- Speaker #0
La semaine passée, j'ai reçu Xavier Mertens pour parler du SANS, du Reverse Engineering et du Malware Analysis. Mais, il y a une partie de l'épisode qui sonnait tellement bien que j'ai décidé de la sortir à part. Bienvenue dans l'Internet Storm Center. Ouais, je te jure, ça sonne mieux en anglais. Et pour être honnête, je ne connaissais pas. J'ai appris plein de choses. J'espère que toi aussi, parce que c'est exactement l'un des buts du podcast. Dans cet épisode, Xavier nous plonge dans un réseau mondial de honeypots. qui surveille Internet en temps réel. Des attaques détectées avant même qu'elles n'arrivent dans la presse. Un système d'alerte tellement sensible qu'il pourrait faire bouger les marchés financiers si quelqu'un l'utilisait n'importe comment. Et en bonus, deepfake, malware généré par IA, LLM criminel, bref, tout ce que tu ne veux pas croiser un lundi matin. Mais surtout, il t'explique comment ça marche vraiment derrière, comment il suive les attaques, comment il publie chaque jour un journal de tempête numérique, ... Et comment toi, ingénieur, ciseau, consultant, cise-admin, tu peux utiliser ces infos gratuitement dans ton trait d'intelligence ? Allez, c'est parti, on plonge ensemble dans l'œil du cyclone ! Donc effectivement, d'après tout ce que tu viens d'expliquer par rapport au contenu, à la formation SANS, aux formations SANS, etc., parce qu'il n'y en a pas qu'une, ce sont des formations qui sont très pointues, très techniques, qui ne sont pas à la portée de toutes les bourses. Il y a malgré tout une partie d'informations qui est gratuite sur le site. Donc on vous mettra la référence dans les commentaires pour le SANS. De même que sur l'Internet Storm Center, qu'on mettra également en commentaire de la vidéo. Je t'avoue qu'avant de préparer cette interview, je ne connaissais pas moi-même l'ISC. Je connaissais l'ISC Square, qui est l'autre, le concurrent, un des concurrents du SANS. Mais je ne connaissais pas l'Internet Stamp Center comme ça. Je connaissais plutôt la CISA, qui est l'Agence américaine de cyberdéfense, dont on a parlé beaucoup ces derniers temps depuis l'élection de Donald Trump, où on ne savait pas s'ils allaient. recevoir les fonds à temps. C'est quand même eux qui gèrent tout ce qui est CVE au niveau mondial. Et là, encore récemment, parce qu'ils sont en... Donc, je n'avais jamais entendu parler d'Internet Storm Center. En quoi consiste l'Internet Storm Center et quelle est ta position là-bas ?
- Speaker #1
Alors, l'Internet Storm Center est, entre guillemets, sponsorisé par SANS. Donc, si tu regardes l'URL, c'est isc.sans.edu. Donc, on a des facilités, on reçoit du matériel, etc. Il y a des gens de SANS qui travaillent pour l'ISC. Comme tu dis, donc ISC, rien à voir avec ISC Square, c'est complètement différent. L'idée de l'Internet Storm Center, en fait, elle a démarré, ça date déjà, je crois que c'était en 2001, où il y a eu une des premières grosses cyberattaques qui a mis une bonne partie d'Internet par terre. C'était le Worm, je ne me souviens plus duquel. Maintenant, ce n'était pas le MSSQL, je ne me souviens plus, peu importe. Et là, il y a certaines personnes, des gens actifs dans la cybersécurité, qui ont eu une réflexion et se sont dit, mais pourquoi est-ce qu'on n'aurait pas un early warning system que l'on pourrait mettre en place pour, quand il y a un incident de ce type-là, pouvoir communiquer le plus vite possible et vraiment donner de l'info à un maximum de personnes. Et c'est de là que tout est venu. Aujourd'hui, l'Internet Sound Center, c'est quelque chose qui est complètement gratuit, qui est opéré de manière gratuite. Moi ici, dans le cadre de l'ISC, je suis ce qu'on appelle un handler, donc un peu comme un système admin, ce n'est pas du forensic, ce n'est pas un consultant, c'est du bénévolat, je donne de mon temps. Et ce qu'on fait, on est peut-être actifs une vingtaine, répartis dans le monde, mais bien entendu toujours... basés principalement aux États-Unis. Je crois qu'on est deux en Belgique. Il y en a un en Croatie, il y en a un en Tchéquie, je pense. Les autres sont basés au Brésil, Singapour, Canada, États-Unis, etc. Et donc, le but, c'est qu'on tient tous les services à jour et on fournit de l'awareness au niveau des sociétés, au niveau de n'importe qui. Cet awareness, il se fait selon différents canaux. On a bien entendu le site web, ou lorsqu'on est ce qu'on appelle on-duty. Donc si je suis on-duty, par exemple, demain, pendant 24 heures, mon boulot, ça va être de garder un œil sur ce qui se passe. Est-ce qu'il y a une nouvelle attaque ? Est-ce qu'on voit au niveau du port scanning que subitement, il y a beaucoup d'activités sur tel port, etc. Depuis tel réseau, tel adresse IP. On écrit ce qu'on appelle un diary, c'est comme un blog post. Donc, on rédige quelque chose. Moi, forcément, je rédige en général des diaries relatifs à tout ce qui est malware, puisque c'est mon domaine. Mais parmi les anglers, on a des CISO, on a des CIS admin, on a des pen testers, on a des gens qui sont très techniques, on a des gens qui sont… ou compliant, donc on a un ciseau. Et lui, quand il écrit, il écrit des trucs plus dans son domaine. Et donc, c'est vraiment ouvert à tout le monde. À côté de ce site web, on a le fameux, je dis le fameux, parce qu'il est vraiment reconnu mondialement. C'est le podcast qui est enregistré par Johannes, qui est basé en Floride. Et ce qui est vraiment bien pour nous, c'est qu'en Europe, tous les matins, quand on boit son café, on prend le bus, on prend le métro, on a les bouchons pour aller bosser, etc. Il y a le podcast qui a déjà été publié. Et en cinq minutes, on a un résumé de ce qui s'est passé dans les dernières 24 heures. En termes d'attaques, de malware, de nouvelles vulnérabilités, 0D, etc. Enfin, c'est un peu biaisé parce que moi, en général, je sais ce qu'il va y avoir dans le podcast, vu qu'on parle entre nous, etc. Mais je l'écoute aussi parce que parfois, je suis un peu déconnecté. Donc, je ne suis pas vraiment ce que mes collègues font. Donc, j'écoute le podcast aussi. On a… un réseau mondial de honeypots. C'est-à-dire que toi, par exemple, imagine que tu veux déployer ton petit honeypot sur un Raspberry ou une petite VM à la maison, dans ton réseau, dans ton entreprise, etc. On te fournit le code, tu peux tout faire. Et donc, tu vas capturer du trafic pour nous. Ton honeypot va tout recentraliser chez nous. Et donc, on a une immense base de données avec réputation d'adresse IP. On a toutes les statistiques au niveau des... de port, on a des statistiques au niveau des attaques, etc. Et donc, basé sur cette immense set de données, on sort des statistiques et donc, on peut dire, voilà, on a vu, par exemple, que sur les dernières 24 heures, on a vu un pic d'activité sur le port 3389, par exemple, RDP venant de tel pays, vers tel pays, etc. On a vraiment une visibilité et on communique là-dessus et toutes ces données sont disponibles sur le site de l'ISC.
- Speaker #0
Et donc,
- Speaker #1
on a tout un dataset comme ça, par exemple, les domaines enregistrés, le top des qu'est-ce qu'on a les domaines on a aussi on a des trades feed on a des trades Intel enfin plein d'informations qui sont à disposition de Monsieur Tourneau avec aussi une API donc tu peux automatiser tu peux retenir les queries depuis ton outil etc. pour par exemple tu as tes logs de firewall tu peux les analyser avec notre API pour voir un peu si tu as des IP suspicieuses etc. Voilà en quelques mots du coup je vois mieux ...
- Speaker #0
Le mot Storm Center, ce que ça veut dire derrière, en fait, les onnepots, si je résume, c'est un peu comme des valises que tu prends au niveau mondial, au niveau climatique, au niveau de la température monde, ou alors il y a une vague, ou la vague a chuté, ou que sais-je, et quasiment en temps réel, avec les onnepots qui remontent au travers des API, vous, vous savez cartographier et dire, tiens, là, il y a une sorte d'épidémie qui arrive, ou il y a une sorte de port scan qui arrive. Sur du RDP.
- Speaker #1
Imagine une nouvelle vulnérabilité qui sort. Une vulnérabilité pour, j'invente un AF5 ou des choses comme ça. Automatiquement, comme les Onipot capturent le trafic web, on verra toutes les requêtes et toutes les tentatives et tous les payloads que les attaquants essayent déjà d'utiliser contre la 0D F5. Et donc, on peut compiler tout ça et analyser. Si tu vas sur le site de l'ISC, tu verras qu'en Ausha droite, On a aussi l'infocon, qui est un peu comme le Defcon Level dans les films à Hollywood.
- Speaker #0
Et donc,
- Speaker #1
cet infocon, on peut l'augmenter et changer en fonction des attaques. Certaines personnes nous disent, pour la petite histoire, mais l'infocon, vous ne le changez jamais. Mais en fait, pour le changer, on a toute une série de règles à appliquer qui sont très, très strictes et on discute entre nous si on veut le changer ou pas. Et le problème, c'est que si on le change trop souvent... Mais c'est surtout aux États-Unis, il y a des socs qui ont ça affiché en grand sur leur mur d'images et que si on le change trop souvent, on fait paniquer les gens. Et donc, on ne peut pas se permettre de le changer pour rien. On a un 0D qui va sortir, par exemple, j'ai un vent de nouveau pour un F5, je n'ai rien contre un F5, c'est énorme. On a un 0D qui sort contre un F5, mais on ne va pas augmenter l'infocom parce que ça ne touche pas tout Internet, ça ne touche pas monsieur tout le monde.
- Speaker #0
C'est ça.
- Speaker #1
Tu vois ? Et donc, on doit vraiment être très... quand on le change, parce que sinon, on fait paniquer les gens.
- Speaker #0
Oui, et puis, il y a de l'économie derrière. Donc, si dans les socs, eux, ils ont d'autres alertes et l'info-con a bougé et que derrière, il y a la bourse. ça commence à perturber indirectement les marchés financiers. Simplement parce qu'il y a…
- Speaker #1
On pourrait imaginer des choses comme ça.
- Speaker #0
Oui, donc, ok, c'est intéressant.
- Speaker #1
Tu imagines que quelqu'un… Allez, tu as un scénario un peu Hollywood, mais quelqu'un pourrait nous donner des infos qui nous permettraient de changer l'infocom et lui, derrière, il fait un délit d'initié, des trucs comme ça, parce qu'il revend ses actions. Parce qu'ils savent que si l'infocom augmente, la bourse va y avoir un drop au niveau de la... T'imagines les scénarios un peu hollywoodiens, mais tu peux imaginer les choses comme ça.
- Speaker #0
Il achète au moment, juste après le drop, parce qu'il sait que ça va remonter. Je ne pense pas que ça soit Hollywood. Je ne pense pas que ça soit Hollywood, et le crime pourrait faire ça, pourrait tout à fait faire ça. Donc, effectivement, comme tu dis, il faut être très prudent. Clairement. Tu nous as parlé de ton activité en tant que handler, et est-ce que... Là, tu as parlé des années potes aussi, mais est-ce que vous collaborez directement avec des CERTs nationaux ou autres ? Ou est-ce que c'est plutôt les CERTs qui...
- Speaker #1
Ça arrive. Alors, l'Internet Sound Center n'est pas présent dans les réseaux de CERT classiques. Tu sais, tu as des réseaux de CERT officiels où les CERT sont connectés entre eux et peuvent changer des informations. L'ISC n'est pas connecté sur ce réseau de CERT, mais on a des contacts. avec certains certes qui nous demandent parfois des informations. Nous, on peut aussi leur communiquer des informations en fonction des choses qu'on découvre, etc. Ce qui est assez fun parfois, c'est la visibilité que l'on peut avoir. Je vais donner un exemple concret. De nouveau, quand je dis visibilité, moi étant freelance, c'est normal que je doive essayer de me rendre visible pour attirer des clients, me faire connaître, etc. Et donc, pour moi, l'Internet Sound Center est quelque chose de génial parce que je donne un petit peu de mon temps, mais c'est quand même un investissement parce que mon nom est communiqué à gauche, à droite, etc. Et j'ai écrit il y a trois semaines, j'étais en duty et j'ai trouvé une vidéo sur TikTok qui était une nouvelle version du ClickFix. Donc, en fait, la vidéo t'expliquait, allez sur tel site, vous allez avoir un bootcamp. Vous faites « Ctrl-C » , vous faites « Windows-R » , « Ctrl-V » , « Enter » et vous allez avoir Photoshop gratuit ou un truc comme ça. Voilà, c'est le but de la vidéo TikTok, qui avait été vue par des milliers de personnes. Et donc, j'ai écrit mon arrière-là-dessus, j'ai regardé, voilà, nouvelle version de Plex Mix, faites attention, etc. Ça a été relié, mais alors, j'ai pris des captures d'écran par des journaux ou des magazines ou des sites web partout dans le monde. J'ai des versions en japonais, en italien, en espagnol, machin. de mon article, qui l'ont relayé, en disant, oui, l'ISC, Xavier Mertens, angleur à l'ISC, a trouvé ça, je ne sais pas, le Hall of Fame, ou un truc comme ça, mais c'est la visibilité qu'on peut avoir parfois. Tu te rends compte que les gens nous lisent, et quand il y a vraiment un truc qui est intéressant, on est relayé partout, partout, et ça fait du bruit. Et ce qui est le but aussi, c'est de mettre un maximum de gens pour rendre...
- Speaker #0
Je le fais un peu avec le podcast, c'est aussi une visibilité, et puis on a des choses à dire. C'est aussi dans le côté relayé. Il y a eu des gens qui m'ont dit « Tu démarres un podcast, tu vas le monétiser combien ? » Non, c'est gratuit. Je ne monétise pas. Pour moi, c'est un coût pour l'instant. C'est un investissement sur le long terme. C'est un coût parce que... Et en même temps, je fais de l'investissement parce que j'apprends. Je lis pas mal de livres sur les auteurs. Je continue à apprendre mais de manière différente. Parce que moi, je suis comme toi, je suis freelance. Aller passer cinq jours dans une classe, même donner un cours maintenant, j'essaie d'arrêter de passer cinq jours dans une classe. Mais moi, aller suivre un cours cinq jours, je n'ai pas le temps. Je ne peux pas arrêter mon business pendant cinq jours. C'est un peu de ma faute. J'essaie d'apprendre par des bouts de code comme ça et le podcast fait que j'apprends ça. Mais c'est avant tout pour la communauté, pour servir la communauté. C'est intéressant parce que du coup... Ton truc, là, ce que tu viens de dire, il y a plein de jeunes sur TikTok. Bon, nous, on est plutôt génération Facebook. Il y a Insta. Les plus jeunes sont sur TikTok. Je me suis lancé sur TikTok aussi. Eux, ils ne vont pas comprendre. Ils vont faire le script, ils vont faire le script, et puis ils vont se faire infecter leur PC. Donc, c'est super important d'aller les protéger, de leur dire, les gars, surtout ne faites pas ça. Voici comment protéger. Et c'est gratuit, comme tu l'as dit, l'Internet Center est gratuit. mais pas assez connus même chez les pros tu vois donc je vais conseiller différemment certains clients Maintenant, grâce à notre échange, parce que je ne te cache pas qu'on est sur la Nice 2 en Belgique, dans les télécoms, dans le transport, on a Dora. Le trait d'intelligence, souvent, il se limite à de l'OSINT, Open Source Intelligence. Il se limite à des processus où on pointe vers, en Belgique, le Cyber Security Center for Belgium, donc le CCB, desserts locaux, et puis basta, c'est tout. Tandis que là... C'est beaucoup plus agnostique, pas national. Il y a une veille bienveillante, comme j'entends en Follow the Sun, avec différentes cultures et différentes compétences. Donc moi, je vais leur considérer autrement mon trait d'intelligence. Et tu vois, c'est comme ça que je continue à apprendre. Et on a des nouvelles menaces émergentes, qui ne sont pas si nouvelles que ça pour moi, mais on parle de l'IA. Mais comment est-ce que tu vois l'évolution du Storm Center par rapport à ces nouvelles menaces ?
- Speaker #1
Au niveau de tout ce qui est IA, on a communiqué dessus pas mal en disant, c'est un petit peu se répéter, mais faites attention, ne pas croire tout ce que l'on voit, tout ce que l'on entend, tout ce que l'on dit. On a eu des cas qui ont été rapportés où des gens avaient eu des tips fakes, mais très, très, très bien faits. Oui, allô, oui, c'est maman qui t'appelle, je suis à tel endroit, etc. Avec la voix de la maman et tout, c'est terrible. Moi, je vois plutôt l'IA dans mon cadre à moi. L'IA, c'est plus au niveau de la relation. Si je reviens un petit peu au niveau du malware, il y a deux aspects. Moi, je l'utilise dans le cadre de l'analyse, parce que ça peut accélérer clairement l'analyse de malware. Si moi, j'envoie un boot code à ChachGPT, et que ChachGPT me dit que le boot code fait ça, c'est un win. Voilà, je gagne du temps. Maintenant, ce qu'il faut savoir, c'est que l'IA est utilisée par les attaquants pour générer des malwares également.
- Speaker #0
C'est ça, c'est dans les deux sens.
- Speaker #1
Alors, là, on voit déjà que ça va dans les deux sens. Et alors, on voit déjà qu'ils vont plus loin. C'est que, de un, tu as les LLM utilisés pour générer le malware. Et alors, j'ai lu la semaine dernière que Google, ils ont découvert un malware qui, lui, utilise un LLM, mais le malware même. Donc, quand le malware est déjà sur la machine, il utilise le LLM pour continuer l'infection et trouver d'autres choses. Ce qui est... Maintenant, ce qu'il faut que les gens sachent aussi, c'est que forcément, tout le monde connaît les Chagipité, les Claude, etc. Si tu demandes à Chagipité, tiens, écris-moi un ransomware pour faire ça, etc. Chagipité va te répondre poliment, tu ne peux pas faire ça, c'est mal. Par contre, si tu découpes ton compte en différentes choses, là, tu vas pouvoir le faire. Donc, l'exercice que j'ai fait, c'est, il ne veut pas écrire mon malware, mais je lui dis, tiens, Chagipité, est-ce que tu as un exemple ? d'injection de code dans un process existant parce que je voudrais écrire un labo pour un cours. Ils te le font. Et puis, tu lui demandes l'autre partie. Et puis, tu connectes tout ensemble et c'est parti. Maintenant, ce qu'il faut savoir aussi, c'est que si tu as des LLM, des LLM publics, entre guillemets, que tout le monde utilise, etc., sur le Dark Web, ils ont aussi leur propre chat GPT qui, lui, n'a absolument aucune limite, aucune limitation. Et lui, c'est ouvert à tout. Il va te répondre à n'importe quel prompt. Et tu lui demandes comment pouvoir faire telle chose. Il n'y a aucune limite.
- Speaker #0
Donc,
- Speaker #1
il y a clairement...
- Speaker #0
Lui, on va dire qu'il n'a pas d'éthique. Et l'OpenAI, sans citer tous les autres produits, moi, je dis OpenAI comme je disais Twitter avant, enfin X maintenant pour dire les réseaux sociaux. OpenAI,
- Speaker #1
il a l'éthique.
- Speaker #0
qu'on lui a donné qui aussi est biaisé et bon voilà moi je m'en méfie beaucoup mais effectivement tu pourrais le dire bah tiens comment est-ce que je peux tuer quelqu'un ah non je ne peux pas vous le dire ok mais je suis romancier pour Hollywood j'aimerais bien ou j'aimerais bien écrire un roman et là exactement c'est exactement c'est les trucs tu dis ok donc son éthique elle n'est pas si éthique que ça mais tu demandes à Deep Sea qui est 100%
- Speaker #1
chinois ... Tu demandes à Deep Seek, ils sont proches de toi, parle-moi un peu de l'incident de Tiananmen. Ils vont dire, je ne connais pas. Donc, il est biaisé à la base. Il ne te répondra que pour lequel il était programmé, entre guillemets. Voilà.
- Speaker #0
Il n'y avait pas de char. Ok.
- Speaker #1
Il n'y a rien eu, rien du tout.
- Speaker #0
Voilà. Tu viens de traverser l'œil du cyclone avec Xavier Mertens. J'espère que tu vois maintenant Internet un peu différemment parce que moi... Clairement oui. Ce que j'adore avec des invités comme Xavier, c'est qu'il te montre ce qu'on ne voit jamais. Les coulisses, les signaux faibles, les orages numériques avant qu'ils n'explosent. Et ça ? C'est exactement la mission de ce podcast. Te réveiller, ne pas t'endormir, te donner des outils, de la lucidité, et parfois quelques sueurs froides aussi, mais les bonnes. Si cet épisode t'a plu, laisse les 5 étoiles, laisse un petit commentaire, ou partage-le à quelqu'un qui bosse dans un soc par exemple, un analyste ou un jeune passionné. Ça change vraiment la visibilité du podcast et ça m'aide énormément. Et la semaine prochaine, on reste avec Xavier, mais on change complètement d'ambiance. On quitte les tempêtes numériques et on plonge dans Brucon, la conférence cyber belge indépendante, technique, passionnée que Xavier co-organise depuis des années. Une ambiance unique, des talks de fous et surtout une communauté. Tu vas comprendre pourquoi tant de gens en parlent comme d'un rendez-vous à part. Allez, merci d'avoir écouté Compliance Without Coma. Reste curieux, reste éveillé. Et on se retrouve donc vendredi prochain.
