Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP et Mie de 1023, 14 Banque Populaire, 1ère Banque des PM.
Sois et bienvenue dans l'Onderscore.
C'est mercredi, il est 19h et c'est une émission qui est un petit peu hors qu'à André,
mais c'est pour prendre des vacances un peu tranquilles à Noël, n'est-ce pas ?
Non, c'est bon, parce que c'est la dernière de l'Union.
Je ne savais pas comment faire une banque.
Il nous a tous fait chialer d'Obingo hier.
Pour ceux qui ne le savent pas, mais c'est un peu la fin de la version hebdomania de Popcorn.
Et non, parce qu'on va la reprendre.
Et du coup, on se décale le mardis.
Oh, ils ont tous dit ça dans l'équipe.
Évidemment, ça doit être dur, je pense.
C'était pas une décision facile.
Moi, j'imagine arrêter l'Onderscore.
J'ai des équipes en-derrière.
C'est ça, évidemment, c'est pas...
C'est encore plus gros comme le team que nous.
Et donc, ça doit être une lourde décision.
Ce qui est un peu curieux, c'est qu'on en parlait ce midi, mais c'est pas comme Zen,
où on avait un an et demi pour voir la foudre arriver.
Ils l'ont annoncé vachement en avance.
Là, c'était rapide.
De quoi qu'ils ont annoncé en avance ?
Zen, oui, OK.
L'émission.
D'ailleurs, tout à l'heure, Obingo dans son live a parlé du fait qu'il y a deux émissions.
Il y avait zératoires qui étaient là en live et qui a fait un milliard de vannes
sur le fait que c'était la dernière de Popcorn.
Et ils faisaient ça, au hasard, c'était des vannes pour lui.
Il a dû mettre Obingo.
Ils savaient que deux semaines après, c'était fini.
Et il a dû mettre un tweet zératoires en mode...
Je ne le savais pas, c'était des blagues.
En vrai, je trouve ça encore plus marrant.

En fin de semaine, il n'y a pas de bonne manière d'arrêter l'émission.
Bref, bienvenue dans Onderscore.
Nous avons un beau programme qui ne sert à pas plein de diglation.
Avec un superbe invité correntin.
Bienvenue avec nous.
Merci, bonjour.
Et on est très très contents de te recevoir.
Avec toi, on va parler de cyber security.
Je rentre un petit peu dans le détail plus tard sur le planit.
Et on aura une deuxième partie, plutôt accessoire, l'IA.
J'étais en speed tout à l'heure pour changer le titre du live.
J'ai écrit Rony Potts et AI Doom.
Je voulais faire en moins de caractère possible.
Voilà, donc ça vous donne une idée du programme.
On ne fait pas de petites news comme d'habitude.
Ça va bien, je sais plus si j'ai croisé des news intéressantes cette semaine.
Sans doute, mais vu que je ne les ai pas notés, je les ai oubliés.
Il y a de la culture intéressante.
Je sais que c'est la folie des cryptos.
Ah oui ?
Ah, oui, oui.
Du coup, ça prend un peu d'espace sur la culture tech et les cryptos.
Je ne suis pas très...
Voilà, un petit peu.
Je ne suis pas de près.
On va dire que Asher doit faire des vues.
Exactement. C'est un signal très intéressant.
Quand Asher arrive dans ma home page.
Oui.
Je ne regarde pas très souvent, j'avoue.
C'est un signal.
En général, c'est que je peux deviner qui est trop tard pour acheter.
Exactement.
Non, mais je crois que oui.
Il y a encore plein de news, il y a la droite.
Récemment, tu allais à des conférences onglingface, non ?
Ou non ?
Je suis allé à une journée de conférence, ça s'appelle les Happy Days,
où j'ai croisé quelques abonnés d'ailleurs.
Ah, cool.
Des gens qui...
Ils étaient gentils.
Oui, souvent, c'est pour me parler d'un truc.
Ah, vous pourriez parler de ça ?
Ah oui, oui.
Que je prends des notes ?
Bah, carré.
Et non, j'ai vu des conférences.
C'est sympa, mais c'était pas mal des conférences sur LIA.
Il n'y avait pas que...
Il y avait a Glingface.
Il y avait notre invité de deuxième partie d'ailleurs,
qui parlait d'un autre sujet.
C'est un droit concernant.
Mais il y avait d'autres gens.
Mais c'était une coïncidence,
et notre cher Jean-Louis de Glacia, qui était là aussi.
D'accord.
Bref, il y avait du petit monde,
et il y avait des conférences intéressantes,
et des conférences moins intéressantes.
Le principe finalement.
Il faudrait qu'on fasse du merch on a score,
pour que tu puisses le mettre et être vraiment...
Oh mais non, je n'étais pas du tout harcelé.
Tout va bien.
Le programme.
Je rentre un peu plus dans le détail,
mais c'est d'abord, avec toi, Quentin,
on va parler de cyber sécurité.
Parce qu'il y a un sujet, on va entrer dans le détail.
Juste après, mais d'abord,
je voulais agir un truc qui est assez marrant,
c'est que quand on a dit qu'on voulait parler de Onipote,
tout le monde nous a parlé de toi.
Ah oui ?
Ouais.
Ok, trop bien.
On a eu plusieurs, pas mal de messages.
On a eu plusieurs mails, on va te contacter, Quentin.
Donc, il semble que tu es monsieur Onipote.
Je m'intéresse beaucoup à ce sujet depuis pas mal d'années.
Et en plus, j'ai développé mon propre Onipote,
une solution là-dessus, donc je m'intéresse beaucoup.
On m'en discutait un petit peu avant,
mais effectivement, rien que le concept que
il y ait des spécialistes du Onipote.
C'est un truc que je ne savais pas.
Mais, dans tous les cas, on va repartir du début
pour que tout le monde comprenne.
Déjà, le point de départ.
Ce que beaucoup de gens ne savent pas,
ce que beaucoup de gens ne savent pas, c'est que
quand tu achètes un serveur, genre un VPS,
ou n'importe quel serveur dans un data center,
instantanément, tu vas te faire attaquer
par des milliers de machines, en fait.
Oui, exactement.
Et ça va très très vite.
Tu peux le mettre, allez, en quelques secondes.
Tu as déjà des premières IP qui viennent te scanner,
vérifier les ports qui sont ouverts,
les versions des services qui sont dessus.
Donc c'est instantané.
Mais de ça, déjà, c'est fou.
Et qu'on soit bien d'accord, c'est pas des humains
qui sont en train d'essayer de tenter les attaques à la main.
Non, non, c'est des scanners, des bots.
Il y a un peu de tout, donc, des bots qui vont chercher
des vulnabilités.
Il y a aussi des scanners qui font une cartographie d'Internet.
On en connaît plein, type Shodan,
des bots de Google qui parsent les web pages.
Et voilà, il y a tout ce beau monde qui essaie de découvrir
un peu qui sont derrière toutes les IP.
Et comme les IP, les services viennent et repartent.
On peut acheter un VPS avec un service dessus,
le laisser tomber.
Il y a quelqu'un d'autre qui va le reprendre et reprendre l'IP.
Donc ils sont obligés de scanner en permanence
pour être à jour.
Et ça, c'est un truc qui, honnêtement,
qui surprend.
Je sais que la première fois que j'ai loué un VPS,
tu as un peu cette sensation que tu viens d'obtenir
une adresse IP, donc c'est bon, tu as ton adresse postale
sur Internet.
T'as l'impression que tu es tranquille,
tu n'as pas l'impression que personne ne sait que tu existes.
Oui, totalement.
Et en fait, ce n'est pas le cas vraiment dans les secondes
ou les minutes qui suivent.
Tu vois tout un tas de monde passer.
Tu envoies des requêtes, alors ça peut être juste des pings,
ça peut être des tentatives de connexion
à SSH, donc le système de contrôle à distance
de ton serveur.
C'est un peu comme si tu viens d'acheter ton ordi
et là, instantanément, tu vois des gens qui essaient
de te connecter dessus.
C'est quand même assez perturbant.
Comment ça se fait qu'ils savent que tu es là ?
Au final, quand on réfléchit un petit peu,
le nombre d'adresses IP v4 qui y a de disponibles,
elle est quand même assez faible.
Un petit peu plus, c'est quoi justement ce pattern d'adresse IP ?
Comment ça se fait et comment ça marche ?
Donc les adresses IP, c'est ce qui définit un petit peu
l'adresse d'un serveur ou d'un service sur Internet.
Et ça va, donc il y a quatre groupes de chiffres
et chaque groupe va de 0 à 255 en gros.
Donc ça fait un pattern qui est super limité.
Et il y a des scanners qui vont, ils commencent avec 001, 002
et ils continuent jusqu'à qu'ils ont fait tout le tour.
Et surtout, tous ces IP, ils essaient de trouver des vuléarmités
ou simplement savoir quel service il y a derrière.
Donc en fait, moi, je vois ces logs sur mon serveur,
c'est pas que j'ai été targeté personnellement.
C'est juste qu'il passe continuellement et il voit des choses intéressantes.
Oui, et c'est même ce qui arrive généralement dans les entreprises.
C'est-à-dire qu'une entreprise qui va se dire,
moi je suis une petite entreprise, c'est pas très intéressant.
Je n'ai pas besoin de trop mettre à jour mon site web.
Au final, c'est parce qu'il y a justement des bots automatisés
qui passent sur ces sites web, qui cherchent des vuléarmités
de manière automatisée encore une fois pour exploiter,
pour prendre le contrôle du serveur en question.
Il cherche quoi en fait ?
Ça sert à quoi, moi mon petit VPS qui n'est pas très puissant,
qui tourne sur mon serveur,
en quoi il va intéresser des hackers en fait ?
Il y a plusieurs grosses catégories de ce qu'on peut faire
avec un serveur une fois qu'on contrôle.
Le truc le plus classique, c'est forcément de la donner un petit peu confidentiel.
Si c'est une entreprise, je vais essayer de récupérer des data clients,
des mots de passe, des adresses mails, ce genre de choses.
Après, on pourrait dire, j'ai absolument rien sur mon serveur,
donc c'est pas très grave.
Moi, j'ai pas de e-commerce qui tourne dessus,
il n'y a pas de carte de crédit, il n'y a rien.
Il n'y a rien.
C'est intéressant quand même les attaquants,
parce qu'on peut utiliser soit la puissance de calcul du serveur
pour lancer des cryptominer,
donc des programmes qui vont miner de la crypto,
et du coup, leur but, c'est de compromettre le plus de serveurs possibles
pour déployer tous les cryptominer un petit peu partout
et avoir un peu l'énergie gratuite au final.
Ça se fait de moins en moins,
parce que c'est de plus en plus difficile de miner de la crypto.
Mais ce qui est aussi très intéressant,
c'est qu'on a parlé d'adresse IPv4.
Une adresse IP, c'est relié à quelqu'un,
à une identité.
Si j'achète un serveur,
le serveur, c'est moi qui l'achete avec ma carte de crédit, etc.
Ce que je veux dire, c'est que c'est possible
de, à partir d'une adresse IP, remonter à une identité personnelle
du détenteur.
Potentiellement, oui.
Et du coup, ces attaquants,
ce qui les intéresse, c'est aussi d'utiliser votre serveur
comme passerelle de rebonds pour attaquer d'autres services
et du coup, masquer un petit peu leur identité.
Donc parfois, leur but, c'est pas forcément d'exploiter le serveur
ou même de se faire détecter,
mais c'est juste d'utiliser le serveur comme passerelle.
Et du coup, les attaques, elles ne viennent plus de leur serveur,
mais elles viennent du vôtre.
Ah, ok. Oui, donc ils te font porter le shop, en fait.
Exactement, oui.
Et donc là, j'imagine que ça peut être pour du botnet
ou des campagnes de phishing.
Oui, par exemple, c'est ça.
On peut amener plein d'attaques derrière.
Et c'est beaucoup plus intéressant parce que, du coup,
l'IP, elle est plus connue, on va dire,
que si on sortait du réseau Tor, par exemple,
qui est tout de suite détectée, parce qu'il y a très peu d'IP.
On va en parler.
Il y a un truc qui paraît qu'il arrive,
c'est que ça peut être utilisé aussi comme un serveur de contrôle de malware.
Donc en gros,
ton serveur peut devenir une sorte de chef d'orchestre
de botnet zombie.
Oui, exactement.
Et c'est toujours la même idée derrière,
c'est l'idée de cacher l'identité de l'attaquant.
C'est-à-dire que, pareil, au lieu de contrôler plein de PC
et que tous ces PC remontent à l'attaquant,
ça va remonter à un serveur distant.
Donc ça veut dire que, pendant l'enquête,
une fois qu'ils vont analyser les gens-sérieux des machines des victimes,
ils vont se dire, les méchants sont là,
et en fait, c'est moi.
Oui, c'est ça.
Et du coup, après, on est obligés de mener encore une autre enquête.
Ok, ben,
depuis quand ils sont sur ton serveur,
qu'est-ce qu'ils ont fait sur ton serveur?
Et ça complique énormément la chose
si on est sur 10 serveurs de suite dans des pays différents.
Oui, parce qu'ils les enchaînent.
Bien sûr, oui.
On peut les lier à la suite, et ça fait une petite chaîne.
Sympa.
J'ai entendu parler d'un truc aussi.
C'est la fraud au clic.
Je ne sais pas si ça te parle,
mais je sais que c'est juste pour...
Si ça te disait quelque chose,
c'est un cas d'usage, apparemment,
de péter un serveur, c'est de faire du clic fraud.
Je pense que ça va voir avec les pubs.
Oui, alors ça, ça me parle moins.
Mais ça doit être un peu dans la même idée.
Il y a aussi l'idée de...
Si je mets une attaque depuis Nipe,
cette IP va se faire blacklister par le site.
Elle va se faire bannir.
Du coup, l'attaquant, lui, il a tout intérêt à changer de Nipe
pour continuer son attaque.
Donc c'est intéressant si il a compromis plein de serveurs
pour mener son attaque depuis plein de serveurs différents.
Dès qu'il y en a un qui se fait attraper et bannir,
il redirige son flux d'attaque sur un autre serveur
et continue.
L'IP est une ressource de valeur.
Et justement, ce qui fait que tous ces serveurs
intéressent les pirates,
c'est ça qui permet, d'un autre sujet du jour,
qu'un truc assez faux que très peu de gens connaissent,
c'est qu'on peut prendre les attaquants à leur propre jeu
en créant des faux serveurs vulnérables.
Exactement.
Et du coup, on va dire,
si on met un serveur sur Internet qui se fait attaquer au bout de 5 minutes,
je vais en mettre un volontairement vulnérable
sur Internet et attendre qu'il se fasse attaquer.
Et plutôt que de me dire, je ne sais pas quoi faire avec tous ces attaques,
on va les analyser.
On va dire, ben, d'où est-ce que ça provient,
quel IP est derrière, quel type d'attaque y font,
quelles sont les choses qui recherchent au final.
Et l'idée, c'est de comprendre les attaquants,
les attaques qui mènent depuis où il est mènent
et mieux se protéger derrière.
Ok.
Mais du coup, concrètement, comment tu fais ?
Comment tu crées un faux serveur vulnérable ?
Il y a plusieurs, on va dire,
deux grosses catégories de onipote,
en l'occurrence.
Parce que du coup, c'est le terme officiel, c'est ça ?
C'est le terme, du coup,
quand on met un faux serveur qui est là volontairement vulnérable
pour attraper des attaquants ou des attaques,
on appelle ça onipote.
Parce que...
Pau de miel, c'est intéressant, ça attire.
Pas parfait.
Ça vient de là.
Ok.
Et oui, il y a deux grosses catégories
de type de onipote ou d'approche.
On va appeler ça les low interaction,
donc interaction basse,
et high interaction, interaction haute.
On va séparer en fait ces types
d'approche et d'onipote en fonction du code
et du service qu'on met derrière.
Est-ce qu'on simule un serveur vulnérable,
c'est-à-dire l'attaquant,
essaye de se connecter à un serveur SSH ?
Moi, je le réponds exactement le protocole,
les bonnes bannières, tout ce qu'il faut,
mais c'est moi qui le fabrique au final.
Ou est-ce que je mets un vrai serveur SSH
de telle et telle version,
je sais qu'il est vulnérable à cette version,
et je le laisse se faire attaquer.
Ces deux approches un petit peu différentes.
Ok.
Et justement pour comprendre un peu mieux,
c'est qu'est-ce que tu peux attraper,
comme genre de poisson, entre guillemets,
et qu'est-ce qu'ils font,
quels infos on peut avoir sur eux.
Tu nous as...
Enfin, avec nous,
tu nous as préparé une expérience,
donc un vrai onipote,
tu nous montras ça tout à l'heure,
les résultats que tu as eu,
mais il y a un truc que je voulais mentionner avant,
c'est qu'en réalité, l'idée même du onipote,
elle est assez ancienne.
C'est très, très vieux, oui.
Il paraît qu'on a piégé des agents du KGB,
comme ça, dans les années 85-90,
tu sais même pas qu'il y avait internet ?
Internet n'existait même pas,
c'était plus ArpNet et ce genre de choses.
Et ça a commencé dans les années 80-86,
au début,
il y avait des services,
qui pouvaient être loués,
et quand on se connectait dessus
pour faire des expériences de recherche,
on payait à la minute autant passer.
Et lui, il géré un petit peu le réseau
de ce centre de recherche, de ce labo.
Et il a un moment,
il a détecté qu'il y avait un labo,




il avait un problème de 75 centimes
par rapport à une facture.
Donc c'est rien, on peut dire,
c'est une erreur de calcul.
Sauf que lui, il a vraiment creusé,
il est allé voir exactement d'où s'approvenait,
pourquoi il avait cette erreur de quelques centimes
à la fin du mois.
Et il analysait les logs de connexion au serveur.
Parmi ces logs,
il a trouvé qu'il y avait quelqu'un
qui s'était connecté à un serveur
et qui n'était pas passé
par la case de facturation.
Donc il y avait un manque à gagner, c'est ça ?
Oui.
Un usage non payé quoi ?
C'est ça. Quelqu'un qui s'est connecté,
alors que normalement, quand on se connecte,
on passait par la facturation,
ensuite on avait le droit de se connecter,
on faisait ses affaires et on était facturé.
Et là, il y a quelqu'un qui s'est connecté
de manière illégale, on va dire, sur le serveur.
Du coup, il a analysé les logs en plus
et il s'est rendu compte que c'était une personne
qui a exploité une vulnabilité assez simple.
C'est un démo de passe trop simple
sur le réseau.
On rappelle, on est en 1986.

Les mots de passe 1, 2, 3, 4, 5, 6,
c'était vraiment la norme, c'est ce qui était utilisé.
Et du coup, la personne
qu'on ne connaît pas encore
a tenté de se connecter un peu
à tous les serveurs avec des attaques
par rapport de force.
Donc il tentait plein de mots de passe,
de manière régulière et à un moment,
il a réussi à se connecter.
Donc, ok, on a un hacker
sur le réseau qui est là,
qui est en train de fouiller et on ne sait pas trop
quoi en faire.
D'habitude, l'approche un peu classique
c'est on se dit, on ferme tous les
access, on trouve la vulnabilité,
on corrige et on se protège,
on essaie de le sortir
du réseau.
Lui, il s'est dit que ça serait intéressant
d'étudier comment il est rentré,
qu'est-ce qu'il fait et qu'est-ce qu'il recherche
et d'où est-ce qu'il provient.
Et c'est à partir de là qu'il s'est dit
qu'il va commencer à lui mettre
un serveur
avec des fausses données, qui ressemblent
à des données militaires un petit peu confidentielles
et
loguer toutes les actions
de la personne sur le serveur.
Donc, il faut plutôt que de instantanément
débrancher le truc
et voilà, fermer au maximum
le réseau
et faire sortir le gars,
il ne fait rien au contraire pour ne pas
éveiller ses substances.
Le but c'est
que l'attaquant
ne sache pas qu'il a été détecté
et du coup de laisser un petit peu dans son jeu
et de lui donner des fausses informations
pour le garder sur le réseau
et le garder intéressé, mais plutôt le diriger
vers un endroit qu'on contrôle
et qu'on maîtrise.
Il a fait ça.
Il a enregistré
toutes les commandes que la personne
faisait pour voir vraiment
d'où ça venait et travailler
conjointement avec
la police
de l'époque, avec les administrateurs
système du labo
pour remonter la trace en même temps
que lui il essayait de le garder
intéressé. Et ça a marché ?
Ça a très bien marché. C'est revenu
jusqu'à un hacker
allemand qui travaillait pour le KGB
et qui vendait
de la donnée confidentielle.
Incroyable. Donc ça c'est un peu la naissance
du onipote. C'est à partir de là qu'on a
commencé à employer le terme onipote.
C'est un peu la naissance du onipote
moderne on va dire.
C'est Cliff Stoll.
Très intéressant.
Je le disais tout à l'heure,
exceptionnellement spécialement pour
l'émission, t'as mis en place un onipote
pendant une semaine pour qu'on regarde
ensemble justement est-ce qu'il a été
attaqué et par qui ?
C'est ça.
L'idée c'est que j'ai fait quelque chose
d'assez simple. C'est à dire que tout ce qui s'intéresse
un petit peu au onipote, vont tomber
sur ce projet qui s'appelle T-Pote,
qui est le plus gros projet
de onipote communautaire
et qui en fait rassemble plein
de petits projets d'onipote spécifiques
dans leur domaine, des protocoles
particuliers. Il y en a qui sont spécialisés
en SSH, en web, en FTP,
en CEDFIT et ils ont tout rassemblé
dans une seule solution qui s'installe
en un clic
et qui ouvre un peu tous les ports
possible sur le serveur.
Et derrière on a un dashboard qui permet
de voir ce qui se passe.
Et alors de ce que tout le monde a dit, on a eu
228 000 attaques.
C'est ça. 228 000.
Et après,
une attaque, dans ce cas-là, ça correspond
à un événement, à une connexion.
C'est à dire une IP qui vient
toucher le serveur, c'est déjà considéré
comme une attaque, même s'il n'y a rien de
fait derrière.
Mais il y a aussi dedans, il y a des tentatives
de connexion avec du bruit de force,
il y a des tentatives d'exploitation
de
de CVE, de
failles connues.
Ah oui, donc tu vois, dans les logs,
il y a le côté, genre, testé des mots de passe,
c'est le bruit de force, mais tu vois aussi
s'ils essaient d'utiliser
une faille, en fait.
Oui, typiquement, lorsque
on a un service web qui
il y a une vulnérabilité qui est détectée,
il y a un numéro d'identifiant
qui associe à cette vulnérabilité, donc une CVE
et les détails de la vulnérabilité
sont rendus publics.
Les attaquants prennent ces détails là
et vont scanner
internet entier pour cette faille précise.
Mais du coup, très concrètement,
toi, dans ton interface de Onipote,
comment tu sais que là, il essaie
d'utiliser une faille ?
Tu peux voir, par exemple, si c'est une faille sur le web,
l'URL qui est testé
et le chemin complet de l'URL
qui
référence un fichier particulier
qui fait partie
d'une CVE qui est sortie il n'y a pas très longtemps
et tu peux voir après la data
même qui est envoyée par l'attaquant
qui te fait dire que c'est la CVE
qui est utilisée.
Et donc,
dans ce cas-là,
ce qu'ils ont réussi, enfin, c'est fait pour,
non, qui réussissent ?
Dans ce cas-là, c'est
typote, c'est que du low interaction,
c'est-à-dire que tous les services sont simulés.
Donc derrière, il n'y a rien qui tourne,
il ne pourra jamais trouver de vulnérabilité.
C'est juste
pour voir qu'est-ce qui est reçu
comme requête, etc.
Et alors, de ce que j'ai compris,
tu peux quand même voir que
quel script ils veulent exécuter
si c'est du malware, des cryptomaniores,
des choses comme ça ?
Oui, souvent, par exemple, le port SSH
est volontairement laissé ouvert,
c'est-à-dire que n'importe qui peut se connecter
avec n'importe quel utilisateur, n'importe quel mode passe.
Si on leur donne quand même un accès
à la machine ou quoi ?
Oui, là, c'est du medium interaction
parce que c'est un faux shell SSH.
Même là, c'est simulé derrière.
Mais on peut voir, il est temps
de mettre des commandes. C'est ça.
Derrière, on récupère les commandes
qui sont testées.
Et là, ils font quoi ?
Et donc là, on récupère aussi principalement
des bots, comme toujours,
qui vont plutôt
tester d'installer des malware
ou des cryptomaniores
ou d'autres serveurs.
Et ça, du coup, là,
c'est moi.
C'est un des dashboards.
Du coup, ça, c'est un dashboard
que tu as quand tu manipules ton...
Oui, c'est un des dashboards.
Il faut savoir qu'il y en a plusieurs en fonction
des services qui sont déployés dessus.
Il y a un dashboard un petit peu général.
Et là-dessus, c'est, à gauche,
les username, à droite,
les mots de passe qui sont testés.
Et on voit en bas à droite
aussi la liste des commandes les plus
classiquement utilisées, testées
en premier lieu par les attaquants.
C'est trop bien.
Et du coup, là, c'est quoi le nuage de mots ?
C'est le...
En gros, plus c'est gros, plus ça a été
testé.
Donc là, route, c'est le mot de passe
le plus testé par les attaquants.
C'est très drôle.
C'est route, route. C'est l'utilisateur par défaut.
Moi, j'ai une question. Tu dis qu'ils tentent d'installer
des scripts de malware, de cryptominer.
Qu'est-ce qui fait qu'ils n'y arrivent pas ?
Il y a une protection
dans le onipot ?
Oui, parce que derrière, c'est du simuler.
C'est-à-dire qu'on va juste le répondre
avec, par exemple, on peut répondre ce qu'on veut.
Donc, typiquement, si
il cherche un malware d'un autre serveur,
on peut lui dire, ok, tu l'as bien récupéré.
Mais ça atterrit nulle part.
La commande n'est pas vraiment exécutée.
C'est l'équivalent d'écrire
dans un Word la commande.
Et tu fais entrer, il se passera rien non plus.
Mais il n'y a pas d'erreur
qu'il laisserait penser qu'il y a un problème
de son problème.
C'est là où on arrive un peu à la limite
des onipot long interaction de ce type-là.
C'est que
c'est très facile de détecter
que le serveur qu'on a installé.
Il n'existe pas quoi. C'est un onipot.
Ça se voit, il y a plein de...
Genre, tu mets un echo-cou-cou,
il n'y aura pas marqué cou-cou.
Ouais, c'est ça.
Putain, je suis vraiment à qui.
C'est très facile de le détecter pour un humain.
Mais du coup, pour les bots, ça peut...
Voilà, ouais.
Et c'est là où on voit un peu des styles différents.
Il y a des bots qui essayent
de détecter d'abord s'ils sont sur un onipot
avant de télécharger le malware.
OK.
Pour éviter que justement,
les gens qui ont aidé un onipot récupèrent le malware en question
et que ce malware s'applut utilisable.
Ah...
Et donc après, c'est un peu le jeu de
est-ce que le bot est vraiment très basique.
Il teste tout et dès qu'il a une réponse,
il y va.
Ou est-ce que ça peut
lever une alerte en attaquant
et il y va manuellement pour essayer de voir
si c'est vraiment intéressant avant de déployer
son malware.
OK, il y a des différents niveaux
d'expertise de l'attaquant.
Salut ! Si vous appréciez Ender Score, vous pouvez nous aider
de ouf en mettant 5 étoiles sur Apple Podcast,
en mettant une idée d'invité que vous aimeriez qu'on reçoive.
Ça permet de faire remonter Ender Score.
Voilà. Telle une fusée.
Là justement, si on regarde un peu les commandes
qui sont typiquement exécutées par les attaquants,
on voit un truc qui s'appelle un downloader.
C'est quoi ça, du coup ?
L'idée, c'est
que l'attaquant ne va pas déployer son malware directement.
Il va d'abord le récupérer
sur un autre serveur. Donc en général,
lorsqu'il y a une faille, on
déploie un petit script
qui paraît inoffensif parce qu'il fait
juste télécharger quelque chose d'internet.
Et ça passe plus facilement
les solutions de sécurité,
les antivirus. C'est pareil quand on essaie
de compromettre une entreprise, quand on fait
un phishing, le malware
n'est pas délivré directement en piage-jointe.
C'est plutôt
une première étape
qu'on appelle un Stager,
qui va télécharger
le virus plus complet
avant de l'exécuter. Et cette première étape,
elle peut faire plein de petits checks en amont.
Déjà, c'est quand on la dit, voir si c'est un ony-pot,
voir si c'est la bonne cible,
voir s'il y a des choses intéressantes avant de télécharger.
Est-ce qu'il est dans une
sandbox ?
Est-ce qu'il est dans un environnement clos
qui est justement dédié
à le faire exécuter quelque chose ?
Ou est-ce qu'il est sur une vraie machine ?
Et du coup, tous ces étapes sont faites
avant de télécharger la vraie ressource.
Ok, hyper intéressant. Parce qu'il y a un truc qui n'est pas forcément connu,
c'est que
dans ce grand jeu du chat et de la souris
entre les attaquants et les solutions
d'anti-malware, etc.
La ressource qu'il y a de la valeur pour l'attaquant
c'est son malware.
Et le fait qu'il a conçu pour être
non détecté, non détectable
et que pour l'instant il n'est pas encore connu.
Donc tout ce travail-là,
il n'a pas envie de le gâcher en fait.
C'est ça, c'est exactement ça. C'est hyper important pour lui
de l'exécuter au bon endroit
sur une ressource réelle.
Parce qu'une fois que c'est détecté,
il ne peut plus l'utiliser.
Et tout le monde se passe le mot, toutes les solutions,
partage des bases virales, machins, tout ça.
Et c'est fini quoi.
Oui, c'est comme
le site web Virus Total
qui permet de tester
si un exécutable contient un virus ou pas.
Dès qu'on télécharge,
quand on téléverse un fichier sur ce site,
ça va être ensuite partagé
à tous les éditeurs d'anti-virus
qui mettent à jour leurs bases en direct.
Donc là, par exemple, nous dans la liste
tous les bottes un peu con-con qui
nous ont envoyé des malwares sur notre truc,
on peut être un peu pressur
qu'ils sont sur Virus Total.
Parce que justement,
il y a des trucs automatisés comme ça
qui vont les uploader tout seul.
Exactement. Pareil, sur toutes les IP
qui attaquent tout ce qu'on voit,
tout le trafic qui arrive sur ce serveur
dans 98, 99% des cases
et des IPs qui sont déjà connus
de la communauté de cyber sécurité.
Grâce justement à des serveurs de ce genre-là.
Il y a des endroits dans les commandes
où on voit des adresses IP.
C'est celles, littéralement celles,
des attaquants du coup.
Oui, d'un serveur qui héberge
le malwares ou le script.
Donc ça peut être
l'IP d'un attaquant,
ça peut être une IP
compromise auparavant,
ça peut être une IP d'un RVPS
qui a été acheté pour l'occasion.
En général, c'est un peu s'écal.
C'est pas chez eux.
Non, c'est pas l'IP de la maison.
C'est hyper stylé.
J'ai entendu un truc aussi,
c'est qu'il paraît que pour faire
un bon ony-pot qui attire
les attaquants,
il y a certains qui vont plus loin que ça
et qui créent carrément des faux réseaux
voire des faux applications.
Oui. On peut aller aussi loin
qu'on veut jusqu'à ce qu'on appelle
plutôt les ony net.
Ony net.
Pour ony-pot network.
Et on peut déployer
carrément un réseau d'entreprises
complètement fictifs,
mettre des fausses données dessus,
des faux utilisateurs,
mettre un point d'entrée,
du coup exposé sur Internet vulnérable
et laisser l'attaquant
se balader sur notre réseau.
Un peu comme l'histoire qu'on a vu auparavant.
Mais cette fois-ci, tout est contrôlé,
tout est surveillé.
Et donc, là, contrairement au commande basique,
tu vas avoir des chances
de trouver des profils d'attaquants
qui sont un peu plus intéressants, c'est ça ?
Oui. Là, potentiellement,
on peut avoir des choses un peu plus évoluées,
plus stratégiques.
Mais la difficulté dans cette approche-là
c'est d'attirer l'attaquant
au début.
C'est-à-dire que, comme on l'a vu,
si on est en méinipé, elle se fait attaquer,
mais elle se fait attaquer par des bots.
Nous, on veut qu'elle se fasse attaquer par vraiment...
Oui, c'est ça.
Comment on fait ça ? C'est quoi, un peu les techniques ?
Pour mettre en place justement des techniques stylées
ou un humain derrière
va dire ça, potentiellement, ça m'intéresse vraiment.
Il faut...
Il faut imaginer créer une histoire
autour de la fausse entreprise
qu'on aimerait simuler.
Donc lui donner un nom, lui donner des noms
d'utilisateurs, des fichiers un peu intéressants,
de l'activité sur le réseau.
Typiquement, si l'attaquant arrive sur un serveur
et qu'il voit qu'il est relié à rien,
qu'il communique à écrit un,
il ne va pas déployer son malvoir.
Comme on a vu, c'est une ressource importante.
Donc il va dire que c'est trop louche,
je n'y vais pas.
Ou sinon, il va essayer de faire de la recherche
sur Internet, par exemple,
quel type d'entreprise il a attaqué,
est-ce que le nom déjà existe,
ce genre de choses.
Et nous, dans toute notre stratégie,
il faut qu'on soit hyper réaliste.
Y compris sur le point d'entrée.
Donc on ne peut pas déployer un type-hôte
comme on l'a fait pour l'expérience.
Parce que là, il y a
une cinquantaine de ports qui sont ouverts,
qui sont accrits de partout que c'est un haut d'hippote.
Attacquez-moi ! C'est ça.
Donc il faut qu'on ouvre quelques ports,
quelques applications bien spécifiques,
et qu'on répond de la manière
la plus réaliste possible.
Ok, donc par exemple, scénario,
exemple,
comment tu choisis ton
entreprise et c'est quoi un bon
réseau ? Qu'est-ce que tu fais ?
Typiquement, on pourrait imaginer
généralement soit des petites entreprises,
des PME,
qui a un site web,
un site web un peu mal configuré,
on pourrait imaginer un WordPress qui se fait
souvent attaquer avec des plugins un peu vulnérables
qui donneraient le point d'entrée,
un SSH, par exemple,
qui sert pour la gestion
administrative du serveur,
mais cette fois-ci avec des bons mot de passe,
donc on ne va pas laisser tout le monde se connecter
avec route-route, parce que c'est pas réaliste.
Oui, donc c'est un moyen de filtrer les bottes,
c'est de mettre au moins un mot de passe
un petit peu robuste.
C'est ça.
Histoire qui est du travail manuel
d'un humain
ou d'un...
Faut qu'il y ait un mot de passe qui fonctionne
et pas à 50, parce que sinon
c'est pas logique non plus.
Et une fois qu'il arrive sur ce serveur,
il faut lui donner un peu de la donnée
et de la vie sur le serveur en question,
dont typiquement
des faux fichiers qu'on pourrait déployer,
des faux utilisateurs,
des bases de données, pareil.
Et j'imagine que par exemple
les solutions d'antivirus,
elles ont plein de haut-ninette,
ça doit être un de leurs travail
d'essayer de créer plein de faux réseaux,
de fausses entreprises, pour justement
mettre un jour entre guillemets leur heure.
Alors il y a des entreprises qui sont spécialisées
dans ce domaine-là.
C'est un domaine qui est beaucoup plus large
que juste le haut-ninette, il y a plein de stratégies.
Mais c'est ce qu'on appelle la CTI
pour threat intelligence.
L'idée c'est de comprendre
les attaques qui sont en cours,
les vues l'invité qui sont exploitées
de manière générale,
quelles IP sont les plus malveillantes.
Et donc ça peut se faire avec des onipotes.
Ça peut se faire avec
simplement de la lecture de Log.
Donc on peut avoir un vrai service
qui dit, ben moi je vois
tous les jours, je me fais attaquer par cette IP.
Donc qui peut la repartager à tout le monde
et c'est redéployé.
J'ai déjà entendu un terme, c'est déceptive security.
Ouais, ça c'est encore le terme
plus global sur
pas vraiment la threat intel,
mais sur les...
au-dessus du onipote, c'est-à-dire
toute la branche de la cyber sécurité
qui vise à piéger l'attaquant de manière active ou non.
Donc la déceptive, ça comprend
les onipotes.
Mais ça comprend aussi ce qu'on appelle les onitoken
qui sont des faux fichiers
ou des faux éléments
qu'on pourrait aussi disperser sur internet.
Ça peut être
une base de code par exemple sur GitHub
qui contient un fichier
avec des...
des identifiants ou même des clés d'API
mais qui en fait
ne servent à rien.
Je suis si leux, une erreur d'inattention
d'un développeur mais qui...
On aura perdu quelques jours
mais pour donner
un exemple justement de
ce qui doit être fait
comme ça pour intéresser des profils un peu plus
au niveau, tu as un exemple d'un WordPress
qui permet
qui est très typique dans une entreprise donc c'est un scénario plausible
et
un Ipaq, tu as des outils
qui te permettent
d'avoir
des vues... d'installer en fait des vulnérabilités
récentes
sur ton serveur.
En gros, le fait que tu aies des vulnérabilités
qui ne sont pas trop vieillotes, qui sont un peu plausible
c'est important quoi.
Oui, il faut
rester un peu dans la
trend des attaquants
c'est à dire que
en général quand une nouvelle vulnérabilité est sort
il y a
une fenêtre de tir de quelques semaines
où elle va être exploité vraiment en masse
parce qu'ils se disent, elle est sortie
il y a quelques semaines avant que toutes les entreprises se mettent à jour
et donc là pendant cette période
je peux potentiellement trouver
des services qui sont vulnérables, des sites web vulnérables
et donc si t'arrives à déployer
en même temps que la nouvelle CVE
qui vient de sortir, tu déploies justement
cette CVE sur un serveur, tu auras plus de chance
d'attraper des attaquants
un peu nouveaux ou des nouvelles techniques
Mais du coup
ça c'est un truc manuel, c'est toi qui vérifie
c'est quoi les failles qui y sortent
ça peut se faire manuellement, ça peut se faire de manière automatique
Mais comment ça va être ?
Automatique ?
Après c'est plutôt des projets
donc moi je travaille dans une entreprise
qui développe un onipote pour les entreprises
et on a des projets
ou des sujets où on travaille justement
pour déployer ce genre de service de manière automatique
en allant vérifier
les dernières CVE
et après on déployant
de manière automatiquement
tu peux te dire voilà c'est un WordPress
avec tel plugin
donc tu peux analyser rapidement et déployer ton WordPress
facilement puisque il y a plein de scripts pour le faire
tel plugin
C'est quand même hilarant que juste
cette technologie existe
tout le monde passe son temps assez de corriger
les vues d'inviter
ton job c'est d'installer le plus vite possible
c'est ça ?
Le bon plugin vulnérable
attend pour intéresser
les attaquants c'est quand même amour gado
j'ai cru comprendre aussi que
dans ton métier
vous vous servez
de onipotes aussi
au sein même du réseau
de l'entreprise parfois
de réseaux internes
mais du coup c'est quoi l'intérêt
si c'est pas un serveur qui est public ?
Donc
il y a deux grosses approches
sur le onipote
enfin deux grosses endroits où on peut le mettre
soit exposé sur internet avec une IP public
qui se fait attaquer comme un dit en permanence
soit au sein du réseau
interne de l'entreprise donc le LAN interne
au milieu des vrais serveurs
et là c'est intéressant parce que normalement
les utilisateurs
de l'entreprise ne connaissent pas ce serveur
il n'y a aucun trafic
qui est légitime à aller sur ce serveur là
donc si on détecte une connexion
à ce serveur en interne
c'est que c'est forcément quelqu'un qui se déplace
sur le réseau
un scanner
ou en tout cas une action un peu malveillante
de reconnaissance du réseau
parce qu'en général quand un attaquant
veut compromettre une entreprise
on va dire très souvent soit il exploite
une vuléarité sur un serveur
soit il fait du phishing
et il arrive sur le post
d'un employé
Oui donc c'est encore plus intéressant limite
que d'avoir le onipote au moment
de la connexion au internet
tu le mets dans le réseau
comme ça si quelqu'un se balade
dessus c'est un gros problème
C'est ça et l'idée
c'est un peu l'opposé de ce que t'aurais
sur internet
sur internet tu as de la connexion en permanence
des alertes tout le temps
là normalement t'es censé avoir zéro alerte
toute l'année parce que la seule alerte que tu pourras avoir
c'est si quelqu'un trouve ton serveur
et si quelqu'un l'a trouvé c'est déjà qu'il est
dans ton réseau en train de se déplacer
en train de fouiller
il y a un peu comme le concept
dans les années 80
avec l'agent
allemand du KGB
qui se déplacait sur le réseau du labo
ça se fait aujourd'hui
et bah on refait la même chose sur l'entreprise
mais ça veut dire que
quand il y a une alerte qui sonne sur ce type de onipote
c'est déjà un peu la merde
dans l'entreprise en question
ça se réveille un peu tôt dans la nuit
il y a une fenêtre de tir
aussi très très courte
il faut réagir assez vite
soit on laisse un petit peu l'attaquant
jouer sur le onipote
et on essaye de combler autour
soit en bloc tour on peut carrément couper
l'accès internet de l'entreprise
et tout déconnecter
et ouais il y a quelques secondes
ça peut être fait automatiquement ça par exemple
genre
tu vois un access au serveur
et ça déclenche un truc
ça pourrait
si tu connectes après tes onipotes
par exemple à tes firewall
ou tu dis bah dès que j'ai une alerte
je contacte le firewall en lui disant
bloc toutes les connexions
et t'isole l'entreprise ça peut être fait
trop stylé parce qu'en fait il y a un truc qui a expliqué
c'est que tu travailles
dans une boîte qui conçoit
des solutions de onipote
exactement
et donc ça c'est des trucs que tu as déjà installé
par exemple des onipotes dans des réseaux
ouais on a une solution qui s'appelle trapster
et c'est exactement ça
donc c'est du onipote low interaction
donc les services simulés
avec des serveurs qu'on va placer
dans les entreprises
au milieu du réseau standard
et on va déployer des services
qui correspondent un peu au service de l'entreprise
typiquement si l'entreprise
elle est 100% sur des serveurs windows
on va déployer un faux serveur windows
avec un petit peu les mêmes sites
ou les mêmes ports, les mêmes services
de déployer pour se fondre
vraiment dans la masse
et ça marche
typiquement ce qu'on décrit là
c'est un scénario d'une entreprise
dont on détecte une intrusion
qui n'aurait jamais, qui serait complètement passée et aperçu
t'as déjà eu ça ?
nous pour l'instant on n'a pas eu de cas réels
de nos clients qui sont faits attaquer
par contre on a eu des clients qui mènent des tests
en interne très souvent
qu'on appelle des pentestes
ou des exercices plus gros type red team
et donc là on a déjà détecté
des actions de type pentestes, des scans
des choses aussi automatisées
et ça remonte des alertes
oui donc c'est pas un
pirate entre guillemets qui s'est favoré par le piège à souris
mais c'est un attaquant
à qui en général on donne aucune info
donc ça marche
en gros ça marche quoi
ils sont censés tester la sécurité de l'entreprise
et ils même se sont fait avoir quoi
on leur dit pas que c'est là bien sûr
et du coup on se déplaçant
sur le réseau en faisant les mêmes actions
au final qu'un attaquant
on lève des alertes de la même manière
c'est génial
il parait qu'il y a une histoire
où il y a une red team comme ça
de fausses attaquants on va dire
pour tester la sécurité où ils ont travaillé
pendant trois mois tu me disais
et ils se sont fait avoir, ils avaient tout
et ils se sont fait avoir par un unipote
oui très souvent les exercices red team
donc c'est des exercices de tests
de mise en condition réelle de l'entreprise
on va vraiment essayer de la pirater
avec tous les moyens qu'on veut
c'est à dire qu'on peut faire du phishing
on peut s'introduire physiquement
on va vraiment simuler une vraie attaque
et le but c'est que la red team
qui est l'attaque
met à l'épreuve plutôt la blue team
qui est la défense
la blue team elle gère les antivérues
les firewalls s'il y a des alertes ils essayent de réagir
et il y a
une red team
du coup qui a travaillé pendant plusieurs mois
parce que ça y a beaucoup de préparation
il développe des malware spécifiquement pour la mission
parce qu'ils doivent contourner
d'abord des sécurité à l'entrée
c'est ça oui
typiquement il faut qu'ils arrivent à compromettre un employé
donc lui envoyer du phishing
donc il faut qu'il développe aussi
le programme qui va être
exécuté sur la machine
ensuite il faut qu'il se déplace, qu'il contourne l'antivirus
et les autres solutions
et du coup après ils sont tombés
sur un ipote
qui a
qui a levé l'alerte et qui a
mis à zéro toute la mission
le sum
le sum
parce que ça veut dire que techniquement
ils étaient au niveau
ils avaient contourné comme tu dis les entrées
simplement
pour comprendre
une entreprise une fois qu'on arrive
sur un pc ou un serveur
on est obligé de se déplacer, on est obligé
de chercher de la donnée, élever ses privilèges
et c'est dans ce déplacement
qu'on va attraper
l'attaquant
et là dans ce cas là c'était
ils étaient proches de la fin ou pas
là j'ai pas les détails
à frais de
jusqu'où ils étaient arrivés
je sais qu'ils étaient
assez bien avancés parce qu'ils avaient déjà contourné
énormément de solutions de sécurité
et la blue team ils ont eu
vraiment l'alerte de la dernière chance
pour leur dire attention ils sont là
ils ont pu couper
les accès réseau et
corriger
il y a une histoire de dingue
où il y a un jour Microsoft
qui découvre une faille dans leur système
et comme le gars dont on a parlé
ailleurs au lieu de la corriger
ils vont eux-mêmes laisser les attaquants
l'exploiter
c'est sur leur sous-domaine
donc en fait il y a un sous-domaine
qui s'appelle code.microsoft.com
qui était un sous-domaine associé
à Visual Studio Code
qui a été abandonné en 2021
et ce sous-domaine
a été abandonné par Microsoft
et ne pointait vers plus rien
des chercheurs
ou des attaquants se rendent compte
qu'on pouvait déployer une ressource
qui serait ensuite référencée
par le nom de domaine
et du coup ils peuvent déployer un serveur
que eux ils contrôlent
et quand on va sur code.microsoft.com
ça redirige vers le serveur de l'attaquant
Ok, ok, intéressant
Microsoft au lieu de corriger ça
de dire on a une vuléralité
on va fermer ce nom de domaine
parce que pour comprendre le
le risque d'une attaque comme ça
c'est typiquement que tu cliques sur un domaine
qui a l'air légitime
il y a écrit Microsoft.com
tu cliques dessus et t'arrives sur un phishing Microsoft par exemple
c'est ça qui est 100% légitime
parce que c'est vraiment le nom
de domaine de Microsoft
donc ça passe toutes les mesures de sécurité
c'est grave en vrai
normalement tu corriges
instantes quand tu t'apprises
et eux ils sont
non on va laisser faire
mais on va plutôt analyser qu'est-ce qu'ils font derrière
et qu'est-ce qu'ils se passent
une fois que
les gens ont déployé leur
leur faux serveur
ils ont vu des choses assez intéressantes
c'est un domaine qu'ils ont utilisé
pendant pas mal d'années
pour
comme on le disait la threat intel donc c'est-à-dire récupérer de l'information
sur les attaques en cours
et même déployer
leur propre
réseau derrière fictif
et derrière ils ont vu
ils sont vraiment faits à total avec un vrai réseau
un vrai faux réseau
c'est ça
ce qu'on appelle les tenon de Microsoft
donc ils simulent carrément une entreprise
qui aurait des serveurs, des utilisateurs
et c'est un sujet dont ils ont parlé il y a pas très longtemps
donc cette année
à IME Conférence aux États-Unis ils ont un peu
expliqué les travaux de recherche sur lesquels ils travaillaient
et
ils déploient
énormément de ces faux réseaux là
par mois
avec des réseaux jusqu'à 20 000 faux utilisateurs
et à des faux fichiers
de la fausse activité
mais l'avantage c'est que vu que c'est Microsoft ils ont un peu la force de frappe derrière
pour monitorer
pour déployer ça
c'est quelque chose qui est impensable pour une entreprise lambda
parce qu'on va pas payer
plein de serveurs juste pour monitorer
les attaques
et il paraît qu'ils ont trouvé comme ça des trucs d'outre-dingue
ils trouvent typiquement
ils ont pu suivre
l'évolution des attaques
comme Lock 4 Shell
qui était une attaque
sur
une librairie de logging
il y a quelques années qui a fait énormément parler
parce que c'était une attaque très très simple
à réaliser
on voyait sur Minecraft
des gens dans le chat
qui se pirater
les autres, tous les serveurs
c'était joyeux
et ils ont par exemple suivi l'évolution de tout cet attaque
grâce à leur réseau de Onipot
typiquement ils ont pu
suivre les nouveaux pay-loads
qui étaient effectués par les attaquants
donc dès qu'un attaquant
trouvait une nouvelle manière d'exploiter cette vulnérabilité
en contournant un peu les mesures de sécurité
qui étaient en place
il l'a testé après sur plein de domaines
notamment ça passait parfois par Microsoft
et ils arrivaient à récupérer ça
pour mettre à jour leur défense
et suivre l'évolution
ils sont même remontés
jusqu'à l'origine
sur GitHub des premières
démo d'exploitation
de l'attaque
donc techniquement ils ont détecté des 0D
en fait avec ça
ou au moins pu suivre de près
oui au moins suivre de près
en l'occurrence c'était plus suivre
l'évolution de la vulnérabilité
et connaître les variantes
de la vulnérabilité avant tout le monde
pas forcément la vulnérabilité
en elle même au départ
mais ça c'est un truc qu'ils ont pu suivre
sur le long terme
et en fait c'est pas la première fois que Microsoft
utilise ce genre de solution un peu non conventionnelle
ils ont
aussi créé énormément de faux comptes
enfin des vrais faux comptes
du coup pour détecter du phishing
oui ça c'est
aussi quelque chose qui font assez récemment
c'est à dire que
au lieu de déployer un serveur
une fausse entreprise comme on a vu avant
ou on est obligé de mettre un serveur un peu intéressant
créer une histoire et attendre que l'attaquant s'y intéresse
et l'attaque
ils se sont dit on va directement communiquer
avec l'attaquant et lui dire
viens m'attaquer je te donne toutes les infos
tu peux y aller comment ils font ça
ils ont une base énorme
de sites de phishing
grâce aux analyses de mail
qui font pour leurs clients de manière classique
donc dès que quelqu'un reporte
un site de phishing
le signal ils peuvent le récupérer et l'analyser
appartement tu détient un navigateur
t'as énormément d'infos sur
tel site c'est un site de phishing
il était
remonté par des gens etc
et une message rire aussi j'imagine
également oui c'est clair
donc avec toute cette base là ils font quoi
et du coup ils ont créé un début
qui vont
rentrer des identifiants sur les pages de phishing
je n'ai aucun sens
c'est génial
et personne qui a développé le truc
c'est remplir automatiquement
des formulaires d'arnaque
c'est ça en fait
je ne vais pas être viré je suis un micro-surf depuis 2 semaines
ça m'a m'emmerde un petit peu
ils disent qu'ils arrivent
à rentrer des identifiants
sur 20% des sites de phishing
qui contactent
parce que le reste
des sites de phishing sont protégés par des captchas
des méthodes
d'antibot justement
et sur les 20% restants
ils arrivent à envoyer des faux identifiants
donc le but c'est
d'être à la fin dans une base de données
qui va tourner
c'est ça et de dire
on a mis un email et un mot de passe
qui correspond
à une fausse entreprise qui ont déployé sur Microsoft
ensuite
l'attaquant récupère tous les mots de passe
qu'ils ont volés
et ensuite ils vont essayer de se connecter
sur Microsoft pour le coup
avec des identifiants volés
et les identifiants de Microsoft
les font arriver sur un tenant
complètement fictif de onipot
sur lequel ils vont être monitorés
après
rien que avoir la liste
des adresses IP de tous les gens qui sont connectés
à ces comptes là
c'est hyper intéressant pour plein d'entreprises
parce que c'est des choses qui peuvent se revendre
pour intégrer dans des solutions
de sécurité
on parlait des antivirus, des firewalls
les firewalls aussi on peut intégrer des listes
d'IP en amont
en leur disant
dès que cet IP arrive sur le réseau
ou arrive sur le site web, bloquent la directe
ça sert à rien parce qu'on sait que c'est un scanner
on sait que c'est un bot, un attaquant
ou etc
on n'a pas un tableau extrêmement stylé de ce concept
donc on dit pas si je ne vous ne connaissais pas
mais il y a quand même un truc qu'il faut aborder
c'est que en rater les meilleurs attaquants
peuvent détecter des onipotes
oui
c'est faisable
il y a des techniques
c'est pour ça qu'en déployant
des onipotes de ce type là
vraiment l'interaction ou des choses un peu classiques
c'est très dur
de trouver des attaquants
évolués ou des malware
qu'on ne connaît absolument pas
ou même des techniques qu'on ne connaît pas
dans ce cas là on est obligé de déployer un vrai réseau
qui est vraiment vulnérable
et juste de bien le monitorer
et en plus de ça
il faut rajouter de la donnée
vraiment intéressante à l'intérieur
voire même simuler de l'activité
simuler du réseau
simuler des choses
et ça c'est...
plus tu veux être indétectable
plus ça coûte cher parce qu'il faut faire un vrai réseau
oui exactement
et c'est un sujet qui revient un petit peu d'actualité
notamment avec l'IA
dernièrement
parce qu'on peut utiliser l'IA
pour générer des faux fichiers
des noms d'utiliteurs
des choses un petit peu rapidement
de manière qui sont totalement plausible
c'est hyper pratique d'avoir
un chat GPT qui génère un docky X
qui correspond au domaine
de l'entreprise qui est de la finance
qui réaliste
avec des phrases
et injecter en plus après
par derrière de la donnée précise
que nous on voudrait donner à l'attaque
oui
ah oui donc tu peux dire rédige-moi un excel
et dedans glisse un mot de passe
exactement
et bam le truc
il prépare le terrain pour la suite
c'est génial et ça c'est...
j'imagine l'attaquant là qui lit des PDF
c'est un peu...
ça ressemble à du chat GPT
comme ça
boss dans cette boîte
c'est incroyable
c'est un domaine
que nous on a rajouté sur notre solution
justement
qu'on appelle les breadcrumbs
où on va déployer des faux fichiers
ou de la fausse donnée
sur le réseau des entreprises
pour diriger l'attaquant vers notre onipote interne
donc par exemple
on peut lui donner
un faux script d'administration
qui contiendrait une IP, un utilisateur un mot de passe
qui est lipée c'est lipée de notre onipote
donc il va dire ah super j'ai trouvé
des identifiants en clair sur un partage réseau
je vais essayer de les essayer
sur le lipée en question
ok, attends j'ai pas bien compris
parce que en quoi
en quoi LIA
t'aide à amener des gens sur un onipote
caché, parce qu'on peut générer
des fichiers à chaque fois différents
à chaque fois réalistes crédibles
qui sont
dans les miettes de pain
c'est dans le sens comme dans le compte
je sais plus comment ça fait
le petit poussé
c'est pour
faire des indices crédibles
mais pas trop gros non plus
parce que une des difficultés du onipote
sur un réseau interne
c'est de faire en sorte que la personne passe dessus
c'est comme si on met un piège dans une forêt
ça fonctionne
mais si on passe pas dessus on va pas se faire piéger
donc là on va essayer d'augmenter les chances
que l'attaquant passe sur notre piège
en lui donnant des faux indices
en lui disant bah voir
l'IP qui est là bas, tu peux peut-être te connecter
parce qu'il y a peut-être une vulnéramité
ou tu as peut-être trouvé un identifiant qui marche
que sur ce serveur
ah oui ok c'est intéressant
parce que sur un réseau tu peux avoir potentiellement
des centaines de machines
donc lui par exemple il envoie un phishing
il arrive sur le pc d'un employé
il faut que sur cette machine
il trouve
un petit indice
rapidement qu'il l'emmène au bon endroit
il faut que sur toutes ces centaines de machines
ce ne soit pas exactement le même indice
sinon ça commence à être bizarre
exactement et si
par exemple tu as un seul fichier
et ça commence à se savoir ou même se partager
entre des communautés d'attaquants
on va t'en fichier il est cramé
et donc tu ne vas pas t'amuser à le réécrire à la main
ou tu peux même aller plus loin avec Delia
en disant je veux adapter mon fichier
à l'entreprise en question
et à son secteur d'activité
donc j'ai un on-i-pot pour une entreprise
dans l'industrie
une pour la finance
elles ne vont pas avoir les mêmes fichiers
sur le réseau
et tu peux adapter les scénarios
encore l'idée c'est d'augmenter le réalisme
de tout ce que tu fais
c'est génial
toujours sur l'utilisation de LIA
moi il y a un truc
que j'avais vu passer
c'est évident que pour vous
il fallait tester
mais c'est des gens qui demandaient
à une IA de simuler
un ordi justement
de simuler un shell comme on dit
et donc on tape dedans
on fait des vraies commandes
et LIA qui a énormément de données
dans son data set
arrive parfaitement
à dire que quand tu fais un ls
il faut inventer quelques fichiers
et à rester assez cohérent
et tu as vraiment l'impression d'utiliser un ordi
il paraît que
vous avez tenté
dans le cas
d'un on-i-pot
on a commencé
on a une version open source
sur lequel on a rajouté
un ssh
qui est généré par IA
c'est pas un vrai ssh
par IA c'est un chatbot
sauf que le chatbot on lui a dit
maintenant tu es un serveur linux
et toutes les commandes
on garde en plus l'historique
derrière
si tu crées un faux fichier
sur linux
et que tu refais un ls
pour lister le fichier
il y a la version la plus simple
que tout le monde peut tester
c'est aller directement sur le chat gpt
on lui dit maintenant tu es un serveur linux
répond moi qu'avec des réponses basches
et on fait un test
on fait un ls ou un may
et ça marche assez bien
ça marche assez bien
ça a assez de limites
et toi tu as testé avec des pen testers que tu connais
sans leur dire que c'était un lm
est ce qu'ils ont trouvé ?
oui ils ont vu un peu
rapidement entre guillemets
parce qu'il y a plein de choses qui ne marchent pas
ou typiquement on peut pas
sur la version qu'on a fait on peut pas encore se balader
dans les fichiers on peut pas accéder
à des dossiers spécifiques
quand t'enchaînes des commandes sur plusieurs lignes
ça fonctionne pas
tout ça ça donne des indices un peu
mais c'est des choses qui peuvent être améliorées
et le mieux ça serait de combiner
aux nipotes existants
les gens qui sont en train de le balader
pour avoir l'impression
que tu te balades sur le serveur
mais que tu te balades dans un fichier texte
et de le
augmenter avec Biaz
sur certaines réponses
trop intéressant
je pense un truc c'est que
pour des gens qui sont en train de flipper
actuellement parce qu'ils ont un serveur ou un vps
on vous mettra dans la description
des liens de bonne pratique
sur les premières choses à faire quand on reçoit
son vps
parce que
il y a des choses à faire
si vous voulez pas vous transformer en une machine ASPAN
ça m'est déjà arrivé pour l'anecdote
en gros
j'avais commandé un serveur
sur ovh
et j'avais un peu oublié
je sais plus ce que je faisais tourner dessus
mais c'était pas un wordpress
mais je l'avais oublié
ça faisait plusieurs mois voire quelques années
et un jour je reçois un mail
d'ovh qui me dit
excusez-moi
on a remarqué que vous faisiez des campagnes de spam
donc faudrait arrêter
de spammer
en réalité c'était justement bien formulé
parce qu'ils savent que
ma situation arrive souvent
et ma situation c'est quoi ? c'est que mon vps
n'était probablement plus à jour
donc soit la version de linux
était trop vieille ou les services
ou le wordpress qui était dessus
n'était pas mis à jour
et donc il y a eu des attaquants
qui se sont passés par là et qui ont pris le contrôle de ma machine
qui se sont mis à
j'imagine envoyer du spam, faire toutes sortes d'horreurs
en vrai c'est flippant
parce que tu te dis
psychologiquement
juste se faire péter c'est jamais agréable
et surtout tu te dis
comme toi tu l'as expliqué tout à l'heure
là si mon ip elle a été utilisée pour faire des trucs
louches
j'aurais accédé à des contenus
parfaitement interdits ou commettre
des crimes ou des trucs comme ça
c'est flippant
je pense que j'ai de quoi approuvé que c'était pas moi
mais c'est quand même très très très
désagréable
donc voilà
je l'ai fermé
parce que en fait j'en avais plus besoin
j'ai débranché le truc
mais ouais ça m'est vraiment arrivé
à l'époque je savais pas trop
justement que quand
t'es sur le web
t'es sur la place du village
en fait
et donc faut faire super gaffe
donc on vous met des trucs en description
pour ceux qui veulent s'amuser
et merci encore
pour toutes tes explications c'était 30 à 30
vraiment génial
merci à vous
et dans votre titre
non franchement on a bien
tu veux parler de ta boîte
c'est ça donc
on est une entreprise
de pen test
on fait principalement des tests de sécurité
des audits
et on a une équipe qui développe un onipote
spécifique pour les réseaux internes
des entreprises
justement pour aider à sécuriser
le réseau
à levé des alertes
moi j'avais une question là dessus
est-ce que quand il y a une alerte sur ton onipote
en interne c'est forcément un attaque
ou parfois il y a quand même des faux positifs
tu check juste
c'est peut-être quelqu'un de la boîte qui est tombé
sur le serveur
ça peut arriver
c'est un peu ça les faux positifs
il y en a quasiment pas
en fait par conception
par stratégie
on a très très peu de faux positifs
ça peut arriver nous on essaye de les minimiser
justement après on analyse un peu les requêtes
qui sont faites et en levant des alertes
que sur les choses un peu intéressantes
type les tentatives de connexion
j'imagine typiquement si tu as
tu sais que si tu as un mot de passe
et que tu
déclenches le truc
au bout de 3 ou 4 tentatives
de tests sur le mot de passe
a priori ça va filtrer les trucs
sur l'interne on peut aller plus loin
on peut même dire une tentative
parce que personne est vraiment censé se connecter
il y a potentiellement
des scanners en interne qui tournent dans les entreprises
ils ont des outils
pour scanner de manière automatiquement
trouver des vulnérabilités chez eux
pour corriger
et ça on peut les whitelister
également
et c'est plus simple
tu gères ton réseau c'est vrai que tu peux faire des règles assez finies