Encore des vulnĂ©rabilitĂ©s corrigĂ©es dans les solutions Jira et Confluence d’Atlassian qui a publiĂ© des alertes de sĂ©curitĂ© pour des fuites de donnĂ©es de haute sĂ©vĂ©ritĂ© et des problèmes de dĂ©ni de service.
Afin de corriger des vulnĂ©rabilitĂ©s d’exĂ©cution de code Ă distance et de dĂ©ni de service, Atlassian a livrĂ© des correctifs urgents pour plusieurs de ses produits. Des failles ont dĂ©jĂ Ă©tĂ© exploitĂ©es, parfois peu de temps après la publication d’un correctif ou mĂŞme avant qu’un patch ne soit disponible. En octobre, Atlassian a dĂ©jĂ publiĂ© un correctif d’urgence pour un problème de contrĂ´le d’accès affectant les versions sur site de Confluence Server et Data.
La faille rĂ©fĂ©rencĂ©e CVE-2023-22515 permettait Ă des attaquants non authentifiĂ©s de crĂ©er des comptes administrateur. Elle Ă©tait dĂ©jĂ exploitĂ©e dans la nature en tant que vulnĂ©rabilitĂ© zero-day au moment oĂą l’entreprise a publiĂ© le correctif. DĂ©but novembre, quelques jours seulement après la publication du correctif, des attaquants ont commencĂ© Ă Â exploiter une autre vulnĂ©rabilitĂ© critique dite Improper Authorization Vulnerability (CVE-2023-22518) dans Confluence Data Center et Server. Les failles plus anciennes de Confluence exploitĂ©es en tant que vulnĂ©rabilitĂ©s zero day ou n-day par plusieurs groupes d’attaquants incluent les rĂ©fĂ©rences CVE-2022-26134, CVE-2021-26084, et CVE-2019-3396. Les clients sont donc invitĂ©s Ă appliquer les patchs de dĂ©cembre publiĂ©s dernièrement dès que possible.
Failles d’injection et de dĂ©sĂ©rialisation des modèles de Confluence
L’une des vulnĂ©rabilitĂ©s critiques corrigĂ©es la semaine dernière propose Ă des attaquants anonymes authentifiĂ©s d’injecter du code non sĂ©curisĂ© dans des pages sur les instances affectĂ©es de Confluence Data Center et Confluence Server. Cette faille portant la rĂ©fĂ©rence CVE-2023-22522 est qualifiĂ©e de problème d’injection de modèle par Atlassian. Selon le fournisseur, elle peut conduire Ă l’exĂ©cution de code Ă distance sur le serveur. La faille affecte toutes les versions de Confluence Data Center et Server Ă partir de la version 4.0.0 ainsi que les versions autonomes 8.6.0 et 8.6.1 de Confluence Data Center. La plupart des versions concernĂ©es sont en fin de vie et ne sont plus prises en charge. La sociĂ©tĂ© conseille aux utilisateurs de Confluence Server de se mettre Ă niveau vers les versions 7.19.17 (LTS), 8.4.5 ou 8.5.4 (LTS) et aux utilisateurs de Confluence Data Center de se mettre Ă niveau vers les versions 8.6.2 ou 8.7.1. La vulnĂ©rabilitĂ© n’offre pas d’autres attĂ©nuations possibles, mais Atlassian conseille aux clients de sauvegarder leur instance et de la retirer de l’Internet s’ils ne peuvent pas appliquer le correctif immĂ©diatement.
Une autre vulnĂ©rabilitĂ© critique corrigĂ©e la semaine dernière rĂ©sulte d’un problème de dĂ©sĂ©rialisation Java hĂ©ritĂ© d’une bibliothèque d’analyse tierce appelĂ©e SnakeYAML. Cette vulnĂ©rabilitĂ©, rĂ©fĂ©rencĂ©e CVE-2022-1471, a Ă©tĂ© corrigĂ©e dans SnakeYAML il y a un an. Depuis, trois autres failles, deux de gravitĂ© Ă©levĂ©e et une qualifiĂ©e de critique, ont Ă©tĂ© signalĂ©es dans SnakeYAML. On ne sait pas trop pourquoi Atlassian a attendu jusqu’à maintenant pour publier un avis, mais la liste des produits affectĂ©s est longue :
• Application Automation for Jira (y compris l’Ă©dition Server Lite)
• Bitbucket Data Center
• Bitbucket Server
• Confluence Data Center
• Confluence Server
• Confluence Cloud Migration App
• Jira Core Data Center
• Jira Core Server
• Jira Service Management Data Center
• Jira Service Management Server
• Jira Software Data Center
• Jira Software Server
Exécution de code à distance dans les applications compagnons Jira
Certains dĂ©ploiements Jira ne sont affectĂ©s que si une version vulnĂ©rable de l’application Automation for Jira (A4J) est Ă©galement installĂ©e. Entre-temps, les instances Confluence sont affectĂ©es si elles exĂ©cutent une version vulnĂ©rable de l’application Confluence Cloud Migration Assistant (CCMA). Cette application est installĂ©e par dĂ©faut. Atlassian fournit plus d’informations sur chaque produit affectĂ© et les scĂ©narios dans lesquels ils sont vulnĂ©rables dans une FAQ qui accompagne l’avis.
Une autre exĂ©cution de code Ă distance, rĂ©fĂ©rencĂ©e CVE-2023-22523, a Ă©tĂ© corrigĂ©e dans l’outil Assets Discovery qui peut ĂŞtre utilisĂ© avec Jira Service Management Cloud, Jira Service Management Server et Jira Service Management Data Center. Assets Discovery (anciennement connu sous le nom d’Insight Discovery) est un outil autonome que l’on peut installer Ă partir de la place de marchĂ© d’Atlassian. Il est utilisĂ© pour scanner le rĂ©seau local Ă la recherche d’actifs matĂ©riels et logiciels et pour collecter des informations Ă leur sujet. Atlassian conseille aux clients de dĂ©sinstaller les agents Assets Discovery, d’appliquer le correctif Assets Discovery, puis de rĂ©installer les agents. Pour Jira Service Management Cloud, l’entreprise conseille vivement aux utilisateurs de dĂ©ployer Assets Discovery 3.2.0-cloud ou une version plus rĂ©cente et pour Jira Service Management Data Center et Server, Assets Discovery 6.2.0 ou une version plus rĂ©cente. Une faille d’exĂ©cution de code Ă distance, rĂ©fĂ©rencĂ©e CVE-2023-22524, a Ă©galement Ă©tĂ© corrigĂ©e dans l’application Atlassian Companion App pour MacOS. Il s’agit d’une application de bureau complĂ©mentaire qui permet aux utilisateurs Mac d’Ă©diter des fichiers localement sur leurs ordinateurs avant de les tĂ©lĂ©charger vers les instances de Confluence. En tant que tel, le danger d’exĂ©cution de code Ă distance (Remode Code Execution, RCE) pour cette faille se rĂ©fère Ă la machine macOS elle-mĂŞme, et non au serveur Confluence. Il est conseillĂ© aux utilisateurs de mettre Ă jour l’application vers la version 2.0.0 ou ultĂ©rieure.
Des fuites de données et des dénis de service de grande ampleur
Atlassian a publiĂ© aussi une autre sĂ©rie d’avis de sĂ©curitĂ© couvrant huit failles de gravitĂ© Ă©levĂ©e dans plusieurs produits. Ces problèmes peuvent entraĂ®ner une exposition des donnĂ©es et des dĂ©nis de service et ont Ă©tĂ© corrigĂ©s dans de nouvelles versions de produits le mois dernier. Certains proviennent de bibliothèques tierces. La communication autour de ces failles, qui ont Ă©tĂ© dĂ©couvertes dans le cadre du programme de rĂ©compense des bogues de l’entreprise et de tests internes, marque un changement dans la politique de divulgation des vulnĂ©rabilitĂ©s d’Atlassian. Jusqu’Ă prĂ©sent, l’entreprise ne divulguait que les vulnĂ©rabilitĂ©s de gravitĂ© critique de première partie, mais cette politique a Ă©tĂ© Ă©tendue aux vulnĂ©rabilitĂ©s de gravitĂ© Ă©levĂ©e. « MĂŞme si ce changement se traduit par une augmentation de la visibilitĂ© et des divulgations, cela ne signifie pas qu’il y a plus de vulnĂ©rabilitĂ©s », a dĂ©clarĂ© l’entreprise. « Cela signifie plutĂ´t que nous adoptons une approche plus proactive de la transparence des vulnĂ©rabilitĂ©s et que nous nous engageons Ă fournir Ă nos clients les informations dont ils ont besoin pour prendre des dĂ©cisions Ă©clairĂ©es concernant la mise Ă jour de nos produits ».
Les huit failles de gravité élevée portent les références suivantes :
• CVE-2020-25649 (Jira Software Data Center and Server)
• CVE-2022-28366 (Jira Service Management Data Center and Server)
• CVE-2022-29546 (Jira Service Management Data Center and Server)
• CVE-2022-24839 (Jira Service Management Data Center and Server)
• CVE-2023-44487 (Crowd Data Center and Server)
• CVE-2021-31684 (Confluence Data Center and Server)
• CVE-2023-3635 (Bitbucket Data Center and Server)
• CVE-2023-5072 (Bamboo Data Center and Server)
Traitant actuellement un volume de paiements d’une valeur de plus de 1 300 milliards de dollars, PayPal n’a cessĂ© de revendiquer son statut de rĂ©ussite numĂ©rique au cours des 25 dernières annĂ©es. Mais les initiĂ©s s’accordent Ă dire que cette croissance doit ĂŞtre constamment soutenue par une architecture technologique fiable pour prospĂ©rer. Sri Shivananda, son CTO, revient sur cette transformation au fil des ans.
S’il est une entreprise qui peut se targuer d’être 100 % numĂ©rique, c’est bien PayPal, la plateforme qui propose aux entreprises et aux consommateurs d’envoyer et de recevoir des paiements numĂ©riques de manière sĂ©curisĂ©e. Depuis 1998, la marque a Ă©voluĂ© et s’est dĂ©veloppĂ©e au rythme de la technologie. Aujourd’hui, la taille de son rĂ©seau et l’utilisation qu’en font les consommateurs en ont fait un nom incontournable dans le domaine des systèmes de paiement. Au dĂ©part, la sociĂ©tĂ© a Ă©mergĂ© de x.com et de Confinity en tant qu’entreprise de cryptographie, dĂ©veloppant des paiements P2P et utilisant la technologie Beam du PalmPilot. « Au fil du temps, nous sommes devenus une solution de paiement par courrier Ă©lectronique, de sorte qu’il suffisait d’avoir une adresse Ă©lectronique pour recevoir de l’argent », explique Sri Shivananda, vice-prĂ©sident exĂ©cutif et CTO de PayPal.
Rapidement, la marque est devenue un fournisseur de services tiers non officiel que les utilisateurs d’eBay incluaient comme mĂ©thode de paiement dans les descriptions d’articles. « eBay a vu l’opportunitĂ© de nous accueillir dans son giron et, finalement, nous avons Ă©tĂ© rachetĂ©s, devenant ainsi leur service de paiement officiel », ajoute Sri Shivananda. « Nous avons grandi en mĂŞme temps qu’eBay et avons continuĂ© Ă le faire après notre sĂ©paration en 2015 ». Depuis la crĂ©ation de PayPal, l’innovation et la technologie font partie intĂ©grante du succès de la marque, qui, selon Sri Shivananda, s’est dĂ©veloppĂ©e Ă travers les phase de dĂ©marrage, de croissance et d’expansion, puis en se positionnant dans une mentalitĂ© de plateforme, dit-il, en exploitant la philosophie du cloud, en intĂ©grant les acquisitions, en unifiant les actifs de donnĂ©es et en utilisant la science des donnĂ©es et l’IA.
Une stratégie, cinq clés
D’un point de vue technologique, le moteur stratĂ©gique de la marque est divisĂ© en cinq domaines d’investissement. Selon Sri Shivananda, la sĂ©curitĂ© est la prioritĂ© absolue, car il est essentiel d’offrir une plateforme de confiance aux clients dans un climat oĂą les failles de sĂ©curitĂ© se multiplient. « Lorsque nous parlons de sĂ©curitĂ©, ce qui Ă©tait suffisant hier ne l’est plus aujourd’hui », explique-t-il. « PayPal, comme beaucoup d’autres grandes entreprises, subit des attaques chaque seconde, et nous ne pouvons gĂ©rer ce volume de menaces qu’Ă travers une architecture avec des couches de sĂ©curitĂ© renforcĂ©es et une technologie solide, comme l’IA ». La stabilitĂ© est un autre objectif. Pour les 35 millions de commerçants qui s’appuient sur la solution de PayPal comme moyen de paiement dans leur entreprise, il est essentiel que le service soit de haute qualitĂ©, fiable et toujours disponible. « Il est de notre responsabilitĂ© de veiller Ă ce que chaque transaction valide soit effectuĂ©e et parvienne au vendeur », explique-t-il.
Un autre Ă©lĂ©ment fondamental est la rapiditĂ©, c’est-Ă -dire la capacitĂ© Ă maintenir l’innovation Ă un rythme supĂ©rieur Ă celui de l’industrie. Pour ce faire, explique le CTO, l’entreprise investit massivement dans ses plateformes, ses outils et ses processus de cycle de vie du dĂ©veloppement de produits afin d’amĂ©liorer le flux et d’Ă©liminer les obstacles qui surviennent au cours de l’exĂ©cution. « Cela nous permet d’accroĂ®tre la productivitĂ© et la crĂ©ativitĂ© des dĂ©veloppeurs », explique-t-il. De 2016 Ă 2022, l’entreprise est passĂ©e d’un volume de paiements de 354 milliards de dollars Ă 1,36 billion de dollars l’annĂ©e dernière. Selon Sri Shivananda, cette croissance doit ĂŞtre soutenue par une architecture technologique capable d’Ă©voluer en augmentant la capacitĂ©, sans nĂ©cessiter de lourds travaux d’ingĂ©nierie, de reconstruction ou de rĂ©architecture. En d’autres termes, l’Ă©volutivitĂ©.
Enfin, il y a l’efficacitĂ©. « Tout en travaillant dans ces domaines, nous devons surveiller de près l’efficacitĂ© et les dĂ©penses pour nous assurer que notre coĂ»t par transaction est le plus bas et que nous maintenons l’excellence opĂ©rationnelle dans tous les domaines technologiques ». Pour relever ces dĂ©fis, PayPal dispose d’une Ă©quipe technique hautement qualifiĂ©e et, l’annĂ©e dernière, l’investissement mondial dans la technologie et le dĂ©veloppement s’est Ă©levĂ© Ă plus de 3,2 milliards de dollars. « Notre Ă©quipe technologique travaille Ă l’Ă©chelle mondiale et dans toutes les rĂ©gions, de sorte que nous tirons des leçons diffĂ©rentes de chacune d’entre elles, que nous appliquons au reste des marchĂ©s oĂą nous opĂ©rons », poursuit Sri Shivananda. Et d’ajouter : « Cela nous permet Ă©galement d’avoir ce qu’il y a de mieux en termes de technologie mondiale, d’attĂ©nuation et de prĂ©vention de la fraude, et de mesures de cybersĂ©curitĂ© sur tous les marchĂ©s, tout en respectant les rĂ©glementations locales et les exigences de conformité ».
Quatre couches technologiques pour organiser le tout
Pour que tous ces domaines stratĂ©giques soient aussi fluides que possible, la technologie de PayPal est organisĂ©e en quatre couches principales. Au niveau le plus bas se trouve l’infrastructure, composĂ©e de bases de donnĂ©es et de data lakes. Ces applications sont hĂ©bergĂ©es sur d’innombrables serveurs, mais une partie de la technologie est passĂ©e sur le cloud public. Cette combinaison assure Ă l’entreprise d’offrir Ă ses clients la connexion attendue dans le monde entier avec la rapiditĂ©, la valeur et la fiabilitĂ© promises. Les donnĂ©es des utilisateurs sont Ă©galement hĂ©bergĂ©es dans cette couche, y compris le profil, le comportement, les transactions et les risques. Il s’agit donc, en rĂ©sumĂ©, du squelette structurel de PayPal. La deuxième couche est constituĂ©e d’un ensemble de technologies qui sous-tendent tous les produits et services. « Nous les appelons les plateformes fondamentales et elles nous permettent d’utiliser efficacement l’infrastructure sous-jacente », explique-t-il. Ces plateformes sont constituĂ©es d’une sĂ©rie de fonctionnalitĂ©s, telles que des outils internes pour les dĂ©veloppeurs et les ingĂ©nieurs, ou des services tels que la mise en cache, la messagerie, la gestion des mots de passe et la cryptographie, « C’est vital pour notre activité », ajoute-t-il. « C’est comme le système nerveux de PayPal ».
La couche suivante, appelĂ©e Plateformes communes, est celle oĂą se trouve la technologie qui compose les produits et les services. Elle comprend l’identitĂ© (authentification des utilisateurs), les paiements (transactions), le risque (confiance et sĂ©curitĂ©), la conformitĂ© (respect des obligations dans toutes les juridictions), la vie privĂ©e (protection des informations contextuelles), les taxes, les finances (mouvements d’argent) et la trĂ©sorerie (gestion de l’argent). C’est, selon Sri Shivananda, le cerveau de PayPal. Enfin, la quatrième est la couche d’expĂ©rience du vendeur, du consommateur et du dĂ©veloppeur, qui comprend l’interface web, les applications mobiles et les API nĂ©cessaires aux clients pour utiliser le service PayPal de manière interactive et programmatique. Cette couche est considĂ©rĂ©e comme le cĹ“ur, et donc la plus proche des clients.
Des technologies de rupture tournĂ©es vers l’avenir
Bien que la marque dispose de plusieurs technologies de pointe, l’une des plus pertinentes pour le dĂ©veloppement futur de l’entreprise est l’IA. « Nous travaillons sur ce sujet depuis plus d’une dĂ©cennie, notamment sur le deep learning basĂ© sur les transformateurs », explique Sri Shivananda. « Aujourd’hui, nous appliquons l’IA et le ML Ă l’ensemble de nos activitĂ©s, notamment pour la rĂ©duction de la fraude, la gestion des risques, la protection des clients, les services personnalisĂ©s et l’autonomisation du commerce mondial ». L’entreprise, qui compte plus de 431 millions de comptes actifs, voit dans l’IA un Ă©norme potentiel pour crĂ©er la prochaine gĂ©nĂ©ration de paiements et de commerce. Les donnĂ©es qui libèrent de la valeur aux deux extrĂ©mitĂ©s sont essentielles. « Actuellement, PayPal possède plus de 200 pĂ©taoctets de donnĂ©es de paiement, un avantage concurrentiel avec des informations prĂ©cieuses et le potentiel de gĂ©nĂ©rer de meilleures expĂ©riences commerciales pour les consommateurs et les commerçants », dit-il.
Un exemple de l’impact de l’IA peut ĂŞtre vu de 2019 Ă 2022, lorsque le taux de perte de l’entreprise a diminuĂ© de près de la moitiĂ©, en partie grâce aux progrès des algorithmes et de la technologie de l’IA. « Aujourd’hui, grâce Ă nos avancĂ©es en matière d’IA, nous pouvons nous adapter rapidement Ă l’Ă©volution des schĂ©mas de fraude pour protĂ©ger nos clients », affirme-t-il. « Les modèles de deep learning de PayPal peuvent ĂŞtre formĂ©s et mis en production en deux semaines, et mĂŞme plus rapidement pour les algorithmes plus simples. Cela nous permet de former des modèles en utilisant les dernières donnĂ©es de production, d’intĂ©grer de nouveaux schĂ©mas de fraude et d’obtenir un retour d’information de la part des agents internes et des clients ».
Le service de paiement travaille Ă©galement Ă façonner la prochaine gĂ©nĂ©ration de monnaies numĂ©riques et l’infrastructure financière correspondante. Pour ce faire, PayPal a investi dans sa propre technologie, son personnel et des entreprises axĂ©es sur la blockchain, et a dĂ©posĂ© des brevets liĂ©s aux crypto-monnaies. « Compte tenu de notre expĂ©rience en tant que sociĂ©tĂ© de paiements numĂ©riques de confiance et de nos solides relations avec l’Ă©cosystème rĂ©glementaire et financier, nous pensons que la combinaison de notre Ă©quipe blockchain, crypto-monnaies et monnaies numĂ©riques (BCDC), et de nos investissements dans l’infrastructure technique et rĂ©glementaire, constituera une plateforme solide pour nos aspirations dans cet espace ».
Avec son projet Purple Llama, Meta veut aider les dĂ©veloppeurs Ă construire des modèles d’IA gĂ©nĂ©rative de manière responsable et mieux sĂ©curisĂ©e.
DĂ©diĂ© Ă la crĂ©ation d’outils open source, le projet Purple Llama prĂ©sentĂ© par Meta permet aux dĂ©veloppeurs d’Ă©valuer et de renforcer la fiabilitĂ© et la sĂ©curitĂ© des modèles d’IA gĂ©nĂ©rative avant leur utilisation publique. Meta estime que les dĂ©fis de l’IA ne peuvent ĂŞtre relevĂ©s de manière isolĂ©e et qu’il est nĂ©cessaire de collaborer pour garantir la sĂ©curitĂ© de l’IA. Selon une dĂ©claration de l’entreprise, Purple Llama vise Ă Ă©tablir une base commune pour le dĂ©veloppement d’une genAI plus sĂ»re, alors que les prĂ©occupations concernant les grands modèles de langage et d’autres technologies d’IA augmentent. « Les personnes qui construisent des systèmes d’IA ne peuvent pas relever les dĂ©fis de l’IA en vase clos, c’est la raison pour laquelle nous voulons uniformiser les règles du jeu et crĂ©er un socle de confiance et de sĂ©curitĂ© ouvertes », a Ă©crit Meta dans un billet de blog.
Gareth Lindahl-Wise, directeur de la sĂ©curitĂ© de l’information de l’entreprise de cybersĂ©curitĂ© Ontinue, a qualifiĂ© Purple Llama d’Ă©tape « positive et proactive » vers une IA plus sĂ»re. « L’idĂ©e de rassembler le dĂ©veloppement sur une plateforme aura sans doute ses partisans et ses opposants, mais le fait d’offrir une protection prĂŞte Ă l’emploi au consommateur sera bĂ©nĂ©fique », a-t-il ajoutĂ©. « Les entitĂ©s qui ont des obligations internes, clients ou rĂ©glementaires strictes devront, bien sĂ»r, toujours suivre des Ă©valuations solides, sĂ»rement très au-delĂ de l’offre de Meta, mais tout ce qui peut aider Ă mettre de l’ordre dans ce Far West potentiel est bon pour l’Ă©cosystème », a ajoutĂ©Â Gareth Lindahl-Wise. Le projet prĂ©voit des partenariats avec des dĂ©veloppeurs d’IA, des services cloud comme AWS et Google Cloud, des entreprises de semi-conducteurs comme Intel, AMD et Nvidia, et des fournisseurs de logiciels comme Microsoft. La collaboration doit encourager la production d’outils pour la recherche et Ă usage commercial capables de tester les capacitĂ©s des modèles d’IA et d’identifier les risques de sĂ©curitĂ©.
Llama Guard pour identifier le langage nuisible ou offensant
La première sĂ©rie d’outils publiĂ©e par Purple Llama comprend CyberSecEval, qui Ă©value les risques de cybersĂ©curitĂ© dans les logiciels gĂ©nĂ©rĂ©s par l’IA. Le modèle de langage de CyberSecEval identifie les textes inappropriĂ©s ou nuisibles, y compris les discussions sur la violence ou les activitĂ©s illĂ©gales. Les dĂ©veloppeurs peuvent utiliser CyberSecEval pour vĂ©rifier si leurs modèles d’IA sont susceptibles de crĂ©er des codes non sĂ©curisĂ©s ou de contribuer Ă des cyberattaques. Les recherches de Meta ont montrĂ© que les grands modèles de langage suggèrent souvent un code vulnĂ©rable, d’oĂą l’importance des tests et des amĂ©liorations en continu pour la sĂ©curitĂ© de l’IA. Llama Guard, autre outil de cette suite, est un grand modèle de langage formĂ© pour identifier le langage potentiellement nuisible ou offensant. Les dĂ©veloppeurs peuvent utiliser Llama Guard pour vĂ©rifier si leurs modèles produisent ou acceptent des contenus dangereux, en filtrant les invites qui pourraient conduire Ă des rĂ©sultats inappropriĂ©s.
Alors que les entreprises prennent conscience de la nĂ©cessitĂ© de disposer d’Ă©quipes compĂ©tentes pour faire face Ă l’augmentation des menaces, elles cherchent aussi Ă rĂ©duire leurs effectifs et leurs dĂ©penses d’infrastructure dans le domaine de la sĂ©curitĂ©.
Selon un rapport d’Observe, spĂ©cialisĂ© dans l’observabilitĂ©, mĂŞme si le nombre d’incidents de sĂ©curitĂ© continue d’augmenter dans tous les secteurs, 47 % des personnes interrogĂ©es prĂ©voient de rĂ©duire leurs effectifs de sĂ©curitĂ©. Fait remarquable, 62 % de ces entreprises ont Ă©galement signalĂ© un nombre plus Ă©levĂ© d’incidents de sĂ©curitĂ© par mois. D’après ce rapport basĂ© sur l’enquĂŞte rĂ©alisĂ©e par CITE Research auprès de 500 dĂ©cideurs et praticiens de la sĂ©curitĂ©, les entreprises qui prĂ©voient de diminuer leurs effectifs dans le domaine de la cybersĂ©curitĂ© envisagent aussi de retreindre leurs dĂ©penses d’infrastructure. De manière gĂ©nĂ©rale, il y a une pĂ©nurie de professionnels de la cybersĂ©curitĂ© alors qu’ils sont très demandĂ©s en raison du nombre croissant d’incidents.
La rĂ©cente Ă©tude « Cybersecurity Workforce Study » de l’International Information Systems Security Certification Consortium (ISC2), indique que la pĂ©nurie de main-d’Ĺ“uvre dans ce domaine a atteint un niveau record de près de 4 millions de personnes. Selon le rapport d’Observe, la quasi-totalitĂ© des entreprises interrogĂ©es (99 %) accorde la prioritĂ© Ă l’observabilitĂ© de la sĂ©curitĂ©. « L’observabilitĂ© de la sĂ©curitĂ© emprunte des concepts Ă l’observabilitĂ© pour permettre aux Ă©quipes chargĂ©es des opĂ©rations de sĂ©curitĂ© de comprendre les risques et les incidents d’une manière plus holistique », a dĂ©clarĂ© Jack Coates, directeur principal de la gestion des produits chez Observe, dans le communiquĂ© de presse publiĂ© par l’entreprise.
Difficulté à intégrer les systèmes
Le rapport rĂ©vèle que les petites entreprises ont des difficultĂ©s Ă plusieurs niveaux pour intĂ©grer cette observabilitĂ© dans leurs systèmes de sĂ©curitĂ©. Elles n’ont pas non plus les ressources nĂ©cessaires pour engager les bonnes personnes pour utiliser les outils de sĂ©curitĂ©. Cependant, cette limite en ressources les rend prudentes en matière de dĂ©penses, de sorte qu’elles Ă©vitent d’adopter ces produits Ă la suite d’un battage mĂ©diatique. Pour ce qui est des grandes entreprises, si elles ont accès Ă une gamme Ă©tendue d’outils, elles ont du mal Ă les intĂ©grer pour obtenir des performances optimales. Environ 95 % des sondĂ©s se servent d’un outil de gestion des incidents et des Ă©vĂ©nements de sĂ©curitĂ© (SIEM) pour surveiller et alerter sur les cyber-incidents. D’autres catĂ©gories de solutions, comme la sĂ©curitĂ©, l’orchestration, l’automatisation et la rĂ©ponse (Security, Orchestration, Automation and Response, SOAR), l’analyse du comportement des utilisateurs et des entitĂ©s (UEBA) et la dĂ©tection et la rĂ©ponse des points d’extrĂ©mitĂ© (User and Entity Behaviour Analytics, EDR), n’ont pas eu d’impact sur la popularitĂ© du SIEM.
NĂ©anmoins, selon le rapport d’Observe, une amĂ©lioration du SIEM est possible, 46 % des personnes interrogĂ©es envisageant d’adopter un nouvel outil d’observabilitĂ© au cours des 12 prochains mois. « Jusqu’Ă prĂ©sent, le SIEM a Ă©tĂ© utilisĂ© comme plateforme d’observabilitĂ© de la sĂ©curité… et il ne fonctionne pas aussi bien qu’il le pourrait. La crĂ©ation et la maintenance des transformations de donnĂ©es en schĂ©ma sont coĂ»teuses et sujettes aux erreurs, ce qui nuit Ă toute mise en Ĺ“uvre du SIEM », indique le rapport. Cela signifie que les entreprises disposant d’un budget plus important peuvent envisager d’autres options.
Une délégation au SOC, mais une vigilance sur le cloud
Un Ă©lĂ©ment positif a Ă©tĂ© rĂ©vĂ©lĂ© par l’enquĂŞte : Ă savoir que 73 % des personnes interrogĂ©es combinent la rĂ©ponse aux incidents (Incident Response, IR) avec un centre opĂ©rationnel de sĂ©curitĂ© (Security Operations Center, SOC) en interne pour dĂ©tecter et rĂ©pondre aux incidents de sĂ©curitĂ©. D’autre part, 13 % n’utilisent que l’IR et 7 % dĂ©pendent uniquement des Ă©quipes SOC pour dĂ©couvrir les Ă©vĂ©nements de sĂ©curitĂ©. « Les entreprises ressentent clairement le besoin d’avoir des Ă©quipes compĂ©tentes capables de rechercher des menaces inconnues et d’y rĂ©pondre », indique encore le rapport.
L’adoption du cloud continue de croĂ®tre, et 74 % des entreprises interrogĂ©es dĂ©clarent avoir construit la majoritĂ© de leurs systèmes actuels sur le cloud. Malheureusement, ces systèmes natifs n’ont pas modifiĂ© la nature de la collecte de donnĂ©es. « Alors que 35 % de l’instrumentation provient de l’infrastructure, les cas d’usage de la sĂ©curitĂ© et des opĂ©rations nĂ©cessitent tous deux des agents », indique le rapport d’Observe. En outre, ce dernier rĂ©vèle que 84 % des entreprises interrogĂ©es combinent les donnĂ©es de sĂ©curitĂ© et d’exploitation dans un seul outil d’analyse, ce qui amĂ©liore la collaboration entre les Ă©quipes de sĂ©curitĂ© et d’exploitation, favorise la coordination et accroĂ®t la rentabilitĂ©.
Alors que les entreprises prennent conscience de la nĂ©cessitĂ© de disposer d’Ă©quipes compĂ©tentes pour faire face Ă l’augmentation des menaces, elles cherchent aussi Ă rĂ©duire leurs effectifs et leurs dĂ©penses d’infrastructure dans le domaine de la sĂ©curitĂ©.
Selon un rapport d’Observe, spĂ©cialisĂ© dans l’observabilitĂ©, mĂŞme si le nombre d’incidents de sĂ©curitĂ© continue d’augmenter dans tous les secteurs, 47 % des personnes interrogĂ©es prĂ©voient de rĂ©duire leurs effectifs de sĂ©curitĂ©. Fait remarquable, 62 % de ces entreprises ont Ă©galement signalĂ© un nombre plus Ă©levĂ© d’incidents de sĂ©curitĂ© par mois. D’après ce rapport basĂ© sur l’enquĂŞte rĂ©alisĂ©e par CITE Research auprès de 500 dĂ©cideurs et praticiens de la sĂ©curitĂ©, les entreprises qui prĂ©voient de diminuer leurs effectifs dans le domaine de la cybersĂ©curitĂ© envisagent aussi de retreindre leurs dĂ©penses d’infrastructure. De manière gĂ©nĂ©rale, il y a une pĂ©nurie de professionnels de la cybersĂ©curitĂ© alors qu’ils sont très demandĂ©s en raison du nombre croissant d’incidents.
La rĂ©cente Ă©tude « Cybersecurity Workforce Study » de l’International Information Systems Security Certification Consortium (ISC2), indique que la pĂ©nurie de main-d’Ĺ“uvre dans ce domaine a atteint un niveau record de près de 4 millions de personnes. Selon le rapport d’Observe, la quasi-totalitĂ© des entreprises interrogĂ©es (99 %) accorde la prioritĂ© Ă l’observabilitĂ© de la sĂ©curitĂ©. « L’observabilitĂ© de la sĂ©curitĂ© emprunte des concepts Ă l’observabilitĂ© pour permettre aux Ă©quipes chargĂ©es des opĂ©rations de sĂ©curitĂ© de comprendre les risques et les incidents d’une manière plus holistique », a dĂ©clarĂ© Jack Coates, directeur principal de la gestion des produits chez Observe, dans le communiquĂ© de presse publiĂ© par l’entreprise.
Difficulté à intégrer les systèmes
Le rapport rĂ©vèle que les petites entreprises ont des difficultĂ©s Ă plusieurs niveaux pour intĂ©grer cette observabilitĂ© dans leurs systèmes de sĂ©curitĂ©. Elles n’ont pas non plus les ressources nĂ©cessaires pour engager les bonnes personnes pour utiliser les outils de sĂ©curitĂ©. Cependant, cette limite en ressources les rend prudentes en matière de dĂ©penses, de sorte qu’elles Ă©vitent d’adopter ces produits Ă la suite d’un battage mĂ©diatique. Pour ce qui est des grandes entreprises, si elles ont accès Ă une gamme Ă©tendue d’outils, elles ont du mal Ă les intĂ©grer pour obtenir des performances optimales. Environ 95 % des sondĂ©s se servent d’un outil de gestion des incidents et des Ă©vĂ©nements de sĂ©curitĂ© (SIEM) pour surveiller et alerter sur les cybe-rincidents. D’autres catĂ©gories de solutions, comme la sĂ©curitĂ©, l’orchestration, l’automatisation et la rĂ©ponse (Security, Orchestration, Automation and Response, SOAR), l’analyse du comportement des utilisateurs et des entitĂ©s (UEBA) et la dĂ©tection et la rĂ©ponse des points d’extrĂ©mitĂ© (User and Entity Behaviour Analytics, EDR), n’ont pas eu d’impact sur la popularitĂ© du SIEM.
NĂ©anmoins, selon le rapport d’Observe, une amĂ©lioration du SIEM est possible, 46 % des personnes interrogĂ©es envisageant d’adopter un nouvel outil d’observabilitĂ© au cours des 12 prochains mois. « Jusqu’Ă prĂ©sent, le SIEM a Ă©tĂ© utilisĂ© comme plateforme d’observabilitĂ© de la sĂ©curité… et il ne fonctionne pas aussi bien qu’il le pourrait. La crĂ©ation et la maintenance des transformations de donnĂ©es en schĂ©ma sont coĂ»teuses et sujettes aux erreurs, ce qui nuit Ă toute mise en Ĺ“uvre du SIEM », indique le rapport. Cela signifie que les entreprises disposant d’un budget plus important peuvent envisager d’autres options.
Une délégation au SOC, mais une vigilance sur le cloud
Un Ă©lĂ©ment positif a Ă©tĂ© rĂ©vĂ©lĂ© par l’enquĂŞte : Ă savoir que 73 % des personnes interrogĂ©es combinent la rĂ©ponse aux incidents (Incident Response, IR) avec un centre opĂ©rationnel de sĂ©curitĂ© (Security Operations Center, SOC) en interne pour dĂ©tecter et rĂ©pondre aux incidents de sĂ©curitĂ©. D’autre part, 13 % n’utilisent que l’IR et 7 % dĂ©pendent uniquement des Ă©quipes SOC pour dĂ©couvrir les Ă©vĂ©nements de sĂ©curitĂ©. « Les entreprises ressentent clairement le besoin d’avoir des Ă©quipes compĂ©tentes capables de rechercher des menaces inconnues et d’y rĂ©pondre », indique encore le rapport.
L’adoption du cloud continue de croĂ®tre, et 74 % des entreprises interrogĂ©es dĂ©clarent avoir construit la majoritĂ© de leurs systèmes actuels sur le cloud. Malheureusement, ces systèmes natifs n’ont pas modifiĂ© la nature de la collecte de donnĂ©es. « Alors que 35 % de l’instrumentation provient de l’infrastructure, les cas d’usage de la sĂ©curitĂ© et des opĂ©rations nĂ©cessitent tous deux des agents », indique le rapport d’Observe. En outre, ce dernier rĂ©vèle que 84 % des entreprises interrogĂ©es combinent les donnĂ©es de sĂ©curitĂ© et d’exploitation dans un seul outil d’analyse, ce qui amĂ©liore la collaboration entre les Ă©quipes de sĂ©curitĂ© et d’exploitation, favorise la coordination et accroĂ®t la rentabilitĂ©.
Star de la dernière confĂ©rence re:Invent 2023 et prĂ©sentĂ© comme rĂ©ponse d’AWS Ă Copilot de Microsoft, Q ne serait pas exempt d’hallucinations et de fuites de donnĂ©es, selon les premiers retours des salariĂ©s testeurs.
Une semaine après son lancement, l’IA gĂ©nĂ©rative d’Amazon nommĂ©e Q souffrirait de quelques problèmes. En effet, un article paru dans la newsletter The Platformer de Casey Newton laisse entendre que la solution est victime d’hallucinations et de fuites de donnĂ©es confidentielles, selon le retour des salariĂ©s de la firme l’ayant testĂ©. Cependant, selon un porte-parole d’Amazon, Q n’a pas divulguĂ© d’informations confidentielles. « Certains employĂ©s Ă©changent des commentaires par le biais de canaux internes et de systèmes de tickets, ce qui est une pratique courante chez Amazon », ajoute-t-il.  « Aucun problème de sĂ©curitĂ© n’a Ă©tĂ© identifiĂ© Ă la suite de ces commentaires. Nous apprĂ©cions tous les retours que nous avons dĂ©jĂ reçus et nous continuerons Ă amĂ©liorer Q au fur et Ă mesure qu’il passera du statut de produit preview Ă celui GA (general availability) ».
« MalgrĂ© la prĂ©tention d’Amazon Ă faire de son assistant le compagnon de travail de millions de personnes, Q n’est peut-ĂŞtre pas prĂŞt pour une utilisation en entreprise », estiment les analystes qui suivent le secteur. « Si l’IA hallucine, il est impossible de l’utiliser pour prendre des dĂ©cisions dans un cadre professionnel », a dĂ©clarĂ© Pareekh Jain, CEO d’EIIRTrend & Pareekh Consulting. « Ça passe pour un usage personnel ou pour obtenir des informations, mais pas pour des processus de prise de dĂ©cision », a ajoutĂ© M. Jain.
Des tests supplémentaires s’imposent
Amazon doit relever d’importants dĂ©fis en matière de tests avant de pouvoir commercialiser son assistant Ă base d’IA gĂ©nĂ©rative. Selon le consultant, AWS doit mener des essais approfondis en interne pour s’assurer que le produit est prĂŞt. « Il faut faire plus de tests avec les employĂ©s en interne », a dĂ©clarĂ© Pareekh Jain. « De toute Ă©vidence, c’est actuellement le cas, et pour l’instant, aucune personne extĂ©rieure Ă l’entreprise n’a signalĂ© ces problèmes. DĂ©jĂ , ils doivent dĂ©terminer s’ils sont liĂ©s aux donnĂ©es ou Ă l’algorithme ». Conçu comme un outil polyvalent pour les entreprises, Q s’appuie sur l’expertise en matière de donnĂ©es et de dĂ©veloppement acquise par AWS au cours de ces dix-sept dernières annĂ©es. Compte tenu de l’orientation du secteur, l’enjeu est de taille pour Amazon avec cette offre d’IA.
« Si les hallucinations n’entament pas le potentiel de l’IA gĂ©nĂ©rative pour les cas d’usage grand public et professionnels, une formation adĂ©quate est essentielle », a estimĂ© pour sa part Sharath Srinivasamurthy, vice-prĂ©sident associĂ© d’IDC. « La formation des modèles sur des donnĂ©es de meilleure qualitĂ©, l’augmentation des prompts (guider les utilisateurs avec des invites prĂ©dĂ©finies que le modèle peut comprendre facilement), le perfectionnement continu des modèles sur des donnĂ©es et des politiques spĂ©cifiques Ă entreprise ou Ă l’industrie, l’ajout d’une couche de contrĂ´le humain en cas de rĂ©ponse suspecte, sont quelques-unes des mesures Ă prendre pour faire le meilleur usage de cette technologie Ă©mergente », a dĂ©clarĂ© M. Srinivasamurthy.
L’urgence d’une régulation ?
Les cas d’hallucinations soulèvent des inquiĂ©tudes quant Ă la nĂ©cessitĂ© d’une rĂ©gulation et Ă la sĂ©vĂ©ritĂ© des règles qui pourraient s’appliquer Ă un moment ou Ă un autre. Cependant, Sanchit Vir Gogia, analyste en chef et directeur gĂ©nĂ©ral de Greyhound Research, pense que toute rĂ©glementation pourrait ĂŞtre contre-productive. « La rĂ©gulation peut ralentir l’Ă©change et l’utilisation des donnĂ©es », estime-t-il.  Et d’ajouter, « pour l’instant, moins ce secteur est rĂ©glementĂ©, mieux c’est. Cela permet une utilisation plus facile et plus fluide des donnĂ©es. Par l’exemple, s’il y avait eu des garde-fous stricts concernant la capture des donnĂ©es par GPT d’OpenAI, le projet n’aurait pas dĂ©collé ».
Le consultant a Ă©galement suggĂ©rĂ© que la mise en place de limites externes n’Ă©tait peut-ĂŞtre pas rĂ©alisable, mais que les entreprises elles-mĂŞmes pouvaient faire davantage d’efforts. « Il peut y avoir des rĂ©glementations, mais il faut surtout mettre l’accent sur l’autorĂ©gulation », explique-t-il. « L’accent devrait ĂŞtre mis sur l’IA responsable, dont on peut expliquer la logique aux clients, au lieu de crĂ©er des systèmes « boĂ®te noire ». Reste que, Ă mon avis, il existe un seuil au-delĂ duquel la responsabilitĂ© concerne plus la façon dont les entreprises perçoivent et mettent en Ĺ“uvre ces mesures dans une logique de sĂ©curité ».
Star de la dernière confĂ©rence re:Invent 2023 et prĂ©sentĂ© comme rĂ©ponse d’AWS Ă Copilot de Microsoft, Q ne serait pas exempt d’hallucinations et de fuites de donnĂ©es, selon les premiers retours des salariĂ©s testeurs.
Une semaine après son lancement, l’IA gĂ©nĂ©rative d’Amazon nommĂ©e Q souffrirait de quelques problèmes. En effet, un article paru dans la newsletter The Platformer de Casey Newton laisse entendre que la solution est victime d’hallucinations et de fuites de donnĂ©es confidentielles, selon le retour des salariĂ©s de la firme l’ayant testĂ©. Cependant, selon un porte-parole d’Amazon, Q n’a pas divulguĂ© d’informations confidentielles. « Certains employĂ©s Ă©changent des commentaires par le biais de canaux internes et de systèmes de tickets, ce qui est une pratique courante chez Amazon », ajoute-t-il.  « Aucun problème de sĂ©curitĂ© n’a Ă©tĂ© identifiĂ© Ă la suite de ces commentaires. Nous apprĂ©cions tous les retours que nous avons dĂ©jĂ reçus et nous continuerons Ă amĂ©liorer Q au fur et Ă mesure qu’il passera du statut de produit preview Ă celui GA (general availability) ».
« MalgrĂ© la prĂ©tention d’Amazon Ă faire de son assistant le compagnon de travail de millions de personnes, Q n’est peut-ĂŞtre pas prĂŞt pour une utilisation en entreprise », estiment les analystes qui suivent le secteur. « Si l’IA hallucine, il est impossible de l’utiliser pour prendre des dĂ©cisions dans un cadre professionnel », a dĂ©clarĂ© Pareekh Jain, CEO d’EIIRTrend & Pareekh Consulting. « Ça passe pour un usage personnel ou pour obtenir des informations, mais pas pour des processus de prise de dĂ©cision », a ajoutĂ© M. Jain.
Des tests supplémentaires s’imposent
Amazon doit relever d’importants dĂ©fis en matière de tests avant de pouvoir commercialiser son assistant Ă base d’IA gĂ©nĂ©rative. Selon le consultant, AWS doit mener des essais approfondis en interne pour s’assurer que le produit est prĂŞt. « Il faut faire plus de tests avec les employĂ©s en interne », a dĂ©clarĂ© Pareekh Jain. « De toute Ă©vidence, c’est actuellement le cas, et pour l’instant, aucune personne extĂ©rieure Ă l’entreprise n’a signalĂ© ces problèmes. DĂ©jĂ , ils doivent dĂ©terminer s’ils sont liĂ©s aux donnĂ©es ou Ă l’algorithme ». Conçu comme un outil polyvalent pour les entreprises, Q s’appuie sur l’expertise en matière de donnĂ©es et de dĂ©veloppement acquise par AWS au cours de ces dix-sept dernières annĂ©es. Compte tenu de l’orientation du secteur, l’enjeu est de taille pour Amazon avec cette offre d’IA.
« Si les hallucinations n’entament pas le potentiel de l’IA gĂ©nĂ©rative pour les cas d’usage grand public et professionnels, une formation adĂ©quate est essentielle », a estimĂ© pour sa part Sharath Srinivasamurthy, vice-prĂ©sident associĂ© d’IDC. « La formation des modèles sur des donnĂ©es de meilleure qualitĂ©, l’augmentation des prompts (guider les utilisateurs avec des invites prĂ©dĂ©finies que le modèle peut comprendre facilement), le perfectionnement continu des modèles sur des donnĂ©es et des politiques spĂ©cifiques Ă entreprise ou Ă l’industrie, l’ajout d’une couche de contrĂ´le humain en cas de rĂ©ponse suspecte, sont quelques-unes des mesures Ă prendre pour faire le meilleur usage de cette technologie Ă©mergente », a dĂ©clarĂ© M. Srinivasamurthy.
L’urgence d’une régulation ?
Les cas d’hallucinations soulèvent des inquiĂ©tudes quant Ă la nĂ©cessitĂ© d’une rĂ©gulation et Ă la sĂ©vĂ©ritĂ© des règles qui pourraient s’appliquer Ă un moment ou Ă un autre. Cependant, Sanchit Vir Gogia, analyste en chef et directeur gĂ©nĂ©ral de Greyhound Research, pense que toute rĂ©glementation pourrait ĂŞtre contre-productive. « La rĂ©gulation peut ralentir l’Ă©change et l’utilisation des donnĂ©es », estime-t-il.  Et d’ajouter, « pour l’instant, moins ce secteur est rĂ©glementĂ©, mieux c’est. Cela permet une utilisation plus facile et plus fluide des donnĂ©es. Par l’exemple, s’il y avait eu des garde-fous stricts concernant la capture des donnĂ©es par GPT d’OpenAI, le projet n’aurait pas dĂ©collé ».
Le consultant a Ă©galement suggĂ©rĂ© que la mise en place de limites externes n’Ă©tait peut-ĂŞtre pas rĂ©alisable, mais que les entreprises elles-mĂŞmes pouvaient faire davantage d’efforts. « Il peut y avoir des rĂ©glementations, mais il faut surtout mettre l’accent sur l’autorĂ©gulation », explique-t-il. « L’accent devrait ĂŞtre mis sur l’IA responsable, dont on peut expliquer la logique aux clients, au lieu de crĂ©er des systèmes « boĂ®te noire ». Reste que, Ă mon avis, il existe un seuil au-delĂ duquel la responsabilitĂ© concerne plus la façon dont les entreprises perçoivent et mettent en Ĺ“uvre ces mesures dans une logique de sĂ©curité ».
La CISA a alertĂ© contre l’exploitation d’une faille dans ColdFusion d’Adobe dans une campagne menĂ©e contre des agences gouvernementales amĂ©ricaines. Le rĂ©gulateur pousse ces dernières Ă corriger rapidement la vulnĂ©rabilitĂ© dans le framework de dĂ©veloppement d’applications Web et mobiles.
Encore une fois, la CISA (Cybersecurity and Infrastructure Security Agency) équivalent de l’Anssi aux Etats-Unis a lancé une alerte concernant une faille exploitée par des cybercriminels. En l’occurrence, il s’agit d’une vulnérabilité présente dans la solution de développement d’applications Web et mobiles, ColdFusion d’Adobe. Selon le régulateur, elle a servi en juin dernier dans deux attaques contre des agences fédérales. Les attaquants ont utilisé ce moyen pour déployer des shells web et collecter des informations afin de se déplacer latéralement dans les environnements.
Dans les deux cas, les instances ColdFusion compromises Ă©taient obsolètes, car un correctif Ă©tait disponible depuis le mois de mars pour la vulnĂ©rabilitĂ© exploitĂ©e. « L’analyse suggère que l’activitĂ© malveillante des acteurs de la menace avait un but de reconnaissance pour cartographier le rĂ©seau dans son ensemble », a dĂ©clarĂ© la CISA dans son avis, sans attribuer les attaques Ă un groupe connu. « Pour l’instant, aucune preuve ne permet de confirmer une exfiltration de donnĂ©es rĂ©ussie ou un mouvement latĂ©ral au cours de l’un ou l’autre incident », ajoute-t-elle.
Une vulnérabilité de désérialisation critique
La vulnĂ©rabilitĂ© exploitĂ©e dans les deux incidents, rĂ©pertoriĂ©e sous la rĂ©fĂ©rence CVE-2023-26360, est une faille de dĂ©sĂ©rialisation critique qui peut ĂŞtre exploitĂ©e pour exĂ©cuter du code Ă distance. Elle affecte les versions 2021 et 2018 de ColdFusion, ainsi que des versions plus anciennes qui ne sont plus supportĂ©es. La faille a Ă©tĂ© corrigĂ©e en mars, en mĂŞme temps qu’une autre brèche similaire (CVE-2023-26359) et qu’un problème de traversĂ©e de rĂ©petoire. En programmation, la sĂ©rialisation dĂ©signe le processus de conversion des donnĂ©es en un flux d’octets, gĂ©nĂ©ralement pour les transmettre par câble. La dĂ©sĂ©rialisation est l’inversion de ce processus et, comme la plupart des opĂ©rations d’analyse de donnĂ©es dans les logiciels, elle peut ĂŞtre source de vulnĂ©rabilitĂ©s si les utilisateurs contrĂ´lent l’entrĂ©e.
Pendant des annĂ©es, les applications Java ont Ă©tĂ© affectĂ©es par ce type de vulnĂ©rabilitĂ©s non sĂ»res et la plate-forme serveur ColdFusion pour l’exĂ©cution d’applications CFML (ColdFusion Markup Language), est Ă©crite en Java. Les failles de dĂ©sĂ©rialisation ne sont pas rares dans ColdFusion. Depuis le mois de mars, Adobe a corrigĂ© six autres brèches de ce type, jugĂ©es critiques et susceptibles d’entraĂ®ner l’exĂ©cution d’un code arbitraire, dont trois le mois dernier. Les attaquants cherchent Ă©galement Ă les exploiter, et une faille de dĂ©sĂ©rialisation de ColdFusion corrigĂ©e en juillet fait l’objet d’une exploitation active dans la nature.
Le serveur sous-jacent ciblé
MĂŞme si ColdFusion est un logiciel multiplateforme, il est gĂ©nĂ©ralement dĂ©ployĂ© sur des serveurs Windows utilisant le serveur web IIS. Ce qui en fait une cible attractive pour les pirates, car le serveur sous-jacent peut contenir des comptes et d’autres informations pouvant facilter des mouvements latĂ©raux au sein du rĂ©seau Windows d’une entreprise. Dans les deux cas, les attaquants ont utilisĂ© la vulnĂ©rabilitĂ© pour tĂ©lĂ©charger des fichiers cryptĂ©s avec l’extension .txt qui ont ensuite Ă©tĂ© dĂ©codĂ©s Ă l’aide de l’utilitaire Certutil WIndows en fichiers .jsp qui ont servi de shells web – des scripts de backdoor qui offrent aux attaquants d’exĂ©cuter des commandes Ă distance sur un serveur. Dans l’un des incidents, les cybercriminels ont crĂ©Ă© un dossier de prĂ©paration dans lequel ils ont dĂ©posĂ© plusieurs utilitaires : un fichier DLL d’exportation de cookies qui fait partie du navigateur Edge de Microsoft, un scanner de ressources rĂ©seau appelĂ© fscan.exe, une copie du compilateur de ressources Microsoft et d’autres exĂ©cutables. Le shell web malveillant contenait Ă©galement un code qui tentait de dĂ©crypter les mots de passe des sources de donnĂ©es ColdFusion.
ColdFusion enregistre les mots de passe sous forme cryptĂ©e avec une valeur d’amorçage codĂ©e en dur dans ColdFusion 8, mais elle est unique pour chaque installation dans les versions ultĂ©rieures. « Un acteur qui contrĂ´le le serveur de base de donnĂ©es peut utiliser ces valeurs pour dĂ©crypter les mots de passe des sources de donnĂ©es dans ColdFusion version 8 ou antĂ©rieure », a expliquĂ© la CISA. « Les serveurs de la victime utilisaient une version plus rĂ©cente au moment de la compromission, si bien que le code malveillant n’a pas rĂ©ussi Ă dĂ©crypter les mots de passe en utilisant la valeur d’amorçage codĂ©e en dur par dĂ©faut pour les anciennes versions. Les attaquants Ă l’origine du second incident semblent avoir Ă©tĂ© plus habiles et ont utilisĂ© des tactiques de reconnaissance plus avancĂ©es. Ils ont dĂ©nombrĂ© les domaines de confiance Ă l’aide des commandes nltest et ont recueilli des informations sur les comptes administrateurs locaux et de domaine Ă l’aide de commandes telles que localgroup, net user, net user /domain et ID. Ils ont Ă©galement tentĂ© de dĂ©couvrir la configuration du rĂ©seau, les journaux temporels et les informations sur les utilisateurs.
Des changements de tactiques en cas de blocage
Selon la CISA, ils ont tentĂ© de copier et d’exfiltrer des ruches de registre système telles que HKEY_LOCAL_MACHINE (HKLM) et le Security Account Manager (SAM), mais l’activitĂ© a Ă©tĂ© dĂ©tectĂ©e et bloquĂ©e. « Le fichier de registre SAM donne aux acteurs malveillants la capacitĂ© d’obtenir des noms d’utilisateur et de trouver les mots de passe par rĂ©tro-ingĂ©nierie, mais, aucun artefact n’Ă©tait disponible pour confirmer que les acteurs de la menace avaient rĂ©ussi Ă exfiltrer la ruche de registre SAM », a dĂ©clarĂ© l’agence. Les pirates ont aussi vidĂ© la mĂ©moire du service LSASS (Local Security Authority Subsystem Service), qui contient gĂ©nĂ©ralement les identifiants NTLM des comptes utilisateurs utilisĂ©s sur le système, y compris les identifiants dĂ©sactivĂ©s qui pourraient encore ĂŞtre valides sur d’autres systèmes.
En voyant que certaines de leurs tentatives Ă©taient bloquĂ©es, ils ont changĂ© de tactique en essayant de vider le registre Ă l’aide d’outils de sĂ©curitĂ© prĂ©sents sur le système. Ils ont Ă©galement essayĂ© d’accĂ©der Ă l’ensemble de fichiers et de dossiers SYSVOL sur un contrĂ´leur de domaine, un outil utilisĂ© pour fournir des scripts de stratĂ©gie et de connexion aux membres du domaine. En ce qui concerne les techniques de post-compromission spĂ©cifiques Ă ColdFusion, les attaquants ont accĂ©dĂ© au fichier seed.properties de ColdFusion, qui sert Ă stocker la graine unique utilisĂ©e pour chiffrer les mots de passe. L’avis de la CISA contient des indicateurs de compromission ainsi que des tactiques, techniques et procĂ©dures (Tactics, Techniques and Procedures, TTP) qui pourraient aider les entreprises Ă dĂ©velopper des mĂ©canismes de dĂ©tection pour des attaques similaires contre des dĂ©ploiements de ColdFusion. L’agence fournit aussi des instructions pour attĂ©nuer les effets de l’attaque, qui vont de la mise Ă jour du logiciel Ă la segmentation du rĂ©seau, en passant par les politiques de contrĂ´le des applications et les autorisations de comptes et de fichiers.
Les campagnes menées par le groupe de ransomware Black Basta ont réussi à extorquer plus de 100 millions de dollars auprès des victimes. Le gang serait une émanation de feu Conti.
Au cours de l’annĂ©e et demie Ă©coulĂ©e, la campagne de ransomware Black Basta, que les experts attribuent Ă des personnes peut ĂŞtre liĂ©es au tristement cĂ©lèbre gang Conti, a collectĂ© plus de 100 millions de dollars, et a infectĂ© 329 victimes connues. Selon un rapport publiĂ© par Elliptic, spĂ©cialisĂ© dans l’analyse des cryptomonnaies, la stratĂ©gie de Black Basta prĂ©sente des similaritĂ©s avec Conti notamment sur les cibles visĂ©es. Elles sont pour les deux tiers ont concernĂ© des entreprises amĂ©ricaines dans le secteur manufacturier, de l’ingĂ©niĂ©rie, de la construction et du retail.
Un minimum de 107 millions de dollars d’extorsion
D’autres secteurs ont Ă©galement Ă©tĂ© visĂ©s, notamment des cabinets d’avocats, des agences immobilières, etc. En Ă©tudiant les connexions de la blockchain entre les crypto-monnaies utilisĂ©es pour le paiement des rançons en bitcoins, Elliptic, de concert avec Corvus Insurance, a dĂ©couvert des modalitĂ©s typiques. Les chercheurs ont ainsi identifiĂ© plus de 90 rançons payĂ©es Ă Black Basta, d’une valeur moyenne de 1,2 million de dollars chacune. Au total, le groupe a reçu 107 millions de dollars en paiement de rançons. Le rapport prĂ©cise que ce chiffre est probablement « sous-estimé », car les chercheurs pensent ne pas avoir identifiĂ© tous les paiements. Les deux victimes les plus connues sont Capita, une entreprise spĂ©cialisĂ©e dans l’externalisation technologique ayant d’importants contrats avec le gouvernement britannique, et ABB, une entreprise d’automatisation industrielle.
Le rapport note qu’aucune de ces deux entreprises n’a divulguĂ© de paiement de rançon. Capita n’a pas rĂ©pondu immĂ©diatement aux demandes de commentaires ; ABB a reconnu dans un communiquĂ© avoir subi un « incident de sĂ©curité », mais n’a pas prĂ©cisĂ© s’il s’agissait d’un ransomware. « En mai 2023, ABB a eu connaissance d’un incident de sĂ©curitĂ© informatique ayant un impact sur certains systèmes informatiques de l’entreprise. Ă€ la suite de cet incident, ABB a ouvert une enquĂŞte, notifiĂ© certaines autoritĂ©s chargĂ©es de l’application de la loi et de la protection des donnĂ©es, et travaillĂ© avec des experts de premier plan pour dĂ©terminer la nature et la portĂ©e de l’incident », selon une dĂ©claration de groupe envoyĂ©e par son responsable des relations avec les mĂ©dias. « ABB a Ă©galement pris des mesures pour contenir l’incident et renforcer la sĂ©curitĂ© de ses systèmes. Sur la base de son enquĂŞte, ABB a dĂ©terminĂ© qu’un tiers non autorisĂ© a accĂ©dĂ© Ă certains systèmes d’ABB et a exfiltrĂ© certaines donnĂ©es. L’entreprise travaille Ă l’identification et Ă l’analyse de la nature et de l’Ă©tendue des donnĂ©es affectĂ©es, et continue d’Ă©valuer ses obligations en matière de notification ».
Un vecteur de Qakbot
Black Basta est essentiellement distribuĂ© par le malware Qakbot, qui fonctionne par le biais de campagnes de phishing. Les chercheurs ont indiquĂ© que des pourcentages sur les sommes rĂ©coltĂ©es avaient apparemment Ă©tĂ© versĂ©s aux « opĂ©rateurs » de Black Basta – ce qui laisse supposer qu’il s’agit d’un ransomware as a service – et que des paiements similaires ont Ă©tĂ© versĂ©s Ă Qakbot pour la participation de ce groupe aux attaques. Selon le rapport, la perturbation du rĂ©seau de Qakbot, en aoĂ»t, pourrait expliquer en partie la « nette diminution » des attaques de Black Basta ces derniers mois.
Les chercheurs ont Ă©galement trouvĂ© des preuves de liens entre les crypto-monnaies utilisĂ©es pour les paiements de Black Basta et celles du gang Conti, un groupe de cybercriminels basĂ© en Russie qui serait liĂ©e au gouvernement de ce pays. Les chercheurs pensent aussi que les paiements de rançon sont blanchis par l’intermĂ©diaire de la bourse russe de crypto-monnaies connue sous le nom de Garantex. Ils notent que cette dernière a Ă©tĂ© sanctionnĂ©e en avril 2022 par le gouvernement amĂ©ricain pour ses liens commerciaux avec des places de marchĂ© utilisant le darknet.
Plusieurs rapports de sécurité indiquent que, cette année, des groupes basés en Chine ont fortement intensifié leurs cyberattaques contre Taïwan.
Dans un contexte de tensions gĂ©opolitiques et de guerre commerciale, les cyberattaques menĂ©es par la Chine contre TaĂŻwan sont en forte augmentation. C’est ce que constatent de nombreux rapports de sĂ©curitĂ© en cette fin d’annĂ©e. Ă€ propos des cyberattaques prĂ©tendument soutenues par la Chine contre TaĂŻwan, Kate Morgan, ingĂ©nieur principal au sein de la division d’analyse des menaces de Google a rĂ©cemment dĂ©clarĂ© Ă Bloomberg que Google suivait près de 100 groupes de cybercriminels informatiques agissant hors de Chine. Les cibles de ces groupes malveillants sont très diverses, parmi lesquels figurent le gouvernement, les acteurs de l’industrie privĂ©e et des organismes de dĂ©fense.
Le groupe Flax Typhoon dans le viseur de Microsoft
Microsoft a Ă©galement fait Ă©tat d’une recrudescence des cyberattaques depuis la Chine. C’est le cas du groupe Flax Typhoon, basĂ© en Chine et Ă©paulĂ© par le gouvernement, qui serait actif depuis 2021. Selon un billet de blog de Microsoft Security publiĂ© en aoĂ»t, cette entitĂ© a ciblĂ© de nombreuses entreprises taĂŻwanaises dans les domaines des tĂ©lĂ©communications, de l’Ă©ducation, de l’Ă©nergie et des technologies de l’information. « Flax Typhoon obtient et maintient un accès Ă long terme aux rĂ©seaux des entreprises taĂŻwanaises avec une utilisation minimale de malware, en s’appuyant sur des outils intĂ©grĂ©s au système d’exploitation, ainsi que sur certains logiciels normalement bĂ©nins pour se maintenir discrètement dans ces rĂ©seaux », peut-on lire sur le blog de Microsoft.
« Le comportement et les cibles du groupe de pirates suggèrent qu’il s’agit d’un groupe engagĂ© dans des actions d’espionnage », a dĂ©clarĂ© Microsoft. « MĂŞme si Flax Typhoon utilise un certain nombre d’outils de piratage, il s’appuie principalement sur des techniques de survie et fait ses premières incursions dans les systèmes en tirant parti des vulnĂ©rabilitĂ©s des serveurs connectĂ©s au web Ă l’aide de shells web comme China Chopper », a encore dĂ©clarĂ© l’éditeur. Par ailleurs, une Ă©tude rĂ©cente de Fortinet, largement citĂ©e dans les mĂ©dias, rĂ©vèle que le fournisseur a dĂ©tectĂ© jusqu’Ă 15 000 cyberattaques par seconde contre TaĂŻwan au cours du premier semestre de l’annĂ©e en cours, soit une augmentation de 80 % par rapport Ă la mĂŞme pĂ©riode en 2022. Les techniques les plus courantes sont les attaques par dĂ©ni de service distribuĂ© (DDoS) et l’utilisation de DoublePulsar, un outil d’implantation de porte dĂ©robĂ©e mis au point par la NSA.
Le risque d’attaques exacerbĂ© par les tensions gĂ©opolitiques
La gĂ©opolitique sert de toile de fond au nombre croissant de cyberattaques contre les infrastructures taĂŻwanaises. Les relations entre les deux pays se sont dĂ©tĂ©riorĂ©es après la visite Ă TaĂŻwan, en aoĂ»t 2022, de Nancy Pelosi, alors prĂ©sidente de la Chambre des reprĂ©sentants des États-Unis. Au dĂ©but de l’annĂ©e, les craintes d’une invasion par la Chine sont montĂ©s crescendo. MĂŞme si l’Ă®le est indĂ©pendante depuis 1949 et dispose d’un gouvernement distinct, Ă©lu dĂ©mocratiquement, la Chine considère TaĂŻwan comme faisant partie de son territoire. La guerre commerciale sur les semi-conducteurs n’amĂ©liore pas non plus les relations entre les États-Unis et la Chine. Près de 92 % des semi-conducteurs avancĂ©s dont les nĹ“uds sont infĂ©rieurs Ă 10 nanomètres sont fabriquĂ©s Ă TaĂŻwan, ce qui les rend essentiels Ă l’Ă©conomie mondiale. Toute perturbation dans la fabrication peut entraĂ®ner une pĂ©nurie mondiale. L’an dernier, l’administration de Joe Biden a annoncĂ© des restrictions sur la vente de puces avancĂ©es Ă la Chine, laquelle a ripostĂ© en limitant les exportations de gallium et de germanium, un composant clĂ© dans la production de puces.
RĂ©cemment, le gouvernement amĂ©ricain a renforcĂ© des restrictions supplĂ©mentaires sur les exportations de semi-conducteurs et d’Ă©quipements de fabrication de puces vers la Chine. Dans une rĂ©cente interview accordĂ©e au New York Times, la prĂ©sidente de TaĂŻwan, Tsai Ing-wen, a dĂ©clarĂ© que la Chine Ă©tait trop « submergĂ©e » par ses « problèmes Ă©conomiques, financiers et politiques internes » pour envahir TaĂŻwan. NĂ©anmoins, les tensions entre les diffĂ©rents protagonistes, ne sont pas près de prendre fin, et, selon les experts, les entreprises ayant des activitĂ©s Ă dans les deux pays rivaaux devraient en tenir compte. Pour se dĂ©fendre contre les techniques utilisĂ©es par les acteurs Ă©tatiques, il faut dĂ©jà « adopter une bonne gestion des vulnĂ©rabilitĂ©s et des correctifs, en particulier sur les systèmes et les services exposĂ©s Ă l’internet public », a recommandĂ© Microsoft sur son blog. « Un renforcement adaptĂ© du système peut aussi contribuer Ă attĂ©nuer les techniques de vol d’identifiants ».