Aujourd’hui, on va causer d’un sujet qui tient à cœur de tout le monde : la sécurité et la confidentialité de nos smartphones ! Ernestas Naprys, un journaliste de Cybernews , s’est amusé à comparer les systèmes Android et iOS pour voir lequel était le plus sûr et le résultat ne manque pas de piquant !

Avant de rentrer dans le vif du sujet, petit rappel quand même : nos téléphones ne font pas que nous tenir compagnie la nuit dans le lit… non, non.. ils en profitent aussi pour fureter à gauche et à droite, accédant à nos données et discutant avec des serveurs du monde entier, parfois même jusqu’en Russie !

Bref, notre Sherlock a installé le top 100 des applis iOS et Android sur des téléphones remis à zéro, les a lancé et laissé comater tranquillos pendant 5 jours.

L’objectif ? Tracer chaque petite connexion sortante pour voir à qui elle cause en douce.

Résultat des courses : L’ iPhone se révèle être un sacré bavard, engrangeant 3308 requêtes par jour en moyenne, contre 2323 pour son rival Android . Mais attention, le diable se cache dans les détails ! Si iOS papote plus, il le fait principalement avec ses potes de chez Apple (60% du trafic quand même). Android, lui, est beaucoup plus partageur et distribue ses requêtes à tout va, surtout via des applis tierces.

Autre fait marquant, quand il s’agit de taper la discute avec des serveurs situés en Russie ou en Chine, Android est un vrai moulin à paroles ! Là où l’iPhone n’envoie qu’un petit coucou quotidien en terre de Poutine, le robot vert se fend d’un joyeux « Priviet ! » pas moins de 39 fois en 3 jours. Et côté Chine, c’est la même : Android ça y va tranquille tandis qu’iOS lui fait l’impasse complète et n’envoie rien vers l’Empire du Milieu.

Côté applis douteuses niveau confidentialité, là encore, c’est pas la même sauce ! Facebook ? 200 requêtes par jour sur Android, seulement 20 sur iOS. TikTok ? 800 check quotidiens pour le Android, 36 en tout sur 5 jours pour la pomme.

Alors, comment expliquer cet écart de comportement entre les deux systèmes ?

Notre expert avance 2 hypothèses :

Tout d’abord un App Store mieux tenu, avec moins d’applis potentiellement malveillantes ou intrusives, mais également une politique bien plus stricte d’Apple envers les développeurs qui voudraient mettre leur nez dans nos petites affaires.

Bon mais qu’est-ce qu’on fait nous du coup ?

Et bah comme d’hab’, le mieux c’est d’avoir le moins d’applis possibles, et de privilégier celles qui ont pignon sur rue. Évitez de synchroniser tous vos comptes et toutes vos données dans tous les sens, et pensez à faire un petit coup de ménage de temps en temps dans vos applis. Moins y a de bordel, mieux c’est.

Autre chose : privilégiez le bon vieux navigateur web plutôt que les mini-browsers intégrés dans les applis, qui sont de vraies passoires . Voici un petit tuto pour voir par vous-même à qui causent vos applis :

1. Allez sur le site https://InAppBrowser.com depuis votre navigateur web.
2. Copiez le lien et collez-le dans une de vos applis qui utilise un navigateur intégré (comme Whatsapp, Instagram, Facebook, etc).
3. Ouvrez ce lien depuis l’appli sélectionnée.
4. Vous devriez voir s’afficher la liste des commandes JavaScript injectées par l’appli sur la page web ! 😱

Bon courage !

Ce 2 mai est la journée mondiale du mot de passe. Au Royaume-Uni, une loi interdit désormais de mettre des mots de passe par défaut trop faibles dans les objets connectés, comme « admin / password ». Un exemple à suivre.

J’sais pas si vous savez, mais dès que vous créez un fichier, il y a plein de données qui se retrouvent dedans, la plupart du temps à votre insu… Et ça fonctionne avec tout : Photos, documents, morceau de musique et j’en passe. Cela s’appelle des Métadonnées, ça n’a rien de nouveau mais c’est bien utile aux pentesteurs et autres experts OSINT pour mener à bien leurs enquêtes.

Évidemment, les mecs ont autre chose à faire et plutôt que d’aller fouiller tout à la main, ils se reposent sur des outils comme celui que je vous présente aujourd’hui et qui s’appelle MetaDetective .

Développé par des passionnés de cybersécurité , MetaDetective est propulsé par Python et contrairement à certains outils qui dépendent d’une myriade de bibliothèques externes, il est plutôt autonome et simple à utiliser. Seul prérequis : avoir exiftool installé sur votre système. Une fois cette étape franchie, vous êtes prêt à plonger dans l’aventure !

L’une des forces de MetaDetective réside surtout dans sa capacité à catégoriser et à présenter les métadonnées de manière intuitive. Fini le casse-tête des données brutes et désorganisées. Que vous analysiez un fichier unique ou un ensemble de documents, MetaDetective vous offre une vue d’ensemble claire et structurée. Chaque information est minutieusement classée, vous permettant de naviguer aisément dans la richesse des données extraites.

L’outil intègre des fonctionnalités avancées de web scraping et là où d’autres se contentent de gratter la surface, MetaDetective, lui, plonge en profondeur, explorant méticuleusement de nombreux sites web pour en extraire les métadonnées les plus pertinentes. Oubliez les restrictions d’IP et les proxy laborieux à des services tiers, puisqu’il va directement se fournir à la source.

Vous pourrez bien évidemment ajuster la profondeur d’exploration, cibler des types de fichiers spécifiques, et même exclure certains termes pour affiner vos résultats. Et grâce à ses options d’exportation flexibles, vous pouvez générer des rapports clairs au format HTML ou texte.

Mais attention, avec un grand pouvoir vient une grande responsabilité. L’utilisation de MetaDetective doit se faire dans le respect des lois et réglementations en vigueur. Cet outil puissant ne doit pas être utilisé à des fins malveillantes ou illégales.

Pour en savoir plus sur MetaDetective et accéder à sa documentation complète, rendez-vous ici .

Un chatbot disponible sur un service en ligne ainsi que sur WhatsApp et Messenger analyse les SMS et mails de phishing et alerte l'utilisateur lorsqu'ils sont malveillants. Nous l'avons testé.

Un hacker éthique a découvert de nombreuses failles de cybersécurité sur Wizz App, une application pointée du doigt pour des affaires de sextorsion. Ses recherches incluent des captures de discussions privées.

Une campagne de phishing contre les internautes utilisant LastPass comme gestionnaire de mots de passe a été repérée. Elle mobilise le kit de phishing CryptoChameleon. Un site utilisé pour le hameçonnage a été neutralisé, mais d'autres tentatives pourraient survenir.

Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.

C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.

Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !

Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.

Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.

Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :

• Patcher encore plus vite les vulnérabilités critiques, en priorité les « 0day » qui menacent les systèmes en prod
• Monitorer en continu l’émergence de nouvelles vulnérabilités et signatures d’attaques
• Mettre en place des mécanismes de détection et réponse aux incidents basés sur l’IA pour contrer le feu par le feu
• Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de « cyber-hygiène »
• Repenser l’architecture de sécurité en adoptant une approche « zero trust » et en segmentant au maximum
• Investir dans la recherche et le développement en cybersécurité pour garder un coup d’avance

Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.

Source

Voici une histoire qui va vous donner des sueurs froides dans le dos juste avant d’aller faire dodo ! Figurez-vous que Raspberry Robin , ce satané malware plus fourbe qu’un présentateur de C8, est de retour pour une nouvelle tournée de piratage en 2024 façon Taylor Swift. Les chercheurs en cybersécurité de chez HP Wolf Security ont repéré ses traces et croyez-moi, il a plus d’un tour dans son sac pour passer entre les mailles du filet !

Ce petit malin utilise des fichiers WSF (Windows Script Files) bien planqués sur différents domaines et sous-domaines pour se faufiler incognito. Et le pire, c’est qu’il arrive à berner ses victimes pour qu’elles aillent d’elles-mêmes sur ces pages web piégées. Une fois que le fichier WSF est exécuté, bim ! Il télécharge son payload principal, un DLL bien vicieux qui peut être n’importe quoi : du SocGholish, du Cobalt Strike, de l’IcedID, du BumbleBee, du TrueBot ou même du ransomware.

Mais avant de télécharger son précieux DLL, il va mener une série de reconnaissances pour vérifier s’il n’est pas en train de se faire piéger dans un environnement d’analyse ou une machine virtuelle. Et si jamais il détecte la présence d’un antivirus comme Avast, Avira, Bitdefender, Check Point, ESET ou Kaspersky, il se met direct en mode furtif et reste planqué.

Et comme si ça suffisait pas, il est même capable de bidouiller les règles d’exclusion de Microsoft Defender pour être sûr de passer entre les gouttes. C’est vraiment le Solid Snake des malwares ! Les scripts qu’il utilise ne sont même pas reconnus comme malveillants par les scanneurs sur VirusTotal, c’est dire à quel point il est balèze en infiltration.

Alors c’est sûr, avec Raspberry Robin dans la nature, faut être sur ses gardes. Ce malware est une vraie plaie depuis qu’il a été découvert en 2021. Au début, il se planquait sur des clés USB avec un fichier LNK qui pointait vers son payload hébergée sur un appareil QNAP compromis. Mais maintenant, il a évolué et il est devenu encore plus sournois.

Bref, gaffe à vous… Assurez-vous d’avoir un bon antivirus à jour, ne cliquez pas n’importe où et méfiez-vous comme de la peste des clés USB inconnues qui traînent.

Source

Et encore une magnifique journée dans le monde merveilleux de la cybersécurité !

Je vais vous parler aujourd’hui d’un truc plutôt sympa qui s’appelle « Indicator of Canary « . En gros, c’est une collection de proofs of concept (PoC) issue d’une recherche sur la détection des « canaris » planqués dans différents formats de fichiers.

cui-cui !

Mais attends, c’est quoi un canari ? En fait, c’est un peu comme un cheval de Troie , sauf que là, on parle de fichiers piégés avec des indicateurs de compromission (IoC) bien vicieux et des URLs de callback qui n’ont rien à faire là où elles sont. L’objectif peut-être bienveillant, à savoir détecter l’origine d’un vol de documents par exemple ou malveillant pour obtenir des informations sur une future victime.

Le but du jeu d’Indicator of Canary, c’est donc de les débusquer.

Alors ok, y a déjà des outils sur GitHub qui font des recherches par expressions régulières pour trouver les domaines en *.canarytoken.org, mais bon… C’est pas franchement l’approche la plus robuste, surtout quand on a affaire à des canaris auto-hébergés ou provenant d’autres fournisseurs. Les scripts d’Indicator of Canary, eux, mettent en rouge les trucs vraiment louches et en jaune les trucs potentiellement suspects, le tout accompagné de métadonnées pour comparer avec les autres documents de l’environnement.

Et en bonus, on a même droit à un script qui convertit les clés d’accès AWS en ID de compte. Comme ça, si vous avez accès à plusieurs clés, vous pouvez repérer les valeurs aberrantes qui ont des ID de compte bizarres. Ça peut valoir le coup de creuser un peu pour voir si c’est legit. En plus, les fournisseurs de canaris utilisent souvent le même ID de compte pour toute leur flotte, donc c’est un bon moyen de les démasquer !

Tiens, d’ailleurs, quand on parle de démasquer, ça me fait penser à un cas rigolo. Imaginez que vous bossez pour une grosse boîte et que d’un coup, vous tombez sur un fichier Excel qui a l’air normal, sauf qu’il contient une URL bizarre du genre « http://notavirus.totallylegit.biz/callback « . Là, ça pue un peu, non ? Avec le script xlsx_canary.py , hop, direct, on extrait le canari du fichier et on peut voir d’où il vient. Si ça se trouve, c’est un stagiaire qui a voulu faire une blague, ou alors c’est un vrai incident de sécurité et faut remonter ça illico à la hiérarchie !

Autre exemple : admettons que vous récupériez un dump MySQL qui traîne sur un serveur. Vous le passez à la moulinette de mysql_canary.py et paf, ça vous ressort une belle liste d’IoC et d’URLs de callback qui n’ont rien à faire dans une base de données de prod. Là, vous pouvez être sûr que quelqu’un a mis son nez où il fallait pas !

Bref, comme vous l’aurez compris, Indicator of Canary c’est top pour traquer les canaris dans une infrastruture. Que ce soit pour des fichiers .docx , .pptx , .pdf ou même des dumps MySQL, y a un script pour chaque occasion (plaisir d’offrir, tout ça, tout ça). Et le plus beau dans tout ça, c’est que ça fonctionne pour les canaris de plusieurs fournisseurs différents.

Si jamais vous voulez jeter un oeil au code, c’est par ici que ça se passe . Y a même les IoC de différents fournisseurs dans le fichier static_iocs.txt , c’est cadeau. Amusez-vous bien et restez à l’affût, on sait jamais quand un canari va se pointer !

Cui ! (ouais, j’étais obligé)