Donateurs
Ils aident à financer l’hyperespace pendant que les autres téléchargent en vitesse-lumière. Leur générosité alimente les serveurs plus sûrement qu’une supernova alimente l’univers.
Messages
-
Un nouveau logiciel malveillant nommé Koske s’attaque aux machines sous Linux ! Sa particularité ? Il se dissimule dans de banales images de pandas ! Voici ce qu’il faut savoir à son sujet.
Des pandas polyglottes s’attaquent à Linux
Un nouveau rapport publié par les chercheurs en cybersécurité de chez AquaSec met en lumière ce qu’ils considèrent être une menace sophistiquée pour Linux. Ce logiciel malveillant nommé **Koske **se cache dans des images au format .JPEG représentant des pandas : à première vue, ces photos semblent innocentes, mais c’est loin d’être le cas.
Nous pourrions penser que les pirates ont fait usage de la stéganographie (le fait de cacher des données dans une image), mais ce n’est pas le cas. En réalité, il s’agit de fichiers polyglottes, c’est-à-dire qu’ils sont** valides dans plusieurs formats** et peuvent être** interprétés par différentes applications**. Dans le cas présent, le fichier est à la fois une image lisible par une visionneuse d’images et un script malveillant exécutable par un interpréteur de commandes ! Dans la pratique, c’est donc **particulièrement trompeur **: si un utilisateur ouvre le fichier, il verra un panda. Si un script l’exécute, le code malveillant contenu à la fin du fichier sera lancé.
Chaque image contient sa propre charge malveillante, comme l’expliquent les chercheurs : “L’une des charges utiles est un code C écrit directement dans la mémoire, compilé et exécuté sous la forme d’un fichier .so à objets partagés qui fonctionne comme un rootkit. Le second est un script shell, également exécuté à partir de la mémoire, qui utilise des utilitaires système standard pour s’exécuter furtivement et maintenir la persistance tout en laissant peu de traces visibles.”
Ci-dessous, un exemple partagé par AquaSec :
La campagne observée montre que les pirates cherchent à compromettre des instances Jupyter Lab mal configurées et exposées sur Internet. Une fois qu’ils ont un accès, les pirates passent à la seconde phase de leur attaque : télécharger les images de pandas hébergées sur des services légitimes.
Sur le système compromis, le malware Koske fait tout pour être persistant, que ce soit pour résister aux redémarrages ou assurer la connexion avec le serveur C2 des attaquants. Il s’appuie notamment sur des tâches planifiées (crons), un service dédié nommé
shellkoske.servicecréé au niveau desystemd, ou encore la modification des fichiers.bashrcet.bash_logoutpour exécuter un script destiné à maintenir la connexion avec le serveur C2.Un mineur de cryptomonnaies fruit de l’IA ?
Une fois bien en place, Koske peut accomplir sa mission principale : le minage de cryptomonnaies. Il analyse d’abord le matériel de l’hôte (CPU et GPU) pour déployer le mineur le plus performant, puisque ce malware est capable de miner pas moins de 18 cryptomonnaies différentes. Nous pouvons citer, par exemple : Monero, Ravencoin ou Zano. Il peut même adapter son comportement au fur et à mesure pour basculer d’un mineur à un autre.
Les chercheurs d’AquaSec pensent que les pirates ont fait usage de l’IA (LLM) pour développer ce malware Koske. D’après eux, plusieurs indices vont en ce sens, notamment le fait que le code soit très verbeux et la logique globale du code.
“Qu’il soit écrit par un utilisateur novice de LLM ou par un acteur sophistiqué masquant ses intentions, il annonce un avenir où les auteurs de logiciels malveillants exploiteront l’IA pour écrire des codes qui surpasseront les défenses traditionnelles.”, préviennent les chercheurs.
**Qui est à l’origine de cette campagne ? **Bien que des indices pointent vers la **Serbie **(adresses IP et phrases dans les scripts) et la **Slovaquie **(langue utilisée sur le dépôt GitHub hébergeant les mineurs), aucune attribution formelle n’a pu être faite pour le moment.
– Source :
https://www.it-connect.fr/koske-quand-des-images-de-pandas-cachent-un-malware-linux/
-
@Popaul a dit dans WhoFi : Votre corps a une empreinte Wi-Fi unique :
Excuse moi ! Crois-moi que je ne cherchais pas à t’émoustiller.
Non pas de problème l’ami @Popaul
Je tente de te trouver les infos que tu souhaites
-
La source citée dans l’article. Il y a peut être mieux.
-
@Popaul a dit dans WhoFi : Votre corps a une empreinte Wi-Fi unique :
"Bonjour Mr. Violence "
Pourquoi un rond rouge ? Faut m’expliquer.
Comme déjà dit sur un autre article, il fait que tu te plaigne à l’auteur de l’article donc Korben ou Google it si tu veux la méthode exacte.
Je ne suis pas chez moi, pas le temps d’aller voir la méthode exacte…
-
Aujourd’hui les mais, je vais vous raconter l’histoire du mec qui a littéralement sauvé Internet. Non, c’est pas une hyperbole, c’est la réalité [censored]. En 2008, Dan Kaminsky a découvert une faille tellement énorme qu’elle aurait pu transformer le web en Cyber Far West. Mais au lieu de se faire des millions avec, il a choisi de sauver le monde. Vous allez voir, c’est incroyable !
– Dan Kaminsky - Le génie au plus grand sourire de l’infosecSi vous avez bien suivi mes articles précédents, vous devez savoir que les vrais hackers ne sont pas forcément comme les méchants qu’on voit dans les films. Dan Kaminsky, né le 7 février 1979 à San Francisco, c’était l’incarnation parfaite du hacker éthique. À 4 ans, oui, QUATRE ans, son père lui offre un ordinateur RadioShack TRS-80 et à 5 ans, le petit Dan codait déjà ! Pendant que les autres gamins de maternelle apprenaient à lacer leurs chaussures, lui maîtrisait déjà le BASIC.
Sa mère, Trudy Maurer, aimait dire qu’il était déjà ce qu’il allait devenir à cet age. Ça donne une idée du niveau du bonhomme mais la meilleure histoire de son enfance, c’est ce qui s’est passé quand il avait 11 ans. Accrochez-vous bien : le petit Dan s’amusait à explorer des sites militaires américains. Pour le fun quoi !
– Le RadioShack TRS-80 - Le premier ordinateur de Dan à 4 ans (source)Un jour, sa mère reçoit un coup de fil complètement bizarre. C’est un admin réseau furax qui lui explique que son fils “fouine dans des endroits où il ne devrait pas fouiner”. Le type menaçait de couper Internet à toute la famille pour punir le gamin et la réponse de sa mère fût légendaire : “Si vous faites ça, je prends une pleine page dans le San Francisco Chronicle pour expliquer qu’un gamin de 11 ans peut casser la sécurité militaire américaine.” Résultat des courses, une négociation d’un “timeout” Internet de 3 jours pour la forme.
Cette histoire, c’est du pur WarGames en vrai !
Toutefois, le plus dingue dans cette histoire, c’est qu’en 2008, après que Dan ait découvert sa faille monumentale, ce même administrateur est venu le voir à Black Hat pour le remercier et a demandé à rencontrer sa mère ^^.
Mais parlons maintenant du fameux moment où Dan est devenu une légende absolue : la découverte de LA faille DNS de 2008, connue sous le nom de CVE-2008-1447. Pour comprendre l’ampleur du bordel, faut que je vous explique ce qu’est le DNS. C’est l’annuaire téléphonique d’Internet, quoi. Quand vous tapez “youtube.com”, c’est le DNS qui traduit ça en adresse IP (genre 172.217.18.46) pour que votre navigateur sache où aller chercher les vidéos de chats.
– DNS Cache Poisoning - Comment empoisonner l’annuaire d’Internet (source)Dan a découvert qu’on pouvait empoisonner cet annuaire. En gros, faire croire à votre ordi que google.com, c’est en fait l’adresse d’un site pirate. En gros, vous croyez aller sur le site de votre banque, mais en fait vous êtes sur un site de hackers qui vole vos identifiants. Et ça marchait sur TOUS les serveurs DNS de la planète. Y’a pas une seule machine qui était épargnée !
Techniquement, le truc exploitait une faiblesse dans la façon dont les serveurs DNS gèrent les requêtes. Avant le patch de Dan, les serveurs utilisaient seulement les ports sources pour valider les réponses. Mais si un attaquant arrivait à deviner le port (y’avait que 65 536 possibilités), il pouvait injecter de fausses réponses DNS. Dan a alors montré comment prédire ces ports avec une précision terrifiante en utilisant des techniques de “birthday attack”.
Mais alors, la façon dont il a géré cette découverte, c’est du Dan Kaminsky tout craché car au lieu de vendre l’info au marché noir (il aurait pu se faire des millions, sérieusement…), il a contacté Paul Vixie, une légende du DNS chez Internet Systems Consortium, qui par la suite a décrit la gravité du problème en disant que : “Tout dans l’univers numérique va devoir être patché.” Ils ont donc organisé un sommet d’urgence chez Microsoft le 25 juin 2008 avec tous les grands pontes : Microsoft, Cisco, Sun, BIND…
– Le sommet secret s’est tenu chez Microsoft - Tous les géants de l’IT réunis pour sauver Internet (source)Et c’est le 8 juillet 2008 à 18h UTC, que se produit un événement historique : TOUS les vendeurs sortent des patchs simultanément ! Microsoft, Cisco, Sun, Red Hat, Apple… tout le monde en même temps. C’était du jamais vu ! Un effort coordonné planétaire pour empêcher la cyber apocalypse. Bon, bien sûr, y’a toujours des retardataires qui patchent pas, mais l’essentiel était sauvé.
Ouf !
Et puis y’a eu LA présentation à Black Hat 2008. Cette présentation, mes amis, c’était du grand spectacle. Dan s’est pointé… en rollers. Oui, en ROLLERS ! Avec un costume-cravate. La salle était tellement bondée que les gens étaient assis par terre, dans les allées, accrochés aux lustres (bon OK, pas aux lustres, mais presque). C’était clairement un danger pour la sécurité incendie, mais tout le monde voulait voir LE Dan Kaminsky expliquer comment il avait failli casser Internet.
Quand un journaliste lui a demandé pourquoi il n’avait pas utilisé cette faille pour s’enrichir, sa réponse a été vraiment mignonne : il trouvait ça moralement incorrect, et il ne voulait pas que sa mère vienne lui rendre visite en prison…. Cette phrase résume parfaitement qui était Dan, un génie avec une boussole morale inébranlable.
Alors oui, je sais ce que vous vous dites : “Bon Korben, c’est cool pour le DNS, mais il a fait quoi d’autre ?” Et bien accrochez-vous bien, parce que Dan, c’était pas que le DNS ! En 2005, pendant le scandale du rootkit Sony (vous vous souvenez, quand Sony installait des logiciels espions sur les PC des gens qui achetaient leurs CD ? Non ???), Dan a utilisé une technique appelée “DNS cache snooping” pour mesurer l’ampleur de l’infection.
Le principe de cette technique, c’était d’interroger les serveurs DNS pour voir s’ils avaient déjà résolu certaines adresses liées au rootkit. Résultat, au moins 568 000 réseaux étaient infectés ! Pendant que les execs de Sony minimisaient le problème en disant “c’est pas grave, c’est juste un petit logiciel”, Dan, lui, apportait des preuves concrètes que c’était un désastre planétaire !
– Capture d’écran du lecteur CD audio de Sony vérolé, diffusant le cinquième album studio de Switchfoot, Nothing Is Sound (source).Et dans une communauté connue pour son discours parfois un peu… comment dire… râleur et parfois misogyne sur Twitter, Dan se distinguait par son empathie totale. Il payait régulièrement les hôtels ou les billets d’avion pour des gens qui voulaient aller à Black Hat mais n’en avaient pas les moyens. Et une fois, il a même payé un billet d’avion à une amie après sa rupture pour qu’elle puisse aller voir son ex et ils se sont mariés plus tard ! Romance level : expert.
Et puis y’a tous ses projets perso complètement dingue. Par exemple, quand un ami daltonien n’arrivait pas à voir les nuances de vert sur la peau d’un personnage dans Star Trek (ouais, c’est un détail, mais important pour un fan !), Dan a développé DanKam, une app de réalité augmentée pour les daltoniens. L’app accentue les couleurs captées par la caméra du smartphone pour les rendre plus distinctes.
Et les retours des utilisateurs étaient bouleversants :
Si j’avais eu cette app y’a 15 ans, j’aurais pu être pilote aujourd’hui,
Dan, j’ai du mal à voir ton message parce que je suis en larmes de joie.
Des trucs qui vous retournent le cœur quoi. C’était pas juste une app, c’était un miracle pour ces gens-là.
Et quand sa grand-mère a eu des problèmes d’audition, au lieu de juste acheter un appareil auditif classique ou de la foutre en EHPAD, il s’est mis à bosser sur des technologies d’appareils auditifs révolutionnaires. Et sa grand-mère était devenue une célébrité à la Black Hat car elle venait régulièrement avec des assiettes de cookies faits maison qu’elle distribuait à tout le monde. Faut imagine la scène avec des hackers en t-shirt noir qui mangent des cookies de mamie entre deux présentations sur l’exploitation d’un buffer overflow. C’est ça, la famille Kaminsky !
Et quand sa tante dermatologue lui a dit qu’elle ne pouvait plus traiter efficacement les patients atteints du SIDA en Afrique subsaharienne et dans les camps de réfugiés Rohingyas à cause de la distance, Dan a développé des outils de télémédecine pour le National Institutes of Health et AMPATH. Ces outils permettaient de diagnostiquer à distance des problèmes de peau avec juste un smartphone.
Comme disait sa mère :
Il faisait les choses parce que c’était la bonne chose à faire, pas pour le gain financier.
Et surtout, Dan était l’un des sept détenteurs des “clés d’Internet”. Non, c’est pas une blague de geek, c’est du sérieux ! Suite à sa découverte de 2008, le système DNSSEC a été mis en place pour sécuriser le DNS et Dan a été choisi comme l’un des sept “gardiens” ayant une clé physique cryptographique.
Comme ça, en cas de catastrophe majeure (genre attaque nucléaire, invasion aliens, ou Skynet qui se réveille), au moins 5 d’entre eux devraient se réunir physiquement pour “redémarrer” Internet avec leurs clés. C’est dire le niveau de confiance que la communauté mondiale avait en lui.
– Les 7 gardiens des clés DNSSEC - Source de la cérémonieSes présentations à Black Hat et DEF CON étaient absolument légendaires à chaque fois, toujours bondées, avec des gens debout au fond, dans les couloirs, partout…etc. Jeff Moss (le fondateur de DEF CON) disait que les keynotes de Dan étaient celles qui attiraient le plus de monde car il avait ce don magique pour expliquer des concepts techniques ultra-complexes de manière élégante et accessible. Et toujours avec le sourire. “Le plus grand sourire de l’infosec”, comme l’a dit quelqu’un après sa mort.
Car oui, et c’est là que ça devient triste, Dan nous a quittés bien trop tôt. Le 23 avril 2021, à seulement 42 ans, il est mort des complications du diabète de type 1, plus précisément d’une acidocétose diabétique. Sa famille a dû préciser la cause du décès parce que des complotistes avaient commencé à dire que c’était le vaccin COVID. C’est toujours les mêmes connards… même dans la mort, Dan devait se défendre contre la connerie humaine !
Sa nièce Sarah a répondu avec classe : “Dan aurait ri à l’idée que des théoriciens du complot utilisent sa mort pour propager de la désinformation sur un vaccin en lequel il avait totalement confiance.” Parce que oui, Dan était pro-science, pro-vaccin, pro-tout ce qui peut aider l’humanité.
– Black Hat 2021 - Hommage émouvant au plus grand sourire de l’infosecLes hommages qui ont suivi étaient bouleversants. Matt Devost a dit un truc magnifique : “Aucune des personnes qui connaissait bien Dan ne parle du DNS aujourd’hui. Ils parlent tous de gentillesse, d’énergie débordante, de positivité, d’aventures spontanées, et de comment il travaillait dur pour élever les autres.” DEF CON a même tweeté : “La passion de Dan, sa créativité, son désir d’apprendre et d’enseigner ont vraiment influencé DEF CON et Black Hat dans les premières années. Il est devenu une icône de toutes les manières positives.”
Jeff Moss travaille maintenant sur un prix “Dan Kaminsky Memorial” pour les chercheurs en sécurité qui incarnent les idéaux de Dan : brillance technique + éthique irréprochable + humanité. Parce que Dan représentait ce qu’il y a de meilleur dans la communauté hacker à savoir la curiosité infinie, l’intelligence [censored], mais surtout l’humanité et l’éthique.
D’ailleurs, une anecdote que peu de gens connaissent… Dan avait développé en secret un système pour détecter les attaques DDoS avant qu’elles se produisent en analysant les patterns de trafic DNS. Il bossait avec plusieurs fournisseurs d’accès Internet pour implémenter ce système quand il est décédé et le projet est resté dans les tiroirs, mais ses notes techniques continuent d’inspirer les chercheurs aujourd’hui.
Il avait aussi créé un projet open source appelé Phreebird qui permettait de contourner la censure Internet dans les pays autoritaires en utilisant des techniques de DNS tunneling. Pas mal pour un mec qui voulait juste aider les gens à accéder librement à l’information !
Ainsi, aujourd’hui, quand je pense à Dan Kaminsky, je ne pense pas qu’au génie qui a sauvé Internet en 2008 mais aussi à ce type absolument rigolard qui débarquait en rollers pour parler de vulnérabilités critiques, qui développait des apps pour aider ses amis daltoniens ou sa grand-mère malentendante, qui payait des chambres d’hôtel pour que des jeunes hackers fauchés puissent assister à Black Hat, et surtout je pense à celui qui a choisi de sauver le monde plutôt que de s’enrichir !
– Source :
https://korben.info/dan-kaminsky-legende-securite-internet.html
-
France Travail est de nouveau la cible d’une cyberattaque entraînant la fuite potentielle des données personnelles de 340 000 demandeurs d’emploi. L’attaque proviendrait de la compromission du compte d’un organisme de formation. Voici ce que l’on sait.
Une fuite de données via un portail partenaire
Le mardi 22 juillet 2025, France Travail (ex-Pôle Emploi) confirmé l’existence d’un nouvel incident de sécurité par l’intermédiaire d’un communiqué officiel envoyé par e-mail aux personnes concernées. Ce n’est pas la première attaque subie par France Travail, mais cette fois-ci, l’incident est circonscrit à un service spécifique : un portail emploi destiné à ses partenaires.
Les **données personnelles compromises incluent **des informations sur 340 000 demandeurs d’emploi. “Les données compromises sont vos nom, prénom, adresses postale et électronique, numéro de téléphone, identifiant France Travail et statut (inscrit, radié). Vos données bancaires ou vos mots de passe ne sont pas concernés par cet incident.”, précise le message officiel.
Le communiqué officiel n’évoque pas l’extraction des informations, mais une consultation illégitime des données, ce qui peut entrainer, potentiellement, une fuite de ces informations. Il convient de rester méfiant, car comme à chaque fois, ces données peuvent être utilisées pour mener des campagnes de phishing.
L’application Kairos au cœur de l’incident
D’après les journalistes de Next, l’application Kairos, utilisée par les organismes de formation pour assurer le suivi des parcours des demandeurs d’emploi, serait à l’origine de cet incident de sécurité. Avant cela, c’est une alerte du CERT-FR émise le 12 juillet 2025 qui a permis à France Travail de prendre connaissance de cette intrusion et de prendre les mesures nécessaires.
L’enquête révèle que** le pirate a pu accéder à cette application et aux données associées via la compromission d’un compte utilisateur** appartenant à un organisme de formation en Isère. Les identifiants ont été dérobés par une menace bien connue :** un logiciel malveillant de type infostealer** (voleur d’informations). Pour rappel, les infostealers sont capables de voler les informations enregistrées dans les navigateurs web (mais pas seulement).
La sécurité de l’application Kairos va être renforcée rapidement puisque France Travail va accélérer le déploiement d’une authentification à double facteur sur cette application. Un projet initialement prévu pour octobre.
– Source :
[Dossier] L'histoire épique de la CVE-2025-53770 : ou comment SharePoint s'est fait défoncer mondialement
Koske : quand des images de pandas cachent un malware Linux
On ne se moque pas de ces choses là.
WhoFi : Votre corps a une empreinte Wi-Fi unique
WhoFi : Votre corps a une empreinte Wi-Fi unique
WhoFi : Votre corps a une empreinte Wi-Fi unique
WhoFi : Votre corps a une empreinte Wi-Fi unique
[Dossier] Dan Kaminsky: Le hacker aux rollers qui a sauvé Internet
Cyberattaque France Travail : les données personnelles de 340 000 personnes exposées
[Dossier] L'histoire épique de la CVE-2025-53770 : ou comment SharePoint s'est fait défoncer mondialement
