Découvrez dès maintenant notre plateforme d'e-learning avec nos formations en Cybersécurité & Digitale.
Notre offre Formation L'équipe Blog Guides
Contact
<- Retour au blog

Se faire hacker avec un simple npm install ?

3 novembre 2024 | Valentin

Illustration de l'article

recap

cyber

actu

Imagine, tu es un dev JS random et comme n'importe quel dev, tu utilises npm pour installer tes packages.

Donc toi, comme d'habitude, tu fais ton petit npm install et là, quelques instants plus tard, tu apprends que tu as perdu tous tes ethers et que des hackers se sont infiltrés dans l'infra de ton entreprise.

Et bien ça, ça peut vraiment t'arriver en quelques instants et je t'en parle juste après dans ce récap de l'actu cyber de cette semaine !

Sensibilisation

Mais avant cela, c'est mon dernier rappel car nous sommes dans la dernière semaine de ce mois de la cybersécurité, alors c'est plus que jamais le moment pour vous d'organiser quelques sessions de sensibilisation ou de partager nos vidéos dans votre entreprise.

N'oubliez pas que c'est plus de 95% des cyberattaques qui commencent par une action humaine et qu'un simple bon réflexe peut déjouer de nombreux pièges.

Vulnérabilité

Comme je vous disais en introduction, cette semaine j'aimerais vous parler de ces failles sur certains packages npm ayant pour objectif, par exemple, de vous voler vos clés d'accès à vos wallets de cryptomonnaie, ou parfois tout simplement d'ajouter des clés SSH publiques sur les serveurs entreprises afin de s'y connecter plus tard.

Le concept de l'attaque est assez simple à comprendre : des attaquants développent puis pushent des packages sur le registre npm visant à se faire passer pour des packages officiels.

Ici, le but, par exemple, étant de se faire passer pour le package officiel ethers et ces packages incorporent du code malicieux visant à extraire de la donnée ou à se donner accès à l'infrastructure de votre entreprise, par exemple.

Certains packages s'activent juste après l'installation alors que d'autres attendent quelques temps avant de déclencher l'exécution de leur code malicieux, pour déjouer votre méfiance notamment. Alors, avant d'installer un package, prenez bien le temps de vérifier le développeur, le nombre de téléchargement mais surtout le repo github associé pour ne pas installer des packages verolés sans le vouloir.([1])

ChatGPT Jailbreak

Si comme moi, vous êtes un peu un fouillé m•••• et aimez bien détourner un peu les outils de leur usage, vous avez certainement déjà essayé de faire générer des choses pas tiptop au IA comme ChatGPT ou Gemini.

Si à la sortie de chatgpt, il était encore assez simple de lui faire générer des scripts d'injection SQL ou autres, par exemple, c'est devenu de plus en plus compliqué au fil du temps mais compliqué, cela ne veut pas dire impossible.

Car cette semaine et en lien avec le nouveau programme de bug bounty développé par Mozilla sur les API génératives, un attaquant est parvenu à faire générer des scripts malicieux à ChatGPT en utilisant notamment des émojis et une conversion en hexadécimale.

Alors si vous ne savez pas quoi faire durant ce long week-end, et que vous avez envie de gagner jusqu'à 15000 dollars, essayez de faire évader ChatGPT de sa 'prison' avec vos prompts et de les soumettre au bug bounty de Mozilla.([2])

Data Leak

Avant de vous reparler un peu de l'énorme dataleak de Free dont nous avons pu déjà discuter la semaine dernière, j'aimerais rapidement vous parler du non dataleak qui a touché Eni.

Car en ce moment, Eni est un peu sous les projecteurs depuis que la police italienne a arrêté quatre personnes ayant potentiellement accédé de manière illégale à de multiples sources de données, dont des données du fournisseur d'énergie.

Sauf que dans le même temps, Eni annonce que ce n'est pas le cas, car ces derniers avaient volontairement donné accès à leurs données, et donc aux données de leurs clients, selon un cadre assez flou.

Alors, est-ce que l'on peut vraiment parler de non dataleak lorsque les clients ne sont pas au courant de l'usage de leurs données, je vous laisse me donner votre avis en commentaire. ([3])

Et en attendant, j'aimerais vous reparler de l'énorme data leak de Free où des millions de clients ont vu leurs données leak, dont leur IBAN, ce qui peut vite poser problème.

Car c'est officiel, en plus des 100 000 IBAN leaks gratuitement par l'attaquant, la base de données a aujourd'hui trouvé preneur après des enchères ayant monté à plus de 175 000$.

Si vous êtes concerné par le dataleak, gardez bien en tête que le leak de votre IBAN, ce n'est vraiment pas rien et qu'il est possible de souscrire à des abonnements en votre nom voire même à des prêts.

Alors surveillez quasiment constamment votre compte en banque, vérifiez et contestez toute activité suspecte, et mettez en place une liste blanche de débiteurs sur votre compte, cela prend trois clics et c'est à faire sur le site de votre banque, en ligne et gratuitement.

De notre côté, on vous prépare une vidéo détaillée pour mieux comprendre les risques liés à la fuite de votre IBAN, comment y réagir et comment vous en prémunir, alors restez bien à l'affût de nos prochaines vidéos.([4])

Au-delà de la cyber

Allez, on finit avec des informations plus légères en dehors de la cyber car en ce moment, c'est le moment pour toutes les boîtes de publier leur résultat du troisième trimestre de cette année et disons qu'il y a quelques surprises.

Déjà, nous avons d'un côté la surprise du mauvais bilan de ASML qui est en dessous de leur espérance, signalant donc un certain ralentissement dans le monde des semi-conducteurs, composant pourtant essentiel au CPU et GPU.

Par contre, du côté de Google, enfin plus précisément de sa société mère Alphabet, on constate une progression de plus de 15 % par rapport à l'année dernière, notamment boostée par la filiale de cloud computing, qui reste malgré tout en dessous des leaders du marché comme AWS ou Azure.

Alors, si j'ai décidé de parler de ces deux entreprises, ce n'est pas pour rien car nous sommes face à un problème économique intéressant avec d'un côté une entreprise en baisse et de l'autre une société en forte hausse, alors que la première est littéralement le fournisseur de matière première de la seconde.

Alors je ne suis pas un professionnel de l'économie, mais nous sommes donc face à un problème de logique, car si la demande augmente côté cloud, c'est quand même très étrange que la demande en semi-conducteur n'explose pas.

Peut-être que Google et, de manière générale, toutes les entreprises de cloud computing se foutent un peu de nous sur les prix, mais bon, ça ne serait vraiment pas leur genre.

Et vous, qu'est-ce que vous pensez de cette bizarrerie ? J'attends votre avis en commentaire.([5], [6])

Toute l'actu cyber, dev et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !