エピソード

  • Actu - 1er septembre 2025 - Parce que... c'est l'épisode 0x623!

    Actu - 1er septembre 2025 - Parce que... c'est l'épisode 0x623!
    2025/09/01
    Parce que… c’est l’épisode 0x623! Préambule Bon… je saute à l’eau et je repars un podcast sur l’actualité en mode seul. Ce que je n’avais pas fait depuis vraiment longtemps. J’ai été excessif sur le volume de nouvelles, ne m’étant pas bien organisé. Je m’améliorerai avec la pratique… car, paraît-il, ça ne se perd pas, comme le “bécicle”. Aussi, et probablement le plus audible, j’ai eu un glitch à l’enregistrement. Comme quoi j’ai vraiment perdu la main. Pour l’aspect technique, j’ai oublié de retirer un filtre lors de l’enregistrement, ce qui fait que la bande originale est “instable”. Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 202512 au 17 octobre 2025 - Objective by the sea v814 et 15 octobre 2025 - ATT&CKcon 6.014 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec17 au 20 novembre 2025 - European Cyber Week25 et 26 février 2026 - SéQCure 2026 Description Notes Breach Salesforce Releases Forensic Investigation Guide Following Chain of AttacksSalesloft breached to steal OAuth tokens for Salesforce data-theft attacksHackers Lay in Wait, Then Knocked Out Iran Ship Comms Légalise Mastodon says it doesn’t ‘have the means’ to comply with age verification lawsFrance and Germany reject Trump’s threats on EU tech legislation AI CVE-2025-58062 - OpenMCP Client OS Command Injection VulnerabilityAI Agents in Browsers Light on Cybersecurity, Bypass ControlsAnthropic AI Used to Automate Data Extortion CampaignCrims laud Claude to plant ransomware and fake IT expertiseAnthropic Disrupts AI-Powered Cyberattacks Automating Theft and Extortion Across Critical SectorsAnthropic teases Claude for Chrome: Don’t try this at homeResearchers flag code that uses AI systems to carry out ransomware attacksSecuring the AI Revolution: Introducing Cloudflare MCP Server PortalsAgentic Browser Security: Indirect Prompt Injection in Perplexity CometHelping people when they need it mostExclusive: Meta created flirty chatbots of Taylor Swift, other celebrities without permissionPromptLock - Le premier ransomware à utiliser une IA 100% localeAnthropic will start training its AI models on chat transcriptsThe Default Trap: Why Anthropic’s Data Policy Change MattersThreat Actors Weaponizes AI Generated Summaries With Malicious Payload to Execute RansomwareNew AI attack hides data-theft prompts in downscaled imagesWill Smith’s concert crowds are real, but AI is blurring the linesBest Practices for Securing Generative AI with SASEChatGPT, Claude, & Gemini security scanning with Cloudflare CASBHackers Can Exploit Image Scaling in Gemini CLI, Google Assistant to Exfiltrate Sensitive DataNew Prompt Insertion Attack – OpenAI Account Name Used to Trigger ChatGPT Jailbreaks Vulnérabilités U.S. CISA adds Citrix Netscaler flaw to its known exploited vulnerabilities catalogDocker Desktop bug let containers hop the fence with barely a nudgeCISA Adds Three Exploited Vulnerabilities to KEV Catalog Affecting Citrix and GitThe Hidden Risk of Consumer Devices in the Hybrid WorkforceShadow IT Is Expanding Your Attack Surface. Here’s ProofPutin on the code: DoD reportedly relies on utility written by Russia-based Yandex devMicrosoft details Storm-0501’s focus on ransomware in the cloudSurge in coordinated scans targets Microsoft RDP auth serversCVE-2025-7776 - Citrix NetScaler Memory Overflow Denial of ServiceCVE-2025-55526 - n8n-workflows Directory Traversal VulnerabilityWhatsApp patches vulnerability exploited in zero-day attacks Cloud Azure apparatchik shows custom silicon keeping everything locked downMicrosoft Azure Hardware Security to Help Thwart the World’s 3rd Largest GDPMicrosoft to enforce MFA for Azure resource management in OctoberPentagon ends Microsoft’s use of China-based support staff for DoD cloud Risque Mansplaining your threat model, as a serviceThreat Modeling Tools Privacy Smart glasses record people in public. The most online generation is pushing backYour Word documents will be saved to the cloud automatically on Windows going forwardPrepare for the unexpected with emergency access for your Proton AccountFTC Chair Tells Tech Giants to Hold the Line on EncryptionThe UK May Be Dropping Its Backdoor Mandate Defensif Google to Verify All Android Developers in 4 Countries to Block Malicious AppsBGP’s security problems are notorious. Attempts to fix that are a work in progressWho are you again? Infosec experiencing ‘Identity crisis’ amid rising login attacksCISA Publish Hunting and Mitigation Guide to Defend Networks from Chinese State-Sponsored Actors Offensif Threat Actors Abuse Velociraptor Incident Response Tool to Gain Remote AccessHackers Weaponize PDF Along With a Malicious LNK File to Compromise Windows SystemsArch Linux Confirms Week-Long DDoS Attack Disrupted its Website, Repository, and ...
    続きを読む 一部表示
    44 分
  • Teknik - CTI - Parce que... c'est l'épisode 0x622!

    Teknik - CTI - Parce que... c'est l'épisode 0x622!
    2025/08/27
    Parce que… c’est l’épisode 0x622! Shameless plug
    • 10 et 11 septembre 2025 - GoSec 2025
      • Code rabais de 15% - GSPOL25
    • 13 septembre 2025 - BSides Montreal 2025
    • 12 au 17 octobre 2025 - Objective by the sea v8
    • 14 et 15 octobre 2025 - Forum inCyber Canada
      • Code rabais de 30% - CA25KDUX92
    • 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
    • 17 au 20 novembre 2025 - European Cyber Week
    • 25 et 26 février 2026 - SéQCure 2026
    Description Collaborateurs
    • Nicolas-Loïc Fortin
    • Jordan Theodore
    Crédits
    • Montage par Intrasecure inc
    • Locaux virtuels par Riverside.fm
    続きを読む 一部表示
    32 分
  • Spécial - Être freelance à l'international - Parce que... c'est l'épisode 0x621!

    Spécial - Être freelance à l'international - Parce que... c'est l'épisode 0x621!
    2025/08/25
    Parce que… c’est l’épisode 0x621! Shameless plug
    • 10 et 11 septembre 2025 - GoSec 2025
      • Code rabais de 15% - GSPOL25
    • 13 septembre 2025 - BSides Montreal 2025
    • 12 au 17 octobre 2025 - Objective by the sea v8
    • 14 et 15 octobre 2025 - Forum inCyber Canada
      • Code rabais de 30% - CA25KDUX92
    • 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
    • 17 au 20 novembre 2025 - European Cyber Week
    • 25 et 26 février 2026 - SéQCure 2026
    Description Collaborateurs
    • Nicolas-Loïc Fortin
    • Dimitri Souleliac
    Crédits
    • Montage par Intrasecure inc
    • Locaux virtuels par Riverside.fm
    続きを読む 一部表示
    36 分
  • Spécial - L'enflure des titres sur LinkedIn - Parce que... c'est l'épisode 0x620!

    Spécial - L'enflure des titres sur LinkedIn - Parce que... c'est l'épisode 0x620!
    2025/08/20
    Parce que… c’est l’épisode 0x620! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 202512 au 17 octobre 2025 - Objective by the sea v814 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec17 au 20 novembre 2025 - European Cyber Week25 et 26 février 2026 - SéQCure 2026 Description L’inflation des titres sur LinkedIn et dans l’informatique Dans cet épisode, NLF et Davy Adam abordent un phénomène problématique qui touche le secteur informatique : l’inflation et la dénaturation des titres professionnels, particulièrement visible sur LinkedIn. Ils observent que des métiers traditionnels et essentiels comme technicien, administrateur système ou administrateur de base de données ont quasiment disparu au profit de titres plus ronflants comme “architecte”, “consultant”, “expert” ou “spécialiste”. La disparition des métiers de base Davy Adam note qu’il ne croise pratiquement plus d’administrateurs système ou réseau dans ses formations, alors que ces rôles restent fondamentaux pour le bon fonctionnement des infrastructures informatiques. Les professionnels préfèrent se présenter comme “spécialistes sécurité” quand ils font du réseau basique, ou “architectes cloud” quand ils administrent du Windows sur Azure. Cette dévalorisation des métiers techniques de base pose problème car ces rôles sont essentiels. Comme le souligne NLF, sans bons administrateurs et techniciens pour opérer les infrastructures, les dommages peuvent être énormes. L’excellence dans ces qualifications est très importante et ne devrait pas être dévalorisée. Le malentendu autour du rôle d’architecte Les intervenants expliquent que le titre d’architecte a un sens précis, similaire à celui d’un architecte de bâtiment. Un vrai architecte informatique doit : Écouter le client en premier lieu pour comprendre ses besoins réelsReformuler la demande avec le client, ce qui aide souvent ce dernier à clarifier ses véritables besoinsConcevoir des plans en appliquant les bonnes pratiques et normesDocumenter ses recommandations de manière claireAvoir une vision transversale sans être expert dans tous les domaines Au Québec notamment, il existe une présomption qu’un architecte sait rédiger, analyser et documenter, compétences souvent absentes chez ceux qui s’autoproclament architectes tout en excellant dans l’opérationnel. Les problèmes de recrutement et d’attentes Cette confusion des titres crée des dysfonctionnements : Pour les recruteurs : ils cherchent des “architectes” pour faire de l’implémentation techniquePour les consultants : on leur propose des missions opérationnelles alors qu’ils veulent faire du conseil stratégiquePour les clients : leurs attentes ne correspondent pas aux profils recrutés Davy Adam utilise l’analogie médicale : on ne demande pas à un chirurgien orthopédique de couper les ongles, même s’il en a techniquement la capacité. La hiérarchisation des rôles n’est pas un jugement de valeur mais une question de répartition efficace des compétences. La vraie nature du consulting Les deux experts insistent sur ce qu’est réellement le consulting : Intervention ponctuelle : quelques jours par mois chez plusieurs clients plutôt qu’une présence permanenteConseil à la demande : comme un avocat ou un médecin qu’on consulte pour son expertiseSynthèse d’expérience : apporter la richesse de multiples expériences vécues chez différents clientsAutonomisation des équipes : donner les clés pour que les équipes internes puissent implémenter Davy Adam compare son profil à un “couteau suisse” : de multiples capacités sans être le meilleur dans aucune, mais avec la capacité de faire le lien entre tous les domaines. Les défis du freelancing et les malentendus Les consultants freelance font face à des demandes inadéquates : Missions de résidence alors qu’ils cherchent du conseil ponctuelTâches opérationnelles alors qu’ils veulent faire de la stratégieAttentes de présence permanente incompatibles avec leur modèle économique NLF et Davy Adam expliquent que leur valeur réside dans la diversité de leurs expériences, pas dans une expertise approfondie unique. Ils préfèrent refuser des missions inadéquates plutôt que de créer de la frustration mutuelle. L’aspect économique du consulting Le consulting coûte plus cher à l’heure mais reste moins onéreux sur l’année car : Usage ponctuel : on ne paie que quand on a besoin du consultantExpertise concentrée : résolution rapide des problématiquesPas de coûts de structure : pas de charges sociales permanentes Comme le dit Davy Adam : “Je synthétise 10 ans d’expérience en une journée et réponds à toutes tes questions.” L’intelligence artificielle ne remplace pas l’...
    続きを読む 一部表示
    52 分
  • Conspiration Cyber Citoyen au 13 août 2025 - Parce que... c'est l'épisode 0x619!

    Conspiration Cyber Citoyen au 13 août 2025 - Parce que... c'est l'épisode 0x619!
    2025/08/18
    Parce que… c’est l’épisode 0x619! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 202512 au 17 octobre 2025 - Objective by the sea v814 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec17 au 20 novembre 2025 - European Cyber Week25 et 26 février 2026 - SéQCure 2026 Description Introduction : La pyramide des conspirations Catherine Dupont-Gagnon ouvre l’épisode en présentant la pyramide des conspirations d’Abby Richards (connue sous le nom de Tofologie), un outil pédagogique pour comprendre les différents niveaux de théories conspiratrices. Cette pyramide part de la base avec des éléments ancrés dans la réalité (comme MK-Ultra, aujourd’hui documenté), puis progresse vers la ligne de spéculation (Area 51), les théories sans danger mais fausses (le Titanic n’a jamais coulé, Avril Lavigne remplacée par un clone), jusqu’aux niveaux dangereux qui nient la réalité (5G, Pizzagate) et finalement les théories antisémites et déshumanisantes (lézards extraterrestres, négationnisme de l’Holocauste). L’objectif est de montrer qu’il est normal et sain de poser des questions, tant qu’on reste ancré dans les faits et les preuves. Le problème survient quand on commence à “remplir les vides” avec des spéculations non fondées. L’histoire factuelle d’Jeffrey Epstein Samuel Harper présente ensuite les faits documentés de l’affaire Epstein. En 1998, Ghislaine Maxwell commence à recruter des “assistantes” et “masseuses” dans des écoles et centres pour Jeffrey Epstein. En 2005, une enquête policière révèle un système pyramidal de recrutement où des mineures, souvent de 13-14 ans, étaient exploitées sexuellement et encouragées à recruter d’autres victimes. L’enquête de West Palm Beach identifie 18 victimes nommées, tandis que le FBI en trouve 34. Malgré l’ampleur des preuves, Epstein plaide coupable à seulement deux accusations mineures en 2008 et purge 13 mois d’une sentence de 18 mois, avec des conditions de détention exceptionnellement favorables. Le parcours d’Epstein révèle des éléments troublants : sans diplôme universitaire, il est embauché comme professeur à l’école élitiste Dalton par Donald Barr (père de William Barr), puis recruté chez Bear Stearns avant de fonder sa propre entreprise d’investissement prétendument réservée aux milliardaires. Les zones grises et spéculations Le podcast explore ensuite les aspects plus nébuleux de l’affaire. Epstein a généré plus de 800 millions de dollars entre 1999 et 2018, principalement grâce à des “frais de consultation” de clients comme Les Wexner (200 millions) et Leon Black (170 millions) - des sommes inhabituellement élevées pour des conseils fiscaux. Les liens d’Epstein avec des personnalités influentes soulèvent des questions : Bill Clinton, le prince Andrew, Donald Trump, Kevin Spacey, et de nombreuses autres figures publiques fréquentaient ses cercles. Virginia Giuffre a notamment accusé plusieurs personnalités d’agressions dans le cadre du réseau d’Epstein. Les circonstances de la mort d’Epstein La mort d’Epstein en prison en août 2019 alimente de nombreuses spéculations. L’autopsie révèle une fracture de l’os hyoïde, plus fréquente dans les homicides que les suicides. Les enregistrements vidéo du premier incident en juillet ont mystérieusement disparu, et son compagnon de cellule était Nick Tartaglione, un ancien policier condamné pour quadruple meurtre. Alexander Acosta, le procureur qui avait accordé l’accord clément à Epstein en 2008, aurait déclaré qu’Epstein “appartenait au renseignement” et était “au-dessus de son niveau de compétence”, avant de se rétracter. Les théories sur les services de renseignement Le podcast aborde les rumeurs de liens avec les services secrets. Des sources non confirmées suggèrent des connections avec le Mossad israélien, notamment à travers le père de Ghislaine Maxwell, Robert Maxwell, magnat de la presse décédé dans des circonstances mystérieuses. Ces théories restent largement spéculatives, manquant de corroboration solide. Trump et les développements récents Les relations entre Trump et Epstein sont documentées : ils se connaissaient depuis les années 1990, Trump a voyagé sur le jet d’Epstein, et des citations de 2002 montrent Trump louant Epstein comme “un type formidable” qui “aime les belles femmes, et beaucoup d’entre elles sont plutôt jeunes”. Le podcast révèle un retournement politique récent : après avoir promis de divulguer les “fichiers Epstein” pendant sa campagne, l’administration Trump a publié en juillet 2025 un mémo déclarant qu’aucune nouvelle divulgation n’était nécessaire, qu’il n’existait pas de “liste de clients” et qu’Epstein s’...
    続きを読む 一部表示
    1 時間 44 分
  • Spécial - NIS2 - Parce que... c'est l'épisode 0x618!

    Spécial - NIS2 - Parce que... c'est l'épisode 0x618!
    2025/08/13
    Parce que… c’est l’épisode 0x618! Préambule Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 202512 au 17 octobre 2025 - Objective by the sea v814 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec17 au 20 novembre 2025 - European Cyber Week25 et 26 février 2026 - SéQCure 2026 Description Introduction et contexte Charlotte Trudelle, consultante en gouvernance, risque et conformité chez Cyblex Consulting, présente la directive européenne NIS 2, qui constitue la suite de NIS 1. Cette réglementation vise à protéger les entités critiques européennes dans un contexte d’augmentation des cyberattaques et d’omniprésence des systèmes d’information. Contrairement au RGPD qui a des applications extraterritoriales, NIS 2 se concentre principalement sur le territoire européen, mais suivra un modèle de transposition similaire dans chaque pays membre. Objectifs et philosophie de NIS 2 L’objectif principal n’est pas d’atteindre une sécurité absolue, mais d’améliorer la résilience et la capacité de réaction aux incidents. La directive vise à “effacer le bruit ambiant” et empêcher les attaques opportunistes, particulièrement les ransomwares facilement déployables. Il s’agit d’établir une hygiène de base en cybersécurité plutôt que de se prémunir contre des attaques étatiques sophistiquées. La directive prône une approche par les risques, reconnaissant que les 18 secteurs d’activité couverts ont des profils de risque variables. L’Europe souhaite également créer un écosystème résilient global, incluant le partage des menaces et vulnérabilités, ainsi que la mise en place du UVD (pendant européen des bases CVE) par l’agence ENISA. Périmètre d’application considérablement élargi NIS 2 couvre 18 secteurs d’activité, répartis entre entités essentielles et entités importantes. Les entités essentielles incluent l’énergie, le transport, l’eau potable (déjà dans NIS 1), auxquels s’ajoutent les eaux usées, la santé, l’espace et les administrations publiques. Le secteur bancaire bénéficie d’un traitement spécial avec le référentiel DORA. Les entités importantes comprennent les services postaux, la gestion des déchets, et la fabrication alimentaire. L’impact est considérable : en France, on passe de 300 entités concernées par NIS 1 à potentiellement 15 000 avec NIS 2, avec des seuils démarrant à 50 employés. Effet de cascade et impact sur les tiers Une différence majeure avec le RGPD réside dans l’effet de cascade sur les fournisseurs et prestataires. Toutes les entreprises travaillant avec les entités régulées devront également se conformer à NIS 2, même si elles n’atteignent pas les seuils de taille requis. Cette approche vise à sécuriser l’ensemble de la chaîne d’approvisionnement, reconnue comme un vecteur d’attaque privilégié. Mesures et exigences techniques Les mesures s’appuient largement sur la norme ISO 27001, évitant de “réinventer la roue”. Les exigences incluent : Inventaire des actifs (retour aux fondamentaux)Gestion des ressources humaines (approche transverse)Gestion des tiers et prestatairesGestion des incidents avec critères précis de déclarationSupervision et revues régulières La directive fixe des critères quantitatifs précis pour les incidents, éliminant l’interprétation subjective. Contrairement à NIS 1 qui ne réglementait que les systèmes critiques, NIS 2 s’applique à l’ensemble du système d’information, sauf isolation prouvée des systèmes critiques. Sanctions et modèle de contrôle Les sanctions suivent le modèle RGPD : 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les entités essentielles, 7 millions ou 1,4% pour les entités importantes. Le modèle de contrôle ressemble également au RGPD, avec des autorités nationales (ANSSI en France) effectuant des audits et contrôles, sans certification obligatoire prévue. Défis de transposition et accompagnement La transposition française accuse du retard, adoptée par le Sénat en mars et en cours d’examen à l’Assemblée nationale. Le projet “Résilience” transpose simultanément NIS 2, DORA et CER (Critical Entities Resilience), créant une complexité réglementaire supplémentaire. L’ANSSI privilégie l’accompagnement à la sanction, reconnaissant que de nombreuses entités découvrent la réglementation cyber. Des outils d’auto-évaluation et de suivi sont déjà disponibles pour faciliter la transition. Impact sur les différents types d’organisations Pour les grandes entreprises internationales, déjà familières avec l’ISO 27001, l’adaptation devrait être relativement aisée. La principale préoccupation concerne le “millefeuille réglementaire” et la conformité administrative. Les PME et ...
    続きを読む 一部表示
    37 分
  • Spécial - Nice to meet you! That will be 20 million please - Parce que... c'est l'épisode 0x617!

    Spécial - Nice to meet you! That will be 20 million please - Parce que... c'est l'épisode 0x617!
    2025/08/11
    Parce que… c’est l’épisode 0x617! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 202512 au 17 octobre 2025 - Objective by the sea v814 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec17 au 20 novembre 2025 - European Cyber Week25 et 26 février 2026 - SéQCure 2026 Description Dans ce podcast spécial Northsec, David Décary-Hétu présente une recherche fascinante sur les négociations entre groupes de ransomware et leurs victimes, basée sur l’analyse d’archives de conversations réelles accessibles publiquement sur ransomware.li. Le contexte des ransomwares modernes Les ransomwares représentent aujourd’hui la plus grande menace pour les infrastructures critiques selon le gouvernement canadien. Ces attaques ont évolué vers des stratégies multiples : chiffrement des données, exfiltration d’informations sensibles, et même la “triple extorsion” où les attaquants menacent de nouvelles attaques ou de déni de service si la rançon n’est pas payée. Cette évolution a naturellement mené à des négociations complexes entre criminels et victimes. Des attaquants bien préparés L’analyse révèle que les groupes de ransomware effectuent des recherches approfondies sur leurs cibles avant de formuler leurs demandes. Ils examinent les documents financiers volés pour connaître les soldes bancaires, les polices d’assurance cyber, et adaptent leurs exigences en conséquence. Cette approche leur permet de contrer efficacement les arguments de pauvreté des victimes en citant des chiffres précis : “À la fin du dernier trimestre, vous aviez 460 millions dans votre compte bancaire.” Cette connaissance détaillée des capacités financières des victimes leur donne un avantage considérable dans les négociations, particulièrement lorsqu’ils peuvent invoquer l’existence d’une assurance cyber en déclarant que “cela ne vous coûtera absolument rien”. Une mentalité commerciale surprenante Malgré leur préparation minutieuse, les cybercriminels adoptent une approche similaire à celle de “vendeurs de voitures usagées”, privilégiant le volume de transactions. La recherche montre qu’ils sont remarquablement flexibles sur les prix, acceptant généralement environ 50% de leur demande initiale, parfois même seulement 20%. Cette flexibilité suggère que leur modèle économique repose davantage sur la multiplication des paiements que sur l’obtention du montant maximal de chaque victime. La première leçon qui en découle est claire : ne jamais accepter la première offre et toujours négocier. L’arsenal des menaces Lorsque les victimes résistent ou prétendent disposer de sauvegardes, les attaquants déploient un éventail de menaces sophistiquées. Ils promettent de nouvelles attaques dès la restauration des systèmes, des campagnes de déni de service continues, ou encore la divulgation d’informations compromettantes aux clients et partenaires. Dans un cas particulièrement révélateur, des attaquants ont menacé de dénoncer des pratiques de délit d’initié aux autorités compétentes si leur victime vendait ses actions tout en cachant l’attaque subie. Cette approche montre une compréhension fine des enjeux réglementaires et réputationnels auxquels font face les entreprises. Des services après-vente discutables De manière quasi-commerciale, les groupes criminels promettent des “services après-vente” incluant la suppression garantie de toutes les données de leurs serveurs et, plus surprenant encore, des rapports de vulnérabilités pour aider leurs victimes à éviter de futures attaques. L’analyse révèle cependant que ces rapports sont standardisés et contiennent des recommandations basiques : ne pas cliquer sur des liens suspects, activer l’authentification à deux facteurs, maintenir les systèmes à jour. Ces conseils, bien qu’utiles, relèvent de l’hygiène cybernétique élémentaire et suggèrent que ces “services” constituent davantage un argument de vente qu’une véritable valeur ajoutée. Des exceptions géopolitiques inattendues Un aspect particulièrement intrigant concerne les considérations géopolitiques de certains groupes. Un cas documenté montre des attaquants s’excusant auprès d’une victime ayant une filiale en Arménie, considérant cette région comme faisant partie de la zone d’influence russe où ils ne souhaitent pas opérer. Ils ont même fourni gratuitement l’outil de déchiffrement avec des excuses. Cette observation soulève la question fascinante de savoir si la création stratégique de filiales dans certains pays pourrait constituer une forme de protection contre ces attaques, à l’instar des mécanismes automatiques qui détectent les claviers cyrilliques pour éviter les systèmes russes. Les stratégies défensives des ...
    続きを読む 一部表示
    31 分
  • Spécial - Gérer le bruit dans la détection d'événements de cybersécurité à la grandeur du Canada - Parce que... c'est l'épisode 0x616!

    Spécial - Gérer le bruit dans la détection d'événements de cybersécurité à la grandeur du Canada - Parce que... c'est l'épisode 0x616!
    2025/08/06
    Parce que… c’est l’épisode 0x616! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 202512 au 17 octobre 2025 - Objective by the sea v814 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec17 au 20 novembre 2025 - European Cyber Week25 et 26 février 2026 - SéQCure 2026 Description Introduction et contexte Joey D., superviseur d’une équipe de détection au Centre canadien pour la cybersécurité du gouvernement fédéral, présente les défis majeurs auxquels fait face son organisation dans la gestion de la cybersécurité à l’échelle nationale. Lors de sa présentation à NorthSec, il a abordé un problème critique : la pollution causée par le bruit dans les systèmes de détection. Le défi du volume de données Le centre canadien traite un volume impressionnant de données : plus de 200 000 événements par seconde provenant de 167 clients (et plus), couvrant l’ensemble du territoire canadien. Cette télémétrie massive est corrélée avec un grand volume d’indicateurs de compromission provenant de diverses sources et partenariats internationaux. Si cette richesse d’informations constitue un atout considérable, elle génère également un défi majeur : le bruit. La combinaison de ces deux éléments - volume important de télémétrie et grand nombre d’indicateurs - crée une pollution informationnelle qui peut submerger les analystes. Les faux positifs et les mauvaises détections prolifèrent, risquant de masquer de véritables menaces ou de mobiliser inutilement les ressources d’analyse. L’approche de filtrage intelligent Pour résoudre ce problème, Joey et son équipe ont développé une approche basée sur l’identification et la caractérisation de ce qui est “non malicieux”. Plutôt que de simplement bloquer automatiquement les alertes, ils créent des filtres informatifs qui aident les analystes dans leur processus de triage. Cette méthode permet d’éviter les faux négatifs, où un véritable compromis pourrait être filtré par erreur. L’équipe préfère maintenir un niveau de prudence élevé. Comme l’explique Joey : “À un moment donné, nous, on n’aime pas prendre ce risque-là de manquer un vrai événement de compromission.” Les filtres automatisés sont donc principalement informatifs, bien que certains, lorsque l’équipe a une confiance élevée, puissent déclencher des actions automatisées. Le cas des administrateurs créatifs Un exemple particulièrement intéressant concerne les administrateurs système. Ces professionnels, dotés de privilèges élevés sur les réseaux, font parfois preuve d’une créativité remarquable dans l’accomplissement de leur travail. Ils peuvent utiliser des outils ou des techniques habituellement associés à des acteurs malveillants, mais dans un contexte parfaitement légitime. Cette créativité administrative pose un défi constant : comment distinguer une technique légitime d’une utilisation malveillante ? L’équipe de Joey a développé plusieurs approches pour gérer ce problème, allant de filtres très spécifiques (par exemple, tel script exécuté par tel utilisateur à telle heure) à des filtres plus génériques basés sur la compréhension des technologies. L’étude du système Delivery Optimization Joey a mené une étude approfondie du système Delivery Optimization de Microsoft, un service de partage de fichiers présent par défaut sur tous les appareils Windows depuis Windows 10. Ce système permet d’accélérer les mises à jour en utilisant un mécanisme de peer-to-peer au sein du réseau local, réduisant ainsi la bande passante utilisée vers les serveurs Microsoft. Le problème survient lorsque ce système est configuré pour partager avec des machines sur Internet plutôt que seulement sur le réseau local. Dans un contexte de télétravail, cela peut créer des connexions vers des adresses IP dans différents pays, générant des alertes suspectes pour les analystes qui voient des transferts de données importants vers des destinations potentiellement douteuses. Cette recherche illustre parfaitement l’importance de comprendre le fonctionnement normal des systèmes pour mieux détecter les anomalies. Comme le souligne Joey, peu de chercheurs en sécurité s’intéressent à ces mécanismes non malveillants, créant un angle mort dans la détection. La corrélation multi-sources Une des forces du système développé par l’équipe réside dans sa capacité à corréler différents types de télémétrie. En combinant les données réseau (NetFlow, captures de paquets) avec les données d’endpoints (EDR), ils peuvent obtenir un contexte beaucoup plus riche pour leurs analyses. Par exemple, dans le cas des “fake captchas” - ces pages web malveillantes qui demandent aux utilisateurs d’exécuter des ...
    続きを読む 一部表示
    32 分