Jour 3 RSAC 2023 : Retours d’expérience

Les panels d’experts proposés par l’organisation RSAC sont toujours plein d’enseignements. J’ai commencé ma journée par un panel exclusivement féminin sur le sujet de la réponse à incident et l’analyse de la menace. Lesley Carhart , Katie Nickels et Wendi Whitmore ont pris l’exemple récent de l’attaque supply chain 3CX (une DLLs infectées chez l’éditeur qui a impacté pas mal d’entreprises) pour faire un retour d’expérience. Elles ont pas mal insisté sur l’importance d’avoir une approche scientifique, en mettant en avant le scepticisme. « Qu’est-ce qu’on sait ? ce qu’on ne sait pas ? » sont les questions qui permettent d’avancer dans la compréhension de l’incident, en évitant la panique. Certes l’intuition, donnée par l’expérience peut aider, mais les compétences en investigation et la collecte de preuves sont indispensables. Il faut donc être Zen pour travailler dans un CERT et avoir ces 3 qualités : « Curieux, Sceptique et Calme ». Elles ont même été jusqu’à parler de thérapie cyber pour cultiver ces qualités. Enfin elles sont revenus sur l’importance du partage d’information entre experts. “ How much is too much to share ? “ leur réponse insistait sur l’importance des cercles de confiance, de la prise en compte du temps et des précautions dans les messages de communication – référence aux TTP (Tactics, Techniques and Procédures).

J’ai fini ma journée par un panel (mixte celui-là) sur le sujet des nouvelles attaques Cyber vues en 2022. Heather Barnhart Mahalick a présenté la capacité de ChatGPT4 a aider une personne malveillante à se faire passer pour quelqu’un d’autre (impersonation). Elle a utilisé cet outil pour essayer de leurrer son propre fils de 10 ans en se faisant passer pour une fillette du même âge qui tente de récupérer son adresse via les canaux de communication populaires chez les enfants. Manifestement son fils n’est pas tomber dans le panneau, mais cette technique illustre le détournement potentiel de l’IA pour le phishing ou autres tentatives de fraudes. Katie Nickels a présenté 2 types d’attaques exploitant les moteurs de recherche dans le but de placer dans les premiers résultats d’une recherche, soit des liens malveillants (elle parle de Search Engine Optimization ou SEO) soit de la pub malveillante (elle parle de malvertizing, qui vient tout juste d’être ajouter au MITRE Attack). Dans les 2 cas, les sites malicieux sont identiques aux originaux pour leurrer les victimes. Dr. Johannes Ullrich est revenu sur les attaques qui ciblent spécifiquement les développeurs. Une des techniques qui marche bien est les extensions des outils de développements qui sont malicieuses et qui vont permettre de modifier les codes sources dans un but malveillant. Son message s’est terminé en invitant les équipes cyber à aider les développeurs et non à les empêcher de travailler. Enfin Stephen Sims a fait la démonstration qu’il est possible d’utiliser l’IA dans un but offensif, soit pour créer des malwares soit pour trouver des 0days. La sécurité ajoutée à ChatGPT interdisant cet usage offensif est contournable à condition de faire les bonnes demandes et ensuite d’être capable de recoller les morceaux. Il est aussi possible d’utiliser l’IA pour bypasser les EDR ou autres mesures de sécurité.

Le thème de l’année du RSAC est « stronger toguether » et pour illustrer ce thème, ils ont invité eric idle , ancien Monty Python qui a bien faire rire l’assistance mais qui a aussi fait le lien entre ce mantra  et sa propre vie.