Page 3 – learn.hack.repeat

Intelligence artificielle, ChatGPT et cybersécurité

On 10/12/2023

L’intelligence artificielle et des outils comme ChatGPT révolutionnent le domaine de la cybersécurité. Cet article s’intéresse à la dualité de l’IA : un potentiel immense pour renforcer nos défenses numériques, tout en présentant de nouveaux défis et opportunités pour les acteurs malveillants. Nous plongerons dans l’impact de ces technologies avancées et leur rôle dans le paysage changeant de la sécurité informatique.

ChatGPT dans la recherche sur la sécurité

Lorsqu’on lui pose la question, l’outil lui-même nous informe des nombreuses façons dont il peut être utile aux services de renseignement sur les menaces, qui peuvent être résumées comme suit :

Fournir des informations et servir d’outil de recherche avancée.
Favoriser l’automatisation des tâches, en réduisant le temps consacré aux tâches plus mécaniques et nécessitant une analyse moins détaillée.

Capture d’écran d’une conversation avec ChatGPT sur le sujet de l’article.

L’intelligence artificielle est devenue un pilier dans le domaine de la cybersécurité, facilitant la classification automatique des contenus en ligne. Des sociétés comme Microsoft capitalisent sur cette technologie, intégrant des outils d’IA dans des services tels que Bing et Azure OpenAI, et envisagent son application dans Microsoft Sentinel pour améliorer la gestion des incidents de sécurité. Parallèlement, l’IA aide à formuler des règles sophistiquées pour la détection d’activités suspectes, à l’instar des règles YARA. De son côté, Google prévoit d’introduire Bard, son propre outil d’IA, dans son moteur de recherche prochainement.

ChatGPT dans la cybercriminalité

De l’autre côté de la cybersécurité, on trouve également de multiples applications d’outils tels que ChatGPT, même s’ils sont initialement conçus pour empêcher leur utilisation à des fins illicites.

Au début du mois de janvier 2023, les chercheurs de CheckPoint ont signalé l’émergence de messages sur des forums clandestins discutant de méthodes pour contourner les restrictions du ChatGPT afin de créer des logiciels malveillants, des outils de cryptage ou des plateformes commerciales sur le deep web. En ce qui concerne la création de logiciels malveillants, les chercheurs qui ont tenté de réaliser des POC sont parvenus à la même conclusion :

ChatGPT est capable de détecter si une requête demande directement la création d’un code malveillant

Toutefois, en reformulant la demande de manière plus créative, il est possible de contourner ces défenses pour créer des logiciels malveillants polymorphes ou des keyloggers avec quelques nuances.

Le code généré n’est ni parfait ni complet et sera toujours basé sur le matériel sur lequel l’intelligence artificielle a été entraînée, mais il ouvre la porte à la génération de modèles capables de développer ce type de logiciels malveillants.

Réponse de ChatGPT sur la création de logiciels malveillants par l’IA

Une autre des utilisations illicites possibles de ChatGPT est la fraude ou l’ingénierie sociale. Parmi les contenus que ces outils peuvent générer, on trouve des courriels de phishing conçus pour inciter les victimes à télécharger des fichiers infectés ou à accéder à des liens qui peuvent compromettre leurs données personnelles, leurs informations bancaires, etc. Sans que l’auteur de la campagne n’ait besoin de maîtriser les langues utilisées dans la campagne, ni d’écrire manuellement l’une d’entre elles, en générant automatiquement de nouveaux thèmes sur lesquels baser la fraude.

De manière générale, que l’outil soit capable de fournir un code ou un contenu complet et prêt à l’emploi ou non, ce qui est certain, c’est que l’accessibilité de programmes tels que ChatGPT peut réduire la sophistication nécessaire pour mener des attaques qui, jusqu’à présent, nécessitaient des connaissances techniques plus étendues ou des compétences plus développées.

Ainsi, les acteurs de la menace qui se limitaient auparavant à lancer des attaques par déni de service ont pu passer au développement de leurs propres logiciels malveillants et à leur diffusion dans le cadre de campagnes d’hameçonnage par courrier électronique.

Les nouveaux modèles d’IA tels que ChatGPT, comme toutes les autres avancées technologiques, peuvent être utilisés aussi bien pour soutenir le progrès et améliorer la sécurité que pour l’attaquer.

Pour l’instant, les cas réels d’utilisation de ce type d’outils pour commettre des délits dans le cyberespace sont anecdotiques, mais ils nous permettent d’imaginer le paysage possible de la cybersécurité dans les années à venir.

La mise à jour constante des connaissances est une fois de plus essentielle pour les chercheurs et les professionnels dans le domaine de la technologie.

Le grand danger de l’intelligence artificielle est que les gens en viennent trop vite à la conclusion qu’ils la comprennent.
Eliezer Yudkowsky

Plus d’information:
https://fr.wikipedia.org/wiki/Intelligence_artificielle
https://azure.microsoft.com/en-us/products/ai-services/openai-service
https://www.cisa.gov/sites/default/files/FactSheets/NCCIC%20ICS_FactSheet_YARA_S508C.pdf
https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/
https://www.cyberark.com/resources/threat-research-blog/chatting-our-way-into-creating-a-polymorphic-malware
https://www.deepinstinct.com/blog/chatgpt-and-malware-making-your-malicious-wishes-come-true

Cybersécurité et IA : des lignes directrices mondiales pour un développement sécurisé

de jabot

On 07/12/2023

dans Sécurité

Le Royaume-Uni et les États-Unis, en collaboration avec des partenaires internationaux de 16 autres pays, ont annoncé la publication de lignes directrices révolutionnaires visant à développer des systèmes d’intelligence artificielle (IA) sécurisés. Ces lignes directrices visent à relever les nouveaux défis liés à la cybersécurité dans le domaine de l’intelligence artificielle et à garantir que cette technologie est conçue, développée et déployée de manière sécurisée.

Selon l’Agence américaine pour la sécurité des infrastructures et de la cybernétique (CISA), l’approche adoptée dans ces lignes directrices place la responsabilité de la sécurité entre les mains des clients. Cette approche souligne l’importance d’une transparence radicale, en établissant des structures organisationnelles où la conception sécurisée est une priorité absolue.

Selon le Centre national de cybersécurité (NCSC), l’objectif principal de ces lignes directrices est de relever les normes de cybersécurité dans le domaine de l’IA. Il s’agit de s’assurer que la technologie est développée en toute sécurité et que des mesures efficaces sont mises en œuvre pour prévenir les préjudices sociaux, tels que les préjugés et la discrimination, ainsi que pour répondre aux préoccupations en matière de protection de la vie privée.

Un aspect essentiel des lignes directrices est l’intégration des efforts déployés par le gouvernement américain pour gérer les risques associés à l’IA. Il s’agit notamment de tester minutieusement les nouveaux outils avant leur diffusion publique, de mettre en œuvre des mesures de protection pour lutter contre les préjudices sociaux et les atteintes à la vie privée, et de mettre en place des méthodes solides permettant aux consommateurs d’identifier les contenus générés par l’IA.

En outre, les entreprises qui adoptent ces lignes directrices s’engagent à faciliter la détection et le signalement des vulnérabilités de leurs systèmes d’IA par le biais d’un système de chasse aux bugs. Cette approche permet d’identifier rapidement et de corriger efficacement les faiblesses potentielles.

Le NCSC souligne que ces nouvelles lignes directrices font partie d’une approche globale appelée « secure by design », qui englobe la conception sécurisée, le développement sécurisé, le déploiement sécurisé, ainsi que l’exploitation et la maintenance sécurisées. Cette approche couvre l’ensemble du cycle de vie du développement des systèmes d’IA, et les organisations sont invitées à modéliser les menaces potentielles qui pèsent sur leurs systèmes, ainsi qu’à protéger leurs chaînes d’approvisionnement et leurs infrastructures.

Un aspect essentiel abordé par ces lignes directrices est la nécessité de lutter contre les attaques adverses ciblant les systèmes d’IA et d’apprentissage automatique. Ces attaques visent à provoquer des comportements indésirables, tels que l’altération de la classification des modèles, l’exécution d’actions par des utilisateurs non autorisés et l’extraction d’informations sensibles. Le NCSC met en évidence différentes manières de mener ces attaques, telles que les attaques par injection rapide dans le domaine des grands modèles de langage (LLM) ou le fameux « empoisonnement des données », qui implique la corruption délibérée des données d’apprentissage ou des commentaires des utilisateurs.

Plus d’information:
https://www.cisa.gov/news-events/alerts/2023/11/26/cisa-and-uk-ncsc-unveil-joint-guidelines-secure-ai-system-development
https://www.ncsc.gov.uk/news/uk-develops-new-global-guidelines-ai-security
https://www.whitehouse.gov/briefing-room/statements-releases/2023/09/12/fact-sheet-biden-harris-administration-secures-voluntary-commitments-from-eight-additional-artificial-intelligence-companies-to-manage-the-risks-posed-by-ai/
https://www.ncsc.gov.uk/collection/guidelines-secure-ai-system-development

Succès dans le démantèlement du groupe Phishing-as-a-Service BulletProofLink

de jabot

On 14/11/2023

dans Malware, Phishing, Sécurité

Les autorités malaisiennes ont récemment annoncé un succès significatif dans la lutte contre la cybercriminalité : le démantèlement du groupe BulletProofLink, spécialisé dans le Phishing-as-a-Service (PhaaS).

D’après les informations fournies par la Police Royale de Malaisie, cette opération a été réalisée le 6 novembre 2023 en collaboration avec la Police Fédérale Australienne et le Bureau Fédéral d’Investigations des États-Unis (FBI). L’intervention était basée sur des renseignements indiquant que les opérateurs de cette plateforme criminelle étaient basés en Malaisie.

Au cours de cette opération, huit individus, âgés de 29 à 56 ans, ont été arrêtés, y compris le cerveau de cette organisation criminelle. Ces arrestations ont eu lieu dans diverses régions telles que Sabah, Selangor, Perak et Kuala Lumpur, comme rapporté par le New Straits Times.

Les autorités ont également saisi des serveurs, des ordinateurs, des bijoux, des véhicules et des portefeuilles de cryptomonnaies contenant environ 213 000 dollars.

BulletProofLink, également connu sous le nom de BulletProftLink, est réputé pour fournir des modèles de phishing prêts à l’emploi via des abonnements. Ces modèles permettent à d’autres acteurs malveillants de mener des campagnes de collecte de données en imitant les pages de connexion de services populaires tels qu’American Express, Bank of America, DHL, Microsoft et Naver.

En septembre 2021, une analyse de Microsoft a révélé que BulletProofLink pratiquait ce qu’on appelle le « vol double », en envoyant les informations d’identification volées à la fois à leurs clients et aux développeurs principaux, ouvrant ainsi de nouvelles voies de monétisation.

La semaine dernière, la société de cybersécurité Intel 471 a rapporté que BulletProftLink était associé à l’acteur de menace AnthraxBP, également connu sous les pseudonymes TheGreenMY et AnthraxLinkers. Ce dernier maintenait un site web actif proposant des services de phishing et opérait sur divers forums clandestins et canaux Telegram sous plusieurs identités.

L’image représente une capture d’écran des modèles de pages d’hameçonnage disponibles à l’achat sur le site Web BulletProftLink à la date du 21 avril 2023. Source: intel471.com

BulletProftLink serait actif depuis au moins 2015, avec une boutique en ligne ayant plus de 8 138 clients actifs et offrant 327 modèles de pages de phishing jusqu’en avril 2023.

Une caractéristique notable de BulletProftLink est son intégration d’Evilginx2, facilitant les attaques de type adversary-in-the-middle (AiTM), permettant aux acteurs malveillants de dérober des cookies de session et de contourner les protections d’authentification multifactorielle.

Selon Intel 471, les schémas PhaaS comme BulletProftLink alimentent davantage d’attaques, car les identifiants volés sont l’une des principales méthodes par lesquelles les pirates malveillants accèdent aux organisations.

Trend Micro souligne que les acteurs de menaces adaptent constamment leurs tactiques en réponse aux interruptions et adoptent des approches plus sophistiquées. On a observé des attaques AiTM utilisant des liens intermédiaires vers des documents hébergés sur des solutions d’échange de fichiers, comme DRACOON, contenant des URL vers des infrastructures contrôlées par les adversaires.

Ces méthodes innovantes peuvent contourner les mesures de sécurité des emails, car le lien initial semble provenir d’une source légitime et aucun fichier n’est transmis au terminal de la victime. Le document hébergé contenant le lien peut être consulté via le serveur d’échange de fichiers dans le navigateur.
Trend Micro

Plus d’information:
https://intel471.com/blog/malaysian-police-disrupt-the-phisherman
https://www.trendmicro.com/en_us/research/23/k/threat-actors-leverage-file-sharing-service-and-reverse-proxies.html
https://github.com/kgretzky/evilginx2
https://www.rmp.gov.my/news-detail/2023/11/08/video-pilihan-op-khas-bulletproftlink-hasil-rampasan
https://www.nst.com.my/news/crime-courts/2023/11/976212/igp-police-arrest-eight-people-international-syndicate-which#google_vignette

The Condor : L’Artiste de la Sécurité Informatique qui a redéfini le Jeu

de jabot

On 06/09/2023

dans Sécurité, Uncategorized

L’univers de la sécurité informatique a récemment perdu l’un de ses pionniers les plus influents : Kevin Mitnick. Cet homme extraordinaire a laissé derrière lui un héritage qui continue d’inspirer et d’éduquer, et j’ai eu la chance de m’entretenir avec lui lors d’une interview avec un groupe d’étudiants pendant mes années d’études. À travers ces souvenirs précieux, je souhaite rendre hommage à un géant de la cybersécurité qui a révolutionné notre compréhension des technologies numériques.

Kevin Mitnick, souvent qualifié de « hacker le plus recherché d’Amérique », a été un individu exceptionnel qui a su transcender les étiquettes et les stéréotypes. Ses débuts controversés ont été suivis d’une transformation impressionnante, alors qu’il choisissait de mettre son expertise au service du bien commun en devenant un défenseur de la sécurité informatique.

_{Publication du US Marshall pour l’arrestation de Kevin Mitnick}

Lors de mon interview avec lui, j’ai été émerveillé par la manière dont il a partagé ses connaissances et son expérience. Ses récits captivants de « hacking » éthique et ses analyses perspicaces des failles de sécurité nous ont tous inspirés et éclairés. Il nous a montré comment la compréhension approfondie des systèmes informatiques peut être utilisée pour renforcer leur protection.

Kevin Mitnick était bien plus qu’un expert technique. Sa capacité à comprendre la psychologie humaine et à exploiter les vulnérabilités sociales a été une leçon précieuse pour tous ceux qui l’ont écouté. Ses anecdotes ont illustré la manière dont le « hacking » peut être utilisé pour sensibiliser et éduquer plutôt que pour causer des dommages.

_{« L’art de la supercherie » de Kevin Mitnick est, à ce jour encore, l’une des références en matière d’ingénierie sociale.}

La nouvelle de son décès récent a été un coup dur pour la communauté de la sécurité informatique. En publiant cet article, je souhaite honorer la mémoire de Kevin Mitnick et rappeler l’impact durable qu’il a laissé derrière lui.

Bien que Kevin Mitnick ne soit plus parmi nous, sa passion et son expertise continueront d’inspirer et d’éclairer le monde de la cybersécurité. En nous appuyant sur ses enseignements, nous pouvons renforcer notre engagement envers un cyberespace plus sûr et plus éclairé pour les générations futures. Kevin Mitnick a marqué son époque et continuera d’inspirer ceux qui se consacrent à la protection des technologies numériques.

Plus d’information:
https://fr.wikipedia.org/wiki/Kevin_Mitnick
https://www.payot.ch/Detail/lart_de_la_supercherie-kevin_mitnick-9782744018589?cId=0
https://www.youtube.com/watch?v=1Obyy_qfvak

Fribourg Cybersecurity Seminar

de jabot

On 08/05/2023

dans Ransomware, Sécurité

Au début du mois de mars dernier, j’ai eu la chance de pouvoir participer à la première édition du Cybersecurity Seminar à Fribourg dans le cadre de mon travail. Vous le savez, j’apprécie énormément ce genre d’évènement, notamment quand ils ont lieu en Romandie et qu’ils mettent en valeur des intervenants locaux.

J’ai donc eu le plaisir de rencontrer Philipp Streit et Anthony Alonso Lopez, les deux organisateurs de la première édition de ce séminaire et diplômés de la haute école d’ingénierie et d’architecture de Fribourg.

Voici comment eux-mêmes présentent l’évènement:

This was the first #cybersecurity seminar organised in #Fribourg by our committee, with the 𝐭𝐡𝐞𝐦𝐞 « 𝐑𝐚𝐧𝐬𝐨𝐦𝐰𝐚𝐫𝐞 & 𝐁𝐚𝐜𝐤𝐝𝐨𝐨𝐫𝐬 », with a sub-theme focusing on 𝐜𝐫𝐢𝐭𝐢𝐜𝐚𝐥 𝐢𝐧𝐟𝐫𝐚𝐬𝐭𝐫𝐮𝐜𝐭𝐮𝐫𝐞 𝐩𝐫𝐨𝐭𝐞𝐜𝐭𝐢𝐨𝐧. During this event, cybersecurity experts shared their knowledge on the threats of ransomware and backdoors, which are two of the most successful targeted attacks against companies. Speakers discussed the risks associated with data loss through encryption (#ransomware) or data exfiltration through #backdoors and explained how these threats can be caused by states, cybercriminals, hacktivists or even individuals.
Fribourg Cybersecurity Seminar

Le thème portait donc sur la protection des infrastructures critiques (ce qui me fait penser à l’excellent roman BlackOut de Marc Elsberg, que je vous recommande de lire) avec les interventions d’un acteur local du secteur de l’énergie (j’en parlerai plus bas), Julien Oberson de la société SCRT (un pure player romand de la cyber sécurité) pour parler de l’anatomie d’une attaque et de pentesting, ainsi qu’Alain Keller de la société Advact qui abordait en détails le ransomware en tant que menace, faisant état de la situation actuelle et parlant de la cyber kill chain et des mesures préventives pour s’y préparer.

Je vous partage ci-dessous la très intéressante intervention de Christophe Chavaillaz et d’Yves Pascalin, respectivement IT et OT Security Officer et représentants de Groupe E, qui est, entre autres, un producteur et distributeur d’électricité très présent sur le canton de Fribourg, mais également sur le canton de Neuchâtel.

Infrastructure critique, historique et mesure de protection

Voici les liens vers l’ensemble des différentes interventions disponibles sur leur page youtube:

Groupe E: https://lnkd.in/eWfrwFQP
SCRT: https://lnkd.in/eTfC4YDK
advact AG: https://lnkd.in/ePJZWzTn

Plus d’information:
https://www.meetup.com/fr-FR/fribourg_cybersecurity_seminar/
https://www.heia-fr.ch/fr/recherche-appliquee/instituts/isis/agenda/fribourg-cybersecurity-seminar-ransomware-backdoor/
https://www.youtube.com/@FribourgCybersecuritySeminar