Veille Technologique on Adrien

ETW Patching : Neutraliser la Télémétrie Windows

Mon, 20 Apr 2026 00:00:00 +0000

Les EDR (Endpoint Detection and Response) modernes ne reposent plus uniquement sur des signatures statiques. Ils s’appuient sur la télémétrie fournie par ETW (Event Tracing for Windows), le mécanisme de traçage natif de Windows, pour obtenir une visibilité comportementale sur ce qui s’exécute en mémoire. Neutraliser cette télémétrie est devenu une étape courante dans le développement d’outils offensifs et de frameworks de post-exploitation — et comprendre ce mécanisme est tout aussi utile pour les défenseurs.

A2 – Solutions HIPS : Host Intrusion Prevention System

Tue, 07 Apr 2026 00:00:00 +0000

Un HIPS (Host Intrusion Prevention System) est un logiciel de sécurité installé directement sur un équipement (serveur, poste de travail) qui surveille et analyse en temps réel le comportement du système pour détecter et bloquer toute activité malveillante ou suspecte.

Contrairement aux solutions réseau qui analysent le trafic en transit, le HIPS agit au cœur même de l’hôte. Il surveille les appels système, les modifications de fichiers critiques, les accès au registre, les comportements applicatifs anormaux et les tentatives d’exploitation de vulnérabilités. Il constitue une dernière ligne de défense lorsqu’une menace a réussi à pénétrer le périmètre réseau.

A3 – Solutions NIDS : Network Intrusion Detection System

Tue, 07 Apr 2026 00:00:00 +0000

Un NIDS (Network Intrusion Detection System) est un équipement ou logiciel qui analyse passivement le trafic réseau circulant sur un segment pour identifier des signatures d’attaques, des anomalies comportementales ou des violations de politiques de sécurité.

Le NIDS est placé en mode écoute (passif) sur le réseau, généralement via un port SPAN (port miroir) d’un commutateur ou un TAP réseau. Il ne modifie pas le trafic — il l’analyse et génère des alertes. Cette approche passive garantit qu’une défaillance du NIDS n’impacte pas la disponibilité du réseau, ce qui est crucial pour protéger un service web critique.

A4 – Solutions NIPS : Network Intrusion Prevention System

Tue, 07 Apr 2026 00:00:00 +0000

Un NIPS (Network Intrusion Prevention System) est l’évolution active du NIDS. Contrairement à ce dernier qui se contente de détecter et alerter, le NIPS est placé en mode inline (dans le flux réseau) et dispose de la capacité de bloquer, rejeter ou modifier en temps réel les paquets malveillants avant qu’ils n’atteignent leur cible.

NIDS vs NIPS : le NIDS observe le trafic via port miroir et génère des alertes sans jamais intervenir sur le flux. Le NIPS est placé inline dans le chemin des données — tout paquet doit passer par lui avant d’atteindre sa destination.

A5 – Solutions SIEM : Security Information and Event Management

Tue, 07 Apr 2026 00:00:00 +0000

Un SIEM (Security Information and Event Management) est une solution qui combine deux approches historiquement distinctes et complémentaires de la sécurité informatique, fusionnées au milieu des années 2000 par Gartner sous ce terme générique.

Composante	Sigle	Rôle
Security Information Management	SIM	Collecte, archivage long terme et analyse des logs pour forensique et conformité réglementaire
Security Event Management	SEM	Corrélation d’événements en temps réel pour la détection d’incidents de sécurité

Le SIEM agrège les journaux provenant de toutes les sources de l’infrastructure (pare-feux, switches, serveurs, applications, IDS/IPS, endpoints) et applique des règles de corrélation pour identifier des scénarios d’attaque complexes qui seraient invisibles si les événements étaient analysés isolément. Il constitue le cœur opérationnel d’un SOC (Security Operations Center).

Segment Selectors : Mécanisme de Contournement des Signatures Antivirus

Mon, 08 Sep 2025 00:00:00 +0000

Sujet de veille : Reverse engineering

Le reverse engineering est un domaine qui me passionne profondément. Son utilisation pour analyser, protéger et sécuriser des applications joue un rôle crucial dans l’avenir de la cybersécurité. Face à des attaques toujours plus sophistiquées, ces technologies représentent un véritable défi, tant sur le plan technique que stratégique. Je suis convaincu qu’elles occuperont une place centrale dans les innovations visant à garantir la confidentialité, la protection des données et la résilience des applications. C’est pourquoi j’ai choisi ce thème pour mes veilles technologiques.

Reverse Engineering & Rétrocomputing

Thu, 01 May 2025 00:00:00 +0000

Le reverse engineering, ou ingénierie inverse, est un pilier incontournable de la rétroinformatique. En remontant le fil du code, des circuits imprimés et des systèmes oubliés, des passionnés du monde entier redonnent vie à des technologies anciennes. Ces derniers mois, plusieurs projets impressionnants ont vu le jour : décompilation de systèmes d’exploitation historiques, décodage de BIOS propriétaires, ou encore reconstruction de consoles emblématiques.

Plongeons dans les projets les plus marquants du rétrocomputing par reverse engineering, observés entre novembre 2024 et mai 2025.

Tony Hawk, strcpy : Une Faille Classique

Mon, 17 Mar 2025 00:00:00 +0000

Introduction : Un exploit sur Tony Hawk met en lumière une faille classique

Une faille de sécurité a récemment été découverte dans Tony Hawk’s Pro Skater 4, un jeu sorti en 2002, exploitant une vulnérabilité présente dans le moteur RenderWare. Ce problème, mis en lumière par le chercheur en sécurité GrimDoomer à travers son projet TonyHawksProStrcpy, repose sur l’utilisation dangereuse de la fonction strcpy() en langage C.

En exploitant cette faiblesse, il est possible d’injecter et d’exécuter du code arbitraire sur une console ou un PC, permettant ainsi de prendre le contrôle total du système ciblé.

CodeDefender : L'Obfuscateur bin2bin Révolutionnaire Prêt à Surpasser Themida et VMProtect ?

Wed, 01 Jan 2025 00:00:00 +0000

Le marché des solutions de protection logicielle bin2bin est dominé depuis des années par des outils tels que Themida et VMProtect, reconnus pour leur capacité à sécuriser les applications contre l’ingénierie inverse, la falsification et les attaques. Cependant, un nouvel acteur, CodeDefender, fait son entrée en promettant des innovations technologiques qui pourraient redéfinir les standards de l’industrie. Avec une approche novatrice basée sur une obfuscation avancée, une stabilité accrue et une compatibilité avec les dernières technologies de sécurité, CodeDefender ambitionne de dépasser les limites des solutions existantes. Mais cette solution est-elle réellement à la hauteur de ses promesses ? Et surtout, peut-elle rivaliser avec des géants comme Themida et VMProtect ?

Packers PE : Anatomie d'une Protection Binaire et Techniques de Dépaquetage

Tue, 15 Oct 2024 00:00:00 +0000

Le reverse engineering d’un binaire protégé commence souvent par une frustration : Ghidra ou IDA Pro affichent une entrée incompréhensible, la décompilation ne retourne que du bruit, et les chaînes de caractères sont illisibles. La plupart du temps, le binaire est packé. Comprendre les packers — leur fonctionnement, leurs astuces et les méthodes pour les contourner — est une compétence fondamentale en analyse binaire.

Qu’est-ce qu’un packer PE ?

Un packer est un outil qui transforme un exécutable Windows (format PE, Portable Executable) en un autre exécutable auto-extractible. L’exécutable original est compressé et/ou chiffré, puis encapsulé dans un stub : un petit programme dont le seul rôle est de restaurer le code original en mémoire au moment de l’exécution, avant de lui céder le contrôle.