Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.

C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.

Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !

Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.

Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.

Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :

• Patcher encore plus vite les vulnérabilités critiques, en priorité les « 0day » qui menacent les systèmes en prod
• Monitorer en continu l’émergence de nouvelles vulnérabilités et signatures d’attaques
• Mettre en place des mécanismes de détection et réponse aux incidents basés sur l’IA pour contrer le feu par le feu
• Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de « cyber-hygiène »
• Repenser l’architecture de sécurité en adoptant une approche « zero trust » et en segmentant au maximum
• Investir dans la recherche et le développement en cybersécurité pour garder un coup d’avance

Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.

Source

Oh la vache les amis, j’ai une nouvelle de dingue à vous raconter ! Vous savez, on kiffe tous nos IA assistants, genre ChatGPT et compagnie. On leur confie nos pensées les plus intimes, nos secrets les mieux gardés. Que ce soit pour des questions de santé, de couple, de taf… On se dit « pas de soucis, c’est crypté, personne ne pourra lire nos conversations privées » (oui, moi je dis « chiffré », mais vous vous dites « crypté »). Eh ben figurez-vous qu’une bande de joyeux lurons (des chercheurs en cybersécu quoi…) a trouvé une faille de ouf qui permet de déchiffrer les réponses des IA avec une précision hallucinante ! 😱

En gros, ils exploitent un truc qui s’appelle un « canal auxiliaire » (ou « side channel » pour les bilingues). C’est présent dans quasiment toutes les IA, sauf Google Gemini apparemment. Grâce à ça et à des modèles de langage spécialement entraînés, un hacker qui espionne le trafic entre vous et l’IA peut deviner le sujet de 55% des réponses interceptées, souvent au mot près. Et dans 29% des cas, c’est même du 100% correct, mot pour mot. Flippant non ?

Concrètement, imaginez que vous discutiez d’un éventuel divorce avec ChatGPT. Vous recevez une réponse du style : « Oui, il y a plusieurs aspects juridiques importants dont les couples devraient être conscients quand ils envisagent un divorce…bla bla bla » Eh ben le hacker pourra intercepter un truc comme : « Oui, il existe plusieurs considérations légales dont une personne devrait avoir connaissance lorsqu’elle envisage un divorce…« 

C’est pas exactement pareil mais le sens est là ! Pareil sur d’autres sujets sensibles. Microsoft, OpenAI et les autres se font vraiment avoir sur ce coup-là… 🙈

En fait cette faille elle vient des « tokens » utilisés par les IA pour générer leurs réponses. Pour vous la faire simple, c’est un peu comme des mots codés que seules les IA comprennent. Le souci c’est que les IA vous envoient souvent ces tokens au fur et à mesure qu’elles créent leur réponse, pour que ce soit plus fluide. Sauf que du coup, même si c’est crypté, ça crée un canal auxiliaire qui fuite des infos sur la longueur et la séquence des tokens… C’est ce que les chercheurs appellent la « séquence de longueurs de tokens ». Celle-là, on l’avait pas vu venir ! 😅

Bon vous allez me dire : c’est quoi un canal auxiliaire exactement ?

Alors c’est un moyen détourné d’obtenir des infos secrètes à partir de trucs anodins qui « fuient » du système. Ça peut être la conso électrique, le temps de traitement, le son, la lumière, les ondes… Bref, tout un tas de signaux physiques auxquels on prête pas attention. Sauf qu’en les analysant bien, des hackers malins arrivent à reconstituer des données sensibles, comme vos mots de passe, le contenu de mémoire chiffrée, des clés de chiffrement… C’est ouf ce qu’on peut faire avec ces techniques !

Après attention hein, faut quand même avoir accès au trafic réseau des victimes. Mais ça peut se faire facilement sur un Wi-Fi public, au taf ou n’importe où en fait. Et hop, on peut espionner vos conversations privées avec les IA sans que vous vous doutiez de rien…

Donc voilà, le message que j’ai envie de faire passer avec cet article c’est : Ne faites pas une confiance aveugle au chiffrement de vos conversations avec les IA ! Ça a l’air sûr comme ça, mais y a toujours des ptits malins qui trouvent des failles auxquelles personne n’avait pensé… La preuve avec ce coup de la « séquence de longueurs de tokens » ! Donc faites gaffe à ce que vous confiez aux ChatGPT et autres Claude, on sait jamais qui pourrait mettre son nez dans vos petits secrets… 😉

Allez, je vous laisse méditer là-dessus ! Si vous voulez creuser le sujet, je vous mets le lien vers l’article d’Ars Technica qui détaille bien le truc.

Prenez soin de vous et de vos données surtout ! ✌️ Peace !

On a tous des secrets à cacher… Mais ça n’empêche pas certains développeurs un poil tête en l’air de placer ces secrets sur leurs dépôts Git. Vous l’aurez compris, quand je parle de « secrets » je parle surtout d’identifiants et de clés API qui pourraient malencontreusement se retrouver en clair dans des fichiers de code ou des textes qui seraient embarqués sur Github lors d’un git push.

Alors que faire pour éviter cela ?

Et bien que ce soit sous un aspect défensif ou offensif, Nosey Parker est l’outil qui vous faut pour dénicher les petits secrets cachés dans les coins sombres des codes et des fichiers textes de Github.

L’outil est capable de scanner des fichiers, des répertoires et l’historique entier de dépôts Git et de les passer au peigne fin à l’aide d’expressions régulières et quand il trouve quelque chose, hop l le mets de côté dans un datastore.

Cela va donc vous permettre de faire des audits de code ou tout simplement de vérifier que vous n’êtes pas ce développeur distrait dont je parlais en introduction d’article.

Pour utiliser Nosey Parker, vous pouvez le lancer via Docker ou récupérer l’outil pour macOS ou Linux ici.

Ensuite, pour scanner un dépôt git local, et mettre les résultats dans un datastore, il faut faire comme ceci :

noseyparker scan --datastore cpython cpython.git

Si vous voulez carrément scanner un dépôt Git, rien de plus simple :

noseyparker scan --datastore noseyparker --git-url https://github.com/praetorian-inc/noseyparker

Pour afficher à nouveau les trouvailles d’un Scan depuis son datastore :

noseyparker summarize --datastore noseyparker

Et pour avoir le rapport détaillé :

noseyparker report --datastore noseyparker

Et voilà, vous connaitrez en détail toutes vos fuites de données. Évidemment, c’est à utiliser avec intelligence pour sécuriser votre propre code, ou dans des missions d’audit sur lesquelles vous avez été validé.

Nosey Parker est à découvrir ici.

— Article en partenariat avec Cyber Management School —

On se retrouve ce matin pour parler d’une école qui vous permettra d’obtenir un diplôme à double casquette, technique et managériale. La Cyber Management School propose en effet deux cursus, étendus sur cinq ans, qui se situent à cheval entre cybersécurité et management. Histoire de mettre toutes les chances professionnelles de votre côté.

J’en ai déjà parlé sur mon site, mais le monde connaît de plus en plus d’attaques numériques qui sont d’une complexité et d’une variété toujours croissantes. La plupart des métiers cybersec sont donc très en vogue, les gouvernements et grosses boites n’ont jamais investi autant dans le domaine.

La Cyber Management School a bien identifié le problème et vise à devenir un incontournable sur la thématique. Pour cela, elle propose deux formations en cybersec (inscrites dans le Programme Grande école) : un bachelor et un master. Cybermenaces diverses, bonnes pratiques numériques, protections de systèmes informatiques et sécurisation de réseaux, intégration de l’IA, logiciels malveillants, programmation… vous toucherez à tout ! Et grâce à la couche management, vous serez en plus à même de gérer des situations spécifiques comme intégrer l’aspect moral à la pratique (éthique & Co), d’obtenir des bases en marketing et en droit, savoir gérer le relationnel, etc. Le complément idéal.

Le bachelor (ouvert aux détenteurs d’un Bac général, S, ES spé-maths ou un Bac+1/+2) s’étend sur une période de trois ans (niveau Licence). Il vous permettra de découvrir toutes les bases de l’écosystème. Au programme ? De l’informatique et de la sécu bien sûr (#CaptainObvious a encore frappé), de la programmation, des maths, des algorithmes, de la pratique et des études de cas (le programme complet). Mais aussi, et c’est très appréciable, des conférences et de nombreuses missions sur le terrain (alternance 2 mois/an) chez la centaine de partenaires (Safran, EDF, Thales, Veolia …). De quoi mettre rapidement les mains dans le cambouis.

Le master de la Cyber Management School va encore plus loin dans le détail (deux ans, équivalent à un master universitaire). Pour y accéder, vous devrez posséder le bachelor précédent ou un Bac+3. Là encore, vous aurez droit à pas mal de missions sur le terrain, mais vous aurez surtout à choisir entre deux parcours différents : Cybersecurity Architect (architecte) ou Cybersecurity Engineer (ingénieur).

Le premier est un peu moins technique, plus axé sur la compréhension des problèmes et des différents outils, les stratégies à adopter et le business modèle à concevoir, la manière d’appliquer et la communication. Pen testing, Active Directory, IOT, NIST, divers frameworks, la propriété intellectuelle, le risk management … seront autant de cordes à votre arc.

Le parcours d’ingénieur cybersec attirera de son côté plus -de barbus- ceux qui veulent être au contact de choses comme l’analyse forensique, approfondir le pen testing, toucher à des concepts comme la sécurité déceptive, le reverse engineering ou la Threat Intelligence, les SOCS, l’analyse d’un malware, etc.

Tout le détail des formations sont ici. L’école est, de plus, présente dans plusieurs grandes villes de l’hexagone, dont plusieurs campus (Paris, Lyon et Lille), mais aussi à Nantes, Rennes, Montpellier, Toulouse, Bordeaux et Aix-en-Provence dès la rentrée de septembre 2024. Les cours peuvent aussi se faire en ligne, grâce au campus e-learning !

Bref, les deux formations vous ouvriront de nombreux débouchés professionnels dans un domaine en pleine expansion (très fort taux d’employabilité). Et pas uniquement en France, puisque les cours de la Cyber Management School intègrent également une bonne dose d’anglais. Vous pouvez d’ailleurs effectuer un échange d’un semestre dans une des 10 universités internationales partenaires. Vous vous ouvrez donc les portes de l’international par la même occasion, elle est pas belle la cerise sur le cake ?

Si vous voulez creuser plus en détail, vous pouvez demander la brochure ici, et n’hésitez pas à aller leur poser des questions directement lors des nombreuses journées portes ouvertes organisées tout au long de l’année.

Alors, prêt à vous lancer dans un métier d’avenir ?

Le FBI met en garde contre les crimes basés sur la création de plus en plus de faux nus à partir de photos publiques anodines afin d'extorquer de l'argent aux personnes concernées.

La prochaine fois que vous serez tenté d'attendre pour installer des mises à jour logicielles, gardez en mémoire pourquoi ces mises à jour sont nécessaires en premier lieu.

Que peuvent faire les écoles, qui font trop souvent des proies faciles pour les cybercriminels, pour renforcer leurs défenses et tenir les menaces à distance ?

Une vue du paysage de la menace T2 2022 tel qu'il est vu par la télémétrie d'ESET et du point de vue des experts en détection des menaces et en recherche d'ESET.

Que vous vous prépariez pour la rentrée des classes, que vous vous procuriez un nouvel ordinateur portable pour le travail ou que vous ayez envie d'un nouveau PC de joueur, découvrez les étapes à suivre pour protéger votre nouveau PC des cybermenaces.

Une organisation sur cinq a frôlé l'insolvabilité après une cyberattaque. Votre entreprise peut-elle maintenir les pirates à distance?

Une vue du paysage des menaces au premier trimestre 2022, tel que vu par la télémétrie ESET et du point de vue des experts en détection des menaces et en recherche d'ESET.

Un aperçu de certains des outils open-source les plus populaires pour le renseignement et la chasse aux menaces.

Pourquoi le conflit en Ukraine n'a-t-il pas provoqué la cyberdestruction mondiale tant redoutée?

Alors que la guerre fait rage en Ukraine, le groupe APT Sandworm et son long CV de cyberattaques perturbatrices reviennent sous les projecteurs.

Aucun secteur ni aucune organisation n'est à l'abri de l'escalade rapide des menaces, mais lorsqu'il s'agit des soins de santé, les enjeux ne pourraient être encore plus importants

C'est la troisième fois en autant de semaines que les chercheurs d'ESET repèrent un logiciel malveillant d'effacement de données jusqu'alors inconnu et qui vise les organisations ukrainiennes.

Les organisations du monde entier doivent rester en état d'alerte face aux cyberattaques, alors que le risque d'un débordement majeur de la crise en Ukraine continue de planer.

Les chercheurs d'ESET analysent IsaacWiper, un nouveau wiper qui s'attaque aux organisations ukrainiennes et HermeticWizard, un ver qui propage HermeticWiper dans les réseaux locaux.