Parce que… c’est l’épisode 0x642!

Shameless plug

• 12 au 17 octobre 2025 - Objective by the sea v8


• 14 et 15 octobre 2025 - ATT&CKcon 6.0


• 14 et 15 octobre 2025 - Forum inCyber Canada
  
  
  
  • Code rabais de 30% - CA25KDUX92
  
  
  
  


• 4 et 5 novembre 2025 - FAIRCON 2025


• 8 et 9 novembre 2025 - DEATHcon


• 17 au 20 novembre 2025 - European Cyber Week


• 25 et 26 février 2026 - SéQCure 2026

Description

Dans cet épisode du podcast Sécurité technique, l’animateur reçoit Charles F. Hamilton pour discuter des tendances en cybersécurité à surveiller pour la fin de l’année 2025. La discussion s’amorce sur une réalité préoccupante : l’automne marque une période de forte activité tant pour les équipes légitimes que pour les cybercriminels, avec une hausse notable des incidents de sécurité nécessitant des réponses d’urgence.

La complexité d’Azure : un terrain propice aux vulnérabilités

Un des points majeurs abordés concerne la plateforme Azure de Microsoft. Une vulnérabilité récemment publiée permet de prendre le rôle Global Admin sur tous les tenants Azure, illustrant parfaitement les dangers liés à la complexité excessive de cet écosystème. Cette faille, découverte par manipulation de jetons de service, rappelle les problèmes similaires rencontrés avec Active Directory Certificate Services il y a quelques années.

La complexité d’Azure réside dans ses multiples méthodes d’authentification, ses contextes variés et ses centaines d’applications déployées par défaut dans chaque tenant. Les organisations ajoutent souvent leurs propres applications avec des permissions mal configurées, créant involontairement des chemins d’accès privilégiés. Le problème s’aggrave car il n’existe pas d’outils officiels de Microsoft pour auditer ces configurations, forçant les équipes de sécurité à se fier à des scripts PowerShell disparates ou à des outils développés par la communauté.

Le faux sentiment de sécurité

Un exemple frappant illustre le décalage entre la perception et la réalité de la sécurité : lors d’un test red team, un client disposait d’une infrastructure de sécurité impressionnante incluant filtrage réseau, EDR, NDR et autres solutions avancées. Paradoxalement, l’outil d’accès à distance légitime a été bloqué, nécessitant trois jours pour configurer des exceptions. En revanche, le payload malveillant a passé sans problème, sans générer aucune alerte. Cette situation démontre que ces outils créent souvent plus de complexité pour les équipes IT légitimes qu’ils ne protègent réellement contre les menaces sophistiquées.

Le fossé entre red team et blue team

La discussion révèle un écart de compétences préoccupant entre les équipes offensives et défensives. Les red teamers investissent constamment dans l’apprentissage de nouvelles techniques, tandis que les équipes défensives ont tendance à s’appuyer aveuglément sur l’intelligence artificielle de leurs outils de sécurité. Le threat hunting, pourtant essentiel, demeure rare au Québec et au Canada, malgré la disponibilité des données nécessaires dans les solutions EDR et NDR.

Un test révélateur : demander à des professionnels d’expliquer le fonctionnement de SecretDump, un outil largement utilisé. Très peu peuvent fournir une réponse complète sur ses mécanismes internes et les artefacts qu’il laisse. Cette lacune empêche les red teamers d’expliquer efficacement aux équipes bleues comment détecter leurs actions.

La sophistication des attaquants : un mythe à déconstruire

Contrairement à la perception populaire, la majorité des attaquants ne sont pas particulièrement sophistiqués. Ils suivent des playbooks répétitifs et comptent sur le volume pour réussir. Les intervenants ont observé des cas où des attaquants ont obtenu des accès privilégiés, puis ont immédiatement alerté leurs victimes par des actions bruyantes comme tenter de rendre publics tous les dépôts GitHub d’une entreprise.

Paradoxalement, les red teamers modernes développent des techniques si avancées qu’ils représentent désormais un niveau de sophistication comparable aux groupes parrainés par des États-nations, un scénario irréaliste pour la plupart des petites et moyennes entreprises québécoises. Cette situation crée un décalage : on teste la capacité à détecter des attaques extrêmement sophistiquées alors que les vraies menaces utilisent des méthodes beaucoup plus basiques.

Les tendances à surveiller pour l’automne 2025

Plusieurs éléments méritent une attention particulière pour la fin de l’année :

Les vulnérabilités sur les équipements périmétriques : Les solutions VPN de Cisco, SonicWall et Fortinet ont toutes été touchées récemment. Les délais d’exploitation se comptent maintenant en heures après la publication d’une vulnérabilité, amplifiés par la publication immédiate de preuves de concept sur les réseaux sociaux.

L’audit des tenants Azure et Google Enterprise : Les vecteurs d’attaque identifiés sur Azure s’appliquent également aux environnements Google Enterprise. Les organisations doivent absolument auditer leurs applications, leurs permissions et leurs configurations.

Les employés infiltrés : Une tendance émergente concerne l’embauche de développeurs travaillant pour des pays politiquement non neutres, qui obtiennent un accès au code source dans le but apparent de voler la propriété intellectuelle.

Les vulnérabilités GitHub Actions : Les fuites de clés API continuent de poser problème, avec des délais d’exploitation extrêmement rapides.

Le problème de la publication des preuves de concept

La course à la visibilité pousse certains chercheurs en sécurité à publier immédiatement des preuves de concept complètes, parfois dans l’heure suivant la découverte d’une vulnérabilité. Cette pratique, combinée à l’intelligence artificielle capable de générer du code fonctionnel à partir de bulletins de sécurité, met les organisations en danger avant qu’elles n’aient le temps d’appliquer les correctifs. Un retour aux pratiques de divulgation responsable avec un délai minimum de 80 jours serait bénéfique.

Conclusion : l’importance de l’éducation

Le podcast se termine sur l’importance cruciale de l’éducation en cybersécurité. Plutôt que de se focaliser uniquement sur l’utilisation d’outils, les professionnels doivent comprendre les fondements : comment fonctionne Windows, comment un programme s’exécute, comment créer ses propres exploits. La simplicité est souvent plus efficace que la complexité. Les solutions les plus durables reposent sur une compréhension approfondie des systèmes plutôt que sur l’accumulation d’outils sophistiqués dont personne ne maîtrise vraiment le fonctionnement.

Collaborateurs

• Nicolas-Loïc Fortin


• Charles F. Hamilton

Crédits

• Montage par Intrasecure inc


• Locaux virtuels par Riverside.fm