Les ingénieurs de Cloudflare ont détecté et mitigé la plus grosse attaque DDoS enregistrée jusqu'alors.

Le dernier "record" était de 46 millions requêtes/s en juin 2022.

Après je trouve ça bizarre de parler en requêtes par seconde et non en capacité (To par seconde) car 10 millions de requêtes de 100ko ça fera plus mal que 100 millions de requêtes de 5ko.

L'application de Toyota pouvait se bypass grâce à une route qui permettait de générer un JWT depuis seulement un email.

Une feature d'impersonation qui n'a pas du passé de contrôle qualité et qui une fois un production permet de contourner tous les autres mécanismes d'authentification 2FA etc.

Le pire dans cette histoire c'est que Toyota n'a pas donné 1 seul centime au chercheur qui a trouvé la faille et l'a signalé à Toyota pour qu'ils puissent corriger!

Une checklist orienté sécurité d'un produit en mode SaaS.

La liste est découpée en périmètre métier (code, infrastructures, employés) mais aussi en maturité de la société (seed, série A, série B)

Le code source du moteur de recherche Yandex a fuité.

Le fonctionnement est assez similaire à celui de Google (certains disent 70% de similarité mais impossible de vérifier) ce qui en fait une mine d'or pour l'optimisation CEO.

Bref, c'est un coup très dur pour Yandex mais aussi un coup dur pour Google car tout le marché des moteurs de recherche va aussi en patir dans un contexte déjà compliqué avec l'arrivée de ChatGPT.

Un outil qui permet de retrouver tous les sous-domaines d'une entreprise en listant les certificats associés!

A noter que si vous utilisez un certificat wildcard alors les sous-domaines ne sont pas listables

Un dangereux fishing ou la publicité Google ressemble comme deux gouttes d'eau au véritable résultat vers le site Gimp en affichant l'URL officielle mais qui redirige sur un fishing !

(Merci Yannick pour le partage)

Zataz recense de plus en plus d'arnaques à la vignette Crit'Air.

Le but de ces arnaques est principalement de faire payer jusqu'à plus de 10x le prix pour obtenir la vignette qui coûte normalement moins de 4€ au total.

Les pirates utilisent des publicités Google et des emails pour cible les victimes.

Le site officiel termine en .gouv.fr comme tous les sites officiels du gouvernement: www.certificat-air.gouv.fr

Retour sur les événements importants en cybersecurité de l'année 2022.

Super rétrospective de Zataz !

Les fabriquants de voitures à poil sur le net (et nos données avec bien sur)

Des chercheurs ont réussi à s'infiltrer dans les systèmes des plus grandes marques et ont accèder à des informations sur les voitures qui sont de plus en plus "intelligentes".

De nombreuses données en lecture comme la position GPS, l'adresse du client mais aussi la possibilité de changer à distances certains paramètres de la voiture (déverrouillage, démarrage du moteur, etc /!)

LastPass se sont fait sévèrement piraté juste avant Noël.

Les pirates ont mis la main sur le backup chiffré des coffre-forts des clients.

C'est juste dingue car dans ces backups il y a toutes les info stockées par un client sur LastPass avec notamment:

• URL des sites internet (non chiffré)
• username et password (chiffré)

Ils ont aussi mis la main sur les métadonnées des clients.

company names, end-user names, billing addresses, email addresses, telephone numbers, and the IP addresses

En gros toutes les données clients de LastPass ont fuité. Toutes les personnes qui n'avaient pas choisi un mot de passe fort doivent changer leur mot de passe sur tous les sites qu'ils avaient enregistrés.

Sinon LastPass peut juste fermer boutique maintenant 🤡

Une analyse technique du fonctionnement du malware Android Pegasus qui est utilisé par des organisations criminelles et certains gouvernements pour espionner des individus.

Une vidéo sur l'attaque qu'à subit Google en 2009 et qui venait apparement du gouvernement Chinois dans le but de récupérer les comptes Gmail d'activistes.

Pas beaucoup de détails techniques malheureusement.

Sinon à la fin ça fait un peu trop les gentils Google qui nous protègent des méchants espions venant d'autres gouvernements alors que le gouvernement US est en capacité de siphonner la totalité des données de Google.

L'un des membre de l'équipe du ransomware LockBit aurait été arrêté par le Department of Justice, aux USA donc.

Il aurait entre autre été identifié via des transactions réalisées en Bitcoin.

LockBit est un Ransomware as a Service, c-a-d que les créateurs sont rémunérés lorsque d'autre pirates réussissent à soutirer des rançon en piratant des entreprises avec LockBit.

Une usurpation d'identité 100% online via un crack de mot de passe email et un changement d'opérateur téléphonique, ça fait peur!

Des statistiques sur les attaques informatiques réalisées depuis plus de 20 ans.

On y voit l'évolution des types d'attaques mais aussi l'évolution du type de cible.

Analyse d'une attaque qui vise les ressources gratuites de différents provider pour miner des Monero.

A ce jour les chercheurs ont détecté 30 comptes Github, 2000 comptes Heroku et 900 comptes Buddy impliqués.

Un agent de détection de comportements suspects pour protéger ses serveurs (Intrusion Prevention System ou IPS).

Le point cool c'est que les logs sont analysés en local uniquement :-)

C'est full open source, ça détecte les comportements suspects et se synchronise avec une base d'IPs suspectes.

Ils proposent de bloquer les attaques de plusieurs manières:

• Firewall (iptable)
• Nginx 403
• Web captcha

Redhat lance un projet pour exécuter du code de manière sécurisé et garantir que le fournisseur de cloud ne puissent accéder aux données.

Le projet est incubé par la Cloud Native Computing Foundation, ce qui est généralement un gage de qualité !

Concrètement ça fonctionne avec un type de hardware spécial qui garantit que le code chiffre chargé dans le processeur n'est pas accessible depuis l'extérieur une fois déchiffré. (Trusted Execution Environment) Les clés de chiffrement sont également stocké dans du hardware spécialisé (un peu comme un wallet Ledger)

Une autre piste pour le trustless computing c'est le Chiffrement homomorphe qui utilise une famille d'algorithme capable d'opérer sur des données chiffrées.

Le groupe Altice (SFR, etc) et Patrick Drahi ont été la cible d'un ransomware.

Pas très bon pour l'image alors que SFR se targuait de nombreuses fois de pouvoir contrer les ransomwares justement.

On y voit le mode de vie des ultra-riche:

• carte bleu plafonnée à 38000€
• tableaux de Pigasso, Kandinsky, etc
• yachts, voitures de luxe, jet privés

C'est édifiant..

Un package NPM qui propose aux développeurs un moyen de lutter contre les failles CSRF n'étais pas correctement conçu et du coup rendait possible des failles CSRF.

Autre chose, le package utilisait aussi SHA1 qui est déprécié..

L'article décrit le fonctionnement de la vulnérabilité.