FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 27 septembre 2021IT

Une faille Zero-Day activement exploitée touche Chrome et Edge !

27 septembre 2021 à 15:37

Vendredi, Google Chrome et Microsoft Edge ont reçu une mise à jour de sécurité à installer rapidement, car elle corrige une faille Zero-Day activement exploitée par les pirates ! Son petit nom : CVE-2021-37973.

Cette vulnérabilité touche Chromium, le navigateur qui sert de base à Chrome et à Edge, mais aussi à d'autres navigateurs comme Brave. Ce sont des membres de l'équipe Google Security qui ont découvert cette faille, notamment Clément Lecigne avec l'aide de Sergei Glazunov et Mark Brand.

La vulnérabilité CVE-2021-37973 se situe dans la fonctionnalité Portals et elle est de type Use-After-Free (UAF), qui correspond à une utilisation incorrecte de la mémoire au moment où le programme libère l'espace mémoire, à cause d'un pointeur qui n'est pas réinitialisé correctement.

Lorsque le pirate parvient à exploiter à distance cette faille de sécurité, il peut exécuter du code arbitraire sur la machine cible.

Si vous utilisez Google Chrome, vous devez passer en version 94.0.4606.61, tandis qu'avec Edge, il faut viser la version 94.0.992.31. Il est recommandé de mettre à jour votre navigateur dès maintenant, car Google semble avoir des preuves que cette faille zero-day est déjà exploitée dans le cadre d'attaques.

Source

The post Une faille Zero-Day activement exploitée touche Chrome et Edge ! first appeared on IT-Connect.

Exchange Online – l’authentification Basic sera désactivée en octobre 2022

27 septembre 2021 à 08:23

À partir du 1er octobre 2022, l'authentification Basic sera désactivée au sein d'Exchange Online, sur tous les tenants Microsoft 365 / Office 365. Grâce à cette décision, Microsoft souhaite renforcer la sécurité de ses clients.

Initialement, l'authentification Basic devait être désactivée pendant le second semestre 2021, mais Microsoft a revu ses plans à cause de la pandémie de la Covid-19.

Que va-t-il se passer le 1er octobre 2022 ?

L'authentification Basic va être désactivée sur tous les protocoles utilisés par Exchange Online. Une liste qui intègre des protocoles et certaines fonctionnalités. Voici la liste fournie par Microsoft : Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH et OAB. La firme de Redmond précise qu'il y a une exception puisqu'il sera possible de réactiver l'Auth Basic pour le SMTP. Pour le reste, ce ne sera pas modifiable et cela s'appliquera sur tous les tenants.

Pour réaliser de premiers essais, début 2022, Microsoft sélectionnera quelques tenants et désactivera l'Auth Basic pour tous les protocoles (sauf SMTP AUTH), pour une période comprise entre 12 à 48 heures.

À partir du 1er octobre 2022, les méthodes d'authentification modernes (Modern Auth) devront être utilisées systématiquement. Si vous utilisez le Webmail d'Outlook, vous n'avez pas d'inquiétude à avoir. Par contre, si vous utilisez Outlook dans une version un peu ancienne ou un client de messagerie qui ne supporte pas les nouvelles méthodes d'authentification, vous ne pourrez plus vous connecter. Concrètement, vous devez utiliser au minimum Outlook 2013 Service Pack 1 pour continuer à vous connecter à Microsoft 365.

Dès à présent, vous pouvez créer une stratégie Exchange Online sur votre tenant pour désactiver l'Auth Basic et vérifier si vous êtes déjà prêt à ce changement. Voir cette documentation de Microsoft.

Bug de sécurité de l'Autodiscover : la raison de cette annonce ?

Même si cela semblait déjà prévu, Microsoft a publié cette annonce juste après la publication de Guardicore au sujet d'un bug de sécurité dans l'Autodiscover et qui expose les identifiants des utilisateurs. Des identifiants en danger notamment à cause de l'Auth Basic qui ne sécurise pas suffisamment les identifiants.

Plus d'infos sur le site de Microsoft

Source

The post Exchange Online – l’authentification Basic sera désactivée en octobre 2022 first appeared on IT-Connect.
À partir d’avant-hierIT

Configurer le RDP par GPO : activer l’accès, port par défaut, règle de pare-feu

24 septembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment configurer le RDP (Bureau à distance) par GPO pour permettre la connexion, modifier le port par défaut et configurer le pare-feu de Windows.

Dans un précédent tutoriel, nous avons vu comment modifier le port par défaut du RDP manuellement sur une machine Windows. Aujourd'hui, nous allons aller un peu plus loin et le faire par GPO pour permettre un déploiement sur un ensemble de postes.

Pour ce tutoriel, je vais utiliser un contrôleur de domaine Active Directory et un poste client sous Windows 11, mais cela fonctionne aussi pour Windows 10 ou d'autres versions de Windows / Windows Server.

II. Activer le RDP par GPO

Pour commencer, nous devons activer le RDP par GPO sur notre machine Windows car l'accès est désactivé par défaut.

Créez une nouvelle GPO via la console "Gestion de stratégie de groupe". Pour ma part, je vais créer la GPO "Configurer RDP" : je vais utiliser cette GPO tout au long de ce tutoriel. Modifiez la GPO.

Pour trouver le paramètre qui permet d'activer le Bureau à distance, parcourez l'arborescence de cette façon :

Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > Services bureau à distance > Hôte de la session Bureau à distance > Connexions

Le chemin est long, mais il est contient un paramètre qui m'intéresse :

Autoriser les utilisateurs à se connecter à distance à l'aide des services Bureau à distance

Je vous invite à modifier ce paramètre pour le basculer sur l'état "Activé".

GPO - Activer l'accès RDP
GPO - Activer l'accès RDP

La GPO est prête pour cette première étape ! D'ailleurs, si vous mettez à jour les GPO (gpupdate /force) sur une machine sur laquelle s'applique la GPO de configuration du RDP, vous pouvez voir que le bureau à distance est actif. C'est bien la GPO qui a réalisé ce paramétrage : on ne peut pas modifier la configuration et c'est spécifié "Certains paramètres sont gérés par votre entreprise".

L'état du Bureau à distance dans Windows 11
L'état du Bureau à distance dans Windows 11

Passons à la suite.

III. Modifier le port du RDP par GPO

Par défaut, la connexion Bureau à distance s'appuie sur le port 3389. Il est préférable d'utiliser un port spécifique pour la connexion Bureau à distance, cela permet de masquer le service en quelque sorte. Pour cela, il faut modifier le Registre de Windows.

Toujours dans la même GPO, on va réaliser cette opération pour définir le port "13389" à la place de "3389". Parcourez la GPO de cette façon :

Configuration ordinateur > Préférences > Paramètres Windows > Registre

Ensuite, effectuez un clic droit et sous "Nouveau" cliquez sur "Élément Registre".

Configurez l'élément de cette façon :

  • Action : Mettre à jour
  • Ruche : HKEY_LOCAL_MACHINE
  • Chemin d'accès de la clé : SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  • Nom de la valeur : PortNumber
  • Type de valeur : REG_DWORD
  • Données de la valeur : 13389 (votre port personnalisé)
  • Base : Décimal

Vous devez obtenir ceci :

GPO - Modifier le port d'écoute du RDP
GPO - Modifier le port d'écoute du RDP

Validez et mettez à jour les GPO sur votre poste pour tester... Dans les paramètres du Bureau à distance, on peut voir "Port du Bureau à distance : 13389". Sur Windows 11, cette information apparaît clairement et c'est appréciable. Sur Windows 10, il faut aller dans les options avancées du Bureau à distance pour le voir, ou alors dans le Registre directement.

Pour le moment, le Bureau à distance est activé et accessible sur le port 13389 sur le poste Windows 11. Par contre, depuis une machine distante, cela ne fonctionne pas ! Pourquoi ? Tout simplement parce que le pare-feu Windows bloque la connexion.

IV. Autoriser le RDP dans le pare-feu par GPO

Pour terminer, nous allons autoriser le Bureau à distance dans le pare-feu de Windows, toujours avec notre GPO.

Plusieurs cas de figure :

  • Vous souhaitez utiliser le port par défaut du Bureau à distance (3389) : passez directement au point B.
  • Vous souhaitez utiliser un port personnalisé : suivez toute la procédure

Dans tous les cas, pour créer une règle de pare-feu, procédez comme cela :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows Defender avec fonctions avancées de sécurité > Règles de trafic entrant

Créez une nouvelle règle : clic droit puis "Nouvelle règle".

GPO - Configurer le pare-feu pour autoriser le RDP

A. Autoriser le RDP sur un port personnalisé

Nous ne pouvons pas utiliser la règle prédéfinie et intégrée à Windows car on ne peut pas personnaliser le port, cependant c'est ce que nous avons besoin de faire... Pour le type de règle, choisissez "Port".

Choisissez "TCP" et cochez "Ports locaux spécifiques" pour préciser "13389" (ou une autre valeur, selon votre choix).

Cliquez sur "Autoriser la connexion" puisque nous souhaitons laisser passer ce flux.

Passez la section "Profil" sans apporter de modification, enfin si vous souhaitez autoriser seulement la connexion depuis votre LAN, cochez seulement le profil "Domaine".

Donnez un petit nom à la règle et validez.

Si vous le souhaitez, vous pouvez accéder aux propriétés de cette règle pour affiner. Par exemple, pour autoriser seulement les machines appartenant à un sous-réseau spécifique à se connecter.

B. Configurer la règle RDP "Bureau à distance" par GPO

Si vous activez le bureau à distance manuellement sur une machine Windows, la règle "Bureau à distance" intégrée dans le pare-feu Windows sera activée automatiquement. Du coup, si vous créez une règle pour autoriser la connexion sur un port personnalisé, cette règle restera active inutilement (et donc le port ouvert). Dans ce cas, il est préférable de bloquer la connexion sur ce port : c'est que nous allons faire.

Par contre, si vous souhaitez utiliser le port par défaut du RDP, vous devez activer cette règle par GPO pour autoriser la connexion. La procédure est la même dans les deux cas, sauf que dans un cas on bloque, dans l'autre on autorise : faites le bon choix !

Créez une nouvelle règle et choisissez "Prédéfinie" puis "Bureau à distance".

Continuez sans apporter de modifications.

Choisissez "Autoriser la connexion" pour du RDP sur le port 3389, sinon choisissez "Bloquer la connexion" pour du RDP sur le port 13389 (puisque nous avons déjà créé une autre règle).

Voilà, le tour est joué ! Voici ce que l'on obtient :

Mettez à jour la GPO sur votre machine et vous devriez pouvoir vous connecter en RDP sur le port personnalisé ! Cela est valable sur toutes les machines où s'applique la GPO.

PS : pour se connecter en Bureau à distance sur un port personnalisé, il faut le spécifier à la suite de l'adresse IP / du nom d'hôte.

The post Configurer le RDP par GPO : activer l’accès, port par défaut, règle de pare-feu first appeared on IT-Connect.

Microsoft Exchange : un bug dans l’Autodiscover expose vos identifiants !

23 septembre 2021 à 13:16

Un bug dans la fonctionnalité Autodiscover des serveurs de messagerie Exchange a entrainé la fuite d'environ 100 000 couples identifiants et mot de passe à travers le monde !

Bug Autodiscover : que s'est-il passé ?

Dans un nouveau rapport qu'il vient de publier, Amit Serper de chez Guardicore, explique qu'une mauvaise implémentation de la fonction Autodiscover dans Exchange est à l'origine de ce bug de sécurité. Conséquence : vos identifiants Windows peuvent être envoyés à des sites tiers non sécurisés.

Pour rappel, l'Autodiscover est une fonctionnalité très appréciée puisqu'elle permet de faciliter l'ajout d'un compte e-mail dans un client de messagerie tel qu'Outlook. En effet, lorsque l'utilisateur spécifie son identifiant et son mot de passe, le client de messagerie va rechercher lui-même le serveur de messagerie correspondant grâce à l'Autodiscover.

Ce qui nécessite que l'identifiant et le mot de passe soient envoyés au serveur qui correspond à l'adresse Autodiscover du domaine en question, afin de permettre l'authentification.

Reprenons l'exemple donné par Amit Serper pour comprendre où est le problème. Si l'on recherche le serveur Autodiscover pour l'adresse e-mail "[email protected]", le client de messagerie cherchera à effectuer l'authentification auprès des URL suivantes, jusqu'à obtenir une réponse :

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml
  • http://example.com/Autodiscover/Autodiscover.xml

Le problème, c'est que si l'authentification ne fonctionne pas sur l'une de ces 4 adresses, il y a un autre processus qui se déclenche sur certains clients de messagerie, dont Outlook. La fonction Autodiscover va essayer d'autres URL en reprenant le TLD (exemple ".fr" ou ".com") du nom de domaine de messagerie correspondant à l'adresse e-mail de l'utilisateur.

Dans l'exemple d'Amit Serper, le client de messagerie essaie de s'authentifier sur cette adresse : http://autodiscover.com/Autodiscover/Autodiscover.xml.

Cela signifie que le client de messagerie va chercher à s'authentifier sur un serveur qui n'a rien à voir avec le vôtre, et qui n'a rien à voir avec votre domaine de messagerie. Comme les identifiants sont envoyés dans la requête, cela peut permettre à la personne qui gère le domaine "autodiscover.<tld>" de les récupérer.

Pour mener ses tests jusqu'au bout, Guardicore a enregistré plusieurs noms de domaine (autodiscover.fr, autodiscover.es, autodiscover.online, etc.) et mis en place des serveurs Web. Résultat : l'entreprise a pu collecter près de 100 000 couples identifiants et mots de passe Exchange, et donc des identifiants de comptes Windows (Active Directory). Au total, ces serveurs ont reçu près de 650 000 requêtes HTTP.

Source : Bleeping Computer / Guardicore

Cela est possible, car les identifiants sont envoyés via la méthode d'authentification Basic, ce qui permet de déchiffrer facilement les données (adresse e-mail et mot de passe). Certains clients de messagerie, dont Outlook, utilisent OAuth et NTLM pour envoyer les identifiants. En théorie, cela complique la tâche sauf que Amit Serper a créé un hack pour forcer le client à utiliser la méthode Basic.

Exchange : comment se protéger contre cette fuite d'identifiants ?

Pour le moment, Microsoft affirme travailler sur le sujet afin d'apporter une réponse appropriée pour protéger ses clients. Ce comportement de l'Autodiscover reste un mystère.

En attendant, il est recommandé de bloquer tous les domaines "autodiscover.<tld>" au niveau de votre pare-feu ou de votre DNS, voire même du fichier hosts de votre machine (en associant l'adresse IP "127.0.0.1"). Pour cela, vous pouvez vous appuyer sur la liste créée par Guardicore et qui contient 9190 entrées ! Même si, si j'ai bien compris le principe, il suffit de bloquer les domaines TLD qui correspondent à vos domaines de messagerie.

Décidément, ces derniers mois on parle souvent d'Exchange à cause de problèmes de sécurité. Heureusement, cette fois-ci ce n'est pas tombé entre les mains des pirates.

Source

The post Microsoft Exchange : un bug dans l’Autodiscover expose vos identifiants ! first appeared on IT-Connect.

Surface Event : Microsoft dévoile sa Surface Pro 8, sa Surface Laptop Studio, etc.

23 septembre 2021 à 08:34

À l'occasion de l'événement Surface Event, Microsoft a dévoilé ses nouveaux ordinateurs portables hybrides ainsi que son nouveau smartphone à double écran. Au programme : Surface Pro 8, Surface Go 3, Surface Duo 2, et un tout nouveau produit avec la Surface Laptop Studio.

Surface Pro 8

Commençons par le produit historique de la gamme Surface : la Surface Pro. Pour cette 8ème génération, Microsoft a apporté quelques évolutions très intéressantes. Alors bien sûr, la Surface Pro 8 aura le droit à un processeur Intel de 11ème génération.

Voici les autres nouveautés principales :

  • Deux ports Thunderbolt 4
  • Une batterie avec 16 heures d'autonomie
  • Support de l'audio Dolby Atmos
  • Caméra frontale de 5 mpx
  • Un nouveau stylet Surface Slim Pen, plus fin et qui se range sur le clavier

Quant à l'écran tactile PixelSense Flow de 13 pouces, il bénéficie d'un taux de rafraichissement à 120 Hz et il est compatible Dolby Vision et Dolby Vision IQ.

La Surface Pro 8 sera disponible à partir du 28 Octobre 2021 avec un prix de départ fixé à 1 179 euros. À ce prix, vous avez le droit à un processeur Intel Core i5, 8 Go de RAM et 128 Go de SSD.

Surface Go 3

La petite sœur de la Surface Pro a le droit à sa mise à niveau. La Surface Go 2 laisse la place à la Surface Go 3, une nouvelle génération qui serait 60% plus rapide grâce aux processeurs Intel, notamment l'Intel Core i3, mais en 10ème génération. Microsoft va sortir un modèle équipé d'une puce 4G+, ce qui est nouveau sur ce produit.

Par ailleurs, la Surface Go 3 sera équipée d'un écran tactile PixelSense de 10,5 pouces, accompagné par une caméra frontale 1080p avec des micros Studio Mics. Sans surprise, la Surface Go 3 sera compatible Windows 11 et le nouveau système de Microsoft sera préinstallé.

La Surface Go 3 sera disponible à partir du 5 octobre 2021 avec un prix de départ fixé à 439 euros. À ce prix, le processeur est un Intel Pentium 6500Y accompagné par 4 Go de RAM et 64 Go de SSD.

Surface Laptop Studio

Le nouvel ordinateur hybride Surface Laptop Studio est un mix entre une Surface Book et une Surface Studio. Ce modèle s'adresse aux créateurs, aux designers, aux graphistes... La plus puissante des Surface, basée sur des processeurs Intel Core Séries H de 11ème génération.

La Surface Laptop Studio bénéficie d'un écran tactile PixelSense Flow de 14 pouces (120 Hz), qui peut s'incliner de manière très surprenante comme la Surface Studio version desktop, afin de basculer en mode Studio ! Pour la partie audio, vous pouvez compter sur les 4 haut-parleurs compatibles Dolby Atmos. Sachez qu'il y aura deux ports Thunderbolt 4.

Au niveau de la carte graphique, Microsoft a choisi d'intégrer une carte NVIDIA GeForce RTX 3050 Ti. Microsoft proposera un modèle avec 32 Go de RAM et 2 To de SSD pour le stockage.

La Surface Laptop Studio sera disponible début 2022 et son prix de départ devrait être de 1 600 dollars.

Surface Duo 2

Le Surface Duo 2 était attendu au tournant afin de relever le niveau vis-à-vis de la première version et de sa configuration décevante. Même si le Surface Duo 2 reprend la même base, Microsoft a clairement mis à niveau la fiche technique ! Voici les caractéristiques principales du Surface Duo 2, le smartphone à double écran de Microsoft :

  • Écrans AMOLED PixelSense 8,3 pouces en mode ouvert / 5,8 pouces en mode fermé
  • Processeur Snapdragon 888 (5G)
  • RAM : 8 Go
  • Stockage : de 128 Go à 512 Go
  • Module photo arrière avec trois capteurs (12 mpx grand-angle + 12 mpx téléobjectif + 16 mpx ultra grand-angle)
  • Module photo avant avec un capteur (12 mpx)
  • Paiement sans contact via NFC
  • Wi-Fi 6
  • Double batterie 4 340 mAh
  • Capteurs : accéléromètre, gyroscope, magnétomètre, capteur de luminosité, capteur de proximité, capteur à effet Hall, lecteur d'empreintes digitales

Le Surface Duo 2 sera disponible à partir du 21 octobre 2021 avec un prix de départ fixé à 1 599 euros.

The post Surface Event : Microsoft dévoile sa Surface Pro 8, sa Surface Laptop Studio, etc. first appeared on IT-Connect.

VMware : une faille critique affecte tous les serveurs vCenter 6.7 et 7.0

22 septembre 2021 à 13:56

VMware a publié un bulletin de sécurité pour informer ses clients de la présence d'une faille de sécurité critique au sein de toutes les installations de vCenter Server en version 6.7 et 7.0.

Pour rappel, le vCenter est un serveur de gestion pour faciliter l'administration et la configuration d'un ensemble de serveurs VMware et des machines virtuelles associées.

Au moment d'évoquer cette vulnérabilité, Bob Plankers, Technical Marketing Architect chez VMware, précise qu'elle peut être exploitée par quelqu'un qui est capable de contacter le serveur vCenter sur le réseau (port 443), peu importe la configuration, qui est en place sur le serveur vCenter. Pour se convaincre que cette faille est réellement critique, il suffit de regarder son score CVSS 3.1 : 9.8 / 10.

Cette faille de sécurité se situe au sein du service Analytics et elle permet à un pirate d'exécuter des commandes ou un programme sur l'hôte vCenter grâce au chargement d'un fichier malveillant. L'attaquant n'a pas besoin d'être authentifié sur le serveur pour exploiter la faille et il n'y a aucune interaction requise de la part des utilisateurs, contrairement à certains cas. Cela rend la vulnérabilité facilement exploitable.

Par conséquent, il est fortement recommandé d'installer le correctif dès que possible afin de se protéger contre cette vulnérabilité référencée avec le nom CVE-2021-22005. Un serveur VMware vCenter 7.0 doit être mis à jour vers la version 7.0 U2c pour être protégé, tandis que pour un serveur vCenter 6.7, il faut viser la version 6.7 U3o.

Il est à noter que certaines versions ne sont pas affectées par cette vulnérabilité, notamment la version vCenter Server 6.5.

Pour ceux qui ne sont pas en mesure d'appliquer le correctif dès maintenant, VMware a publié une procédure pour atténuer la vulnérabilité. Cela consiste à modifier un fichier de configuration et à redémarrer les services. Tout cela est expliqué sur cette page.

Source

The post VMware : une faille critique affecte tous les serveurs vCenter 6.7 et 7.0 first appeared on IT-Connect.

Améliorez la gestion des mots de passe dans l’AD avec Specops Password Policy

22 septembre 2021 à 11:15

I. Présentation

Dans ce tutoriel, nous allons découvrir le logiciel Specops Password Policy. Il va permettre de mettre en place des politiques de mots de passe très flexibles au niveau de l'Active Directory et d'accompagner les utilisateurs pour le renouvellement de leur mot de passe.

La mise en place d'une politique de mots de passe n'est jamais une tâche facile en entreprise. Bien souvent, les utilisateurs sont réticents à la mise en place de contraintes concernant les mots de passe. Pourtant, c'est indispensable, car les mots de passe sont continuellement pris pour cible lorsqu'il s'agit d'attaquer une entreprise. Ce fameux sésame est la clé qui ouvre la porte à une partie du système d'information. Pour lutter contre les attaques de type brute force et password spraying, il n'y a pas de secrets : il faut mettre des mesures de protection en place.

Nativement, l'Active Directory intègre la possibilité de mettre en place une politique de mots de passe pour les comptes des utilisateurs. Même si l'on peut mettre en place les stratégies de mots de passe affinées, cette solution native ne va pas assez loin en matière de sécurité des mots de passe et dans la gestion du renouvellement de ces mêmes mots de passe.

Quand je dis "cette solution native ne va pas assez loin en matière de sécurité des mots de passe", j'entends par là qu'il n'est pas possible d'interdire les mots de passe trop proches, et qu'il n'est pas possible de vérifier si le mot de passe saisi par l'utilisateur fait déjà l'objet d'une fuite de données (et que, potentiellement, il est déjà présent dans un dictionnaire).

Le logiciel payant Specops Password Policy va apporter des fonctionnalités que l'on peut résumer en trois points :

  • Définir une politique de mots de passe sur mesure pour les utilisateurs (en s'appuyant sur un groupe de sécurité ou en ciblant une unité d'organisation) en appliquant de nombreuses règles
  • Vérifier si le mot de passe est compromis : le mot de passe définit par l'utilisateur est un mot de passe qui est présent dans une fuite de données ou utilisé par des hackers et repéré par Specops grâce à des honeypots
  • Notifier les utilisateurs par e-mail et/ou SMS : le mot de passe expire dans X jours ou le mot de passe a été trouvé dans une fuite de données

Avant de commencer, vous devez télécharger Specops Password Policy. En utilisant mon lien, vous pouvez obtenir une version d'essai de 45 jours (contre 30 jours en temps normal) : de quoi prendre le temps de découvrir le logiciel et d'avoir de premiers retours.

II. Installation de Specops Password Policy

L'installation de Specops Password Policy (SPP) s'effectue en plusieurs étapes. Pour cette démonstration, je vais utiliser 3 machines virtuelles pour reproduire l'installation selon les bonnes pratiques de l'éditeur :

  • 1 serveur contrôleur de domaine Active Directory - SRV-ADDS-01
  • 1 serveur membre Windows Server - SRV-APPLIS
  • 1 poste de travail sous Windows 11

En résumé, je vais installer sur le contrôleur de domaine : les outils d'administration de SPP et le composant Sentinel qui doit être installé sur l'ensemble des contrôleurs de domaine. Sur le serveur membre, je vais installer également les outils d'administration de SPP ainsi que le composant Arbiter. Enfin, le poste de travail sous Windows est là pour tester le logiciel en se mettant dans la peau d'un utilisateur.

A. A quoi correspondent les rôles Sentinel et Arbiter ?

Les rôles Sentinel et Arbiter sont propres à Specops Password Policy, donc je vais vous expliquer l'utilité de ces deux composants.

Le rôle Sentinel s'installe sur tous les contrôleurs de domaine et il est là pour s'assurer que les politiques de mots de passe définies dans SPP sont bien respectées. En fait, lorsqu'un utilisateur va modifier son mot de passe il va l'analyser pour vérifier qu'il respecte bien la politique qui s'applique sur cet utilisateur.

Le rôle Arbiter sert de proxy (ou de passerelle si vous préférez) entre le contrôleur de domaine et les services Cloud de Specops. Il s'installe sur un serveur différent, car on considère que le contrôleur de domaine n'a pas d'accès à Internet. Grâce à une clé d'API, il va communiquer avec le service "Breached Password Protection API" de Specops pour vérifier si le nouveau mot de passe de l'utilisateur est présent dans une fuite de données, auquel cas il sera refusé.

Note : la vérification du mot de passe au travers de "Breached Password Protection API" s'effectue de façon sécurisée. Le mot de passe n'est pas envoyé entièrement pour requêter l'API puisque la requête est effectuée avec les quatre premiers caractères du mot de passe. Ensuite, l'API retourne les mots de passe correspondants s'il y en a, et c'est au niveau local que la vérification est effectuée.

B. Préparation du contrôleur de domaine

Au premier lancement, l'exécutable décompresse ses données dans le dossier "C:\Temp\SpecopsPasswordPolicy_Setup_7.6.21182.1", ce qui sera utile pour la suite, vous verrez. Il faut commencer par installer la console de gestion du logiciel, par l'intermédiaire du bouton "Administration Tools".

Ensuite, il faut cliquer sur le bouton "Add menu ext." puis sur le bouton "Install" pour installer les différents composants liés à la gestion du logiciel.

Ensuite, revenez au menu principal de l'installeur. Cliquez sur "Domain Controller Sentinel".

Sélectionnez tous les contrôleurs de domaine de votre infrastructure pour déployer l'agent partout. Pour ma part, il n'y en a qu'un seul. Une fois la sélection effectuée, il faut cliquer sur "Install".

Voilà, nous en avons fini avec le contrôleur de domaine pour le moment.

C. Préparation du serveur membre

À partir du serveur membre, qui s'appelle dans mon cas "SRV-APPLIS", je vais accéder aux sources d'installation située sur mon serveur SRV-ADDS-01.

\\SRV-ADDS-01\c$\Temp\

Ensuite, j'exécute l'assistant d'installation.

Cette fois-ci, je sélectionne le rôle "Specops Arbiter". Il est à noter que l'éditeur recommande d'installer au minimum deux serveurs avec le rôle Arbiter pour assurer la redondance. Que vous installiez un seul ou plusieurs serveurs Arbiter, le coût reste le même.

Cliquez sur le bouton "Install" et suivez l'assistant.

Comme sur l'autre serveur, installez la console en cliquant sur "Administration Tools", puis cliquez directement sur "Install".

Vous pouvez fermer l'assistant d'installation. Sur votre serveur, vous pouvez ouvrir la console "Specops Password Policy Domain Administration" pour commencer à configurer le logiciel.

Accédez à l'onglet "Domain Settings" : le message "The group has not been created, click Create" apparaît. Cliquez sur le bouton "Create" puis sur "OK". Cela va permettre de créer un groupe nommé "Specops Password Policy Custom Expiration Readers" dans l'Active Directory.

Ensuite, accédez à l'onglet "Breached Password Protection" afin d'enregistrer notre serveur Arbiter ("Register new Arbiter") auprès de l'API Breached Password Protection. Ce qui est indispensable pour utiliser cette fonctionnalité (que nous découvrirons par la suite).

Voilà, laissez la console de côté un instant, nous allons préparer le poste client. Ce sera fait et nous aurons plus à nous occuper de la partie installation.

D. Préparation du poste client

Sur les postes clients, il est recommandé de déployer un agent Specops. Pourquoi ? Cet agent est utile lors de la réinitialisation d'un mot de passe depuis le poste client. Il va permettre d'afficher à l'utilisateur les conditions à respecter pour définir son nouveau mot de passe. Sachez malgré tout que l'installation du logiciel sur les postes clients est facultatif (vous verrez par la suite l'intérêt de ce client).

Cet agent est disponible au format MSI, ce qui va permettre de le déployer facilement par GPO ou avec un logiciel de déploiement. Il est disponible en version 32 bits et 64 bits. La bonne nouvelle, c'est qu'il s'installe très facilement, sans configuration particulière.

Pour ma part, j'ai procédé à l'installation du package "Specops.Authentication.Client-x64.msi" sur une machine Windows 11.

Nous verrons dans la suite de ce tutoriel à quoi ressemble l'intégration au sein du poste client.

III. Création de sa première politique de mots de passe renforcée

Il est temps de créer notre première politique de mots de passe renforcée et surtout une politique sur mesure, que l'on va configurer aux petits oignons, comme on dit.

En haut à gauche, cliquez sur "Password policies". Ensuite, le logiciel va lister les politiques de mots de passe actuelles, y compris celle native de l'Active Directory. Pour notre part, nous allons créer une nouvelle politique : cliquez sur "Create new Password Policy".

Note : pour modifier une politique existante et créée avec Specops, il suffit de la sélectionner et de cliquer sur le bouton "Edit Policy".

Ensuite, la liste de vos GPOs s'affiche. Cliquez sur "New Group Policy object" pour créer une nouvelle GPO qui va utiliser l'extension Specops. Pour ma part, je nomme cette GPO "Password_Policy".

Pendant le processus de création de la GPO, il est nécessaire de sélectionner l'OU sur laquelle appliquer la GPO (et donc la politique de mots de passe). Tout en sachant que la politique s'applique sur les utilisateurs. Une alternative consiste à s'appuyer sur un groupe de sécurité pour appliquer les politiques du logiciel Specops, c'est au choix.

Note : la liaison de la GPO liée à Specops sur les OUs peut être effectuée à partir de la console standard de gestion des GPOs.

Ensuite, vous avez plusieurs choix pour créer votre politique :

  • Custom : une politique sur mesure que vous personnalisez entièrement
  • Microsoft recommendation : politique de mots de passe basée sur les recommandations de Microsoft
  • NCSC recommendation : politique de mots de passe basée sur les recommandations du NCSC (National Cyber Security Centre, équivalent de l'ANSSI au Royaume-Uni
  • NIST recommendation : politique de mots de passe basée sur les recommandations du NIST (National Institute of Standards and Technology, États unis)
  • NSA recommendation : politique de mots de passe basée sur les recommandations de la NSA (National Security Agency, Etats-Unis)

Ce serait intéressant que l'ANSSI entre en contact avec Specops (ou l'inverse) pour intégrer les recommandations de l'ANSSI au logiciel. Ce serait une bonne évolution pour aiguiller les entreprises lors de la création d'une politique.

Pour notre part, nous allons choisir "Custom" pour voir les différentes options proposées par ce logiciel. Le fait d'utiliser une politique qui suit les recommandations permet de partir d'une base, mais vous pouvez ajuster la politique malgré tout.

Nous pouvons définir une politique de mots de passe et une politique de passphrase ("phrase secrète"), que l'on peut considérer comme des mots de passe constitués d'une suite de mots et avec une longueur plus importante que les mots de passe standards. Nous pouvons faire choisir les deux, c'est ce que nous allons faire : choisissez "Enable Both".

Commençons par le premier onglet "General Settings". Au sein de cet onglet, nous allons retrouver les paramètres globaux, notamment au sujet de l'historique des mots de passe.

Note : le message "The password policy is incompatible with the built-in domain password policy...." s'affiche si la politique que vous êtes en train de créer "est plus faible" que la politique de mots de passe intégrée à l'Active Directory. Dans ce cas, il faut ajuster la politique existante pour faire disparaître le message.

Pour être plus précis sur la partie historique des mots de passe :

L'option "Disallow incremental passwords" permet de désactiver l'incrémentation des mots de passe. Je m'explique : un utilisateur avec le mot de passe "Bonjour1" ne pourra pas définir "Bonjour2" ni "Bonjour5" comme mot de passe. Quant à l'option "Number of remembered passwords", elle permet d'indiquer le nombre de mots de passe mémorisés et sur lequel se base l'historique de mots de passe de l'utilisateur.

Il est déconseillé d'utiliser les options "Minimum number of changed characters" (Minimum de caractères différents entre l'ancien et le nouveau mot de passe) et "Disallow reusing part of current password" (Désactiver la réutilisation d'une partie du mot de passe actuel), car, bien qu'elle puisse sembler pertinente, elles nécessitent d'activer le chiffrement réversible au sein de l'Active Directory. Pour des raisons évidentes de sécurité, on évitera et on se contentera des comparaisons basées sur les hash.

Ce que j'aime bien au sein de l'interface de SPP, c'est le panneau d'aide sur la droite. En fait, lorsque l'on positionne la souris sur une option, il y a l'aide concernant cette option qui s'affiche sur la droite. C'est très pratique.

Passons à l'étape suivante : "Password Expiration". Elle va permettre de configurer la politique d'expiration des mots de passe et de paramétrer les notifications associées.

  • Password expiration

En configurant la politique, on peut adopter la logique suivante : plus le mot de passe est long, plus l'utilisateur peut le conserver longtemps. Tout cela est ajustable et on crée des "niveaux d'expiration". Une bonne manière de motiver les utilisateurs pour qu'ils définissent un mot de passe plus long car en général ils n'aiment pas changer leur mot de passe. 😉

Dans l'exemple ci-dessous, il y a trois niveaux d'expiration, mais on peut en créer plus que cela. Un utilisateur qui définit un mot de passe compris entre 10 et 14 caractères devra le changer au bout de 30 jours maximum, tandis qu'un utilisateur avec un mot de passe compris entre 15 et 19 caractères devra le changer au bout de 365 jours maximum.

  • Password expiration notifications

Il est possible de notifier l'utilisateur que son mot de passe arrive à expiration. Cette notification s'effectue par e-mail et vous pouvez choisir combien de jours avant l'expiration du mot de passe vous souhaitez notifier l'utilisateur.

Pour les notifications, l'e-mail est entièrement personnalisable et vous pouvez inclure certaines variables. Ces valeurs dynamiques vont permettre d'intégrer le nom d'utilisateur, le nom d'affichage, l'adresse e-mail ou encore l'adresse e-mail du responsable (si c'est renseigné dans l'AD).

Passons à l'étape "Password Rules". Comme son nom l'indique, cette section va permettre de définir les règles pour les mots de passe, notamment la longueur, les types de caractères, etc.

L'option "Number of required character groups" sert à définir le nombre de types de caractères différents requis pour le mot de passe. Par exemple, si vous définissez "3", vous devez sélectionner au minimum trois types de caractères (la sélection s'effectue en dessous) et pour chaque type, vous pouvez indiquer le nombre minimal. Cela permet d'affiner très précisément.

Vous pouvez appliquer des restrictions au niveau du mot de passe : l'option "Disallow consecutive identical characters" égale à "3" empêche l'utilisation de 3 caractères identiques à la suite. Dans le même esprit, si l'on coche "Disallow full user name in password", l'utilisateur ne pourra pas utiliser son nom d'utilisateur dans le mot de passe.

Il est à noter la présence de la section "Use custom dictionaries". En cliquant sur le bouton "Manage", on a la possibilité de créer un nouveau dictionnaire ou d'en importer un existant.

Par exemple, si l'on crée un nouveau dictionnaire soi-même, il faudra saisir les mots à interdire. La chose que l'on peut faire, c'est indiquer le nom de son entreprise pour empêcher que le nom soit utilisé dans les mots de passe. Indispensable selon moi, car c'est très très courant !

En spécifiant "Connect" en référence à "IT-Connect", cela va bloquer "Connect", "CONNECT", mais aussi "connect" et même "C0nnect" (un zéro à la place du "o"). Le logiciel va prendre en charge les variantes pour renforcer l'interdiction.

Si votre entreprise dispose déjà d'un dictionnaire de mots à bloquer, il est possible de l'importer très facilement grâce à l'option "Import Password File".

Chaque dictionnaire est configurable, notamment pour bloquer les caractères de substitution lors de l'utilisation d'un mot du dictionnaire. Cela correspond à l'option "Character substitution (leet speak)".

Poursuivons la configuration sur notre lancée : rendez-vous dans l'onglet "Passphrase". Dans le cas où l'utilisateur souhaite définir un mot de passe très long, on parlera plus de passphrase. Dans ce cas, une stratégie différente peut s'appliquer afin de choisir la longueur, les types de caractères que vous souhaitez, etc.

Le logiciel va très loin puisque l'on peut créer ses propres règles pour les prérequis, en s'appuyant sur des expressions régulières (RegEx).

Par exemple, si l'on veut imposer une passphrase composée de 3 mots de 6 caractères séparés par un espace, on utilisera cette RegEx :

^\S{6,}\s+\S{6,}\s+\S{6,}$

De la même façon, on peut bloquer les mots identiques :

^(?!.*\b(\w+)\s\1\b).*$

Ainsi que l'utilisation de caractères consécutifs identiques :

^(?!.*(.)\1\1).*$

Ensuite, on peut tester ses règles, au fur et à mesure de préférence, via la zone de saisie "Sample Passphrase". Grâce à nos règles, un utilisateur ne pourra pas utiliser "111111 222222 333333" ni "111111 111111 22222" comme passphrase.

Terminons par la configuration de l'onglet "Breached Password Protection". Grâce à cette fonctionnalité (vendue en complément sous le nom de "Breached Password Protection"), le logiciel SPP va comparer les mots de passe définis par les utilisateurs avec les mots de passe contenus dans les fuites de données connues ou collectés par Specops. On parlera de "leaked password", sans oublier les mots de passe collectés par Specops via les serveurs honeypots. Pour effectuer cette comparaison, le logiciel s'appuie sur le hash des mots de passe, car il ne connaît pas le mot de passe des utilisateurs.

Cette section se découpe en deux zones :

  • Express List : l'analyse est effectuée à partir de la base de mots de passe téléchargée en local (environ 5 Go) sur le serveur et qui contient environ 750 millions de mots de passe (mise à jour tous les deux mois).
  • Complete API : l'analyse est effectuée via API sur la base de mots de passe hébergée en ligne et qui contient 2,5 milliards de mots de passe (mise à jour quotidienne). Par exemple, la base intègre les mots de passe présent dans la fuite de données qui a touchée Fortinet récemment.

Dans le cas où un mot de passe est trouvé dans une fuite de données, l'utilisateur sera averti afin qu'il puisse changer son mot de passe. Cette notification sera envoyée par e-mail, ou par SMS (gratuit/inclus). Le texte de la notification sera en français puisque c'est le message configuré dans Specops qui est repris.

Il y a une option qui permet de forcer la réinitialisation du mot de passe s'il est trouvé dans une fuite ("Continuously check for leaked passwords and force users to change them"). C'est intéressant, mais cela peut poser des problèmes de connexion aux utilisateurs en télétravail (notamment à cause du cache local des identifiants).

Comme je le disais, les notifications sont personnalisables au niveau du texte. Pour envoyer la notification par e-mail, le logiciel reprend l'adresse e-mail de l'utilisateur au niveau de l'Active Directory. Idem pour le numéro de téléphone afin d'envoyer le SMS (ce qui nécessite d'avoir un annuaire bien renseigné).

Nous sommes à la fin de l'assistant de création d'une nouvelle stratégie ! Cliquez sur "OK" pour sauvegarder et nous allons tester le bon fonctionnement de notre politique.

Comme vous avez pu le constater, l'interface de ce logiciel de chez Specops est en anglais, mais la bonne nouvelle c'est que les notifications sont en français. Pour la partie configuration en anglais, cela ne devrait pas vous effrayer en tant que sysadmin. 😉

IV. Tester la politique Specops Password Policy

Avant de passer aux tests, je tenais à vous préciser que le contenu de la stratégie SPP est visible également à partir de l'Editeur de gestion des stratégies de groupe. Il suffit de modifier la GPO et d'accéder à l'emplacement suivant : Configuration utilisateur > Stratégies > Paramètres Windows > Specops Password Policy.

Faisons un test. On va réinitialiser le mot de passe de l'utilisateur "Guy Mauve" à partir du contrôleur de domaine. Bien sûr, la politique Specops que j'ai créée précédemment s'applique sur cet utilisateur. Il suffit de faire un clic droit sur le compte puis de cliquer sur "Réinitialiser le mot de passe". On saisit un mot de passe, par exemple "Connect123!".

On obtient alors une erreur, car le mot de passe ne respecte la politique. Si l'on regarde l'observateur d'événements du serveur (Journaux Windows > Application), on peut voir qu'il y a des événements générés par Specops Password Policy.

Cet échec de réinitialisation de mot de passe a créé un événement : "Password AdminReset for user 'GUY.MAUVE' rejected". Ensuite, on sait que notre mot de passe ne respecte pas les prérequis de la politique "Password_Policy" et en regardant le détail, on peut savoir quels sont les prérequis non respectés.

Si je recommence avec un mot de passe qui respecte tous les prérequis, cela va fonctionner bien entendu.

Maintenant, je vais basculer sur mon poste client où j'ai déployé le client Specops Password Policy... Je me connecte avec l'utilisateur "guy.mauve" et je décide de changer le mot de passe de ce compte (CTRL+ALT+SUPPR > Modifier un mot de passe).

Voici l'écran qui s'affiche :

Un panneau latéral indique quels sont les prérequis à respecter que ce soit pour le mot de passe ou la passphrase (phrase secrète). Lorsque l'utilisateur saisit son mot de passe, les prérequis changent d'état dynamiquement pour que l'utilisateur sache d'où vient le problème si le mot de passe n'est pas accepté.

Note : dans le cas où le client Specops Password Policy n'est pas installé sur le poste client, cela va fonctionner malgré tout. Cependant, le panneau latéral avec les indications ne s'affichera pas.

Dans le cas où l'utilisateur définit un mot de passe qui est repéré dans la base des mots de passe compromis, une notification est envoyée et un événement ajouté au journal (Observateur d'événements > Journaux des applications et des services > Specops).

Voici par exemple le SMS que j'ai reçu puisque c'est mon numéro qui est renseigné dans la fiche Active Directory de l'utilisateur "guy.mauve". Je vous rappelle que le message peut être défini en français, il suffit de modifier le texte de la notification au sein de la politique.

Quoi qu'il en soit, cette démonstration dans la peau d'un utilisateur permet de se rendre compte de l'utilité du client Specops Password Policy sur les postes et du système de notifications.

V. Analyse des résultats avec Specops Password Auditor

Après avoir mis en place Specops Password Policy, il est intéressant de relancer une nouvelle analyse avec Specops Password Auditor pour voir l'impact de cette nouvelle configuration. Si vous aviez de nombreux mots de passe vulnérables avant la mise en œuvre de SPP, les choses ont dû évoluer dans le bon sens désormais.

Si vous souhaitez découvrir Specops Password Auditor (logiciel gratuit), je vous invite à regarder ma vidéo à ce sujet.

Un logiciel que vous pouvez télécharger gratuitement via cette page : Télécharger Specops Password Auditor.

L'analyse effectuée par Specops Password Auditor suite à la mise en place de Specops Password Policy doit donner des résultats satisfaisants : pas d'utilisateurs sans mot de passe, pas de mots de passe compromis, etc.

Si l'on regarde la conformité de notre politique "Password_Policy" vis-à-vis des recommandations des différents organismes de sécurité, on peut voir qu'elle s'en sort bien également.

Avant de mettre en œuvre SPP, je vous recommande d'effectuer une analyse avec Specops Password Auditor afin de voir la valeur ajoutée de SPP après quelque temps d'utilisation.

Cette découverte de Specops Password Policy touche à sa fin ! N'hésitez pas à tester le logiciel de votre côté et à poster un commentaire si vous avez des questions.

Je vous laisse avec le lien de téléchargement qui vous permettra d'obtenir une version d'essai de 45 jours tout en sachant que le coût de la licence dépend du nombre d'utilisateurs à protéger avec Specops Password Policy :

Télécharger Specops Password Policy

The post Améliorez la gestion des mots de passe dans l’AD avec Specops Password Policy first appeared on IT-Connect.

Mon PC est-il compatible Windows 11 ? Microsoft remet en ligne son outil !

22 septembre 2021 à 07:40

Microsoft a remis en ligne son outil PC Health Check qui permet de vérifier si votre machine est compatible avec Windows 11. Cette fois-ci, il fournit des informations précises dans le cas où votre machine ne respecte pas un ou plusieurs prérequis.

Lorsque Microsoft a annoncé Windows 11, un outil avait été mis en ligne pour nous permettre de vérifier si notre machine était compatible avec son futur système d'exploitation. Le problème, c'est que si la machine était incompatible, le logiciel n'indiquait pas pourquoi. Autrement dit, il n'était pas très utile et heureusement que des développeurs indépendants ont publié un autre outil en seulement quelques heures : WhyNotWin11.

La communauté a très largement critiqué cet outil, à juste titre d'ailleurs, alors la firme de Redmond a pris le temps de développer une nouvelle mouture. Cette semaine, Microsoft a - discrètement - mis en ligne une nouvelle version de son outil PC Health Check. Cette fois-ci, l'outil explique pourquoi la machine n'est pas compatible avec Windows 11, si c'est le cas.

Par exemple, c'est précisé si le processeur n'est pas supporté par Windows 11, mais aussi s'il y a un problème au sujet de la puce TPM 2.0. Si l'outil détecte bien la puce TPM, il suffira simplement de l'activer dans le BIOS de votre machine. Pour chaque élément, un lien est intégré pour permettre à l'utilisateur d'obtenir des informations complémentaires.

C'est l'heure de faire une dernière vérification avant la sortie officielle de Windows 11, prévue le 5 octobre prochain. Vous pouvez télécharger l'outil en suivant ce lien (tout en bas de la page) : Télécharger PC Health Check

Source

The post Mon PC est-il compatible Windows 11 ? Microsoft remet en ligne son outil ! first appeared on IT-Connect.

Apple – iOS 15 : à peine sortie, son écran de verrouillage déjà contourné !

22 septembre 2021 à 07:20

Alors qu'Apple vient tout juste de dévoiler iOS 15, la nouvelle version de son système d'exploitation pour mobile, un chercheur en sécurité est déjà parvenu à contourner l'écran de verrouillage !

Il s'appelle Jose Rodriguez et il est énervé contre Apple. Pour le faire savoir, il a publié une vidéo sur YouTube où il montre comment il est parvenu à contourner l'écran de verrouillage d'iOS 15. Pour cela, il a exploité Siri et la fonction VoiceOver afin d'accéder aux notes de l'appareil et de les envoyer par SMS : un enchaînement astucieux. Le jour de la sortie d'iOS 15, ce n'est pas une bonne publicité pour Apple !

Mais, pourquoi est-il énervé ? Selon lui, Apple lui doit de l'argent ou en tout cas, la firme à la pomme ne s'est pas montrée suffisamment généreuse. Il a remonté un bug de sécurité dans le cadre du programme Bug Bounty d'Apple et il a reçu une récompense de 5 000 dollars. Une récompense injuste, car pour des problèmes de sécurité moins graves, la prime serait de 25 000 dollars. Son travail n'aurait pas été récompensé à sa juste valeur.

D'après lui, Apple n'aurait pas corrigé entièrement le problème de sécurité et ne lui aurait pas demandé de vérifier si le correctif était efficace. Aucune référence CVE n'est communiquée à ce sujet.

Quelques nouveautés d'iOS 15...

Avec iOS 15, Apple a introduit de nouvelles fonctionnalités, notamment "LiveText" qui s'appuie sur l'OCR (reconnaissance de caractères) pour vous permettre de récupérer facilement le texte d'une carte de visite, d'un plan, d'une page de journal, etc.

Par ailleurs, l'application "Concentration" vous permettra de vous concentrer sans être perturbé par les notifications de votre iPhone. Lorsque ce mode est actif, seulement les contacts et les applications autorisées pourront émettre une notification sur votre appareil, tout en sachant que le mode peut être activé automatiquement à une heure précise.

Enfin, Apple a amélioré FaceTime en intégrant SharePlay, une fonctionnalité qui permet de partager son écran à des amis à distance dans le but de partager du contenu, comme une vidéo, par exemple. Mais ce n'est pas tout ! Désormais, FaceTime offre la possibilité de créer un lien pour inviter des contacts à rejoindre un appel vidéo, que ce soit des personnes avec un iPhone ou un iPad, et même des personnes avec un appareil sous Android (dans ce cas, la connexion s'effectue via un navigateur).

Source

The post Apple – iOS 15 : à peine sortie, son écran de verrouillage déjà contourné ! first appeared on IT-Connect.

Windows et les impressions : comment corriger l’erreur 0x0000011b ?

21 septembre 2021 à 08:30

Depuis quelques jours, les imprimantes réseau donnent du fil à retordre aux administrateurs système. La faute au dernier Patch Tuesday par Microsoft qui force l'activation d'un paramètre pour vous protéger contre la faille CVE-2021-1678.

En janvier 2021, Microsoft a publié un correctif pour patcher la faille de sécurité CVE-2021-1678 dans le Spouleur d'impression de Windows. Cependant, il était pris en charge, mais inactif jusqu'ici, mais avec la sortie de ce Patch Tuesday de septembre 2021, le paramètre est automatiquement appliqué. Résultat, de gros problèmes d'impression sur les imprimantes connectées en réseau et à la clé une erreur 0x0000011b.

Ce paramètre se situe dans le Registre, se nomme "RpcAuthnLevelPrivacyEnabled" et il sert à augmenter le niveau de sécurité requis pour les impressions réseau. Lorsque ce paramètre a pour valeur "1", ce qui est le cas si vous avez installé la mise à jour de septembre, la sécurité est appliqué afin de vous protéger contre la faille CVE-2021-1678. Par contre, vous héritez aussi des problèmes d'impression.

Pour le moment, nous vous recommandons de basculer cette valeur à "0" au lieu de "1". Certes, vous ne serez plus protégé contre la faille de sécurité CVE-2021-1678, mais elle ne semble pas activement exploitée. Cela présente l'avantage de faire fonctionner les impressions sans pour autant désinstaller le patch cumulatif de septembre. En attendant que Microsoft propose une solution.

Alors si vous souhaitez vous débarrasser de l'erreur 0x0000011b, ouvrez le Registre et naviguez à cet emplacement :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Si la valeur "RpcAuthnLevelPrivacyEnabled" n'existe pas, vous devez la créer au format DWORD-32 manuellement à partir de l'éditeur de Registre. Lorsque c'est fait, vous devez lui attribuer la valeur 0. La mise à jour de septembre ne viendra pas remplacer ou écraser la valeur de la clé si elle existe déjà.

Voilà, vous devriez pouvoir imprimer, et respirer un peu !

Merci à @Gilles Delcourt d'avoir relayé cette solution.

The post Windows et les impressions : comment corriger l’erreur 0x0000011b ? first appeared on IT-Connect.

Ransomwares : voici les vulnérabilités exploitées par les pirates en 2021

20 septembre 2021 à 18:17

Des chercheurs en sécurité ont créé une liste des vulnérabilités les plus exploitées par les pirates pour pénétrer le réseau d'une entreprise dans le but d'exécuter un ransomware. Une excellente initiative !

Tout a commencé sur Twitter, ce week-end, suite à l'annonce passée par un membre de l'équipe de Recorded Future. Ensuite, d'autres chercheurs en sécurité ont participé à la constitution de cette liste très utile et qui s'est agrandie très rapidement ! Au final, cette liste est constituée de 42 vulnérabilités réparties au sein de 17 produits différents.

Source : Twitter / Allan Liska

Une synthèse intéressante pour obtenir une liste des vulnérabilités exploitées par les groupes de hackers en 2021. Elle présente l'avantage de permettre d'identifier facilement les produits que l'on utilise au sein de son infrastructure ou chez ses clients.

Nous retrouvons des vulnérabilités connues et qui ont fait beaucoup parler d'elles ces derniers mois. Par exemple, il y a la vulnérabilité dans le moteur MSHTML d'Internet Explorer (et qui touche Office), corrigée dernièrement à l'occasion du Patch Tuesday de Septembre 2021.

On peut également citer la vulnérabilité PetitPotam, exploitée par le ransomware LockFile, ainsi que le ransomware eChoraix qui s'est attaqué aux NAS QNAP et Synology.

Sans oublier les trois failles de sécurité nommées "ProxyShell" et qui touchent les serveurs de messagerie Microsoft Exchange. D'ailleurs, fin août il y a eu des attaques ciblées en France où les pirates cherchaient à exploiter ces failles de sécurité. Encore plus récemment, c'est le ransomware Conti qui s'appuyait sur ses vulnérabilités.

On retrouve aussi la faille de sécurité CVE-2018-13379 de FortiOS et qui a beaucoup fait parler d'elle il y a quelques jours, malgré qu'elle soit corrigée par Fortinet depuis bien longtemps.

Si vous suivez régulièrement l'actualité sur le site, vous avez déjà entendu parler de certaines de ces vulnérabilités, même si le nom "CVE" n'est pas spécialement parlant.

Source

The post Ransomwares : voici les vulnérabilités exploitées par les pirates en 2021 first appeared on IT-Connect.

Altice (SFR) s’offre Coriolis Télécom pour 415 millions d’euros

20 septembre 2021 à 15:03

L'opérateur Coriolis Télécom va devenir la propriété d'Altice, la maison mère de SFR, pour un montant de 415 millions. L'occasion de récupérer les 500 000 clients de cet opérateur.

Coriolis Telecom fait partie des opérateurs virtuels qui exploitent le réseau des grands opérateurs français : SFR, Bouygues Télécom, Free, et bien sûr Orange. D'ailleurs, Coriolis s'appuie sur les réseaux de SFR et d'Orange.

Dans un communiqué publié ce lundi, nous apprenons qu'Altice a signé un accord d'exclusivité pour le rachat de Coriolis Télécom. Le montant de l'opération s'élève à 415 millions d'euros : 298 millions au moment de l'acquisition, puis 117 millions dans un second temps. Une transaction qui devrait être finalisée au premier semestre 2022.

De son côté, Coriolis Télécom est un opérateur présent depuis 1999 et qui, aujourd'hui, pèse sur le marché avec ses 500 000 clients particuliers et ses 30 000 clients professionnels.

Reste à savoir si, par la suite, Coriolis Télécom va continuer à s'appuyer sur les réseaux de SFR et d'Orange, ou s'il y aura un transfert total sur le réseau de SFR. C'est probablement vers cette direction que l'on s'oriente. Nous ne savons pas également si Coriolis conservera sa propre identité commerciale ou si elle sera absorbée totalement par SFR.

Je vous laisse en compagnie du tweet et du communiqué de presse.

Altice France signe un accord d’exclusivité pour l’acquisition de @CoriolisTelecom pic.twitter.com/efyL9othZp

— Altice France (@AlticeFrance) September 20, 2021

The post Altice (SFR) s’offre Coriolis Télécom pour 415 millions d’euros first appeared on IT-Connect.

Comment fusionner un utilisateur de l’AD local avec un compte Office 365 ?

20 septembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment fusionner un compte utilisateur de l'Active Directory local avec un compte utilisateur d'Office 365, en s'appuyant sur Azure AD Connect.

Prenons un cas classique : un tenant Office 365 d'un côté, avec des utilisateurs existants et actifs, créés directement dans le Cloud. Un annuaire Active Directory de l'autre, sur les serveurs de l'entreprise, avec des comptes pour les utilisateurs.

Et là, vous souhaitez mettre en place l'outil Azure AD Connect pour synchroniser les comptes de l'annuaire Active Directory on-premise avec Office 365. Une bonne idée puisque cela permet de synchroniser de nombreux attributs, dont le nom, le prénom, l'identifiant, l'e-mail, les alias ainsi que le mot de passe. Oui, mais comment procéder lorsque l'on a déjà les utilisateurs dans les deux annuaires et que l'on souhaite fusionner les comptes plutôt que de sacrifier les comptes de l'un des deux annuaires ? C'est ce que nous allons voir dans cet article.

II. Environnement et prérequis

Pour commencer, je vais décrire mon environnement et le point de départ de ce tutoriel pour éviter les ambiguïtés. Il peut y avoir plusieurs scénarios, d'où l'intérêt de préciser.

Je dispose de :

  • Un tenant Office 365 pour le domaine it-connect.fr
  • Un domaine Active Directory pour le domaine it-connect.local

L'outil Azure AD Connect est déjà installé et il est configuré de manière à synchroniser seulement certaines OUs de mon annuaire Active Directory local vers Office 365.

Pour le moment, les unités d'organisation à synchroniser sont vides ! Autrement dit, les utilisateurs à fusionner ne doivent pas être dans le périmètre des OUs synchronisées via Azure AD Connect (sauf si vous avez un filtre supplémentaire avec un groupe de sécurité).

Si vous avez besoin d'aide pour installer Azure AD Connect, suivez ce tutoriel : Installation d'Azure AD Connect.

L'objectif est de fusionner le compte Office 365 qui se nomme "[email protected]" avec le compte Active Directory de "[email protected]". Remarquez la subtilité entre le ".fr" et le ".local", c'est important.

Avant de pouvoir synchroniser ce compte dans le but de le fusionner, il va falloir effectuer quelques vérifications, voire modifications !

III. Fusion des comptes AD / Office 365 : les étapes

Pour que l'outil Azure AD Connect soit en mesure de faire la correspondance entre les deux comptes existants, et donc faire une fusion, il va comparer les attributs des objets. Comme l'explique Microsoft dans sa documentation, il y a trois attributs utilisés pour faire la correspondance entre des comptes existants : userPrincipalName, proxyAddresses et sourceAnchor/immutableID.

Il y a deux types de correspondances :

  • Soft-match : correspondance basée sur les attributs userPrincipalName et proxyAddresses
  • Hard-match : correspondance basée sur l'attribut sourceAnchor

Dans notre cas, nous allons miser sur le soft-match puisque la synchronisation sera nouvelle pour ces comptes : nous allons devoir traiter avec une grande attention les attributs userPrincipalName et proxyAddresses de notre utilisateur.

A. Mise à jour de l'attribut userPrincipalName

Nous devons avoir la même valeur pour l'attribut userPrincipalName (appelé UPN) aussi bien dans l'Active Directory que dans Office 365. Pour rappel, cet attribut correspond au nom d'utilisateur dans Office 365 (utilisé pour se connecter) et au "Nom d'ouverture de session de l'utilisateur" dans l'AD.

Pour récupérer la valeur userPrincipalName dans Office 365, on peut regarder dans les "Utilisateurs actifs", à partir du portail Web. Comme ceci :

Note : sur le portail Web, tout à droite de la ligne vous pouvez constater que l'utilisateur est bien de type "Dans le cloud" en regardant la valeur de la colonne "Etat de synchronisation".

On peut aussi procéder avec PowerShell via le module MSOnline (ou un autre module qui permet d'interroger la base de compte Azure AD).

On se connecte à son tenant :

Connect-MsolService

On recherche l'utilisateur, en précisant son nom pour le paramètre -SearchString, par exemple.

Get-MsolUser -All -SearchString "Office"

La console va retourner :

UserPrincipalName             DisplayName         isLicensed
-----------------             -----------         ----------
[email protected]    Florian Office 365  True

Cela confirme qu'au niveau d'Office 365, le userPrincipalName est bien "[email protected]".

Pour rappel, pour récupérer la liste de tous vos utilisateurs Office 365, il suffit de faire :

Get-MsolUser -All

Maintenant, l'idée c'est de reporter la valeur "[email protected]" dans l'Active Directory pour l'utilisateur correspondant.

Rendez-vous dans l'Active Directory... Dans les propriétés de l'utilisateur. Voici ce que j'ai au sein de l'onglet "Compte".

Mauvaise nouvelle : la valeur n'est pas bonne, car le domaine ne correspond pas. Il faut donc modifier le domaine @it-connect.local par @it-connect.fr. Si vous ne pouvez pas changer de domaine, vous devez déclarer un nouveau suffixe UPN correspondant à votre domaine de message.

Ensuite, il suffit de modifier le compte Active Directory avec le bon domaine puisque la première partie de l'identifiant est correcte. Voici le résultat.

Note : si vos utilisateurs se connectent sur les postes avec le nom court (sans @domaine.local), ce changement n'aura pas d'impact. Par contre, un utilisateur qui se connecte sur un PC avec son UPN sera perturbé et vous devez l'avertir de ce changement.

Pour finir avant de passer à l'attribut proxyAddresses, voici comment effectuer les vérifications de l'UPN avec PowerShell (et le module Active Directory).

Get-ADUser -Identity <login>
Get-ADUser -Identity florian.o365

Cette commande retourne bien la valeur de l'UPN :

Pour le modifier en PowerShell, il faudra faire :

Set-ADUser -Identity "florian.o365" -UserPrincipalName "[email protected]"

Voilà, le tour est joué !

B. Mise à jour de l'attribut proxyAddresses

Le champ proxyAddresses est caché dans l'onglet "Editeur d'attributs" de chaque compte utilisateur de l'Active Directory. Parfois méconnu, il est pourtant très important ! Il sert à définir l'adresse e-mail principale d'un utilisateur, mais aussi ses éventuels alias de messagerie.

Dans un scénario comme celui-ci, il est fort possible que cette valeur soit vide, car il n'y avait pas d'intérêt à compléter ce champ. En tout cas, ça c'était avant, car maintenant nous en avons besoin.

Si l'on reprend le compte "[email protected]", on sait que l'adresse de messagerie de cet utilisateur est "[email protected]" (identique à l'UPN, mais ce n'est pas une obligation). On peut récupérer cette information via le portail Web, mais aussi en PowerShell :

Get-MsolUser -UserPrincipalName "[email protected]" | Ft userPrincipalName,proxyAddresses

ou

(Get-MsolUser -UserPrincipalName "[email protected]").proxyAddresses

Il va falloir que l'on injecte cette valeur dans l'attribut proxyAddresses, au niveau de l'AD. Rendez-vous dans les propriétés du compte : Editeur d'attributs (nécessite d'activer : Affichage > Fonctionnalités avancées dans le menu de la console) > proxyAddresses > Modifier.

Pour déclarer l'adresse e-mail principale du compte, il faut utiliser cette syntaxe :

SMTP:[email protected]

C'est important d'écrire "SMTP" en majuscules pour dire qu'il s'agit de l'e-mail principale. Si l'on écrit "smtp" en minuscules, cela sert à déclarer un alias. Pour la fusion, c'est bien l'adresse e-mail principale qui est utile.

Voici un exemple :

Comme tout à l'heure, on peut le faire en PowerShell. Lire la valeur actuelle :

Get-ADUser -Identity "florian.o365" -Properties proxyAddresses | Format-Table userPrincipalName,proxyAddresses

Injecter la nouvelle valeur pour cet attribut en écrasant une éventuelle valeur existante :

Set-ADUser -Identity "florian.o365" -Replace @{proxyAddresses="SMTP:[email protected]"}

Je vous recommande aussi de mettre à jour l'attribut "mail" qui contient l'adresse e-mail. En fait, cela facilite la configuration d'Outlook pour remonter l'adresse e-mail directement, c'est plus agréable pour l'utilisateur final.

Voici la commande PowerShell :

Set-ADUser -Identity "florian.o365" -EmailAddress "[email protected]"

Voilà, le compte de notre utilisateur est prêt ! Nous allons pouvoir le synchroniser pour qu'il soit fusionné avec le compte Office 365 !

C. Déclencher la fusion du compte utilisateur

Dernière étape du processus : la synchronisation qui doit donner lieu à la fusion. Avant de poursuive, lisez ce qui suit : les informations du compte de l'Active Directory local vont venir écraser les informations du compte côté Office 365 au moment de la fusion. Cela signifie que le mot de passe du compte AD local va devenir le mot de passe de l'utilisateur côté Office 365 également.

Si c'est OK pour vous, prenez le compte utilisateur dans l'AD et déplacez-le dans une OU qui est synchronisée avec Azure AD Connect. Une fois que c'est fait, rendez-vous sur le serveur où est installé Azure AD Connect pour forcer une synchronisation, cela évitera d'attendre :

Start-ADSyncSyncCycle -PolicyType Delta

Vous n'avez plus qu'à regarder sur le portail Web d'Office 365 pour voir ce que ça donne. Quand le compte sera fusionné, l'icône va changer : le petit nuage va laisser place à l'icône de synchronisation. Et comme ça fonctionne, c'est vous qui êtes sur un petit nuage. 😉

Sans plus attendre, vérifiez les différentes valeurs pour voir si tout est bien conforme. Vérifiez également que la connexion au compte fonctionne : autant tout tester jusqu'au bout pour ce premier essai.

Si la correspondance n'est pas complète (UPN pas égaux, par exemple), la fusion pourra s'effectuer malgré tout, mais ce ne sera pas concluant. Par exemple, vous pouvez vous retrouver avec un nom d'utilisateur Office 365 qui prend le domaine "votre-domaine.onmicrosoft.com".

Avant d'effectuer la fusion sur un ou plusieurs comptes, je vous recommande fortement d'effectuer un essai avec un utilisateur de test pour valider le processus. Voilà, c'était le mot de la fin.

The post Comment fusionner un utilisateur de l’AD local avec un compte Office 365 ? first appeared on IT-Connect.

Pour le moment, Windows 11 n’est plus compatible avec VirtualBox !

20 septembre 2021 à 08:33

Suite à un changement opéré par Microsoft, le système Windows 11 ne peut plus être installé au sein d'une machine virtuelle Oracle VirtualBox à cause un problème de compatibilité !

Je ne vais pas répéter toute l'histoire, mais souvenez-vous des prérequis de Windows 11 imposés par Microsoft et notamment la nécessité d'avoir une puce TPM 2.0 et le Secure Boot. La puce TPM 2.0 avait beaucoup fait parler d'elle, et vous allez vite comprendre qu'elle est à l'origine de ce problème au sein de VirtualBox.

Jusqu'ici, lorsque Windows 11 était installé à partir de zéro ou via une mise à niveau depuis Windows 10 au sein d'une machine virtuelle, il ne vérifiait pas si la machine physique respectait les prérequis. Microsoft ayant conscience que les machines virtuelles Windows 11 sont là pour réaliser des tests dans la majorité des cas.

Le problème, c'est que la donne vient de changer : sans prévenir, la firme de Redmond a décidé d'appliquer la vérification des prérequis matériels au sein des machines virtuelles. Ces prérequis sont les mêmes que pour une machine physique. Si la machine physique est compatible, la machine virtuelle devrait s'installer sans difficulté. Cependant, il y a un cas particulier : VirtualBox.

Pour VMware Workstation, Hyper-V, Parallels et QEMU, il n'y a pas de problème puisque le Secure Boot est pris en charge, tout comme l'accès à la puce TPM depuis la machine virtuelle. Par contre, VirtualBox ne supporte pas ces fonctions pour le moment ! Ce qui fait qu'il n'est plus possible d'installer Windows 11 dans une VM VirtualBox, même si la configuration physique de la machine respecte les prérequis Windows 11.

Les développeurs de VirtualBox travaillent sur un correctif, ce qui passera par un pilote pour permettre l'interaction entre la puce TPM et la VM. Pour le moment, nous ne savons pas quand ce fameux pilote sera prêt. Espérons que ce soit avant la sortie officielle de Windows 11, le 5 octobre prochain.

Source

The post Pour le moment, Windows 11 n’est plus compatible avec VirtualBox ! first appeared on IT-Connect.

Microsoft Office 2021 sortira le 5 octobre, comme Windows 11 !

17 septembre 2021 à 16:37

Le 5 octobre 2021 s'annonce festif chez Microsoft ! La sortie de Windows 11 est prévue à cette date, mais il ne sera pas seul puisque Microsoft Office 2021 sortira le même jour !

Cette nouvelle version de la célèbre suite Microsoft Office sera disponible sous la forme d'une licence perpétuelle, mais aussi à partir d'un abonnement Microsoft 365 / Office 365. D'ailleurs, la formule avec abonnement intègre quelques avantages comme le stockage OneDrive, ce qui n'est pas le cas avec la licence perpétuelle. Cela n'est pas un changement puisque Microsoft fonctionne de cette façon depuis de nombreuses années.

Une version LTSC (Long Term Servicing Channel) sera disponible, ce qui devrait ravir les entreprises puisque cela assure un support d'Office 2021 sur le long terme : 5 ans de support classique puis 5 ans de support étendu (payant).

Office 2021 va bénéficier d'une nouvelle interface qui reprend le style Fluent Design. Au niveau des nouveautés, on peut noter le support du format OpenDocument 1.3 utilisé notamment par LibreOffice, et la prise en charge de l'architecture Apple Silicon (ARM) sur Mac. De manière générale, la suite Office devrait être améliorée et plus particulièrement Excel avec de meilleures performances.

Passer d'une ancienne version d'Office à Office 2021, ce sera l'occasion de bénéficier des dernières nouveautés, y compris des éventuelles versions intermédiaires, tout en bénéficiant d'un logiciel qui sera régulièrement mis à jour par Microsoft. C'est également l'une des raisons pour laquelle on peut être tenté de basculer sur Office 2021.

Cette semaine, je vous rappelle que Microsoft a publié le Patch Tuesday de septembre 2021 et que celui-ci a créé la panique dans les entreprises ! En effet, l'installation du patch a généré de gros problèmes sur les impressions via des imprimantes partagées sur le réseau.

The post Microsoft Office 2021 sortira le 5 octobre, comme Windows 11 ! first appeared on IT-Connect.

Test Xiaomi Mi Pad 5 : une tablette 11 pouces très séduisante !

17 septembre 2021 à 14:59

I. Présentation

Xiaomi est de retour sur le marché des tablettes après plusieurs années d'absence ! Le fabricant chinois a dévoilé deux nouvelles tablettes qui pourraient bien faire de l'ombre à l'iPad de chez Apple. En tout cas, c'est ce que dit le fondateur de Xiaomi, Lei Jui. Au programme, nous avons le droit à deux modèles : Xiaomi Mi Pad 5 (disponible en France) et Xiaomi Mi Pad 5 Pro (non prévue à l'internationale). Dans cet article, je vous propose le test de la Xiaomi Mi Pad 5, un modèle 11 pouces !

Avant d'aller plus loin, voici les caractéristiques techniques de cette tablette qui vise le milieu de gamme :

  • Écran : 11 pouces, WQHD+ (2560 x 1600 px) avec un taux de rafraichissement à 120 Hz, compatible Dolby Vision
  • Processeur : Qualcomm Snapdragon 860 (8 cœurs)
  • RAM : 6 Go
  • Stockage interne : 128 Go
  • Audio stéréo avec 4 haut-parleurs, compatible Dolby Atmos, Hi-Res Audio
  • Module photo avant : un capteur de 8 mpx - vidéo 1080p @ 30 fps
  • Module photo arrière : un capteur de 13 mpx - vidéo 4K @30 fps
  • Connectivité : Bluetooth 5.0, Wi-Fi 802.11a/b/g/n/ac
  • Batterie de 8 720 mAh
  • Chargeur de 22,5 Watts
  • Poids : 511 grammes
  • Prix : 349 euros pour le modèle 128 Go et 399 euros pour 256 Go de stockage

Quand l'on regarde la fiche technique et que l'on voit le tarif, on se dit que cette tablette pourrait bien s'imposer comme une référence. Est-ce réellement le cas ?

II. Découverte de la tablette Mi Pad 5

La boîte est plutôt sobre et ne donne pas vraiment d'informations sur la tablette : il ne reste plus qu'à l'ouvrir pour en savoir plus. À l'intérieur, nous retrouvons la tablette Mi Pad 5 bien sûr, ainsi qu'un guide de démarrage (français), le chargeur officiel et son câble USB-C. Il est à noter que le stylet Smart Pen est vendu séparément.

Dans cet article, je vous présente la version blanche de la tablette Mi Pad 5, mais elle est disponible en noir également. Ma première impression est bonne : la tablette est légère en main, l'écran de 11 pouces fait son petit effet et le dos blanc avec de beaux reflets est très classe !

Le dos de la tablette est logoté "Xiaomi" et nous retrouvons le module photo, avec un seul capteur et le flash. Et oui, au premier coup d'œil, on pourrait croire que la tablette dispose de deux capteurs photo à l'arrière, mais ce n'est pas le cas ! Par contre, il faudra acheter une coque de protection pour la tablette, car le module photo arrière dépasse un peu trop à mon goût.

À l'avant, nous avons l'écran avec ses bords noirs que je trouve un peu épais. La caméra frontale est située au centre de la bordure supérieure de la tablette, qui d'ailleurs est pensée pour être tenue à la verticale.

Si l'on regarde les différents côtés de la tablette, on peut découvrir les quatre haut-parleurs : 2 sur le dessus, 2 sur le dessous et ils sont facilement visibles, car ils sont assez larges. Pour la partie microphone, il y en a deux : 1 sur le dessus et un sur le dessous.

Sur l'un des côtés, nous avons l'emplacement pour venir positionner le stylet Xiaomi Smart Pen afin de le recharger, mais je vous rappelle qu'il n'est pas fourni avec la tablette. De l'autre côté, nous avons un connecteur pour le clavier Xiaomi, qui est vendu séparément aussi.

Concernant les boutons, il y a un bouton on/off sur le dessus de la tablette, et sur le côté droit, au-dessus de l'emplacement pour le stylet, on retrouve un bouton pour gérer le volume. Les deux boutons sont assez proches l'un de l'autre, ce qui permet de prendre des copies d'écran à une seule main, par exemple.

Remarque : si vous décidez d'utiliser la tablette en mode desktop avec un clavier, le capteur frontal qui peut servir de caméra pour vos visioconférences basculera sur le côté.

Au final, certains diront qu'il manque trois choses : le port Jack, une LED de notification et la possibilité d'ajouter une carte microSD pour étendre le stockage.

On aurait pu ajouter un quatrième élément manquant : le lecteur d'empreintes, car il n'y en a pas, que ce soit à l'arrière, sur le côté, ou sous l'écran. Par contre, la reconnaissance faciale est disponible et elle est réactive, on peut dire que ça compense bien !

Malgré que ce ne soit pas un écran OLED, mais bien un écran LED, la qualité d'affichage est satisfaisante. Le rendu des couleurs est bon et la luminosité correcte, mais il ne faudrait pas moins.

III. L'autonomie, ça donne quoi ?

Sur le papier, Xiaomi annonce une autonomie de plus de 16 heures pour la lecture vidéo, plus de 10 heures pour les jeux et plus de 5 jours pour écouter de la musique. Qu'en est-il dans la pratique ?

  • Le streaming vidéo

Pour mesurer l'autonomie en streaming, j'ai mis la tablette avec la luminosité de l'écran au maximum (indispensable pour bien voir en pleine journée), le volume à 50% et j'ai regardé plusieurs films en streaming via Internet.

Résultat, la tablette est passée de 100% à 0% au bout de 5h45 de streaming non-stop ! On est loin des 16 heures annoncées par Xiaomi.

Reste à savoir comment Xiaomi a effectué ses mesures, mais il est certain que la lecture locale ou en streaming via Internet, ça ne consomme pas la batterie de la même façon.

Il est à noter que le streaming vidéo sur Netflix et Disney+ supporte la qualité HD, ce qui est à préciser.

  • Streaming audio

Pour la lecture audio, j'ai utilisé Spotify avec le volume de la tablette à 60%. Ce que je peux vous dire, c'est qu'au bout de 10 heures de streaming, la batterie est passée de 100% à 81%. Cela laisse penser qu'on peut utiliser la batterie pendant plusieurs jours pour écouter de la musique.

  • Temps de charge

La tablette Mi Pad 5 a besoin de 2 heures pour passer de 0% à 100% de batterie.

IV. Qualité des photos

J'ai pris quelques photos avec la tablette, principalement avec le capteur arrière, afin d'évaluer la partie photo de ce modèle. Voici trois photos, prises dans les mêmes conditions. La troisième photo a été prise avec le HDR actif, ce qui a permis de bien éclairer l'arbre sur la photo, sinon il était sombre et en contraste vis-à-vis du ciel.

L'application de la caméra ne contient pas énormément de paramètres, mais il est possible de gérer le format de la prise de vue, d'utiliser le retardateur, d'activer ou non le HDR, d'appliquer des filtres en direct, d'activer ou désactiver la fonction "caméra IA", et bien sûr de gérer la qualité des photos.

Lorsque l'on utile l'appareil photo, si l'on n'utilise pas le zoom, on obtient un cliché d'une qualité satisfaisante et avec un bon niveau de netteté. Par contre, dès que l'on commence à zoomer, il y a un bruit important qui s'installe sur les photos. Le résultat est le même lorsque la luminosité diminue. Le capteur de 13 mpx ne fait pas de miracles.

Le capteur frontal quant à lui suffira pour prendre quelques selfies et effectuer des appels vidéos.

V. Performances, système, etc... : la Mi Pad 5 au quotidien

Le Snapdragon 860 épaulé par 6 Go de RAM et le système MIUI 12.5 basé sur Android 11 permettent-ils à cette tablette de répondre à tous les besoins du quotidien ? Voici mon ressenti.

Après quelques minutes d'utilisation, on se rend compte d'une chose : la navigation au sein de l'interface est fluide. Cela signifie que le SoC répond bien, mais il faut dire qu'il est bien aidé par le taux de rafraichissement de l'écran en 120 Hz. Par défaut, nous retrouvons les applications Google ainsi que les applications Xiaomi comme : Navigateur Mi, Mi Vidéo, et ShareMe. L'application WPS Office est également préinstallée.

Pour les séances de streaming, l'écran sera forcément appréciable, mais il y autre chose que j'ai beaucoup aimé : c'est la qualité de l'audio. Avec les quatre haut-parleurs, nous avons le droit à une qualité audio qui est top ! Il y a une belle profondeur sonore et c'est d'autant plus agréable pour regarder un film.

Pour exploiter la taille de l'écran, on peut compter sur les possibilités offertes par MIUI 12.5 : les fenêtres flottantes et l'affichage fractionné. Petit bémol sur l'affichage fractionné : il supporte seulement le mode 50/50. J'ai eu quelques difficultés à prendre en main la gestion des fenêtres, mais ensuite c'est appréciable.

Le Snapdragon 860 est déjà présent au sein d'autres smartphones, mais pour voir ce que cette tablette a dans le ventre, je vais faire appelle à deux logiciels de Benchmark : 3D Mark et Geekbench 5.

Par ailleurs, si l'on compare le score AnTuTu de cette tablette avec d'autres modèles, on peut voir qu'elle obtient un meilleur score que les tablettes Samsung Galaxy Tab S6 et Huawei Matepad Pro (5G)

Pour ma part, je peux vous assurer qu'elle fonctionne parfaitement pour de la navigation sur Internet, l'utilisation des réseaux sociaux, le streaming (YouTube, Netflix, Disney+ etc.), mais aussi les jeux. En termes de performances, il n'y a pas d'inquiétudes à avoir, sauf peut être pour des usages très spécifiques... Mais sinon, vous pouvez être rassuré.

VI. Conclusion

La tablette Xiaomi Mi Pad 5 propose une belle expérience et elle est agréable à utiliser pour plusieurs raisons : elle tient bien en main malgré sa taille de 11 pouces, son écran est vraiment sympa avec un rendu de l'image qui est top, et surtout elle tourne super bien !

La qualité de fabrication est bonne et le design soigné, le seul bémol sur ce point c'est l'intégration du module photo arrière qui est exposé aux rayures. À voir ce que cela peut donner dans le temps. Si l'on apporte une importance particulière à la connectique, il faut tenir compte du fait qu'il n'y ait pas de slot microSD, pas de port Jack, et il n'y a pas non plus de lecteur d'empreinte, de puce GPS, ni de LED de notifications.

Test Xiaomi Mi Pad 5

VII. Où acheter la tablette Xiaomi Mi Pad 5 ?

Pour finir ce test, parlons du prix et de l'offre de précommande de la tablette Mi Pad 5 ! Actuellement, sur le site Goboo.com (revendeur officiel et partenaire Xiaomi), il y a une belle offre valable jusqu'au 23 septembre :

  • Xiaomi Mi Pad 5 (128 Go) à 299 euros 
  • Xiaomi Mi Pad 5 (256 Go) à 349 euros

Avec cette offre de précommande, vous pouvez obtenir une réduction de 50 euros par rapport aux tarifs annoncés. C'est aussi l'occasion d'avoir le modèle 256 Go au prix de la version 128 Go.

La livraison s'annonce rapide puisque les entrepôts de Goboo sont en Espagne et l'appareil bénéficie d'une garantie de 2 ans.

Si cela vous branche, voici le lien pour accéder à l'offre : Acheter Xiaomi Mi Pad 5

Voilà pour mes premières impressions au sujet de la tablette Xiaomi Mi Pad 5 après quelques jours d'utilisation, si vous avez des questions, n'hésitez pas à poster un commentaire.

The post Test Xiaomi Mi Pad 5 : une tablette 11 pouces très séduisante ! first appeared on IT-Connect.

Un nouveau malware s’appuie sur Windows Subsystem for Linux

17 septembre 2021 à 07:56

Des chercheurs en sécurité ont découvert un nouveau malware basé sur Linux et créé pour s'appuyer sur Windows Subsystem for Linux, le composant de Windows qui permet d'utiliser Linux sur Windows.

Les pirates cherchent à trouver une façon d'infecter une machine tout en restant furtif, dans le but de ne pas être détecté par les solutions antivirus. Visiblement, il s'intéresse de près à Windows Subsytem for Linux (WSL) puisque de premiers essais ont été détectés. En regardant les analyses sur le site VirusTotal, on peut voir effectivement que le virus passe entre les mailles du filet, pour le moment.

Ces premiers essais remontent au mois de mai dernier, et depuis, de nouveaux essais sont effectués toutes les deux ou trois semaines. Cela prouve que les pirates travaillent activement sur le sujet.

Le fichier malveillant qui cherche à s'appuyer sur WSL contient lui-même la souche malveillante, ou alors il la récupère depuis un serveur distant, d'après les chercheurs de chez Lumen. D'après eux, l'étape d'après serait d'injecter le malware dans un processus en cours d'exécution par l'intermédiaire d'un appel sur l'API Windows.

Ce fichier malveillant s'appuie sur Python 3 et il se présente sous la forme d'un exécutable ELF pour Debian. La majorité des solutions de sécurité pour Windows n'ont pas de signatures pour les fichiers au format ELF car ils ne sont pas communs sous Windows. Une variante basée à la fois sur PowerShell et Python a également été repérée et celle-ci serait capable de désactiver la solution antivirus de manière permanente grâce à un script qui tourne toutes les 20 secondes.

L'utilisation de WSL sur une machine Windows représente une porte d'entrée supplémentaire pour les attaques et de nouvelles possibilités, et ça les pirates l'ont bien compris. Néanmoins, WSL reste un système très intéressant et très pratique que j'adore personnellement.

Pour rappel, vous pouvez retrouver sur le site une série de 10 articles au sujet de l'utilisation de WSL sous Windows.

Source

The post Un nouveau malware s’appuie sur Windows Subsystem for Linux first appeared on IT-Connect.

Windows : la mise à jour de septembre crée des problèmes avec les impressions !

17 septembre 2021 à 07:20

L'histoire se répète : le Patch Tuesday de septembre 2021 crée des problèmes avec les impressions sur certaines machines Windows, suite à l'installation des correctifs de sécurité. Que se passe-t-il ?

Microsoft a publié plusieurs correctifs pour combler des failles de sécurité au sein de Windows 10, mais aussi Windows Server. Parmi ces correctifs il y en a un qui permet de venir à bout définitivement de la faille PrintNightmare et de la faille CVE-2021-36958.

D'après les premiers retours des sysadmins, c'est ce correctif en particulier qui poserait quelques problèmes au niveau des impressions. Pour faire court, les utilisateurs ne peuvent plus imprimer après l'installation de la mise à jour. Ce n'est pas surprenant que ce correctif soit en cause puisqu'il corrige une faille de sécurité au sein du Spouleur d'impression de Windows.

Le site Bleeping Computer a mené son enquête et voici ce qu'il faut retenir :

- Le problème a été constaté pour imprimer à partir d'un serveur d'impression sous Windows Server 2012 R2 et Windows Server 2016. Cela ne veut pas dire que le problème n'existe pas avec Windows Server 2019.

- Suite à l'installation de la mise à jour, les machines Windows 10 ne peuvent plus imprimer sur les imprimantes réseau à partir d'un serveur d'impression.

- L'impression sur une imprimante connectée en USB continue de fonctionner même après l'installation du patch.

- Le problème a été constaté sur des imprimantes HP, Canon, Konica Minolta, SHARP et des imprimantes à étiquettes, que ce soit pour les pilotes de type 3 ou de type 4.

- La seule solution pour le moment serait de désinstaller la mise à jour sur vos machines, en attendant d'avoir une réaction de la part de Microsoft.

En fonction de votre système d'exploitation, voici la KB qui est à l'origine de ce dysfonctionnement :

- Windows Server 2019 : KB5005568
- Windows Server 2012 R2 : KB5005613
- Windows Server 2012 R2 : KB5005627
- Windows Server 2012 : KB5005623
- Windows Server 2012 : KB5005607
- Windows Server 2008 R2 : KB5005615
- Windows Server 2008 : KB5005606
- Windows Server 2008 : KB5005618
- Windows 10 2004, 20H2 et 21H1 : KB5005565
- Windows 10 1909 : KB5005566
- Windows 7 : KB5005615

Avez-vous constaté ce problème de votre côté ?

Mise à jour du 21 septembre 2021 : nous vous recommandons d'explorer cette solution pour corriger le problème sans désinstaller la mise à jour.

Source

The post Windows : la mise à jour de septembre crée des problèmes avec les impressions ! first appeared on IT-Connect.

Comment créer une campagne de phishing avec Gophish ?

16 septembre 2021 à 11:30

I. Présentation

Dans ce tutoriel, nous allons voir comment utiliser le framework open source Gophish pour créer une campagne de phishing (hameçonnage) dans le but d'évaluer le niveau de vigilance des utilisateurs.

Grâce à Gophish, vous allez pouvoir créer différentes campagnes de phishing et les diffuser auprès de vos utilisateurs, dans le but de les sensibiliser, de les entraîner, afin qu'il soit capable d'adopter les bons réflexes lorsqu'ils se retrouvent face à un e-mail douteux.

Visiter le site officiel de Gophish

Voici les fonctionnalités principales de Gophish :

  • Création d'utilisateurs et de groupes d'utilisateurs (cibles)
  • Création de template pour les e-mails de vos campagnes
  • Création de landing page pour vos campagnes (exemple : un formulaire de connexion)
  • Envoyer des campagnes de phishing avec suivi des e-mails (e-mail envoyé, e-mail ouvert, clic sur le lien, données récoltées via le formulaire) pour chaque utilisateur
  • Reporting sur les campagnes
  • API pour interroger Gophish à distance et récupérer des informations

Voici à quoi ressemble le tableau de bord de Gophish, accessible à partir d'un navigateur :

Tableau de bord de Gophish
Tableau de bord de Gophish

Bien sûr, un tel outil peut être détourné pour créer des campagnes malveillantes, mais ce n'est clairement pas l'objectif de cet article.

De nombreuses attaques informatiques débutent par un e-mail malveillant et un utilisateur piégé ! Je vous encourage à utiliser Gophish (ou un autre outil) pour sensibiliser et entraîner vos utilisateurs ! Rien de mieux que la pratique pour vérifier s'ils ont bien compris la session de formation visant à les sensibiliser.

Remarque : via Office 365 / Microsoft 365, Microsoft propose une fonctionnalité qui permet de réaliser des campagnes de phishing pour sensibiliser vos utilisateurs. Cela nécessite d'utiliser des licences Microsoft 365 E5.

II. Rappel : c'est quoi le phishing ?

Le phishing, ou hameçonnage en français, est une technique utilisée dans le cadre d'attaques informatiques pour inciter l'utilisateur à communiquer des informations personnelles (nom d'utilisateur, mot de passe, numéro de carte bancaire, etc.) à partir d'un e-mail, d'un SMS, etc... Qui va rediriger l'utilisateur sur une page Web malveillante.

Par exemple, le pirate informatique va créer une copie de la page de connexion sur Facebook et il va inclure un lien vers cette copie dans l'e-mail qu'il va envoyer aux utilisateurs ciblés. Si l'utilisateur clique sur le lien, accède à la page et saisit ses informations de connexion, le pirate va récupérer les informations saisies par l'utilisateur. Il peut alors usurper l'identité de l'utilisateur et se connecter à son compte Facebook, mais cela fonctionne pour tout autre compte (Google, impôts, banque, etc.).

Exemple d'un e-mail de phishing

III. Installation de Gophish

L'outil Gophish est disponible gratuitement sur Github et il existe des binaires pour Windows, Linux et macOS. Sinon, vous pouvez aussi le compiler vous-même ou utiliser un container Docker pour le tester rapidement.

Pour ma part, je vais utiliser le binaire pour Windows. On obtient un ZIP qu'il suffit de décompresser. Ensuite, il faut exécuter "gophish.exe".

Note : le serveur qui héberge Gophish doit être accessible par les machines de vos utilisateurs pour que la page Web puisse s'afficher lorsqu'ils vont cliquer sur le lien contenu dans l'e-mail.

Par défaut, Gophish s'appuie sur une base de données SQLite, mais il est possible de configurer un serveur MySQL. Le fichier de configuration se nomme "config.json" et il est situé au même endroit que l'exécutable.

Au premier démarrage, il y a quelques informations intéressantes à relever :

  • Le compte par défaut se nomme "admin" et le mot de passe généré aléatoirement est communiqué dans la console (il faudra le changer à la première connexion)
  • L'interface de Gophish pour afficher les pages web de vos campagnes est accessible sur le port 80/HTTP
  • L'interface d'administration de Gophish est accessible en HTTPS sur le port 3333
Démarrage de Gophish
Démarrage de Gophish

Laissez Gophish tourner et connectez-vous sur l'interface d'administration.

IV. Configuration de Gophish

Pour se connecter depuis la machine locale, il suffit d'accéder à l'adresse "https://127.0.0.1:3333" à partir d'un navigateur. Connectez-vous avec le compte admin et modifiez le mot de passe.

Dans cet exemple, mon objectif est de créer une campagne de phishing en reprenant un e-mail d'Instagram qui renvoie vers une page Web avec un formulaire.

Avant de pouvoir envoyer notre première campagne de phishing, il va falloir préparer un certain nombre d'éléments : c'est ce que nous allons faire, étape par étape. Suivez le guide !

A. Création des utilisateurs et des groupes

Nous devons commencer par créer nos utilisateurs et nos groupes. On peut imaginer qu'un groupe correspond aux utilisateurs d'un service ou d'un site. Lorsqu'une campagne de phishing sera envoyée, il faudra cibler un ou plusieurs groupes.

Cliquez sur "Users & Groups" puis sur "New Group".

Nommez votre groupe en renseignant le champ "Name" et ensuite vous avez deux options :

  • Créez vos utilisateurs un par un, en remplissant le formulaire et en cliquant sur "Add". Cela peut vite être chronophage...
  • Créez vos utilisateurs à l'aide d'un fichier CSV que vous pouvez importer avec le bouton "Bulk Import Users". Cela me plaît un peu plus et de toute façon on ne peut pas établir de connexion avec un annuaire externe.
Importer les utilisateurs dans Gophish
Importer les utilisateurs dans Gophish

On va s'intéresser un peu plus à la deuxième option : l'import CSV. Je ne suis pas trop du genre à faire des saisies en boucle pendant des heures...

D'après le template fourni par Gophish, on doit fournir un fichier CSV avec 4 colonnes et la virgule comme séparateur :

"First Name","Last Name","Email","Position"

Je ne sais pas vous, mais j'ai envie de faire une extraction des comptes de l'Active Directory pour importer les comptes dans Gophish. On va dire que "First Name" correspond à l'attribut "givenName", "Last Name" à l'attribut "sn", "Email" à l'attribut "mail" et "Position" à l'attribut "Title" des objets utilisateurs.

Pour ce premier groupe, je vais récupérer les utilisateurs de l'OU "OU=Personnel,DC=it-connect,DC=local" et exporter le résultat vers un fichier CSV ("C:\UsersGophish.csv").

En PowerShell, cela me donne la commande suivante (et tant qu'à faire avec les bons noms de colonnes souhaités par Gophish). Adaptez le paramètre -SearchBase et éventuellement le chemin de sortie du CSV.

Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=it-connect,DC=local" -Properties mail,givenName,sn,title | Select-Object @{n='First Name';e={$_.givenName}},@{n='Last Name';e={$_.sn}},@{n='Email';e={$_.mail}},@{n='Position';e={$_.Title}} | Export-CSV -Path "C:\UsersGophish.csv" -Delimiter "," -NoTypeInformation

J'obtiens un joli CSV que je n'ai plus qu'à importer.

Exemple d'un CSV formaté pour Gophish
Exemple d'un CSV formaté pour Gophish

Note : vous pouvez aussi jeter un œil au script GoLDAP qui sert à importer les utilisateurs d'un annuaire LDAP vers Gophish.

Les utilisateurs, c'est réglé ! Passons à la suite.

B. Créer l'e-mail pour la campagne de phishing

Seconde étape : la création du modèle d'e-mail que l'on va envoyer aux utilisateurs dans le cadre de cette campagne de phishing.

Cliquez à gauche sur "Email Templates" puis sur le bouton "New Template".

Pour créer le modèle, vous pouvez partir de zéro ou importer le code HTML d'un e-mail existant (ce qui est intéressant pour gagner du temps) grâce au bouton "Import Email". Pour cet exemple, j'ai repris un modèle que j'ai trouvé ici et que j'ai traduit en français.

Dans tous les cas, je vous recommande d'utiliser l'éditeur HTML afin de pouvoir modifier les balises. Lorsque vous cliquez sur le bouton "Source", vous pouvez basculer entre l'affichage du code et la prévisualisation de votre e-mail. Le bouton le plus à droite permet de prévisualiser l'e-mail dans un nouvel onglet.

Pour accéder à tous les boutons de l'éditeur de texte, notamment pour insérer des liens, il faut cliquer sur le bouton "Source". Vous pouvez aussi insérer des balises où la valeur sera dynamique, notamment pour reprendre le prénom ou le nom de l'utilisateur : avec un "Bonjour Florian", vous avez plus de chance de piéger l'utilisateur qu'avec un simple "Bonjour". À vous de juger le niveau de difficulté que vous souhaitez pour ce premier essai. 😉

Les champs personnalisés pour Gophish
Les champs personnalisés pour Gophish

Pour renvoyer vers la landing page qui contient le formulaire, il faut ajouter un lien à l'e-mail. Sur ce lien, il faut indiquer l'URL "{{.URL}}" qui sera remplacée par Gophish par la bonne valeur.

Mon e-mail est prêt, voici un aperçu :

C. Créer la landing page pour récupérer les identifiants

Troisième étape : création de la landing page qui sera une page piégée puisque si l'utilisateur complète le formulaire, nous allons le savoir ! S'il clique sur le lien, nous allons le savoir aussi !

Cliquez sur "Landing Pages" sur la gauche du menu puis sur "New Page".

Donnez un petit nom à votre template et ensuite il faut passer à la construction.

Vous pouvez partir de zéro comme pour l'e-mail ou importer un site à partir d'une URL et du bouton "Import Site". Alors, vous pouvez importer la page d'un site existant, mais il faudra adapter le code source : le formulaire que vous allez récupérer ne sera peut-être pas conforme aux attentes de Gophish (notamment les noms des champs du formulaire). C'est la partie la plus délicate (si vous cherchez à copier Instagram, par exemple), mais si vous reprenez un portail de votre entreprise pour cette campagne, ça devrait aller.

Pour ma part, j'ai créé une page très basique pour cette démo.

Si vous souhaitez récupérer les informations saisies par les utilisateurs, cochez les cases "Capture Submitted Data" et "Capture Passwords" pour le mot de passe (même si vis-à-vis du RGPD, je pense qu'il vaut mieux éviter l'option "Capture Passwords"). Il est précisé que le mot de passe sera stocké en clair, mais finalement on peut se passer de la récupération du mot de passe. Sauf si vous souhaitez engueuler l'utilisateur s'il utilise un mot de passe faible (pour ne pas dire autre chose) en plus de s'être fait piéger.

Création d'une landing page Gophish

Voici le code source de ma superbe page :

<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body>
<form action="" method="post" name="form"><label>Nom d&#39;utilisateur:</label> <input type="text" /><br />
<label>Mot de passe:</label> <input name="password" type="password" /><br />
<input id="login" type="submit" value="Se connecter" />&nbsp;</form>
</body>
</html>

Si vous arrivez à piéger un utilisateur avec ça, je suis inquiet pour vous. Enregistrez... La page est prête !

D. Configurer le serveur SMTP

Avant de lancer la campagne, il nous reste une dernière étape : la configuration du serveur de messagerie (SMTP). Vous vous en doutez, il va servir à envoyer les e-mails de nos campagnes de phishing.

Sur la gauche, cliquez sur "Sending Profiles" puis sur "New Profile".

Ensuite, vous devez nommer votre profil et renseigner les informations en complétant le formulaire.

Gophish et la configuration du SMTP

Voici quelques indications :

  • From : adresse e-mail utilisée pour envoyer les e-mails, c'est-à-dire l'expéditeur. Si vous effectuez une campagne de sensibilisation axée sur Instagram, il peut être intéressant d'utiliser un nom de domaine trompeur et semblable à "@instagram.com". S'il n'a rien à voir, ce sera plus facile pour les utilisateurs de voir qu'il s'agit d'un piège : mais ce sera aussi l'occasion de voir s'ils ont bien compris qu'il fallait vérifier l'e-mail de l'expéditeur (même si ce n'est pas suffisant).
  • Host : serveur SMTP à utiliser pour envoyer les e-mails, suivi du port (séparé par ":")
  • Username : compte utilisateur pour s'authentifier sur le serveur SMTP
  • Password : le mot de passe de ce compte

Pour valider que ça fonctionne, cliquez sur "Send Test Email". Si c'est bon, vous pouvez continuer.

Note : vous pouvez créer plusieurs profils, car en fonction de la campagne, vous n'allez peut-être pas utiliser la même adresse d'expéditeur.

E. Lancer la campagne de phishing

Tout est prêt ! Nous allons pouvoir créer notre première campagne de phishing et tester nos utilisateurs !

Cliquez sur le menu "Campaigns" puis sur "New Campaign".

Pour créer cette campagne nommée "Instagram n°1", on va réutiliser les éléments créés précédemment : "Email Template", "Landing Page" et "Sending Profile".

Concernant, les autres options :

  • URL : indiquez le nom de domaine ou l'adresse IP (là aussi, essayez de faire en sorte de tromper vos utilisateurs pour les évaluer correctement) où les utilisateurs pourront contacter votre serveur Gophish.
  • Launch Date : date à laquelle envoyer la campagne, par défaut c'est immédiatement. Si vous spécifiez aussi une date pour le champ "Send Emails By", Gophish enverra les e-mails à un moment donné entre la date de début ("Launch Date") et la date de fin ("Send Emails By"). Ainsi, tous les utilisateurs ciblés ne vont pas recevoir l'e-mail en même temps.
  • Groups : sélectionnez un ou plusieurs groupes d'utilisateurs que vous souhaitez cibler avec cette campagne.
Créer une campagne dans Gophish
Créer une campagne dans Gophish

Quand tous les champs sont complétés, cliquez sur "Launch Campaign" pour démarrer la campagne ! Le tableau de bord de la campagne va s'afficher et la section "Details" vous indique la "progression" pour chaque utilisateur.

F. Consulter les résultats de la campagne de phishing

En tant qu'utilisateur ciblé par la campagne de phishing, j'ai reçu l'e-mail ci-dessous, avec le fameux "Bonjour Florian". On peut voir que le lien renvoie vers mon serveur Gophish (et l'adresse IP spécifiée dans la campagne).

Je décide de cliquer sur le lien : j'arrive bien sur la landing page. Je suis confiant, je vais me connecter comme indiqué dans l'e-mail....

Dans le même temps, sur l'interface de Gophish, on peut voir qu'il y a un utilisateur qui a ouvert l'e-mail, cliqué sur le lien et envoyé des données.

Note : la section "Email Reported" indique le nombre d'utilisateurs qui ont signalé cet e-mail pour dire qu'il était malveillant. Un utilisateur qui a signalé l'e-mail frauduleux au service informatique doit être récompensé ! 😉 - Pour configurer cette fonction, rendez-vous dans "Account Settings" puis "Reporting Settings" : configurez la boîte e-mail qui sert à vos utilisateurs à remonter les incidents de sécurité au service informatique.

En complément, la "Campaign Timeline" nous donne un aperçu des événements dans le temps, avec le nom d'utilisateur et l'action effectuée. C'est plutôt bien fait !

Au niveau de la section "Details", je peux voir que l'utilisateur "Florian Burnel" a envoyé des données via le formulaire ! Je peux même obtenir le détail des actions avec la date et l'heure, c'est très précis !

En affichant tous les détails, je peux également visualiser le mot de passe envoyé par le formulaire de ma landing page : "JeTeDonneMonMotDePasse". Finalement, je crois qu'il m'a démasqué et qu'il s'en amuse ! 😉

En complément, le bouton "Complete" permet de terminer une campagne et de l'archiver (les résultats restent accessibles). Enfin, vous pouvez exporter un rapport au format CSV en cliquant sur "Export CSV".

Cette démo de Gophish est terminée ! Maintenant, c'est à vous de jouer ! Pensez à former les utilisateurs puis à les tester avec Gophish. Dans la foulée de la campagne, effectuez une seconde session de sensibilisation auprès des utilisateurs qui se font piéger. Sans oublier une piqûre de rappel pour tout le monde, de temps en temps.

The post Comment créer une campagne de phishing avec Gophish ? first appeared on IT-Connect.
❌