Je teste une nouvelle façon d’enregistrer en mode nomade. J’ai l’air essoufflé, même si je ne suis pas en train de courir. C’est mon mode delivery avec ce type de micro qui est à retravailler pour mieux respirer et ne pas avoir l’air de courir.

Youna Chosse-Bentabed est ingénieure en sécurité réseau spécialisée en social engineering (ingénierie sociale). Son parcours illustre une transition intéressante du monde très technique des réseaux vers l’aspect humain de la cybersécurité. Cette évolution s’est amorcée par la création de contenu sur LinkedIn, où elle démystifiait les concepts de hacking pour un large public. Cette démarche l’a menée à une prise de conscience fondamentale : si le hacking technique et physique est important, c’est le hacking humain qui constitue la clé de voûte de la sécurité informatique.

Pour approfondir ses compétences, elle s’est formée aux États-Unis auprès de Christopher Hadnagy, considéré comme une référence mondiale en social engineering. Son objectif est désormais de démocratiser cette expertise en France et en Europe, où le domaine accuse un retard par rapport aux États-Unis, similaire à celui qu’avait le pentesting il y a quinze ans.

Le social engineering est défini comme l’art de manipuler les autres pour obtenir des informations ou atteindre un objectif précis. Cette pratique prend de multiples formes dans notre quotidien : phishing (courriels frauduleux), vishing (appels téléphoniques), smishing (SMS), et intrusion physique. La réalité est que nous sommes tous exposés à ces attaques de manière constante. Une statistique particulièrement révélatrice indique que 72 % des incidents de sécurité impliquent un facteur humain. Pourtant, lorsqu’on demande au public qui pense avoir déjà subi une attaque de social engineering, peu de mains se lèvent, témoignant d’un manque de conscience de la régularité de ces menaces.

Youna propose deux approches principales pour accompagner les organisations. La première consiste en des masterclass d’une à deux journées, particulièrement adaptées aux TPE, PME et collectivités territoriales disposant de budgets limités. Ces formations combinent théorie et exercices pratiques pour que les participants deviennent acteurs de leur sécurité et apprennent à penser comme des hackers.

La seconde approche implique des audits réels avec intrusion physique, cartographie des vulnérabilités et identification des failles humaines. La solution la plus efficace pour augmenter la vigilance consiste à attaquer régulièrement l’entreprise dans le cadre de contrats à long terme (de un à cinq ans), avec des campagnes de phishing, vishing et smishing adaptées aux besoins spécifiques. L’intrusion physique, bien que moins fréquente, représente l’aspect le plus excitant du métier, nécessitant reconnaissance, création d’une légende (pretexting) et planification minutieuse de la mission.

Un principe fondamental de l’approche de Youna est la culture du “no blame” (sans reproche). Cette philosophie est essentielle car tout le monde peut tomber dans les pièges du social engineering, et il est contre-productif de culpabiliser les employés. L’expérience montre qu’une personne piégée une fois a moins de chances de récidiver. L’approche consiste à gamifier le processus, à rendre la remontée d’informations gratifiante et à accompagner les personnes qui se font prendre de manière constructive. Cette culture doit être établie dès le départ avec le top management et clairement intégrée dans les contrats.

Les attaquants exploitent de nombreux biais cognitifs, dont plusieurs sont particulièrement efficaces. Le biais d’urgence est probablement le plus puissant, souvent associé au phénomène d’amygdala hijacking. L’amygdale, cette petite zone du cerveau qui assure notre survie depuis des millions d’années, nous fait perdre 60 % de notre capacité de raisonnement face à une situation d’urgence. La bonne nouvelle est qu’il n’existe jamais de situation réelle nécessitant une réaction dans les 30 secondes. Prendre 20 à 30 secondes pour respirer et se questionner permet de réactiver le raisonnement.

D’autres biais fréquemment exploités incluent le biais d’autorité (difficile de remettre en question un supérieur, un médecin ou un policier), le biais de réciprocité (notre désir naturel de rendre service) et le biais de conformité (si tout le monde le fait, je le fais aussi, et l’importance d’être cohérent avec l’image qu’on projette).

La défense la plus efficace commence par la prise de conscience de l’existence de ces biais. Toutefois, la formation purement théorique ne suffit pas, car les réactions exploitées sont émotionnelles et 90 % de nos actions quotidiennes relèvent de l’automatisme. D’où l’importance cruciale d’exercices pratiques et concrets qui permettent d’observer différemment les situations et soi-même.

La formation doit être récurrente et non ponctuelle. L’idéal est d’établir un lien direct avec l’utilisateur lorsqu’il clique sur un lien malveillant, en lui expliquant immédiatement ce qui s’est passé et pourquoi, permettant une intégration directe dans la mémoire.

Youna met l’accent sur l’éthique de son travail. Formée dans cette optique par Christopher Hadnagy, elle applique le principe de laisser les gens qu’elle croise dans un meilleur état qu’avant leur rencontre. Elle n’utilise jamais de chantage, de blackmail ou de techniques de coercition basées sur la peur.

Un concept fascinant abordé est celui de l’ocytocine, l’hormone de la confiance. Cette hormone, connue comme “l’hormone de l’amour”, est ce qui permet aux humains de travailler ensemble à travers le monde avec des personnes qu’ils n’ont jamais rencontrées. Le pic d’ocytocine se produit particulièrement lorsque quelqu’un nous dit qu’il nous fait confiance, créant un rapport fort et une envie de rendre service. Paradoxalement, la coopération et la confiance s’avèrent être des leviers extrêmement efficaces en social engineering. L’écoute active fait des miracles, et les gens ont naturellement tendance à beaucoup parler lorsqu’ils se sentent écoutés et validés.

Le social engineering dépasse largement le cadre de la cybersécurité d’entreprise. Les techniques et biais exploités sont identiques à ceux utilisés dans la désinformation, la manipulation de l’information et l’influence des démocraties. Dans un contexte d’infobésité et de bulles de filtres, développer une culture de vigilance de l’information devient essentiel, tant pour protéger l’entreprise que pour mieux comprendre le monde dans lequel nous vivons.

La clé réside dans deux éléments fondamentaux : le jeu et la connaissance de soi. Créer une responsabilité collective où chacun devient acteur de la sécurité, tout en développant sa capacité à se connaître et à identifier quand on est manipulé, constitue la meilleure défense. Cette approche transforme la vulnérabilité humaine en force, en mobilisant notre capacité d’apprentissage et d’adaptation.

Youna poursuit cette réflexion dans son podcast “Human Ecos”, où elle explore les liens entre cybersécurité, sciences humaines, philosophie et psychologie, offrant une vision non cloisonnée de ces enjeux qui façonnent nos sociétés et démocraties contemporaines.

Dans cet épisode spécial consacré aux petites et moyennes entreprises, Cyndie Feltz, Nicholas Milot et Dominique Derrier abordent l’un des sujets les plus redoutés par les entrepreneurs : les formulaires de sécurité informatique. Ces documents, souvent exigés par les grandes entreprises ou les assureurs pour établir des relations commerciales, représentent un véritable casse-tête pour les PME q

Michel Gaudette possède plus de 25 ans d’expérience dans le secteur technologique montréalais. Son parcours a débuté dans les années 90 chez Discrete Logic, une entreprise spécialisée dans les effets visuels 2D, l’incrustation et la correction couleur, avant que celle-ci ne soit rachetée par Autodesk. Attiré par l’énergie des startups, il a quitté cette position stable pour rejoindre une jeune pousse en tant que VP technologie, une aventure qui s’est soldée par un échec lors de l’éclatement de la bulle technologique. Cette expérience l’a néanmoins “intoxiqué” à l’univers des startups et à l’innovation de pointe.

Son parcours l’a ensuite mené chez Quebecor, où il a passé 10 ans à développer une plateforme numérique désormais utilisée par des millions d’élèves québécois. Après avoir quitté Quebecor en 2020 pour rejoindre une startup en agrotechnologie, la pandémie de COVID-19 a fait échouer ce projet avant même son premier jour de travail, les investisseurs ayant retiré leur financement. Il a par la suite dirigé une filiale nord-américaine d’une entreprise allemande de modélisation 3D avant de rejoindre FLIR il y a deux ans et demi, recommandé par un ancien collègue qui décrivait FLIR comme la meilleure entreprise montréalaise pour laquelle il avait travaillé.

Michel définit le rôle de directeur de produit comme celui d’un orchestrateur ou d’un coach. Le product manager ne réalise pas directement le travail technique, mais s’assure que chaque membre de l’équipe performe à son meilleur niveau. Son rôle consiste à équilibrer trois dimensions essentielles : les besoins des clients, les objectifs d’affaires de l’entreprise et les capacités de l’équipe d’ingénierie.

Cette position requiert des compétences particulières et multidimensionnelles. Le product manager doit pouvoir communiquer efficacement avec les développeurs passionnés et parfois têtus, tout en comprenant les enjeux commerciaux et les attentes des clients. Michel souligne qu’il a rapidement pivoté de l’ingénierie vers ce rôle après avoir découvert son intérêt pour le contact client, réalisant qu’on ne peut pas simultanément être “dans la zone” de développement et gérer les interactions constantes qu’exige la gestion de produit.

Un aspect crucial du rôle est la capacité à dire non. Le product manager doit constamment prendre des décisions qui optimisent la capacité de l’équipe d’ingénierie tout en restant aligné avec la stratégie globale. Quelqu’un qui cherche à rendre tout le monde heureux en permanence ne fait pas correctement son travail.

L’un des défis majeurs pour un product manager réside dans la gestion des demandes anecdotiques provenant des vendeurs et de l’équipe de support client. Les vendeurs peuvent vouloir une fonctionnalité immédiate pour conclure une vente, tandis que le support peut signaler des problèmes urgents. Le product manager doit replacer ces demandes dans un contexte holistique : est-ce vraiment prioritaire pour l’ensemble des clients et pour l’entreprise?

Michel insiste sur l’importance d’écouter les clients, une approche qui résout la moitié des problèmes. Chez FLIR, les clients ont l’opportunité de parler presque directement aux équipes, créant une relation de confiance. Plutôt que de promettre des changements massifs dans 12 mois, l’équipe privilégie des améliorations incrémentales constantes. Cette approche transforme certains clients en co-créateurs et ambassadeurs du produit.

FLIR a adopté une méthodologie inspirée de Shape Up, développée par Basecamp, avec des cycles de travail de 8 semaines. Les product managers présentent des propositions de projets, et les dirigeants (CTO, CEO, CPO) votent sur les priorités. L’équipe de développement travaille ensuite sans interruption pendant ces 8 semaines.

L’entreprise a récemment atteint un niveau de maturité où elle développe une vision stratégique et un plan à plus long terme. Avec un doublement de la clientèle chaque année, FLIR doit mettre en place des processus plus robustes de gestion et de communication. Michel précise qu’un processus n’est essentiellement qu’une “manière de communiquer ensemble” dans une organisation en croissance où les collègues peuvent se trouver à Toronto, aux États-Unis ou ailleurs.

Michel critique fermement le mythe du “10x engineer” toxique popularisé par la Silicon Valley. Il compare la gestion d’une équipe technologique à celle d’un groupe musical : chaque membre doit jouer la bonne note au bon moment, en harmonie avec les autres. Quelqu’un qui arrive avec un ego surdimensionné ne fait pas corps avec l’ensemble et nuit à l’harmonie globale.

Chez FLIR, l’équipe privilégie des personnes passionnées mais capables de collaborer. La diversité des talents et des contributions est essentielle. Michel souligne que même les développeurs les plus talentueux ne pourraient pas, à eux seuls, soutenir le rythme et la complexité du travail accompli collectivement.

La prise de décision chez FLIR est remarquablement rapide. L’entreprise évite les débats interminables : si une décision est réversible, l’équipe avance rapidement. Cette culture du momentum attire des personnes à l’aise avec l’action et l’imperfection, sachant qu’ils pourront se réajuster au besoin. Bien que ce ne soit pas une démocratie, chaque voix compte et est entendue.

Le processus d’embauche chez FLIR est personnalisé et orienté vers la collaboration. Les candidats rencontrent directement les personnes avec qui ils travailleront et participent à des sessions de résolution de problèmes au tableau pendant 2 à 3 heures. L’objectif n’est pas de piéger les candidats mais d’évaluer la chimie, la communication et la compatibilité culturelle.

FLIR fonctionne comme une entreprise remote par défaut, mais favorise l’embauche locale à Montréal pour faciliter les interactions. Les employés viennent naturellement au bureau pour des raisons précises : brainstorming, kickoffs de projets ou événements sociaux. Michel est convaincu que l’idéation et le brainstorming fonctionnent mieux en personne, mais que la production individuelle se fait souvent mieux à domicile. Cette approche rejoint le meilleur des deux mondes.

Michel Gaudette incarne un product manager qui place l’humain au centre de son approche. Son expérience démontre l’importance de ce rôle souvent dans l’ombre, mais essentiel à la coordination entre les besoins techniques, commerciaux et clients. Chez FLIR, cette philosophie centrée sur la collaboration, l’agilité et le respect mutuel a permis à l’entreprise de doubler sa clientèle chaque année tout en maintenant une culture saine et dynamique dans le secteur exigeant de la cybersécurité.

Dans cet épisode spécial du Policure, l’animateur et Alexandre Fournier explorent un scénario à la fois inquiétant et réaliste : que se passerait-il si nous perdions l’électricité de façon prolongée ? À travers une discussion riche en exemples concrets et en recommandations pratiques, les deux interlocuteurs examinent notre vulnérabilité face à une panne électrique généralisée.

Le podcast débute par un exercice d’imagination : vous vous réveillez, votre alarme n’a pas sonné, tout est sombre. Vous vous cognez l’orteil, cherchez l’interrupteur qui ne fonctionne pas, constatez que votre téléphone n’a plus que 2 % de batterie. Pas de café, pas de télévision, pas d’ordinateur. Cette mise en situation, familière pour les Québécois habitués aux pannes hivernales, prend une dimension plus inquiétante lorsqu’on en explore toutes les ramifications.

Alexandre Fournier souligne notre dépendance extrême à l’électricité et au numérique. Sans électricité, impossible d’utiliser sa carte de crédit pour faire le plein d’essence ou acheter de la nourriture. Les adolescents, constamment sur TikTok et Instagram, vivraient une véritable angoisse. L’exemple de la panne de Rogers en 2022 est particulièrement révélateur : même le 911 était inaccessible, passant par les systèmes de l’opérateur.

Le télétravail, désormais omniprésent, deviendrait impossible. Les centres informatiques, malgré leurs génératrices, ne peuvent fonctionner indéfiniment sans entretien. C’est tout le tissu économique qui risquerait de s’effondrer, avec des conséquences en cascade sur les clients, partenaires et l’ensemble de l’activité.

Les répercussions sur la santé seraient dramatiques. Les personnes dépendant d’appareils respiratoires risqueraient leur vie. En Espagne, lors d’une récente panne, plusieurs décès ont été attribués à cette cause. Les pharmacies ne pourraient renouveler les prescriptions, privant de nombreuses personnes de médicaments essentiels. L’espérance de vie, que la médecine moderne a réussi à doubler, dépend d’une infrastructure énergétique fiable.

Les hôpitaux, fonctionnant sur groupes électrogènes, seraient rapidement saturés. Sans feux de circulation opérationnels, les déplacements deviendraient chaotiques, compliquant l’acheminement de carburant pour alimenter les génératrices.

En hiver québécois, l’absence de chauffage devient rapidement une question de survie. Le froid extrême peut causer engelures et gelures en quelques heures. L’eau courante disparaîtrait également, car elle dépend de pompes électriques. Alexandre conseille de savoir où trouver de l’eau d’urgence : réservoir des toilettes (8 litres), chauffe-eau (150-200 litres), et même les radiateurs.

L’alimentation pose un autre défi majeur. Sans électricité, impossible d’acheter avec une carte de crédit. Les épiciers refuseraient de donner leur marchandise gratuitement. Une étude citée indique qu’à Londres, 48 heures sans électricité suffiraient à déclencher des émeutes généralisées. La formule est claire : “Chacun pour soi et Dieu pour tous.”

Le verglas de 1998 au Québec constitue un cas d’école. Certaines régions sont restées privées d’électricité pendant 32 jours. La solidarité s’est organisée, avec des familles hébergeant leurs voisins, des gymnases transformés en refuges. HydroQuébec fut débordée, l’armée déployée, mais impossible de tout couvrir. Des solutions créatives ont émergé, comme l’utilisation d’une locomotive sur remorque pour alimenter un hôtel en électricité.

Au Texas, une vague de froid récente a révélé le manque de préparation : des gens ont brûlé des parties de leur maison pour se chauffer, causant de nombreux décès par intoxication. À Mayotte, après le cyclone Chido en décembre 2024, les infrastructures détruites ont laissé la population sans eau potable ni services de base, causant 1800 morts. L’ouragan Katrina a également démontré les limites de l’État dans ces situations critiques.

Face à ces constats, Alexandre insiste sur l’importance de la préparation personnelle. Le “sac 72 heures” recommandé par la sécurité civile devrait contenir eau, nourriture, lampes et alimentation électrique d’urgence. Mais 72 heures représentent le minimum légal d’intervention de l’État. Il conseille plutôt de viser 96 heures, voire une semaine complète d’autonomie.

Il est crucial de comprendre que les secours ne viendront pas immédiatement. Ils prioriseront les services essentiels (hôpitaux, pharmacies) et les personnes vulnérables. De plus, les secouristes sont eux-mêmes des humains avec des familles à protéger, ce qui peut retarder leur intervention.

Au-delà de la préparation individuelle, la solidarité de quartier s’avère indispensable. Alexandre encourage à discuter avec ses voisins, même au risque de passer pour un “illuminé”, afin de coordonner les préparatifs. Un quartier préparé collectivement évite les tensions et les conflits pour les ressources, créant plutôt un réseau d’entraide.

Le podcast propose trois défis concrets : vérifier ses réserves alimentaires et d’eau, noter cinq numéros de téléphone importants sur papier, et identifier un lieu de repli hors de la ville. L’invitation à simuler une demi-journée sans électricité permet de prendre conscience de nos vulnérabilités réelles.

Cette discussion soulève une question fondamentale : sommes-nous prêts à tenir 72 heures seuls ? Dans un monde où les pannes peuvent survenir suite à des tempêtes, des cyberattaques ou même des éruptions solaires, la résilience commence chez soi. Notre société moderne, forte et développée, ne tient que si chaque citoyen peut assurer son autonomie de base. La préparation n’est pas du survivalisme extrême, mais du simple bon sens face à des risques bien réels et documentés.

Ce podcast explore la relation complexe entre les équipes Red Team et les solutions EDR (Endpoint Detection and Response), en mettant l’accent sur les dimensions business plutôt que purement techniques. Charles F. Hamilton partage son expertise terrain sur l’évasion des EDR et démystifie la confiance aveugle que beaucoup placent dans ces solutions présentées comme magiques.

Les EDR sont souvent vendus comme des solutions universelles de protection, mais cette perception cache une réalité plus nuancée. Il existe plusieurs types de solutions (EDR, XDR, NDR) avec des capacités différentes, notamment au niveau de la télémétrie réseau et de l’enrichissement des données. L’industrie de la cybersécurité reste avant tout un business, où les décisions sont guidées par des considérations financières, de croissance et de parts de marché plutôt que uniquement par la protection des utilisateurs.

Un aspect troublant est la romanticisation des groupes d’attaquants par certaines compagnies de détection, qui créent des figurines géantes et des noms accrocheurs pour ces groupes criminels lors de conférences. Cette approche marketing peut paradoxalement valoriser le crime et encourager de nouveaux acteurs malveillants.

Les EDR fonctionnent sur plusieurs niveaux de détection. D’abord, l’aspect antivirus traditionnel effectue une analyse statique avant l’exécution d’un binaire. Ensuite, la détection en temps réel utilise diverses techniques : le user mode hooking (de moins en moins populaire), les callbacks dans le kernel, et ETW (Event Tracing for Windows) qui capture de la télémétrie partout dans Windows.

Les EDR modernes privilégient les callbacks kernel plutôt que le user mode, car le kernel offre une meilleure protection. Cependant, le risque est qu’une erreur dans le code kernel peut causer un écran bleu, comme l’a démontré l’incident CrowdStrike. Microsoft a également implémenté les PPL (Protected Process Light) pour empêcher même les utilisateurs avec privilèges système de tuer certains processus critiques.

Un point crucial : les Red Teams sont souvent plus sophistiquées que les attaquants réels, précisément parce qu’elles doivent contourner les EDR dans leurs mandats.

Contrairement à ce qu’on pourrait croire, l’évasion d’EDR ne nécessite pas toujours des techniques extrêmement sophistiquées. Plusieurs approches simples fonctionnent encore remarquablement bien. Par exemple, modifier légèrement un outil comme PinkCastle en changeant les requêtes LDAP et en désactivant certaines fonctionnalités détectables (comme les tentatives de zone transfer DNS ou les requêtes SPN) peut le rendre indétectable.

Un cas particulier intéressant concerne un EDR qui, suite à son acquisition par Broadcom, a cessé d’être signé par Microsoft. Cette décision business a rendu leur DLL incapable de s’injecter dans les processus utilisant le flag de chargement de DLL signées uniquement par Microsoft, rendant effectivement l’EDR sans valeur de détection.

Une stratégie efficace consiste à désactiver la connectivité réseau des processus EDR avant toute manipulation, en utilisant le firewall local. Même si des alertes sont générées, elles ne peuvent pas être transmises au serveur. L’agent apparaît simplement offline temporairement.

De nombreuses techniques d’attaque anciennes restent efficaces car elles ne sont pas assez utilisées par les attaquants standard pour justifier leur détection. Les EDR se concentrent sur le “commodity malware” - les attaques volumétriques - plutôt que sur les techniques de niche utilisées principalement par les Red Teams.

Charles cite l’exemple d’une “nouvelle backdoor” découverte en 2024 qui était en fait son propre code archivé sur GitHub depuis 8 ans. Pour les compagnies de sécurité, c’était nouveau car jamais vu dans leur environnement, illustrant le décalage entre ce qui existe et ce qui est détecté.

Un conseil crucial : ne pas suivre les tendances en matière de malware. Les techniques à la mode comme le stack spoofing deviennent rapidement détectées. Charles utilise depuis 6-7 ans un agent simple en C# sans share code ni techniques exotiques, qui passe encore inaperçu. La simplicité et une approche différente sont souvent plus efficaces que la complexité.

L’utilisation de Beacon Object Files (BOF) avec Cobalt Strike évite l’injection de processus, réduisant considérablement les artefacts détectables.

Pour les organisations, avoir un EDR est essentiel en 2025 pour bloquer les attaques triviales. Mais ce n’est qu’un début. Il faut absolument avoir au moins une personne qui examine les logs quotidiennement, idéalement trois fois par jour. De nombreux incidents de réponse montrent que toute l’information était disponible dans la console EDR, mais personne ne l’a regardée.

La segmentation réseau reste sous-développée depuis 15 ans, principalement pour des raisons de complexité opérationnelle. Sysmon devrait être déployé partout avec une configuration appropriée pour augmenter exponentiellement la visibilité, malgré la courbe d’apprentissage XML.

La visibilité réseau est ce qui manque le plus aux clients en 2025. Sans elle, il est impossible de valider ce que les EDR prétendent avoir bloqué. Charles donne l’exemple de Microsoft Defender Identity qui dit avoir bloqué des attaques alors que l’attaquant a bel et bien obtenu les hash recherchés.

L’évasion d’EDR est une spécialisation à part entière, au même titre que le pentesting web ou Active Directory. Le secret est de comprendre profondément Windows, les outils et les EDR eux-mêmes avant de tenter de les contourner. Les entreprises doivent garder l’intelligence à l’interne plutôt que de dépendre entièrement des produits commerciaux.

Finalement, la collaboration entre Blue Teams et Red Teams reste insuffisante. Plus de synergie permettrait aux deux côtés de mieux comprendre les perspectives de l’autre et d’améliorer globalement la sécurité. La curiosité et l’apprentissage continu sont les clés du succès dans ce domaine en constante évolution.

Ce podcast technique réunit Nicolas, l’animateur, avec Maxime Arquillière et Amaury-Jacques Garçon, deux analystes en cybermenace de sekoia., une société française spécialisée dans le renseignement sur les menaces informatiques (CTI - Cyber Threat Intelligence). Leur discussion porte sur une investigation approfondie d’une campagne de cyberespionnage sophistiquée baptisée “Double Tap”, probablement liée au groupe APT28 du renseignement militaire russe.

Maxime et Amaury expliquent d’abord leur approche du travail de CTI, qui repose largement sur une veille continue des publications d’organismes spécialisés (CERT français, américains, canadiens) et de chercheurs en cybersécurité. Cette collecte systématique d’informations en source ouverte leur permet de modéliser les menaces et de créer des règles de détection, notamment des règles Yara pour identifier les fichiers malveillants.

Leur équipe dispose de quatre spécialités : le tracking d’infrastructure, les règles de détection, le reverse engineering de malware, et l’analyse stratégique qui vise à comprendre les objectifs géopolitiques derrière les attaques étatiques. Cette approche multidimensionnelle permet une compréhension globale des cybermenaces.

L’investigation démarre à partir d’un article publié fin juillet 2024 par le CERT-UA (l’autorité ukrainienne de réponse aux incidents), qui documente des attaques ciblant régulièrement l’Ukraine. À partir de ces informations, l’équipe a créé des règles de détection, dont certaines volontairement plus souples pour capturer d’éventuelles variantes.

Mi-octobre, une de ces règles Yara a détecté un document Word malveillant sur VirusTotal, une plateforme où sont analysés des millions de fichiers suspects. Ce document contenait une macro et semblait être issu du ministère des Affaires étrangères du Kazakhstan. Cette alerte a déclenché une investigation approfondie qui a permis de découvrir au total 18 documents similaires, dont une dizaine n’avaient jamais été publiés auparavant.

Amaury détaille la sophistication technique de cette attaque. Les documents malveillants utilisent une technique de social engineering : ils apparaissent floutés ou déformés à l’ouverture, incitant la victime à cliquer sur “Activer les macros” pour les rendre lisibles. Cette action déclenche une chaîne d’infection particulièrement élaborée.

La particularité qui a donné son nom à la campagne est l’utilisation d’un double mécanisme : le premier document Word crée un second document contenant des macros malveillantes dans un répertoire temporaire du système. Cette approche en plusieurs étapes vise à contourner les systèmes de détection. Une fois activé, le malware modifie les paramètres de sécurité du système pour permettre l’exécution automatique de macros futures, établit une persistance qui se réactive toutes les quatre minutes, et contacte un serveur de commande et contrôle (C2).

Le code, largement obfusqué, construit progressivement une troisième macro qui communique avec un serveur externe pour transmettre des informations sur la machine compromise (nom d’utilisateur, nom du PC) et potentiellement déployer un backdoor Python appelé “Cherry Spy” pour l’exfiltration de données.

L’analyse de Maxime révèle que les dix documents découverts étaient tous rédigés en kazakh et concernaient des sujets diplomatiques : câbles d’ambassades kazakhes en Belgique et Afghanistan, comptes-rendus de visites présidentielles, et notamment une déclaration diplomatique conjointe entre l’Allemagne et le Kazakhstan datant de septembre 2024, lors d’une visite du chancelier Olaf Scholz visant à diversifier les approvisionnements énergétiques allemands.

Ces documents, datés entre 2021 et 2024, semblent être des documents légitimes récupérés lors d’opérations antérieures et réutilisés comme appâts pour cibler des diplomates et officiels kazakhs. Le Kazakhstan, bien qu’allié traditionnel de la Russie, adopte une politique de plus en plus indépendante, ce qui expliquerait l’intérêt du renseignement russe.

L’équipe établit des connexions avec APT28 (également connu sous le nom de Fancy Bear), un groupe de cyberespionnage du renseignement militaire russe (GRU). Ils identifient également des similitudes avec Zebrocy, un mode opératoire actif entre 2015 et 2020 qui ciblait spécifiquement l’Asie centrale et utilisait des techniques similaires de “double tap”.

Les chercheurs soulignent l’importance de publier leurs découvertes en source ouverte. Bien que cela puisse alerter les attaquants et les pousser à modifier leur infrastructure, cette transparence contribue à l’amélioration de la cybersécurité globale, permettant à d’autres chercheurs de construire sur leurs travaux.

De manière remarquable, quelques jours après la publication de leur rapport, un média kazakh a annoncé qu’une inspection imprévue du ministère des Affaires étrangères serait menée suite aux révélations sur cette cyberattaque. L’équipe avait d’ailleurs tenté de contacter le gouvernement kazakh avant publication, sans recevoir de réponse.

Cette investigation illustre parfaitement la complexité du travail en CTI : combiner expertise technique, compréhension géopolitique et éthique du partage pour protéger efficacement contre les menaces étatiques sophistiquées qui peuvent s’étendre sur plusieurs années.

Dans cet épisode du podcast 0x654 Teknik, Nicolas Corin s’entretient avec Alex Tardif de Palo Alto Networks sur l’opération du centre de sécurité (SOC) lors du Hackfest, un événement majeur de cybersécurité au Québec. Depuis plusieurs années, même avant 2022, Palo Alto est responsable de monter l’infrastructure et de sécuriser le CTF (Capture The Flag) de l’événement. Cette présence unique offre à l’équipe une visibilité exceptionnelle sur des trafics hostiles dans un environnement volontairement vulnérable.

Contrairement à ce qu’on pourrait penser, sécuriser un CTF n’est pas contradictoire. L’objectif principal est de contrôler ce qui se passe pour s’assurer que les participants respectent le code de conduite et ne dépassent pas les limites établies. Il faut empêcher les attaques sur les infrastructures hors périmètre du CTF et surveiller l’adresse IP publique pour éviter que des activités malveillantes n’affectent le Centre des Congrès qui héberge l’événement. Cette diligence est essentielle pour maintenir la confiance de l’organisation et garantir l’accès internet.

Palo Alto déploie bien plus que des pare-feu. L’équipe utilise une suite complète de solutions de sécurité, incluant des pare-feu nouvelle génération, un SOC, et des produits de sécurité cloud. Cette architecture permet une traçabilité complète, de l’utilisateur jusqu’aux challenges dans le cloud, en passant par le réseau. Cette année, l’infrastructure comprenait plus de 260 serveurs pour le challenge Active Directory, avec 5 à 6 serveurs instantanés par équipe.

Les outils déployés incluent Xsoar (leur outil SIEM automatisé), des solutions d’attack surface management, de la sécurité applicative pour analyser le code des challenges, et potentiellement pour l’année prochaine, des outils de sécurité pour les LLM (Large Language Models).

La préparation commence plusieurs mois à l’avance, dès avril-mai pour l’événement d’octobre. Cette planification extensive couvre la logistique, la nature des challenges, les connexions d’infrastructure et le déploiement des solutions. L’équipe connecte les challenges deux semaines avant l’événement pour effectuer des audits de sécurité, identifier les vulnérabilités présentes et confirmer avec les créateurs de challenges que tout est intentionnel. Cette approche “purple team” permet d’équilibrer la sécurité et l’intérêt des défis.

Cette année, l’équipe a adopté un organigramme de SOC traditionnel avec 14 ressources sur place, incluant des SOC managers, des analystes de niveau 1, 2 et 3, et un analyste de sécurité réseau. L’événement se déroule sur 24 heures, du jeudi 19h30 au vendredi 19h30, ce qui représente un défi opérationnel considérable. L’équipe est principalement composée de ressources locales en prévente chez Palo Alto, avec des profils variés : red teaming, cloud, anciens directeurs de SOC, et spécialistes de l’implémentation de pare-feu.

L’équipe opère entièrement en mode détection, avec seulement un événement bloqué cette année : une tentative d’injection sur la page de connexion WiFi. Ce mode nécessite plus d’intervention humaine mais offre une expérience d’apprentissage unique dans un environnement de production extrêmement bruyant, rempli de C2, malware et exploitations de vulnérabilités.

Les chiffres de cette année témoignent de l’ampleur de l’événement : 486 Go de données analysées en 24 heures, 31,4 millions de menaces uniques détectées, 11 300 alertes générées et converties en 1 000 incidents. Grâce à l’automatisation, 663 incidents ont été traités automatiquement, soit plus de la moitié. L’équipe a atteint un temps moyen de détection et de réponse (MTTR/MTTD) de moins de 15 minutes, un exploit remarquable comparé à certaines grandes organisations.

L’automatisation joue un rôle crucial dans la gestion du volume d’alertes. Une fois qu’un type d’incident est résolu et compris, le système Xsoar recommande des playbooks pour automatiser la fermeture d’incidents similaires. Cette approche permet aux analystes de se concentrer sur les incidents vraiment intéressants plutôt que sur le triage répétitif, améliorant ainsi la rétention du personnel et la satisfaction au travail.

L’histoire justifie la vigilance : en 2022, un participant avait déployé des malwares via un faux captcha dans un PDF, ciblant la Russie et le Vietnam. En 2023, des machines infectées (notamment une VM Kali piratée) ont été détectées, et des tentatives de DDoS sur l’infrastructure du Hackfest ont été stoppées.

Cette année a été relativement calme, avec quelques anecdotes amusantes : une équipe a uploadé des photos de Vladimir Poutine aux pectoraux surdimensionnés sur un challenge GCP, et un participant paranoïaque a effectué 929 tentatives de validation DNS avec des DGA (Dynamically Generated Addresses).

Une découverte intéressante : 242 utilisateurs uniques ont utilisé ChatGPT durant les challenges, soit environ un tiers des participants. Plus surprenant encore, 68 utilisateurs ont utilisé Bing AI, probablement faute d’abonnement à d’autres services. Cette tendance soulève des questions sur l’équité et l’apprentissage dans les CTF.

Cette expérience unique bénéficie autant à Palo Alto qu’au Hackfest. Pour l’entreprise, c’est une opportunité exceptionnelle de tester leurs solutions dans un environnement de production hostile et d’acquérir une expertise concrète pour mieux conseiller leurs clients. Pour le Hackfest, c’est la garantie d’un événement sécuritaire et professionnel. L’équipe invite d’ailleurs les intéressés à venir observer le SOC en action l’année prochaine, une opportunité rare de voir ces outils professionnels déployés dans un contexte réel et d’apprendre aux côtés d’experts.