C’est le cas pour les outils de chiffrement, les réseaux anonymisant (Tor, Freenet, i2p, etc.), les logiciels Peer2Peer, les crypto-monnaies et maintenant l’Intelligence Artificielle.

Le cas Taylor Swift n’est qu’une énième illustration de cette réalité.

Les fakes porns existent depuis que les ordinateurs permettent de modifier des images. Des dizaines de sites fleurissent sur la toile pour héberger des photomontages de célébrités, et cela depuis des années.

Prenons l’exemple de ce forum :

Il s’agit d’un forum spécialisé dans la diffusion d’images pornographiques ou érotiques de célébrités. La Waybackmachine l’identifie la première fois le 2 février 2007.

Mais le forum existe depuis presque 20 ans, le premier thread datant de septembre 2004. Le site propose une section dédiée aux fausses images et photomontages. Et la plupart des actrices médiatisées ces dernières années y ont un thread dédié.

Le thread visant Taylor Swift a été créé en 2010 et compte 87 pages. A raison de 15 à 20 photos par pages, faites le compte…

Cependant, aujourd’hui deux éléments nouveaux accélèrent ce phénomène : la généralisation des outils d’Intelligence Artificielle générative ainsi que leur facilité d’accès et d’utilisation.

Depuis quelques mois des sites émergent sur Internet pour proposer de réaliser des photos nues à partir d’une seule photo habillée. Il suffit d’importer une photo d’une personne et vous obtenez la version nue de la photo retour.

Il y a encore quelques mois, pour modifier une image, changer un visage, incruster un décor, etc. il fallait des compétences de graphiste, savoir utiliser parfaitement Photoshop et avoir quelques heures devant soi.

Mais depuis l’émergence massive des Intelligences Artificielles génératives il suffit de télécharger une image sur un site, de rédiger quelques lignes de prompt et en 30 secondes – littéralement – on reçoit des résultats impressionnants.

Et c’est précisément là que la situation dérape. Utilisables par n’importe qui, n’importe où et facilement, ces outils sont devenus une bombe sociale. Les victimes potentielles ne se limitant évidemment pas aux célébrités et au monde du show-business.

Quels impacts ce type de contenu peut avoir pendant une période d’élection démocratique ?

Quelles conséquences dans une vie scolaire déjà ébranlée par le harcèlement en ligne ?

Quels impacts pour les carrières professionnelles ou au sein de la structure familiale des personnes visées ?

Soyons réaliste, rien n’empêchera jamais la création de faux contenus. Mais leur diffusion doit être limitée et sanctionnée. Les acteurs capables techniquement de mettre des mesures de blocage sont bien connus :

• Les réseaux sociaux qui relaient et favorisent le buzz sur ces contenus
• Les moteurs de recherche qui référencent et rendent accessibles ces contenus

Le Congrès Américain a convoqué la semaine dernière les principaux dirigeants de réseaux sociaux pour évoquer l’exploitation sexuelle des enfants sur leur plateformes. Et si Mark Zuckerberg (Meta) s’est excusé, aucune nouvelle mesure n’a été annoncée pour contrer le phénomène pour l’instant.

L’Europe a légiféré début février sur l’usage des outils d’intelligence artificielle en votant à l’unanimité l’AI Act, listant les pratiques interdites par l’usage de l’IA. Il reste maintenant à mettre en œuvre les mesures de contrôle associées.

Le fond du problème n’est pas traité et il ne réside pas dans ce que l’on tente d’imposer, mais dans ce que l’on impose pas.

Tant que les réseaux sociaux ne seront considérés que comme des hébergeurs et non comme des éditeurs responsables de leurs contenus, et tant que les contrôles d’identités des utilisateurs de ces réseaux ne seront pas généralisés, il faut malheureusement s’attendre à d’autres affaires similaires au cas Taylor Swift.

La bienveillance sur Internet nous promet encore de belles journées ensoleillées.

The post Le « fake porn » ou les dérives de l’IA appeared first on Erium.

Les IA permettent notamment d’automatiser les processus malveillants, d’optimiser les stratégies d’attaque ou encore de sophistiquer davantage les techniques de phishing ciblé.

Ces nombreux risques pour la cybersécurité renforcent le besoin de sensibilisation et d’éducation en matière de cybersécurité auprès des utilisateurs.

Le Groupe Erium a récemment franchi une nouvelle étape dans sa mission de sensibilisation et d’éducation. Grâce à la plateforme de sensibilisation à la cybersécurité Cyber Investigation, il propose des formations ciblées, notamment un parcours spécialisé sur l’intelligence artificielle (IA), adapté aux nouveaux risques liés à l’essor de l’Intelligence Artificielle.

Face à l’urgence de ces risques, Erium a initié une campagne innovante et interactive autour de l’IA.

Cette expérience immersive s’est déroulée sur une semaine durant laquelle Erium a diffusé divers contenus – certains produits par des intelligences artificielles, d’autres par des humains. L’objectif était d’évaluer la capacité des internautes à identifier la source de chaque création, suscitant ainsi une réflexion sur les capacités et les limites de l’IA dans le domaine de la création de contenu.

Pour clôturer cette semaine d’analyse de contenus produits par Intelligence Artificielle, Erium a organisé une masterclass organisée par Emilien Marimpouy – fondateur de la plateforme Cyber Investigation. Cette masterclass offre des conseils pratiques et des astuces pour reconnaître le travail d’une l’Intelligence Artificielle.

Cette session a non seulement mis en lumière les progrès de l’IA, mais a également renforcé la sensibilisation aux subtilités de l’identification de contenus générés par IA dans un monde de plus en plus numérisé.

Vous souhaitez sensibiliser vos équipes aux risques liés à l’essor de l’Intelligence Artificielle ? La plateforme Cyber Investigation propose des parcours adaptés aux nouveaux risques.

The post Comment reconnaître une Intelligence Artificielle ? appeared first on Erium.

L’une de ces deux parties a été rédigée à 100% par une Intelligence Artificielle. Saurez-vous deviner laquelle ?

PARTIE 1 : Compréhension des risques inhérents à l’IA

L’intégration de l’intelligence artificielle (IA) en cybersécurité ouvre la voie à des innovations tout en introduisant de nouveaux risques. Cette première partie se focalise sur trois défis majeurs posés par l’IA : la confidentialité des données, l’utilisation malveillante pour attaquer, et l’évolution des attaques par phishing. L’objectif de cet article est de comprendre et d’adresser ces risques pour naviguer avec assurance dans cette ère technologique.

Risques Liés à la Confidentialité des Données

L’IA, avec son immense capacité à traiter et analyser des données, pose un risque significatif pour la confidentialité des informations. Les algorithmes d’IA peuvent, involontairement, exposer des données sensibles ou être programmés pour extraire des informations privées. Cependant, cette prise de conscience croissante des risques nous incite à renforcer les protocoles de sécurité et à développer des systèmes d’IA qui priorisent la confidentialité des données, assurant ainsi une meilleure protection des informations personnelles et commerciales.

Utilisation Malveillante de l’IA pour Attaquer

L’IA peut être détournée pour créer des attaques plus sophistiquées, notamment en automatisant des processus malveillants ou en optimisant des stratégies d’attaque. Ces menaces, bien que préoccupantes, nous motivent à innover et à améliorer constamment nos propres systèmes de défense. L’industrie de la cybersécurité est ainsi stimulée pour développer des réponses plus intelligentes et plus efficaces, utilisant l’IA comme un outil pour contrer ces attaques plutôt que de simplement les subir.

Attaques par Phishing de Plus en Plus Sophistiquées

Le phishing, déjà un fléau en cybersécurité, est rendu encore plus dangereux avec l’IA. Les attaquants utilisent des techniques avancées pour créer des messages et des sites de phishing extrêmement crédibles, rendant la détection difficile. Cette menace croissante renforce néanmoins l’importance de la sensibilisation et de l’éducation en matière de cybersécurité. Elle encourage également le développement de solutions basées sur l’IA capables d’identifier et de neutraliser ces menaces plus sophistiquées, améliorant ainsi la sécurité globale.

En dépit des risques que l’IA représente pour la cybersécurité, ces défis nous poussent à innover et à renforcer nos défenses. En adoptant une approche proactive et en évoluant constamment, nous pouvons non seulement faire face à ces menaces, mais aussi les utiliser comme un levier pour améliorer la sécurité dans l’ère numérique.

PARTIE 2 : Maîtriser les risques liés à l’IA

Face à la croissance constante de l’Intelligence Artificielle et des risques cyber, il est important que les chercheurs et professionnels en cybersécurité développent de nouvelles stratégies de défense s’appuyant sur l’IA et restent au fait des dernières évolutions du marché afin de pouvoir anticiper les menaces et adapter leurs outils.

Comment les organisations peuvent-maîtriser les risques liés à l’IA ?

Adopter une approche responsable de l’IA

Pour maîtriser les risques liés au développement de l’Intelligence Artificielle, et réussir à tirer avantages de la croissance de ces technologies, les entreprises doivent adopter une approche responsable et sécurisée.

Pour gagner le combat cyber, les institutions et organisations doivent coopérer (internationalement), partager leurs informations sur les menaces et les bonnes pratiques, et établir protocoles communs afin de renforcer la sécurité globale.

Il est également important de développer des systèmes d’IA robustes et résilients qui puissent garantir la fiabilité et l’efficacité des solutions basées sur l’intelligence artificielle.

Il en va également de responsabilité des développeurs d’algorithmes et d’intelligence artificielle qui doivent communiquer clairement sur leur politique de gestion des données et développer des IA transparentes pour garantir une utilisation éthique et responsable. L’adoption de normes à l’échelle mondiale ou européenne et de responsabilité pour les développeurs d’IA peut contribuer à répondre à ces défis.

Sensibiliser autour des risques liés à l’IA

La sensibilisation et la formation des collaborateurs sont cruciales pour instaurer une culture cyber et prévenir les erreurs humaines, – à l’origine de 90% des incidents de sécurité. Des programmes de sensibilisation à la cybersécurité autour de l’IA, adaptés aux besoins spécifiques des organisations et des personas, sont essentiels développer les compétences nécessaires et réduire les risques liés à l’IA.

En effet, il est d’une part dangereux d’utiliser l’IA sans la maîtriser, car les risques de vol de données confidentielles mais aussi les biais que les utilisateurs peuvent avoir dans leur utilisation de l’IA sont autant de risques pour les entreprises.

Aussi, le développement des deepfakes et générateurs de voix rendent les techniques de fraude par ingénierie sociale de plus en plus sophistiquées et donc difficiles à détecter. Pour éviter de tomber dans le piège, les utilisateurs doivent rester au fait des dernières évolutions et redoubler d’efforts et de vigilance pour ne pas se faire piéger par des acteurs malveillants.

L’IA comme opportunité pour la cybersécurité

Si l’intelligence artificielle représente des risques pour les organisations, elle peut être utilisée comme un opportunité pour la cybersécurité des entreprises.

Cette technologie peut être utilisée pour détecter les contenus générés par Intelligence Artificielle (Chat GPT 0) ainsi que les comportements frauduleux sur les plateformes de commerce en ligne, les réseaux sociaux ou les services bancaires. Des algorithmes d’apprentissage automatique émergent et permettent d’analyser les transactions en temps réel pour repérer les activités suspectes. Ces évolutions permettent aux entreprises d’être victimes d’une cyberattaque et donc d’éviter les pertes financières ou réputationnelles.

Si l’IA pose des défis en matière d’usurpation d’identité et d’authentification des utilisateurs, des méthodes d’anonymisation, de cryptage, ou d’authentification multi-facteurs basées sur peuvent permettre de prévenir les fraudes.

L’IA peut également être utilisée pour renforcer la confidentialité des données et garantir la protection des data. L’IA peut également contribuer à détecter les fuites de données et à identifier les responsables, permettant ainsi de réagir rapidement en cas d’incident.

Quoi qu’il arrive, pour gagner le combat cyber, il devient essentiel d’utiliser l’IA et de développer des technologies dans le but de renforcer la sécurité des données, autant pour les organisations que pour les utilisateurs.

The post Quels sont les risques de l’Intelligence Artificielle en 2024 ? appeared first on Erium.

Dans cet article, Erium vous propose d’analyser 4 des tendances qui feront l’année 2024.

L’humain, au cœur des nouvelles stratégies de défense

La grande majorité des cyberattaques réussies commencent par une erreur humaine, passant souvent par de la manipulation psychologique.

Cette tendance n’est pas nouvelle mais sera toujours autant d’actualité en 2024. D’autant plus, que les surfaces d’attaques et la croissance de l’IA générative complexifient le paysage cyber.

La plupart des programmes traditionnels de sensibilisation ont montré : malgré les formations, les comportements à risque persistent et continuent d’exposer les organisations à de nombreux risques (financiers, réputationnels, juridiques). L’évolution rapide des attaques rend ces programmes d’autant plus obsolètes. Les stratégies de défense actuelles ne parviennent souvent pas à suivre le rythme de cette course technologique effrénée, laissant les entreprises vulnérables face à des attaques de plus en plus sophistiquées.

Face à ce constat, la solution est de recentrer les efforts de cyberdéfense sur l’humain pour protéger les utilisateurs autant – voire plus – que la technologie qu’ils utilisent. De favoriser les mesures de protection plus transparentes pour ne pas complexifier l’expérience utilisateur. Mais aussi de repenser l’équilibre entre investissements technologiques et humains, de privilégier une cyber résilience centrée sur l’humain et d’analyser les incidents passés pour adopter une gestion des talents humaine de façon à améliorer la maturité opérationnelle des organisations en cas de crise.

L’IA, l’inarrêtable course

Depuis quelques années, l’IA prend de plus en plus de place et ne cesse d’évoluer de façon toujours plus rapide. Cette croissance qui complexifie davantage le paysage numérique représente à la fois des risques et des opportunités pour la cybersécurité.

Un des risques avec l’IA, qui se répand dans tous les secteurs, est de rendre les attaques plus difficiles à détecter et contrer, notamment pour les organisations non préparées.

Les deepfakes et générateurs de voix perfectionnent les techniques d’ingénierie sociale, augmentant ainsi le risque de fraude. Même pour les utilisateurs avertis, la distinction entre interaction légitime et usurpation devient plus difficile et les méthodes de détection traditionnelles deviennent, quant à elles, insuffisantes.

Quelles solutions face à ces risques ?

Alors qu’un nouveau cadre législatif européen pour la protection des entreprises se met en place, les RSSI et équipes IT se doivent de suivre de près les tendances et évolutions en matière d’Intelligence Artificielle. Les collaborateurs doivent être formés en continu sur une utilisation responsable de l’IA, les bonnes pratiques de partage des données ainsi que la connaissance des nouveaux risques.

L’enjeu est de mieux identifier les méthodes de fraude pour s’en prémunir.

Face au développement de l’IA, il faut placer l’humain au cœur des stratégies de défense cyber.

La tech, un secteur plus féminin

La proportion de femmes dans le numérique progresse lentement mais progresse (17% en 2022 contre 12% en 2018 selon une étude Gender Scan). Selon l’INSEE, les femmes qui exercent ces métiers sont souvent jeunes (>39 ans) et occupent des postes hautement qualifiés (cadres).

Pourtant, cette progression lente est particulièrement dommageable pour le secteur de la cybersécurité qui manque de talents et peine à recruter. De plus, 70% des femmes se sentent injustement rémunérées, et la moitié d’entre elles rapportent avoir subi des commentaires sexistes. Cette situation freine le développement économique, social et sociétal.

Le défi est grand : comment intégrer davantage de femmes pour enrichir et diversifier le secteur de la tech ?

Les pistes face à ce problème de société sont nombreuses.

Parmi elles : promouvoir une culture d’égalité au sein des entreprises, mettre en place des conditions de travail favorables à l’équilibre vie pro – vie perso, aménager les temps de travail, instaurer une politique de salaires équitables.

Mais les entreprises ne sont pas les seules à pouvoir agir, il est également nécessaire d’éduquer au numérique dès le plus jeune âge, déconstruire les stéréotypes autour des métiers numériques (image du geek à capuche).

Bref, favoriser une présence forte et durable des femmes dans le secteur numérique pour répondre aux triples enjeux sociaux, sociétaux et économiques que rencontre le marché.

La validation de la cybersécurité

Alors que les investissements (temps, argent) en cybersécurité ne cessent de croître, les cyberattaques continuent de progresser défiant ainsi les efforts de cyberdéfense des organisations.

Les RSSI doivent désormais justifier leurs coûts et apporter des preuves d’efficacité cyber à leurs dirigeants face à une menace en constante évolution.

En effet, jusque très récemment, les dirigeants suivaient l’efficacité cyber via une analyse des risques. Mais ces modèles, trop théoriques, ne suffisent plus et désormais les RSSI et DSI doivent apporter des preuves concrètes, mesurables et démontrables de leur organisation à résister à des chocs cyber selon leur nature et leur degré d’intensité.

Comment prouver son efficacité cyber ?

Pour prouver l’efficacité de ses moyens de défense, il faut adopter des pratiques de validation plutôt que des tests isolés comme le pentesting ou les audits de code, afin de vérifier qu’un attaquant ne peut exploiter les failles identifiées.

Passer à une validation continue et exhaustive des surfaces, simuler des scénarios d’attaque pour tester l’efficacité des mesures mises en place (avec le Breach and Attack Simulation notamment). Fournir aux conseils d’administration des rapports sur l’impact des programmes de cybersécurité mais aussi les impliquer et les responsabiliser face aux enjeux en cybersécurité.

Ce contenu vous intéresse ? Abonnez-vous à notre newsletter mensuelle pour recevoir notre analyse des tendances du marché, nos conseils en cybersécurité stratégique, nos livres blancs, inscriptions au webinaire, etc.

The post Les tendances cyber à l’aube 2024 appeared first on Erium.

4 mois après l’adoption par le Parlement européen de l’AI Act, l’ENISA – Agence de cybersécurité de l’Union Européenne, publie un rapport mettant en garde contre les risques de l’IA générative. Alors que l’IA prend une place de plus en plus importante dans notre quotidien, les risques liés à cette nouvelle technologie ne sont pas toujours bien connus.

Une place toujours plus importante

L’intelligence artificielle occupe une place de plus en plus importante dans notre quotidien. Chat GPT, qui est capable de générer du texte à partir des questions qui lui sont posées, en est un excellent exemple.

Ce robot conversationnel développé par OpenAI, est devenu l’application grand public à la croissance la plus rapide de l’histoire. Selon UBS, Chat GPT comptait 100 millions d’utilisateurs actifs deux mois après son lancement. Un score que même le réseau social Tik Tok, pourtant viral, a mis 9 mois à atteindre.

Pourtant, si cet outil est très populaire, les utilisateurs ne sont pas toujours conscients des risques qu’il comporte. En mars 2023, Chat GPT a ainsi été mis hors ligne pendant plusieurs heures à la suite d’une grave fuite de données sensibles d’utilisateurs.

L’Union Européenne légifère

Face à l’ampleur du phénomène de l’IA générative (comme Chat GPT ou son équivalent chez Google, Bard), le Parlement européen a adopté le mercredi 14 juin 2023 l’AI Act. Il s’agit d’un texte de régulation de l’IA qui vise à créer un cadre réglementaire pour la mise au marché en mettant l’accent sur les questions de sécurité, de santé et de droits fondamentaux.

Dans son rapport du 19 octobre 2023, l’Agence de l’Union européenne pour la cybersécurité (Enisa) a également identifié et mis en garde contre plusieurs typologies de risques liés à l’IA. Elle met notamment en avant l’amélioration des cyberattaques.

Des attaques plus sophistiquées

En effet, avec l’IA, les cyberattaques peuvent être plus efficaces, car elles sont plus réalistes et à plus grande échelle.

L’époque des tentatives de smishing (phishing par SMS) ou des emails de phishings truffés de fautes d’orthographe ou d’incohérences est révolue. Avec à l’IA générative, les cyberattaquants pourront préparer des arnaques plus crédibles. Il en va de même pour les arnaques téléphoniques : avec le développement des deepfakes, ils peuvent se faire passer pour d’autres personnes en clonant leur voix !

Et des risques pour les données

Les risques associés à l’IA générative résident également dans les informations confiées à ces outils.  Il est essentiel d’être vigilant sur ce qui leur est demandé, car ils ne garantissent pas la confidentialité de ces données.

Samsung en a récemment fait les frais. Des employés auraient saisi des informations confidentielles et stratégiques dans Chat GPT. Comme pour toute IA générative, ces informations ont ensuite été transformées en données d’entraînement pour l’IA afin d’améliorer la précision de ses futures réponses. Ces informations pouvaient ensuite être partagées avec d’autres utilisateurs extérieurs à l’entreprise pour répondre à leurs questions.

Des secrets d’entreprise à portée de clic dont il est facile d’imaginer les impacts dévastateurs s’ils tombaient entre les mains d’une personne malveillante.

The post Intelligence artificielle générative : quels risques ? appeared first on Erium.

Les BAS mettent en évidence les défaillances qu’exploitent les Red Team.

Les deux approches ont une finalité différente.

La Red Team va suivre un chemin de compromission dit du « moindre effort » : passer le moins de temps possible sur l’infrastructure ciblée, laisser le moins de trace, aller droit au but par le canal le plus court, limiter ses mouvements, etc.

En atteignant son objectif, elle mettra en évidence des défaillances très ciblées et localisées, qui feront l’objet d’une correction ensuite. La solution BAS suit tous les chemins envisageables, en produisant plusieurs intensités de bruit avec un objectif principal : vérifier que ce qui doit être détecté l’est bien et est efficacement traité par les équipes cyber.

Chemin faisant, les simulations produites par les BAS mettent en relief de nombreuses défaillances, parfois ponctuelles, souvent ignorées et généralement relativement simples à corriger. Quelques exemples très concrets :

• Concernant la détection :
  • Les défaillances ou manques de couverture des services de collecte et de remontée de logs (Syslog absent ou défaillant) ;Les limites de la stratégie de journalisation (type de log, durée de rétention…) Les défauts de paramétrage de scénario de corrélation du SIEM (règles inadéquates ou inactives)
  • La non détection d’une action particulière par un EDR (qui aurait dû le voir) 
  • La défaillance ou l’absence d’alerting par les consoles de détection (SIEM, EDR, etc.)
  • L’obsolescence des données de CTI (réactivation d’un C&C connu)
  • Les limites relatives aux seuils d’alerte pour des événements donnés (à partir de combien de paquets, de ports ou d’IP ciblées considère-t-on qu’un scan n’est pas normal ?)
  • La présence de services ouverts non nécessaires et/ou vulnérables ;
  • La non détection d’une fuite de données par un service de Data Leak Detection

• Concernant la réaction :
  • Une erreur d’application des processus de qualification de la gravité d’un event Lenteur d’exportation ou de récupération des logs nécessaires à une investigation La limite des accès mis à disposition des analystes pour leurs investigationsLa coordination du partage d’alerte entre les équipes internes et le MSSP 
  • La coordination entre les équipes sécurité et les équipes IT pour neutraliser ou contenir la menace (isolation réseau de la source, débranchement d’un device malveillant, etc.)

Les BAS mettent des bâtons dans les roues des Red Teams.

Un des bénéfices des solutions de type Breach and Attack Simulation est l’entraînement des équipes de défense (Blue Team). Plus elles sont confrontées à des simulations de plus en plus complexes, plus les mécanismes de détection seront optimisés, plus les process et réflexes des défenseurs seront efficaces, plus les investigations seront rapides et pertinentes.

En synthèse, les BAS ne vont pas remplacer les Red Team, mais vont les pousser à être meilleures.

BAS = photo panoramique et Red Team = photo avec zoom x 24.

Une Red Team bien menée est une Red Team non détectée. Et c’est ce résultat qui est restitué : « si un attaquant très bon, très bien organisé et qui prend son temps, s’intéresse à vous, il finira par vous avoir ».

Message fort, mais de moins en moins audible par les Directions Générales et les Auditeurs. Répété depuis des années, ce message est bien entendu et digéré. La preuve : les budget cyber croissent chaque année et les briques technologiques s’empilent.

La question maintenant posée est de savoir quelle est l’efficacité réelle et globale de ces mesures et de ces investissements. La Red Team se focalisant sur un chemin précis et bien bordé ne peut pas fournir cette photo globale. Le BAS et son approche plus « massive » offre une réponse à cette question nouvelle.

Pour mesurer, il faut une règle précise.

Les notions de mesure et de ranking prennent de plus en plus de place dans la lecture de la performance cyber au sein des organisations.

Pour mesurer l’évolution de la maturité cyber, il faut un référentiel de base qui sert d’étalon de comparaison. En informatique, la comparaison repose sur des critères et des actions techniques précis et reproductibles à l’identique. Il faut comparer ce qui est comparable.

Posons un cas réel :

Lors d’une simulation d’attaques, le SOC ne voit pas les 3 tactiques de persistance exécutées automatiquement par le BAS. Analyse faite, on comprend que le scénario de détection n’est pas bien configuré. Cela arrive, le MSSP corrige. Second test quelques semaines plus tard, le BAS rejoue exactement le même event technique (flux, source, cible, heure, séquencement, …). Cette fois le scénario sonne. Bingo ! Le scénario est ensuite retesté automatiquement régulièrement. Et ce, dans le but de vérifier qu’il n’y a pas de régression, à des fins de contrôle permanent et de garantie du maintien en conformité.

Pour conclure

S’il y a un conseil à retenir  : si vous devez mobiliser une Red Team, faites le sur les environnements où les solutions de BAS vous disent que vous êtes bons.

C’est dans ces contextes et environnements là, que la valeur du touché humain d’une équipe de Red Team vous apportera les résultats les plus intéressants.

Et en ce sens, définitivement les BAS et Red Team sont et resteront longtemps complémentaires.

The post BAS vs Red Team : comment la simulation d’attaques change la donne. appeared first on Erium.

Comment l’émergence de l’Intelligence Artificielle impacte-t-elle la confidentialité ?

Un principe essentiel des technologies d’Intelligence Artificielle est l’apprentissage de l’algorithme. Pour qu’un algorithme d’intelligence artificielle puisse remplir sa fonction, il a d’abord besoin d’apprendre ce qu’il doit faire.

Suivant un principe de courbe d’apprentissage, l’algorithme démultiplie et optimise les chemins qui lui permettent d’exécuter ses fonctions.

Cette phase d’apprentissage nécessite des volumes d’informations colossaux qui lui servent de terrain d’apprentissage. Les sources d’informations sont multiples, et reposent sur l’usage quotidien de ses services qui favorise une amélioration permanente des mécanismes de calcul. En injectant des données dans le système, les utilisateurs alimentent les bases d’apprentissage des algorithmes.

D’un point de vue cyber, c’est là que réside le risque. Les services offerts sont extrêmement simples d’usage, n’importe qui peut les utiliser et y injecter n’importe quoi.

Début 2023, Cyberhaven a réalisé une étude sur l’usage de ChatGPT par les employés d’entreprises. Bien qu’effarant, le résultat n’est pas surprenant : 2.3% des salariés ont déjà copié des informations confidentielles dans le logiciel d’IA développé par OpenAI.

Cette réalité interroge les règles d’utilisation des services proposés, notamment dans leur version gratuite.

Rétrospective sur 4 solutions très populaires :

Chat GPT – IA générateur de texte développé par OpenAI (Etats-Unis)

Vous pouvez a priori tout lui demander : de la rédaction d’un document à la traduction d’un texte dans n’importe quelle langue. Pour utiliser le service, il suffit de se connecter et d’écrire la question et l’algorithme vous répond dans la foulée.

Le service utilise t’il vos informations ?

D’après les mentions indiquées dans les « terms of use » il y a deux cas de figures. Si les données proviennent de l’API fournie par OpenAI, non. Si les données ne proviennent pas de l’API, oui.

La question est donc la suivante : quels sont les services qui sont non API et ceux qui utilisent l’API ? La réponse se trouve sur le blog d’Open AI.

Pour conclure, si vous utilisez le service ChatGPT, celui que tout le monde connait, l’éditeur se réserve le droit par défaut d’utiliser les données que vous y injectez.

Il existe cependant un formulaire mis à disposition par OpenAI pour demander que vos données injectées dans le service ChatGPT ne soient pas exploitées.

MidJourney – IA générateur d’image sur Discord (Etats-Unis)

MidJourney est un algorithme incroyable. Vous lui donnez des instructions textuelles qu’il traduit en image d’une impressionnante finesse et créativité. Le principe de fonctionnement est relativement simple, après la création d’un compte, vous vous connectez sur Discord pour donner les ordres de création artistique (nommée /imagine prompt) sous forme de mots clés. Vous pouvez également donner en entrée une photo vous appartenant. De nombreux utilisateurs injectent d’ailleurs des photos d’identité, de famille, de soirées, etc. pour les modifier avec l’algorithme.

Le service utilise t’il vos informations ?

Oui, sans aucune limite et c’est explicitement mentionné dans l’article « Rights you give to MidJourney » dans les conditions d’utilisation du service.

Donc, il n’y a pas d’ambiguïté, si vous déposez des informations dans MidJourney, les données deviennent la propriété de MidJourney.

DeepL – IA de traduction « language to language » (Allemagne)

Service très populaire, avec son interface ultra simple, DeepL est utilisé par des milliers de personnes tous les jours pour traduire des textes dans différentes langues.

L’utilisation est simple, il suffit d’injecter un texte et sélectionner la langue de sortie.

Le service utilise t’il vos informations ?

Non et oui ! Le service ne garde pas la mémoire des textes injectés, uniquement si on l’utilise dans une version Pro payante. Le service gratuit, lui conserve et se réserve le droit d’exploiter les données injectées.

ElevenLabs – IA générateur de voix (Etats-Unis)

ElevenLabs propose un service de génération de voix. Fin mars 2023, le service est ouvert au public en version Beta, avec une interface très simple.

Le service utilise t’il vos informations ?

Dans sa version gratuite, oui les données injectées sont conservées et exploitées par le service.

Conclusion

L’IA est-elle une révolution et va-t-elle s’inscrire dans le paysage numérique durablement ? Évidemment oui, c’est déjà le cas, et cela continuera à s’accélérer en proposant de plus en plus de services d’IA pour faciliter l’usage du numérique pour le grand public comme pour les organisations. Microsoft a, par exemple, annoncé en mars 2023 l’intégration des algorithmes d’OpenAI dans son environnement Azure, et l’intégration de Copilot (autre solution d’OpenAI) dans la suite Microsoft Office 365. C’est une tendance de fond.

Cela étant, l’émergence de ces nouveaux usages sont aussi sources de risques, et notamment pour la confidentialité des données. Il faut dès maintenant rappeler les bonnes pratiques et sensibiliser les utilisateurs à l’usage de ces outils :

• On ne dépose pas un document confidentiel pour le faire traduire par un algorithme sans savoir ce que devient la source ensuite
• On ne télécharge pas dans un outil des photos de tiers sans leur consentement
• On ne demande pas à un algorithme de traiter des données personnelles sans valider leur compatibilité au RGPD et politique de sécurité

Au-delà de son apport incontestable pour le traitement de données, l’intelligence artificielle est aussi l’opportunité pour les internautes de faire preuve de bon sens et de discernement.

The post Intelligence artificielle et déni de confidentialité appeared first on Erium.

Il y a notamment un compteur de prix décroissant pour la vente des données de certaines victimes et un programme de Bug bounty.

Danse groupe malveillant considère qu’un bug bounty permettrait de renforcer le niveau de sécurité de ses « produits ». Il s’agit une démarche cohérente : ils disposent d’une communauté probablement compétente et ils peuvent rémunérer pour renforcer leur sécurité. C’est aussi l’occasion de souder et fédérer un peu plus leurs affiliés autour de leur projet criminel.

La fourchette des primes va de 1000 à 1 million de dollars et le programme définit six objectifs :

Ce programme de « prime aux bogues » concerne les sites Internet du groupe Lockbit (A) et son logiciel de chiffrement (B) ainsi qu’un appel aux bonnes idées, avec même une incitation explicite à s’inspirer de ce qui marche chez les concurrents pour améliorer leurs capacités opérationnelles (C).

Une partie concerne la recherche de vulnérabilités sur le réseau / browser Tor (D). L’objectif du groupe Lockbit est affiché : identifier l’adresse IP réelle du serveur d’hébergement de leur site Internet accessible via Tor (.onion), et éventuellement un accès root. Il est donc prêt à payer pour se prémunir d’un piratage de son site vitrine sur le réseau Tor. Une vulnérabilité pourrait avoir un impact plus large que sur un seul site Internet d’un groupe malveillant si elle était exploitée.

Le Projet Tor a mis en place un programme de bug bounty public, ainsi qu’une politique de gestion des vulnérabilités.

Ce dernier décrit la procédure pour soumettre une faille directement aux développeurs.

Nous n’oublions pas l’application de messagerie Tox (E). Les gangs de rançongiciel utilisent largement cette application de messagerie pour discuter aussi bien avec leurs victimes qu’avec leurs affiliés. L’équipe en charge de son développement logiciel a également ouvert un programme de bug bounty, lui n’est pas très actif. Elle aussi dispose d’une politique de soumission de problèmes techniques.

Enfin, la partie peut-être la plus sensible (F) : le gang Lockbit propose une prime d’un million de dollars pour le nom de ses dirigeants ou commanditaires.

Cet exemple montre encore une fois que lorsqu’une recette marche, elle peut s’appliquer à tous. Aussi bien à l’économie classique qu’à l’économie souterraine des groupes malveillants.

Le temps de l’étudiant qui piratait dans sa chambre est un temps révolu. La professionnalisation des groupes d’attaquants est une réalité qu’il ne faut jamais oublier. Même s’ils font des erreurs, ils en ont conscience et ils travaillent à réduire leur surface d’attaque.

The post Bug bounty chez les hackers appeared first on Erium.

Le vice premier ministre ukrainien Mykhailo Fedorov lance un appel sur Twitter en février 2022

Les réactions ne se sont pas fait attendre. Les Anonymous ont annoncé leur ralliement dans les rangs ukrainiens. Les gangs de ransomware (issus des pays de l’Europe de l’Est et de Russie) ont pris position. Conti a d’abord annoncé son soutien à la Russie et dans les heures suivantes, le groupe a implosé avec des prises de positions différentes entre les membres. Le groupe Lockbit, quant à lui, affirme sa neutralité.

La communauté cyber s’est mobilisée et regroupe des milliers de partisans.

Ce phénomène de mobilisation de la communauté cyber n’est pas nouveau.

En 2011, les Anonymous avaient lancé l’opération #DarkNet qui ciblait les sites pédophiles accessibles depuis le réseau TOR.

Une campagne de communication intense organisée par les Anonymous a organisé une campagne de communication intense avec une importante activité sur les réseaux sociaux, une vidéo de promotion, une publication régulière des résultats de leur campagne sur Pastebin, ainsi que l’ouverture d’un IRC pour coordonner l’opération.

Résultats ? Une quarantaine de sites ciblés et 1 500 noms publiés en ligne. Les médias du monde entier relaient l’opération.

En novembre 2018, en France, les Gilets Jaunes lançaient un appel à l’aide aux Anonymous.

L’opération #France est lancée dans la foulée, en reprenant le même modèle que les précédentes : activité sur les réseaux sociaux, ouverture de Pad et d’un IRC sur Tor pour centraliser et coordonner les opérations. La liste des cibles est partagée sur un Excel ouvert en ligne.

L’objectif ? Bloquer les sites gouvernementaux par des attaques en déni de services (Ddos).

Les résultats ? S’il y a eu des impacts, ils n’ont été que mineurs et peu visibles.

L’émergence de l’IT Army of Ukraine en quelques heures

Dès la publication de l’appel par le vice premier ministre ukrainien, plusieurs groupes se créent sur l’application Telegram. Parmi ces groupes, l’un semble focaliser l’attention et compte plus de 282 000 membres.

L’organisation de l’IT Army Ukrainienne n’est pas différente des mobilisations passées. Mais, reflet de notre époque, elle n’utilise pas les mêmes outils. Les IRC discrets sur TOR, les publications en texte brut sur Pastebin, les tutoriels techniques partagés en .txt sont remplacés par les outils de notre époque : applications mobiles (Telegram, Twitter, Facebook), Google Doc, GitHub.

La nature des cibles a également évolué. Là où les mobilisations passées ciblaient principalement des sites institutionnels très visibles, l’IT Army Ukrainienne cible des services Internet variés :

– Plateformes d’échange de cryptomonnaies

– Services de signatures électroniques

– Médias et communication télévisuelle

– Banques, institutions financières

Plusieurs pages du site GitHub reprennent les listes cibles et permettent notamment de faire des liens directs vers des outils informatiques utilisables pour participer aux attaques.

Plusieurs pages web sont également apparues très rapidement pour distribuer des outils permettant de lancer des attaques par Ddos, proposer des tutoriels vidéo, explications pas-à-pas dans toutes les langues.

Les actions sont planifiées et les résultats sont partagés dans le groupe Telegram. On peut suivre presque en temps réel les vagues d’attaques et observer leur efficacité ciblant les infrastructures russes ou assimilées.

Un fichier Excel est partagé en libre accès sur Google Doc et recense les cibles et les statuts (down or not) associés.

Dans le même fichier, on trouve des conseils, guides, recommandations pour organiser et planifier au mieux les actions du Groupe.

Concrètement, quels sont les risques ?

La mobilisation autour de l’IT Army of Ukraine est large et continue de s’étendre. De nombreux internautes s’associent aux opérations ce qui accentue le niveau global d’insécurité dans la sphère cyber.

Il convient donc de souligner plusieurs aspects, d’abord pour ceux qui envisagent de rejoindre l’IT Army pour participer aux opérations :

1. En France, la lutte informatique offensive (LIO) relève de la force publique et d’un pouvoir régalien. En dehors de ce cadre, initier une attaque par Deni de Service (ou n’importe quel autre type d’attaques) est illégal.

2. Dans le contexte actuel, l’influence et la désinformation se généralisent.

Les membres du groupe IT Army of Ukraine en sont conscients, et ce sujet est omniprésent dans les discussions sur Telegram. D’autres campagnes de désinformation ciblent elle-même ce groupe.

À quoi cela ressemble-t-il ? Voici deux exemples :

– Il est simple de rajouter dans la liste des cibles russes, quelques autres cibles (européennes, américaines, entre autres.) qui seraient noyées dans la masse et seraient impactées par les campagnes lancées par l’IT Army (il n’y a rien qui ressemble plus à une adresse IP, qu’une autre adresse IP)

– Des outils d’attaques apparaissent régulièrement. Qui en vérifie le code avant de les utiliser ? Cela fonctionne des deux cotés : une charge virale se développe par les ukrainiens et diffusée aux membres de l’IT Army of Ukraine avec la recommandation de la propager sur les différents channels pro-russes (Facebook, Twitter, Telegram)

Une opération cyber, nécessite discrétion et coordination.

Ce qui se traduit par la nécessité de posséder un minimum de compétences techniques et de connaissances sur le fonctionnement des infrastructures numériques. Ainsi, se lancer dans ce genre d’actions sans préparation expose les participants à leur identification, localisation et ainsi à toutes les conséquences imaginables dans un tel contexte. Et cela a déjà commencé : Le Centre national russe de coordination des incidents informatiques (NCCC) a publié une liste d’adresses IP et de Referer HTTP utilisés pour lancer des attaques Ddos sur des sites russes.

Pour les organisations privées comme publiques, le risque cyber est par nature à un niveau élevé. Conséquement, toutes les organisations en ont pris conscience et ont adapté leur posture défensive, ou vont le faire en conséquence.

L’émergence de l’IT Army of Ukraine n’accroît pas significativement le niveau du risque, mais elle doit interroger 

1. L’attention côté occidental se focalise sur les activités de l’IT Army et ses soutiens, mais des groupes pro-russes organisent une mobilisation similaire pour cibler les intérêts occidentaux.

2. Le risque d’effet de bord des attaques est réel. Les schémas de production mondiaux reposent largement sur l’interconnexion informatique des organisations. Nombre d’entreprises occidentales ont des partenaires, filiales, sous-traitants basés dans la zone de conflit. Cela expose une grande partie de la chaine de production à des impacts indirects en cas d’attaques ciblant certains maillons.

3. Les réseaux, au cœur de notre modèle de société, deviennent un des principaux leviers d’influence dans ce conflit. Le scénario du BlackOut (coupure internet généralisée) a émergé ces derniers temps. Cela entraînerait des conséquences considérables sur l’économie mondiale et nos sociétés.

À quoi peut-on s’attendre ?

Le contexte cyber est extrêmement mouvant, les entreprises en sont conscientes et augmentent leur vigilance en partageant des informations et des données techniques (IOCs) en lien avec leurs autorités nationales et les sociétés spécialisées en cyber sécurité.

On le sait depuis longtemps, la cybersécurité est essentielle. Le conflit actuel le montre au grand jour à ceux qui n’en avaient pas conscience, et s’ajoute aux événements dramatiques du monde réel.

Ainsi, pour les organisations, il devient urgent de :

– Se préparer aux chocs cyber (avec des exercices et simulations de crise)

– S’entraîner à la détection et réaction aux attaques (stress test permanent par des solutions de types BAS)

– Mettre en œuvre les outils de résilience pour maintenir une activité en cas de Blackout

The post IT Army of Ukraine : naissance et conséquences appeared first on Erium.

Les Security Operations Center (SOC) sont confrontés à leurs limites. En effet, les cyber-attaques sont de plus en plus fréquentes, virulentes et coûteuse. Il suffit de feuilleter l’actualité des attaques cyber pour devoir l’admettre. Le nombre d’attaques explose. Et elles aboutissent avec un succès destructeur, y compris dans des environnements disposant de services de surveillance de type SOCs.

Face à ces attaques destructives, les SOCs, promesse de rapidité de détection et de réaction devraient être les garants de la survie des entreprises. Mais alors, comment s’explique l’échec des SOCs ?

Quelle est la mission d’un SOC ?

Un SOC est une organisation en charge de la surveillance et la détection des attaques informatiques.  Sa mission de sécurité globale. Essentiellement, le SOC surveille les environnements informatiques, identifie des scénarios d’attaques et de rechercher ou toute compromission.

Pour réaliser sa mission, le SOC s’appuie sur un socle technologique (souvent un SIEM). Le socle technologique se charge de collecter, corréler, analyser et alerter sur des événements suspects survenus sur un terminal. Il peut s’agir d’un serveur, un routeur ou au cœur d’une DMZ, d’un sous-réseau, etc.

Le SOC est une organisation. Bien qu’une partie des analyses soit automatisée, il repose sur une équipe d’analystes chargés de superviser les outils, de qualifier les événements et d’engager une réaction en cas d’attaque avérée. La réaction peut couvrir un spectre large d’actions : configuration ou blocage technique, investigation sur incident, déclenchement de dispositif de crise, cloisonnement réseau.

On l’aura compris, l’efficacité d’un SOC repose sur une détection tendant le plus possible vers le temps réel. Cela exige une actualisation permanente des scénarios de surveillance, une connaissance « instantanée » des nouveaux paterns d’attaques et des IOCs (la Threat Intel), une surveillance H24 sur la totalité de la surface du SI (interne, interconnexions, infrastructure réseau, déploiements en mode Saas, etc.) et des analystes aguerris prêts à dégainer à tout moment.

Si un de ces rouages grince, c’est la totalité de la chaine de détection et réaction impacte l’efficacité globale qui chute.

Quels sont les constats ?

Afin de comprendre l’échec des SOCs, nous avons réalisé plusieurs actions de stress test de SOCs. L’objectif étant d’en mesurer l’efficacité réelle en situation réelle.

Ces stress tests consistent à exécuter depuis des boitiers autonomes connectés au réseau cible, des flux malveillants (non destructifs évidemment…), afin de tester les capacités des SOCs à les détecter et à enclencher les réactions appropriées. Les événements générés ne sont pas furtifs et sont manifestement malveillants (sans jamais rien casser) et doivent donc faire l’objet d’une détection.

Nous partageons ici, quelques résultats éloquents des tests joués durant le premier semestre et mis à jour avec nos données du second trimestre 2020.

Les dispositifs de sécurité existants ont détecté 38% des événements générés et environ 15% ont fait l’objet d’une alerte vers l’équipe RSSI. Les écarts sont très variables selon l’environnement et le niveau de maturité (c’est sans surprise)

Plusieurs facteurs permanents freinent l’efficacité de la sécurité opérationnelle

Le volume de faux positifs dilue les informations de qualité ; le paramétrage des dispositifs de sécurité et les process de qualification des événements ne sont pas optimisés.

Parmi ces événements, plusieurs explorations agressives de réseaux locaux ont été effectuées et répétées. En moyenne 80% ont été détectées et 5% ont fait l’objet d’une alerte vers l’équipe RSSI. Moins de 1% lorsque les événements sont générés en heure non ouvrée.

Les scans réseaux sont perçus comme des événements à gravité faible ou comme complexes à qualifier car éphémères ou simplement légitimes. Durant le confinement, avec la majorité des collaborateurs intervenant à distance, bien que les équipements de sécurité aient détectés ces événements comme malveillants, très peu d’alertes sont remontées vers le management. Plusieurs organisations ont donné pour instruction de focaliser les investigations et analyses sur des incidents avec une suspicion de gravité élevée, au détriment des événement plus « soft » ou plus classiques comme les scans de réseaux.

Environ 65% des tentatives d’exploitation de vulnérabilités connues, ont abouti (valeur constante). Les dispositifs de sécurité ont détecté 62% et une moyenne de 15% ont fait l’objet d’une alerte vers l’équipe RSSI.

Les événements simulant des exploitations ou tentatives d’exploitation de vulnérabilités, sont conçus pour déployer des marqueurs caractéristiques d’actions malveillantes. En condition « normale » de surveillance, ces évènements font l’objet d’une alerte de sécurité. Cependant, durant cette période nous constatons que peu de ces événements font l’objet d’une remontée d’alerte.

100% des exfiltrations de données ont réussi. Les dispositifs ont détecté 6% et 0% ont fait l’objet d’une alerte.

La détection d’une exfiltration de données est variable d’une organisation à l’autre. En général, le signalement est rapide lors de la détection d’une fuite.

Durant le confinement, aucune des exfiltrations de données, détectée par les dispositifs de filtrage n’a fait l’objet d’un signalement.

En bref.

Concernant les SOCs visés par ces tests, leur efficacité réelle est donc toute relative.

Plusieurs limites qui peuvent expliquer l’échec des SOCs sont une évidence, et certains points ressortent de manière récurrente :

– Les périmètres de surveillance sont loin d’être exhaustifs. Les réseaux informatiques bougent beaucoup et vite, de nouveaux environnements s’intègrent, des matériels décommissionnent, etc. Cette réalité complexifie considérablement la capacité des SOCs à conserver une vue exhaustive du réseau ;

– Le paramétrage des outils de sécurité n’est pas toujours pertinent dans ses seuils d’alerte ou la catégorisation des événements ;

– Le fléau des faux positifs : c’est un phénomène bien connu des analystes. Trop souvent, masse de signalements sans intérêt ou erronés noient les alertes pertinentes. Cela a un impact direct sur l’efficacité et la mobilisation des analystes ;

– Le manque de vigilance des analystes et une forme de fatigue des analystes entretenue par les points précédents.

La période confinement et la bascule généralisée en télétravail a également eu un impact sur les activités des SOCs. Ce qui s’explique du fait d’un transfert accéléré de certains services vers le Cloud. Par conception, ces environnements applicatifs ne s’intègrent dans le périmètre de surveillance des SOCs du fait du difficile (et non fluide) accès aux logs techniques.

Inefficaces, donc inutiles ?

Il faut rester raisonnable : inefficace ne signifie pas inutile. Malgré l’échec des SOCs, ceux-ci restent indispensables à la mise en œuvre d’une politique de sécurité opérationnelle. Ils sont le bras armé de la filière cyber et à ce titre, ils marquent la ligne de front avec la réalité des menaces Cyber.

Et cette menace cyber est complexe, mouvante, imaginative, … En un mot moderne elle est « agile » et peut être plus que les défenseurs.

Pour faire face à cette réalité, il faut repenser les modes d’action des SOCs, et notamment mettre en œuvre des dispositifs d’entrainements et de tests permanents.

On ne doit plus parler de MCO (Maintien en Condition Opérationnelle) mais de MCC (Maintien en Condition de Combat) avec des actions de simulation permanentes, pour mesurer le niveau d’efficacité réelle de la SecOps.

The post L’échec des SOCs appeared first on Erium.