|
132 | 132 | "inject12Content": "Un membre du personnel trouve un email vieux de plusieurs mois dans lequel un chercheur détaille la mauvaise configuration (clés d'accès exposées).", |
133 | 133 | "inject18Title": "Inject 18 : Article Médiatique", |
134 | 134 | "inject18Content": "Un média a publié un article décrivant l'incident et critiquant les pratiques de collecte de données et de confidentialité de l'organisation. L'article cite une source anonyme au sein de l'entreprise." |
| 135 | + }, |
| 136 | + "deepfakeCfo": { |
| 137 | + "title": "Scénario : Le Directeur Financier \"Deepfake\"", |
| 138 | + "difficulty": "Facile", |
| 139 | + "description": "Un employé des finances reçoit un appel vidéo du directeur financier demandant un virement urgent et secret. L'audio et la vidéo sont générés par IA (Deepfake). Basé sur l'affaire Arup (Hong Kong, fév 2024).", |
| 140 | + "briefingTitle": "Briefing & Configuration", |
| 141 | + "briefingPublic": "Bienvenue à l'Exercice de Table.\n\nScénario : Compromission d'Email Professionnel par IA (Deepfake)\n\nRègles :\n1. Discutez des actions en équipe.\n2. L'animateur définit la Difficulté (Routine 5+, Difficile 10+, Très Difficile 15+).\n3. Lancez D20 pour réussir.\n\nStatut : Opérations normales.", |
| 142 | + "briefingFacilitator": "Préparez l'équipe pour un scénario d'ingénierie sociale par IA. Le directeur financier est à une conférence (information publique sur LinkedIn). Référence réelle : L'affaire Arup (Hong Kong, fév 2024) - Un employé financier a été piégé pour payer 25 millions de dollars après un appel vidéo avec un directeur financier et des collègues en deepfake.", |
| 143 | + "turn1Title": "Tour 1 : Pré-Incident", |
| 144 | + "turn1Public": "Un administrateur financier junior signale avoir reçu un appel Teams/Zoom du directeur financier. Le directeur affirmait être à une conférence avec un mauvais signal et demandait un paiement urgent à un nouveau fournisseur pour une \"acquisition furtive\".", |
| 145 | + "turn1Facilitator": "CONTEXTE : Le vrai directeur financier est effectivement à une conférence (information publique sur LinkedIn), mais il n'a pas passé l'appel.\n\nL'attaquant utilise un logiciel d'échange de visage en temps réel et de clonage vocal.", |
| 146 | + "turn2Title": "Tour 2 : Réponse", |
| 147 | + "turn2Public": "L'administrateur financier est stressé. Il a reçu un email de suivi (en-tête usurpé) avec la facture en pièce jointe.\n\nUn autre employé des RH mentionne avoir vu le directeur financier \"en ligne\" à 3h du matin la nuit dernière demandant des données d'employés, ce qui semblait étrange.", |
| 148 | + "turn2Facilitator": "CONTEXTE : L'email contient un lien vers un faux portail de connexion (récupérateur de credentials).\n\nL'attaquant tente de pivoter de la fraude financière au vol de données si le paiement n'est pas effectué.", |
| 149 | + "turn3Title": "Tour 3 : Récupération", |
| 150 | + "turn3Public": "Le vrai directeur financier répond à un SMS confirmant qu'il n'a jamais passé l'appel.\n\nL'administrateur financier demande s'il doit cliquer sur le lien dans l'email pour \"annuler\" la facture.", |
| 151 | + "turn3Facilitator": "CONTEXTE : Si l'administrateur clique sur le lien, ses credentials sont volés immédiatement.\n\nL'appel vidéo était des boucles pré-enregistrées mélangées avec une synchronisation labiale par IA.", |
| 152 | + "inject5Title": "Inject 5 : Appels de Partie Prenante (ESCROC)", |
| 153 | + "inject5Content": "Un \"avocat\" appelle exigeant que le paiement soit accéléré ou \"l'affaire échouera\". (NOTE PRIVÉE : C'est l'ESCROC qui appelle)", |
| 154 | + "inject9Title": "Inject 9 : Perte de Connectivité Internet", |
| 155 | + "inject9Content": "La connectivité Internet est perdue pendant (D20) minutes. L'attaquant tente de perturber la communication en attendant le virement." |
| 156 | + }, |
| 157 | + "poisonedPackage": { |
| 158 | + "title": "Scénario : Le Package Empoisonné", |
| 159 | + "difficulty": "Moyen", |
| 160 | + "description": "Un développeur inclut accidentellement une bibliothèque open-source malveillante. Elle est restée dormante pendant des semaines mais émet maintenant vers un serveur C2. Basé sur la backdoor XZ Utils (CVE-2024-3094) et Polyfill.io (2024).", |
| 161 | + "briefingTitle": "Briefing & Configuration", |
| 162 | + "briefingPublic": "Bienvenue à l'Exercice de Table.\n\nScénario : Attaque de la Chaîne d'Approvisionnement Logicielle (Typosquatting NPM/PyPI)\n\nRègles :\n1. Discutez des actions en équipe.\n2. L'animateur définit la Difficulté (Routine 5+, Difficile 10+, Très Difficile 15+).\n3. Lancez D20 pour réussir.\n\nStatut : Opérations normales.", |
| 163 | + "briefingFacilitator": "Préparez l'équipe pour un scénario d'attaque de la chaîne d'approvisionnement. Références réelles : Backdoor XZ Utils (CVE-2024-3094, mar 2024) - un mainteneur malveillant a inséré une backdoor ; Polyfill.io (juin 2024) - domaine acheté par un attaquant, malware injecté dans 100k+ sites web.", |
| 164 | + "turn1Title": "Tour 1 : Pré-Incident", |
| 165 | + "turn1Public": "Le Centre des Opérations de Sécurité (SOC) ou une alerte automatique du pare-feu signale un \"trafic sortant suspect\" d'un serveur de production vers une adresse IP inconnue en Europe de l'Est.", |
| 166 | + "turn1Facilitator": "CONTEXTE : Un développeur a installé un package nommé react-dom-animations (faux) au lieu de la bibliothèque légitime il y a 2 semaines.\n\nLe malware était sur une minuterie (exécution différée) pour échapper aux tests en bac à sable.", |
| 167 | + "turn2Title": "Tour 2 : Réponse", |
| 168 | + "turn2Public": "Le trafic est confirmé être des balises C2 HTTPS.\n\nLe serveur en question héberge le portail web destiné aux clients.\n\nLes utilisateurs signalent que le site web se charge lentement ou déclenche leur propre antivirus.", |
| 169 | + "turn2Facilitator": "CONTEXTE : Le package malveillant injecte un crypto-mineur (distraction) ET un script qui écume les entrées de carte de crédit (la vraie menace).\n\nLe script d'écrémage est obfusqué à l'intérieur d'un fichier CSS d'apparence standard.", |
| 170 | + "turn3Title": "Tour 3 : Récupération", |
| 171 | + "turn3Public": "Le serveur est isolé.\n\nLes DevOps veulent simplement \"redéployer\" le dernier build, ne réalisant pas que le package malveillant est codé en dur dans le fichier package.json du dépôt.", |
| 172 | + "turn3Facilitator": "CONTEXTE : S'ils redéploient sans nettoyer le code, l'infection revient immédiatement.\n\nL'attaquant a déjà récolté plus de 500 numéros de carte de crédit.", |
| 173 | + "inject20Title": "Inject 20 : Dépôt Externe Compromis", |
| 174 | + "inject20Content": "Des actualités révèlent que le compte d'un mainteneur open-source populaire a été piraté. Un dépôt externe a été récemment compromis.", |
| 175 | + "inject17Title": "Inject 17 : Alertes de Fraude Client", |
| 176 | + "inject17Content": "Le service d'assistance client commence à recevoir plusieurs appels de clients s'interrogeant sur la sécurité de leurs informations. Des alertes de fraude apparaissent sur leurs cartes." |
| 177 | + }, |
| 178 | + "hypervisorRansomware": { |
| 179 | + "title": "Scénario : Rançongiciel Hyperviseur", |
| 180 | + "difficulty": "Très Difficile", |
| 181 | + "description": "Les attaquants exploitent une vulnérabilité dans la couche de virtualisation (ESXi/Hyper-V), chiffrant les disques virtuels de plusieurs serveurs à la fois. Ils ont également exfiltré des données. Basé sur les campagnes ESXiArgs et Akira ransomware (2024).", |
| 182 | + "briefingTitle": "Briefing & Configuration", |
| 183 | + "briefingPublic": "Bienvenue à l'Exercice de Table.\n\nScénario : Rançongiciel ciblant la Virtualisation & Double Extorsion\n\nRègles :\n1. Discutez des actions en équipe.\n2. L'animateur définit la Difficulté (Routine 5+, Difficile 10+, Très Difficile 15+).\n3. Lancez D20 pour réussir.\n\nStatut : Opérations normales.", |
| 184 | + "briefingFacilitator": "Préparez l'équipe pour un scénario de rançongiciel hyperviseur. Référence réelle : Campagne ESXiArgs & Akira Ransomware (2024) - a ciblé des serveurs VMware ESXi non corrigés, exfiltré des données avant chiffrement (Double Extorsion).", |
| 185 | + "turn1Title": "Tour 1 : Pré-Incident", |
| 186 | + "turn1Public": "Les administrateurs IT signalent qu'ils ne peuvent pas se connecter à la console de gestion de Machine Virtuelle.\n\nSimultanément, les VM \"Serveur de Fichiers\" et \"Base de Données\" se déconnectent. Un fichier readme.txt est trouvé sur le datastore de gestion.", |
| 187 | + "turn1Facilitator": "CONTEXTE : Les attaquants ont utilisé une vulnérabilité zero-day ou non corrigée dans l'hyperviseur (pas dans les VM Windows elles-mêmes).\n\nIls ont chiffré les fichiers .vmdk (disque virtuel) directement.", |
| 188 | + "turn2Title": "Tour 2 : Réponse", |
| 189 | + "turn2Public": "Une note de rançon est envoyée par email au PDG et au Directeur IT. Elle renvoie à un site Tor montrant des captures d'écran de votre base de données clients.\n\nIls exigent 2M$ en Bitcoin dans les 48 heures ou ils publieront les données.", |
| 190 | + "turn2Facilitator": "CONTEXTE : Les attaquants sont dans le réseau depuis 14 jours (\"période de latence\").\n\nIls ont exfiltré les données avant de chiffrer. C'est une attaque de \"Double Extorsion\".", |
| 191 | + "turn3Title": "Tour 3 : Récupération", |
| 192 | + "turn3Public": "Des médias appellent pour poser des questions sur une \"fuite de données\" mentionnée sur un forum de cybercriminalité.\n\nVous avez localisé une sauvegarde \"froide\" hors ligne vieille de 3 mois.", |
| 193 | + "turn3Facilitator": "CONTEXTE : Restaurer depuis 3 mois signifie perdre un quart des données financières.\n\nLes attaquants ont toujours les données volées et peuvent les publier indépendamment du paiement.", |
| 194 | + "inject13Title": "Inject 13 : Sauvegardes à Chaud Inopérantes", |
| 195 | + "inject13Content": "Les sauvegardes à chaud ne fonctionnent pas. Le serveur de sauvegarde était également une VM sur le même cluster et est chiffré.", |
| 196 | + "inject14Title": "Inject 14 : Série d'Attaques Mondiales", |
| 197 | + "inject14Content": "Il apparaît que cela fait partie d'une série mondiale d'attaques. Un correctif a été publié hier, mais vous avez manqué la fenêtre." |
135 | 198 | } |
136 | 199 | } |
137 | 200 | } |
0 commit comments