Planète Warez

Un nouvel ensemble de vulnérabilités baptisé “CONTINUATION Flood” a été découvert dans le protocole HTTP/2 ! Dans certains cas, l’exploitation de ces vulnérabilités permet un déni de service sur le serveur web pris pour cible, à partir d’une seule connexion TCP. Voici ce qu’il faut savoir.

Le chercheur en sécurité Barket Nowotarski a fait la découverte des vulnérabilités “CONTINUATION Flood” présente dans HTTP/2, une version du protocole HTTP standardisée en 2015. S’il a choisi ce nom, ce n’est pas un hasard, car ces faiblesses sont liées à une mauvaise gestion des trames HTTP/2 CONTINUATION dans de nombreuses implémentations du protocole HTTP/2. Ces trames sont utilisées pour assembler le flux de données correspondant à différents blocs de messages du protocole HTTP/2, notamment pour l’en-tête.

Lorsque les données ne sont pas correctement limitées ou vérifiées, un attaquant peut exploiter ces vulnérabilités en envoyant des trames extrêmement longues, sans définir l’indicateur “END_HEADERS”, ce qui va permettre d’épuiser les ressources du serveur cible et engendrer un déni de service. Dans certains cas, une seule connexion TCP en HTTP/2 peut suffire pour saturer le serveur en mémoire vive et le faire planter.

“Les implémentations sans timeout pour les en-têtes ne nécessitaient qu’une seule connexion HTTP/2 pour faire planter le serveur.”, peut-on lire dans le rapport de Barket Nowotarski.

Par ailleurs, il est important de préciser que le protocole HTTP/2 est encore largement utilisé. “Selon Cloudflare Radar, le trafic HTTP/2 représente environ 60 % de l’ensemble du trafic HTTP humain (données excluant les robots)”, précise Barket Nowotarski, avec un graphe à l’appui.

Le CERT/CC a également publié un rapport au sujet de l’ensemble de vulnérabilités CONTINUATION Flood. Il référence 9 failles de sécurité correspondantes à cette faiblesse dans différentes implémentations : la bibliothèque nghttp2, AMPHP, Apache HTTP, Arista Networks, Red Hat, SUSE Linux, Node.js, Envoy (version 1.29.2 ou antérieure), ainsi que le langage de programmation Go.

À la fin de l’article du CERT/CC, il y a un tableau récapitulatif, et nous pouvons voir que le statut est actuellement inconnu pour plusieurs dizaines d’implémentations. Voici un extrait :

Les CVE suivantes sont associées à CONTINUATION Flood : CVE-2024-27983, CVE-2024-27919, CVE-2024-2758, CVE-2024-2653, CVE-2023-45288, CVE-2024-28182, CVE-2024-27316, CVE-2024-31309, CVE-2024-30255.

Si vous utilisez Apache2, sachez que la vulnérabilité CVE-2024-27316, correspondante à CONTINUATION Flood, a été corrigée dans Apache 2.4.59 publiée ce jeudi 4 avril 2024 (voir cette page).
Ceci n’est pas sans rappeler la faille de sécurité “Rapid Reset” présente dans le protocole HTTP/2 et révélée en octobre 2023. À l’époque, elle avait permis de déclencher des attaques DDoS records !

– Source:

https://www.it-connect.fr/vulnerabilite-continuation-flood-dans-http2-expose-serveurs-web-attaques-dos/

Ça fait un moment qu’on peut utiliser simple login ou c’est juste le fait que ça soit intégré direct à ProtonMail ?

@Ashura a dit dans Proton Pass débarque sur Windows (bientôt sur macOS et Linux) :

@Violence je crois que ça été demander sur reddit et c’est pas à l’ordre du jour

Berkkk…

En plus impossible de l’utiliser en mode Offline sans passer à la caisse = Poubelle

Merci je vais tester pour remplacer Google Authenticator.

Vu que de plus en plus de site demande la double authentification :ahah:

C’est marrant eux qui infectaient le matos Cisco en sortie d’usine…

j’aime bien le client lourd et le service web ^^

perso j’ai migré tous les mots de passes, tout out sur Bitwarden, car compatible Firefox et iOS et depuis ma vie est super mieux :smile: j’ai un mot de passe fort différent pour chaque site et quand le 2FA s’impose, on vire le sms est on passe par l’appli

par contre si quelqu’un arrive un jour à casser la protection, c’est fini, mais je doute que cela soit possible, physiquement parlant, en 2024

ℹ️ - Modification du tutoriel incluant un fake domain et un CA SAN via mkcert sinon l'application desktop est inutilisable

ayant été développeur pendant 20 ans, à la grande époque du cobol, cics etc …

c’est vrai qu’au bout de quelques années de maintenance et d’évolution, ça peut être très intéressant de poser le truc et de le re écrire from scratch !!!

j’ai vu des résultats exceptionnels sur des gros batch qui brassent des milliards d’écritures chaque soir dans les banques.

Merde pourquoi bitwarden pas testé

Bonne nouvelle, plus qu’à attendre que ça arrive sur les applis

Une autre bonne nouvelle avec signal

@Violence je parlais d’y avoir accès sans l’autorisation des devs, un hack ou bypass quoi

Mais comme tu dis à part un autre Snowden on sauras jamais

Elles se plaignent aussi que les travailleurs actuels sont peu qualifiés

La pénurie de main-d’œuvre secouant le secteur de la cybersécurité persiste. De nouveaux rapports sur le sujet indiquent que les entreprises et les gouvernements continuent à rechercher désespérément des professionnels qualifiés pour lutter contre la montée de la cybercriminalité. Selon un rapport, le nombre de professionnels de la cybersécurité dans le monde s’élevait à 4,7 millions de personnes en 2022, mais 3,4 millions de postes restent encore à pourvoir. Le besoin de nouveaux talents qualifiés est d’autant plus pressant pour les organisations, car elles se plaignent du fait qu’une partie importante de leurs employés actuels en cybersécurité sont sous-qualifiés.

Pénurie de talents en cybersécurité : le nombre de postes à pouvoir en hausse

Les organisations publiques comme privées sont aujourd’hui confrontées à une hausse sans précédent des violations de données, conséquence directe du manque de professionnels qualifiés pouvant assurer la sécurité des données. Mais quelles sont les raisons à l’origine de cette pénurie ? Selon les experts, les pratiques héritées du passé, les budgets serrés, l’étroitesse d’esprit, le manque de diversité et le fait de considérer la cybersécurité comme un pis-aller sont autant de facteurs qui contribuent au problème. D’autres experts estiment que les entreprises ignorent quelle approche adopter en matière de cybersécurité, ouvrant ainsi la porte aux violations.

« C’est le marché lui-même qui est en cause, les entreprises étant déconnectées et irréalistes », explique Jeremy Ventura, directeur de la stratégie de sécurité et RSSI (responsable de la sécurité des systèmes d’information) de terrain pour la société de protection automatisée contre les menaces ThreatX. La pénurie de talents dans la cybersécurité se fait davantage sentir dans des pays tels que l’Inde, où la numérisation est rapide. Mais même aux États-Unis, seuls 69 % des postes dans le domaine de la cybersécurité sont pourvus. Ces statistiques proviennent de Cyberseek, un site Web qui fournit des données sur le marché de l’emploi dans ce domaine.

« Le fossé est énorme », déclare Clar Rosso, directrice générale de l’ISC2 (International Information Systems Security Certification Consortium). Selon la dernière étude d’IBM sur le sujet, les professionnels de la cybersécurité se font rares à une époque où le coût moyen d’une violation de données aux États-Unis s’élève à 4,5 millions de dollars. En outre, Fortinet, une entreprise américaine qui développe et vend des logiciels et services de cybersécurité, indique que 80 % des organisations ont subi une ou plusieurs violations qu’elles peuvent attribuer à un manque de compétences ou de sensibilisation en matière de cybersécurité. Mais ce n’est pas tout.

Le manque de talents en cybersécurité n’est pas le seul problème des organisations : les travailleurs actuels seraient peu qualifiés. Un rapport publié cette année par le gouvernement britannique a révélé que 50 % des entreprises britanniques - soit 739 000 au total - manquent de compétences de base en cybersécurité, ce qui signifie que les responsables de la cybersécurité n’ont pas la confiance nécessaire pour mettre en œuvre les mesures techniques qui protègent contre les attaques numériques les plus courantes. D’autres rapports font le même constat et ajoutent que les travailleurs peu qualifiés sont souvent des portes d’entrée pour les cybercriminels.

Par ailleurs, selon les analystes du secteur, la pénurie de talents qualifiés dans le domaine de la cybersécurité se poursuit et a commencé à avoir un impact sur la capacité des entreprises à se mettre en conformité. Les entreprises doivent respecter ou maintenir la conformité, et les données des consommateurs doivent être sécurisées. Les entreprises qui ne disposent pas de ressources suffisantes pour se mettre en conformité et garantir la sécurité des données de leurs clients risquent de rencontrer des difficultés dans la commercialisation de leurs produits et services, ce qui aura un impact sur leurs aspirations à la croissance et à l’expansion.

Les causes de la pénurie de main-d’œuvre dans le secteur de la cybersécurité

Roy Zur, PDG du fournisseur de compétences numériques et de cybersécurité ThriveDX, affirme qu’à certains égards, la pénurie de compétence est un problème “auto-infligé”, car les entreprises recherchent des candidats ayant un niveau d’expérience minimum strict. « On ne peut pas résoudre le problème en ne s’occupant que des personnes en place. Les entreprises doivent changer d’état d’esprit et comprendre que pour résoudre ce problème, elles doivent ouvrir les portes », explique-t-il. Les analystes indiquent qu’un problème particulier est le manque de programmes de formation spécialisée et accélérée, malgré la forte demande des employeurs.

Selon un rapport publié cette année par Fortinet sur le déficit de compétences dans le secteur, 90 % des responsables de la cybersécurité recherchent des certifications axées sur la technologie lorsqu’ils recrutent du personnel. Selon Zur, les diplômes universitaires et collégiaux ne constituent pas un moyen efficace de former des gens dans le secteur de la cybersécurité. Zur estime que ces cursus prennent trop de temps et sont souvent trop généraux - en informatique ou en ingénierie, par exemple. En revanche, il n’a pas hésité à souligner le succès de l’unité israélienne de cyberguerre 8200, qui forme en six à huit mois des jeunes qui ont quitté l’école.

« Il faut que davantage d’entreprises du secteur privé se lancent dans ce domaine et forment les gens », déclare-t-il. De même, Rosso estime que les jeunes employés devraient rapidement être en mesure de prendre en charge le gros du travail cybernétique de base, à condition qu’ils reçoivent la formation adéquate. Elle conseille donc aux entreprises de recruter pour les compétences non techniques et l’état d’esprit, c’est-à-dire de recruter des personnes capables de résoudre des problèmes et d’avoir un esprit analytique et critique, puis de les former pour les compétences techniques. Certaines organisations ont lancé de nouveaux types de formation.

L’ISC2 a créé une nouvelle certification appelée “Certified in Cyber Security”, qui vise à former les candidats aux principes fondamentaux de la cybersécurité, tels que la réponse aux incidents et la sécurité des réseaux. Au cours de la première année, plus de 250 000 personnes se sont inscrites, un chiffre que l’ISC2 souhaite porter à 1 million au fil du temps. Les gouvernements prennent aussi des mesures. Aux États-Unis, l’administration Biden a annoncé en juillet la création d’une entité conçue pour augmenter le nombre de travailleurs qualifiés en rendant l’enseignement et la formation en cybernétique plus accessibles et plus abordables.

De son côté, le Royaume-Uni a mis en place un programme “Upskill in Cyber”, en partenariat avec l’institut de formation à la cybersécurité SANS, qui a enregistré un nombre record de demandes d’inscription. Rosso estime qu’il devrait y avoir davantage de partenariats public-privé et de collaborations intersectorielles, et souligne également la nécessité d’atteindre des objectifs à plus long terme, tels que “l’amélioration des connaissances des écoliers dans le domaine de la cybersécurité, des cadres et des membres du conseil d’administration”. Certains analystes critiquent également le comportement des entreprises en cas de violation de données.

« Alors que l’économie mondiale semble ralentir de jour en jour, supprimant de plus en plus d’opportunités d’emplois moralement sains, le risque de cybercriminalité va considérablement augmenter. Nous l’avons déjà vu. Étant donné que de nombreux cybercriminels attaquent à partir de juridictions non légales, les entreprises cherchent-elles à embaucher de véritables employés pour lutter contre la cybercriminalité, ou cherchent-elles à embaucher un bouc émissaire qui portera le chapeau lorsque l’inévitable se produira ? », peut-on lire dans les commentaires. Selon ces critiques, cela pousse certains travailleurs à fuir ce type de travail.

Les domaines faisant le plus appel aux professionnels qualifiés en cybersécurité

Selon Rosso, il existe des domaines particuliers dans lesquels la demande de compétences augmente. Il s’agit notamment de la sécurité dans le cloud, les entreprises s’orientant de plus en plus vers le cloud depuis que la pandémie a catalysé la croissance du travail à distance et hybride. En mars 2022, plus de 60 % des données des entreprises étaient déjà stockées dans le nuage. Ce pourcentage ne cesse d’augmenter à mesure que les entreprises transfèrent leurs opérations numériques dans des environnements de cloud computing. Mais en l’absence de professionnels qualifiés pour protéger l’accès aux données, les violations se multiplient également.

Un autre domaine est l’automatisation, à l’heure où l’IA évolue rapidement et peut fournir des outils sophistiqués aux pirates informatiques comme aux défenseurs. Un rapport publié en janvier indique que des chercheurs de l’entreprise américaine de cybersécurité CyberArk sont parvenus à créer un logiciel malveillant polymorphe à l’aide de ChatGPT, le chatbot d’IA d’OpenAI. Les chercheurs affirment que le logiciel malveillant généré par ChatGPT peut facilement échapper aux meilleurs produits de sécurité et rendre les mesures d’atténuation fastidieuses ; tout ceci avec très peu d’efforts ou d’investissements de la part de l’adversaire.

Ils ont mis en garde contre ce qu’ils appellent “une nouvelle vague de logiciels malveillants polymorphes faciles et bon marché capables d’échapper à certains produits de sécurité”. Dans leur rapport d’étude, les chercheurs expliquent : « en utilisant la capacité de ChatGPT à générer des techniques de persistance, des modules Anti-VM [Anti Virtual Machine] et d’autres charges utiles malveillantes, les possibilités de développement de logiciels malveillants sont vastes. Bien que nous n’ayons pas approfondi les détails de la communication avec le serveur C&C, il existe plusieurs façons de le faire discrètement sans éveiller les soupçons ».

Un rapport de CheckPoint indique que ChatGPT peut générer le code d’un logiciel malveillant capable de voler des fichiers précis sur un PC, de les compresser et de les envoyer sur un ordinateur distant. Il peut aussi générer du code pour un outil qui installe une porte dérobée sur un ordinateur et ensuite télécharge d’autres logiciels malveillants à partir de cette dernière. L’entreprise rapporte en sus que les cybercriminels peuvent s’en servir pour la mise sur pied de logiciels capables de chiffrer les fichiers du PC d’une cible. CheckPoint estime que ChatGPT ouvre ces possibilités à des individus avec de très faibles connaissances techniques.

Ces nouveaux outils et la pénurie de talents en cybersécurité font craindre le pire aux entreprises pour les années à venir. Les statistiques montrent que 52 millions de violations de données ont eu lieu dans le monde au cours du deuxième trimestre de l’année précédente. Ce problème stimule la demande de talents en cybersécurité dans tous les secteurs. Cependant, avec plus de 700 000 postes non pourvus dans ce domaine rien qu’aux États-Unis, les entreprises pourraient subir de graves pertes si elles ne trouvent pas rapidement une solution satisfaisante. Le coût d’une violation de données pourrait également augmenter à l’avenir.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la pénurie de talents qualifiés dans le secteur de la cybersécurité ?
Selon vous, qu’est-ce qui explique cette pénurie de talents ? L’industrie peut-elle y remédier ?
Comment l’industrie peut-elle former des talents qualifiés ? Quelles sont les politiques à mettre en place ?
Pensez-vous que les travailleurs fuient les postes dans la cybersécurité en raison des politiques des entreprises ?

Source : developpez.com

@Violence niveau mail ça va, mais c’est le vpn surtout qui reste no log j’espère parce que y’a quelques carabistouilles :clin_oeil_hd:

https://protonvpn.com/blog/no-logs-audit/

@Violence oui c’est pas pour tout le monde

@duJambon a dit dans La fonctionnalité Windows qui réinitialise les horloges système en fonction de données aléatoires fait des ravages :

TLDR : Windows 10 a une fonctionnalité appelée Secure Time qui est activée par défaut. Il met en corrélation les métadonnées d’horodatage des paquets SSL et les compare à l’heure des DC. Il traite ces différents moments au moyen de la magie noire et règle l’horloge système en conséquence. Cette fonctionnalité a le potentiel de basculer et de régler l’heure du système sur une heure aléatoire dans le passé. Le flip out PEUT être causé par des problèmes de trafic SSL.

J’aime bien quand on m’explique l’origine d’un bug de cette manière. L’origine a beau être “de la magie noire” ça reste bien moins obscure que la doc Microsoft. :moque_couettes:

@Violence oui je sais bien mais comme la news parlait de lui
Il a du mette en vente ailleurs du coup

@Violence a dit dans Plus de 100 000 pirates se sont fait voler leurs identifiants sur des forums de cybercriminels ! :

Pour moi tous les sites de ce genre ne sont pas français mais je n’ai pas la science infuse et je ne connais pas tt les sites du darkweb. Ça aurait pu être intéressant de savoir

C’est des sites us normalement

ouai pour le grisou il y a longtemps :amis:

L’autre jour, je naviguais sur les forums de XDA Developers et je suis tombé sur une application qui a vraiment retenu mon attention: NetGuard.

NetGuard est un pare-feu gratuit et open source pour Android qui ne nécessite pas d’être root. Cette appli m’a intrigué car elle promettait de réduire l’utilisation de données, d’économiser la batterie et d’améliorer la confidentialité sur mon smartphone Android. J’ai donc décidé de passer tout ça en revue.

Son interface est très simple à utiliser ça s’active ou se désactive en un clic. Ce que j’aime chez NetGuard, c’est également la possibilité de passer du mode liste noire (autoriser tout dans les paramètres, mais bloquer les applications indésirables dans la liste) au mode liste blanche (bloquer tout dans les paramètres, mais autoriser les applications préférées dans la liste). Cela permet de n’autoriser que les applis qui ont réellement besoin d’accéder à Internet.

Pour vous donner une meilleure idée de l’interface, sachez que les couleurs tirant vers le rouge / jaune indiquent que l’accès à Internet est refusé, tandis que celles tirant vers le bleu, violet et gris indiquent que l’accès est autorisé. Le code couleur universel de la vie privée ^^ !

L’une des fonctionnalités intéressantes de NetGuard est qu’il prend en charge IPv4/IPv6 TCP/UDP, le partage de connexion et permet de bloquer les applications système. De plus, NetGuard offre des fonctionnalités avancées comme l’enregistrement de l’utilisation du réseau par application et adresse, le blocage en cas de roaming, la possibilité de bloquer les publicités à l’aide d’un fichier hosts, et des thèmes personnalisables. Pour les utilisateurs PRO (payants), des fonctionnalités supplémentaires sont également disponibles, comme la journalisation de tout le trafic sortant, la notification de nouvelles applications et l’affichage d’un graphique de vitesse du réseau dans une notification de barre d’état.

Attention cependant, il a été signalé qu’une application malveillante portant le même nom de package que NetGuard se trouve dans le Samsung Galaxy app store et peut être installée sans confirmation. Assurez-vous donc de télécharger NetGuard à partir d’une source légitime comme GitHub ou sur le PlayStore de Google.

Je vous encourage à le télécharger et à l’essayer dès maintenant. La protection de votre vie privée et une meilleure gestion de la batterie de votre téléphone Android n’aura jamais été aussi facile.

À découvrir ici : https://github.com/M66B/NetGuard

– Source :

https://korben.info/netguard-guide-protection-confidentialite-batterie-android.html