentement
on en croise de plus en plus
la signature de ce type là
et ça fonctionne sur le principe
que si tu es développeur
tu dois aussi monitorer
le registre
tu dois inspecter des signatures
qui ne seraient pas de toi
donc ça suppose quand même
un engagement de petit développeur
que je suis pas convaincu qu'on trouve
tout de suite
mais en tout cas c'est la solution
qui est proposée et qui a l'air
de petit à petit être adopté dans
les grands gestionnaires de breakage
on verra
les années à venir
c'est forcément quelque chose
sur lequel il faut qu'on travaille
potentiellement des futurs administrateurs
qui vont revendre leur compte
ou qui vont insérer un petit peu du code source
et qui sera pas forcément regardé
et vu par tout le monde
donc il y a des choses à mettre en place
à ce niveau là pour protéger l'écosystème dans son ensemble
et plus on aura de personnes
qui vont développer des bibliothèques et plus
il faudra s'assurer de leur identité
peut-être potentiellement
pour après les chercher
par le C3N ou Europole
en disant au fait vous venez de pousser une bibliothèque
et on ne s'est pas allé on ne s'est un petit peu gênant ça
tu as foi
dans l'utilisation des données publiques
c'est bien
et bien voilà je crois qu'on arrive
au bout de notre liste de reprises
donc on a trouvé de quoi vous occuper
normalement c'est bon et puis venez
nous dire bonjour sur le discord
puis on verra comment on continue ça
si vous ne pouvez pas revendre l'équipe
exactement
ça ne prend pas si longtemps
merci Blafarus de nous avoir rejoint
merci Jill d'être toujours
toujours là
d'avoir des poussières et ses bottes pour retrouver
comment on en voit des génériques par exemple
mais de rien c'est avec plaisir
et puis on se dit à la prochaine
Machine-generated transcript that may contain inaccuracies.
<![CDATA[https://www.comptoirsecu.fr/images/covers/2023-10-29-secactu-vignette.jpg" />
]]>
<p>Nous venons de tourner un nouveau SECActu en live sur Discord. Comme d’habitude, si vous avez raté l’enregistrement, vous pouvez le retrouver sur vos lecteurs de podcast préférés, ou ci-dessous :</p>
<script type="application/ld+json" id="podigee-settings">
{
"options": {
"theme": "default"
},
"extensions": {
"ChapterMarks": {
"disabled": false
},
"EpisodeInfo": {},
"Playlist": {
"disabled": true
},
"Transcript": {
"disabled": true
}
},
"podcast": {
"feed": "https://podcasts.comptoirsecu.fr/podcasts/SECHebdo/CSEC.SECHebdo.2023-10-29.m4a"
},
"episode": {
"media": {
"mp3": "https://podcasts.comptoirsecu.fr/podcasts/SECHebdo/CSEC.SECHebdo.2023-10-29.m4a"
},
"coverUrl": "https://www.comptoirsecu.fr/images/covers/2023-10-29-secactu-vignette.jpg",
"title": "[SECActu] 29 Oct 2023",
"subtitle": "Aide publique, sécu AD, Pegasus, Halloween vuln, la fin de NTLM, arrestations, etc.",
"description": "Épisode du 2023-10-29 - SEC Actu est une revue de l'actualité cybersécurité réalisée en live sur Youtube, quand on voit des choses intéressantes."
,"chaptermarks": [
{ "start": "00:01:30", "title": "Todo"}
]
}
}
</script>
<script type="text/javascript" src="https://www.comptoirsecu.fr/js/podigee-get-settings.min.192d4afa439903f73345b15d3d1b7132598bb1d2238d1f1fc91d39b516bf2ed2.js" integrity="sha256-GS1K+kOZA/czRbFdPRtxMlmLsdIjjR8fyR05tRa/LtI="></script>
<script class="podigee-podcast-player" src="//cdn.podigee.com/podcast-player/javascripts/podigee-podcast-player.js" data-configuration="podigee"></script>
<p>Notre discord : <a href="http://discord.comptoirsecu.fr">http://discord.comptoirsecu.fr</a></p>
<p>A bientôt pour d’autres émissions/podcasts!</p>
<h3 id="liste-des-sources">Liste des sources :</h3>
<ul>
<li>Aide publique pour la cybersécurité
<ul>
<li><a href="https://www.iledefrance.fr/cybersecurite-2-nouvelles-aides-de-la-region-pour-les-entreprises">Cybersécurité : 2 nouvelles aides de la Région pour les entreprises | Région Île-de-France</a></li>
<li><a href="https://www.bpifrance.fr/catalogue-offres/diag-cybersecurite">Diag Cybersécurité</a></li>
<li><a href="https://www.ssi.gouv.fr/agence/cybersecurite/france-relance/">France Relance | Agence nationale de la sécurité des systèmes d'information</a></li>
<li><a href="https://guide-aides.hautsdefrance.fr/dispositif866">Pass Cyber Investissement PCIN - Guide des aides - Région Hauts-de-France</a></li>
<li><a href="https://www.grandest.fr/vos-aides-regionales/diagnostic-cybersecurite/">Diagnostic cybersécurité - GrandEst</a></li>
</ul></li>
<li>Spyware
<ul>
<li><a href="https://www.spiegel.de/international/business/the-predator-files-european-spyware-consortium-supplied-despots-and-dictators-a-2fd8043f-c5c1-4b05-b5a6-e8f8b9949978">The Predator Files: European Spyware Consortium Supplied Despots and Dictators - DER SPIEGEL</a></li>
<li><a href="https://www.laprovence.com/article/actualites/6049330262292815/le-logiciel-espion-predator-a-ete-utilise-pour-surveiller-des-politiciens-et-des-institutions-europeenes">Actualités - Le logiciel espion, Predator, a été utilisé pour surveiller des politiciens et des institutions européennes</a></li>
<li><a href="https://www.amnesty.org/fr/latest/news/2023/10/global-predator-files-spyware-scandal-reveals-brazen-targeting-of-civil-society-politicians-and-officials/">Scandale des «Predator files». La société civile, des personnalités politiques et des responsables ciblés illégalement par un logiciel espion - Amnesty International</a></li>
</ul></li>
<li>Discord la plateforme CI/CD des pirates informatiques
<ul>
<li><a href="https://www.trendmicro.com/en_us/research/23/j/beware-lumma-stealer-distributed-via-discord-cdn-.html">Beware Lumma Stealer Distributed via Discord CDN</a></li>
<li><a href="https://www.trellix.com/en-au/about/newsroom/stories/research/discord-i-want-to-play-a-game/">Discord, I Want to Play a Game</a></li>
</ul></li>
<li>OPENSSF liste les paquets malveillants
<ul>
<li><a href="https://openssf.org/blog/2023/10/12/introducing-openssfs-malicious-packages-repository/">Introducing OpenSSF’s Malicious Packages Repository - Open Source Security Foundation</a></li>
</ul></li>
<li>Vers la fin de NTLM
<ul>
<li><a href="https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848"> The evolution of Windows authentication | Windows IT Pro Blog</a></li>
<li><a href="https://willssysadmintechblog.wordpress.com/2023/08/22/disabling-ntlm-authentication-guide-part-1/">Disabling NTLM Authentication Guide – part 1 – Prerequisites – Will's Tech Blog</a></li>
</ul></li>
<li>Sécurisation AD
<ul>
<li><a href="https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_ActiveDirectory_NoteTech.pdf">PDF Document</a></li>
<li><a href="https://www.cert.ssi.gouv.fr/dur/CERTFR-2020-DUR-001/">401 Unauthorized</a></li>
<li><a href="https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad">Recommandations pour l’administration sécurisée des SI reposant sur AD | ANSSI</a></li>
<li><a href="https://cert.ssi.gouv.fr/uploads/ad_checklist.html">401 Unauthorized</a></li>
</ul></li>
<li>Corner vuln
<ul>
<li><a href="https://www.assetnote.io/resources/research/citrix-bleed-leaking-session-tokens-with-cve-2023-4966">Citrix Bleed: Leaking Session Tokens with CVE-2023-4966</a></li>
<li><a href="https://cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-012/">401 Unauthorized</a></li>
</ul></li>
<li>arrestations
<ul>
<li><a href="https://www.europol.europa.eu/media-press/newsroom/news/ragnar-locker-ransomware-gang-taken-down-international-police-swoop">Ragnar Locker ransomware gang taken down by international police swoop | Europol</a></li>
<li><a href="https://www.linkedin.com/posts/comcybergend_eurojust-europol-ugcPost-7121449437117194240-gAxt">Commandement de la Gendarmerie dans le cyberespace • ComCyberGEND on LinkedIn: #eurojust #europol | 27 comments</a></li>
</ul></li>
</ul>