Nouveaux Outils

📅 Contexte : Le 7 mai 2026, Sasha Levin (sashal@kernel.org) a soumis un patch sur la liste de diffusion linux-kernel proposant l’ajout d’un nouveau sous-système nommé killswitch au noyau Linux. 🔧 Mécanisme technique : Le killswitch permet à un opérateur disposant de CAP_SYS_ADMIN de faire retourner à une fonction noyau une valeur fixe sans exécuter son corps, via l’installation d’un kprobe à l’entrée de la fonction cible. La commande s’effectue via l’interface securityfs : ...

🔍 Contexte Source : dépôt GitHub public Neo23x0/auditd, publié le 3 mai 2026. Il s’agit d’un projet open source sous licence Apache-2.0, activement maintenu, avec 1 800 étoiles et 302 forks. 🛠️ Description du projet Le projet fournit une configuration auditd de référence (best-practice) pour les distributions Linux majeures. L’objectif est de collecter une télémétrie de sécurité large et réutilisable, sans intégrer la logique de détection directement dans les règles auditd. ...

📰 Source : ZDNet France, publié le 22 avril 2026 par Gabriel Thierry. 🔧 Présentation de l’outil : Un spécialiste en renseignement sur les cybermenaces de l’ANSSI a développé Verifium, une application iOS open source d’audit de sécurité et de confidentialité. L’outil est disponible sur GitHub et son site officiel (verifium.app). Il a été présenté publiquement le 31 mars 2026 via le réseau social Bluesky par le compte @x0rz. ✅ Fonctionnalités : L’application effectue 23 contrôles de sécurité locaux, sans transmission de données hors de l’appareil, couvrant : ...

🛡️ Contexte Publié le 19 avril 2026 sur GitHub par le FIND-Lab, AgentWard (玄甲) est un système d’exploitation de sécurité full-stack open source destiné au déploiement fiable et scalable d’agents IA. Il est nativement intégré à la plateforme OpenClaw et conçu pour être étendu à d’autres frameworks d’agents. 🏗️ Architecture AgentWard repose sur une architecture de défense en profondeur hétérogène (DiD) qui restructure le workflow des agents IA en cinq couches de sécurité coordonnées : ...

🔍 Contexte Publié le 19 avril 2026 sur GitHub par le compte KuwaitiSt, le projet Astral Projection est un UDRL (User-Defined Reflective Loader) conçu pour Cobalt Strike, un framework offensif largement utilisé dans les opérations red team et par des acteurs malveillants. ⚙️ Fonctionnement technique Astral Projection implémente des techniques d’évasion en mémoire avancées : Chargement d’un module légitime via LoadLibraryExW puis écrasement de son contenu (module stomping) Pendant les phases de sommeil du beacon, le module est déchargé (unmapped) tout en maintenant les entrées PEB intactes Un module frais est rechargé (remapped) au réveil pour éviter la détection par des IOCs statiques en mémoire 🛠️ Dépendances et configuration Le projet est construit avec Crystal Palace et s’appuie partiellement sur le code du projet Crystal-Kit. ...

🔍 Contexte Publié en avril 2026 sur GitHub par BishopFox, Cirro est une plateforme de recherche en sécurité open-source destinée aux chercheurs et aux testeurs d’intrusion. Elle permet de collecter, analyser et visualiser des environnements cloud ainsi que les relations d’identité au travers de bases de données graphes. 🏗️ Architecture et fonctionnalités Cirro repose sur une architecture modulaire articulée autour de deux fonctions principales : cirro collect : collecte d’informations depuis diverses plateformes et APIs cirro graph : gestion des opérations sur la base de données graphe (ingestion, export) L’outil supporte plusieurs méthodes d’authentification pour Azure (Azure CLI, client secret, certificat client, access token, username/password) ainsi que la collecte de données Tailscale pour l’analyse de topologie réseau. ...

🔍 Contexte Publié le 19 avril 2026 sur GitHub par DylanDavis1, DSCourier est un outil de preuve de concept (PoC) accompagné d’un article de blog technique détaillé. Il s’inscrit dans une démarche de recherche offensive sur les techniques de contournement d’EDR. ⚙️ Technique exploitée DSCourier exploite l’API COM WinGet Configuration (Microsoft.Management.Configuration) pour appliquer des configurations DSC (Desired State Configuration) en passant par des binaires signés Microsoft. Cette approche permet de masquer l’activité malveillante derrière des processus légitimes et de confiance. ...

🔍 Contexte Publié sur GitHub par BoostSecurity Labs, SmokedMeat est un framework red team post-exploitation ciblant les pipelines CI/CD. Il est présenté comme l’équivalent de Metasploit pour les environnements d’intégration et de déploiement continus. 🛠️ Description technique SmokedMeat est composé de trois composants principaux : Counter : interface TUI opérateur (terminal) Kitchen : serveur C2 (teamserver) gérant les sessions, stagers, callbacks et graphe d’attaque Brisket : implant déployé sur les runners CI compromis, assurant le beaconing, l’exécution de commandes et le pivoting Le framework intègre également un scanner SAST de pipelines (poutine, embarqué) et un scanner de secrets (gitleaks, embarqué). ...

📅 Source : Blog officiel d’Objective Development (obdev.at), publié le 8 avril 2026 par Christian. 🔍 Contexte Face aux préoccupations croissantes sur la dépendance aux logiciels contrôlés par des entités étrangères, le développeur de Little Snitch (macOS) a exploré Linux comme alternative. Constatant l’absence d’outil équivalent à Little Snitch sur Linux, il a décidé de le construire. ⚙️ Architecture technique Interception du trafic : eBPF au niveau kernel (haute performance, portable) Backend : écrit en Rust Interface utilisateur : application web (permet la surveillance à distance depuis n’importe quel appareil) Compatibilité : développé sur Ubuntu 25.10 avec kernel 6.17, confirmé fonctionnel sur kernel 6.12+. Compatibilité théorique jusqu’au kernel 5.17 (introduction de bpf_loop()), couvrant Debian 12 et Ubuntu 24.04 LTS. 🔓 Modèle open source ...

🔍 Contexte Publié le 04/05/2026 sur GitHub (gist de Diana Damenova), cet article présente IRQL (Incident Response Query Language), une bibliothèque de fonctions KQL (Kusto Query Language) conçue pour unifier et simplifier l’analyse des logs de sécurité dans des environnements Microsoft (Azure, Sentinel, Defender XDR). 🛠️ Description de l’outil IRQL a été créé par Saar Ron, John Lambert et Diana Damenova. Il s’agit d’un ensemble de fonctions KQL organisées en cinq familles : ...