Cybersécurité & nouvelles attaques
Je suis l'actualité des attaques informatiques : ransomwares, phishing, failles exploitées et nouvelles techniques. L'idée, c'est de comprendre comment les attaquants s'y prennent pour mieux défendre une infra.
Mes sources
La plupart sont branchées en RSS dans mon agrégateur, comme ça je centralise tout au même endroit au lieu d'aller voir chaque site.
CERT-FR (ANSSI)
Alertes et avis officiels
C'est ma source de référence en français. Les avis sortent vite quand une faille est activement exploitée, et c'est sérieux niveau fiabilité.
Bleeping Computer
Actu attaques et ransomwares
Là où je vois passer en premier les nouvelles campagnes de ransomware et les fuites de données. C'est en anglais mais très concret.
Zataz
Cybercriminalité, en français
Damien Bancal couvre pas mal d'affaires de fuites et d'arnaques qui touchent la France. Pratique pour avoir des exemples parlants.
NVD / CVE
Base des vulnérabilités
Je vais dessus quand une faille fait du bruit, pour vérifier le score CVSS et savoir si les produits qu'on utilise en TP sont concernés.
Ce que j'ai retenu récemment
Ransomwares qui passent par les accès VPN / VPN SSL
Beaucoup de groupes (Akira, Lynx…) entrent en exploitant des failles ou des comptes VPN sans MFA, puis chiffrent tout le réseau. Ça m'a fait comprendre pourquoi on insiste autant sur le MFA et le cloisonnement réseau en cours.
Le « quishing » : du phishing par QR code
Les attaquants mettent un QR code dans un mail ou un PDF pour rediriger vers une fausse page de connexion Microsoft. Comme le lien n'est plus dans le texte, les filtres anti-spam le repèrent moins bien. Le mobile devient le maillon faible.
Vol de cookies de session pour contourner le MFA
Même avec la double authentification, si l'attaquant récupère le cookie de session (via un malware ou un faux site type proxy), il peut se connecter sans repasser par le MFA. Ça montre que le MFA ne suffit pas tout seul, il faut aussi surveiller les connexions anormales.
Failles « zero-day » sur les équipements en bordure
Pas mal d'attaques visent les pare-feux et passerelles VPN exposés sur Internet (Fortinet, Ivanti, Citrix…) avant même qu'un correctif existe. J'ai retenu qu'il faut absolument suivre les bulletins éditeurs et patcher en urgence ce qui est exposé.
Attaques sur Active Directory (Kerberoasting)
En lien avec mon projet AD/GPO, j'ai creusé les attaques type Kerberoasting et le vol de hash : un compte de service avec un mot de passe faible peut suffire à grimper en privilèges. Ça m'a poussé à regarder les bonnes pratiques de durcissement de l'AD.
Phishing : mes premiers réflexes de veille
Mes débuts de veille en 1re année : j'ai commencé par comprendre les arnaques classiques (faux mails, fausses pages de connexion, pièces jointes piégées). C'est basique mais c'est la base de la sensibilisation des utilisateurs.