La gestion de Microsoft Defender n’est pas un processus simple. Microsoft a déplacé de nombreuses options vers l’application Paramètres. Cette approche imbriquée rend la gestion de Defender difficile et longue. De nombreuses options et fonctionnalités ne sont pas accessibles via le Centre de sécurité Windows Defender, elles doivent être gérées via le Registre, la Stratégie de groupe ou PowerShell.
DefenderUI est une application gratuite de VoodooShield CyberLock qui se présente sous la forme d’une interface utilisateur compatible Windows 10 et Windows 11 pour gérer Windows Defender. Tout comme Configure Defender, il donne accès à la plupart des fonctionnalités de Windows Defender mais aussi ses paramètres cachés. Si vous cherchez une interface utilisateur unique pour accéder à l’ensemble des fonctionnalités et paramètres de Windows Defender, cet utilitaire peut répondre à vos besoins.
Dans ce tutoriel, je vous montre comment l’utiliser.
Au premier démarrage en haut, cliquez sur le menu déroulant pour sélectionner la langue Française
L’utilitaire répertorie les profils de sécurité lors de la première exécution que les utilisateurs sélectionnent comme configuration de base. Les quatre profils suivants sont actuellement pris en charge :
Profil recommandé — débloque certaines des fonctionnalités cachées de Microsoft Defender. Pour les utilisateurs occasionnels
Profil interactif — plus sûr que le profil recommandé. Pour les utilisateurs avancés
Profil agressif — profil le plus sûr
Profil par défaut — le profil par défaut de Microsoft Defender
Utiliser les fonctionnalités de Windows Defender avec WindowsDefenderUI
L’onglet Accueil contient des boutons pour plusieurs fonctionnalités, notamment la protection en temps réel, la protection fournie dans le nuage et le pare-feu Windows. Des boutons permettent également de démarrer Microsoft Defender avec Windows et de basculer entre les modes clair et foncé de l’interface utilisateur de Defender.
D’autres options permettent de désactiver la protection en temps réel, mettre à jour et de réinitialiser les signatures, d’exécuter des analyses, d’ajouter des éléments à la liste des exclusions et d’ouvrir certaines pages administratives, telles que Windows Update, l’historique de la protection et la quarantaine, ou le journal de sécurité de Defender.
La plupart des fonctionnalités sont aussi accessibles par un clic droit sur l’icône de WindowsDefenderUI disponible dans la zone de notifications de Windows.
Lancer un scan Windows Defender
Depuis l’accueil, vous pouvez lancer à tout moment une analyse antivirus de votre ordinateur. On retrouve tous les types de scan possibles :
Analyse rapide : L’antivirus analyse les emplacements du système les plus fréquemment utilisés par les logiciels malveillants
Analyse complète : Windows Defender analyse le système complètement. C’est l’analyse la plus longue mais vous vérifiez vraiment tout le système
Analyse personnalisée : Choisissez le dossier ou lecteur à analyser
Parfois Windows Defender est trop sensible et peut détecter des fichiers sains comme étant malveillants ou dangereux. Cela se nomme un faux-positif. Dans d’autres cas pour éviter que Windows Defender utilise trop les ressources systèmes, vous pouvez exclure des dossiers contenants beaucoup de fichiers ou provenant d’applications lourdes. Pour ce faire, vous pouvez mettre un fichier ou un dossier en exclusion.
WindowsDefenderUI donne la possibilité de gérer très facilement les exclusions. Depuis la section Utilitaire, cliquez sur ajouter une exclusion et choisissez le type depuis le menu déroulant.
Puis cochez les fichiers ou dossiers à mettre en exclusion :
Depuis le bouton Gérer les exclusoins, vous pouvez lister les éléments en exception et les retirer en cliquant sur le bouton moins.
Effacer historique de protection
L’historique de protection liste les dernières menaces détectées. Parfois, Windows Defender continue d’afficher une alerte sur une menace alors que celle-ci a été gérée. Si vous souhaitez effacer ou réparer l’historique de protection, cela est très simple puisque WindowsDefenderUI fournit un bouton.
Accéder aux paramétrage cachés, basiques et avancés de Windows Defender
Réglages basiques de Windows Defender
L’onglet Basique présente d’autres options réparties dans les groupes Général, Confidentialité et Notifications. La liste Général comprend des boutons pour de nombreuses fonctions de sécurité de Microsoft Defender, y compris la protection contre les PUA, la surveillance du comportement, la protection du réseau ou l’accès contrôlé aux dossiers.
Les options de confidentialité contrôlent, entre autres, les soumissions automatiques d’échantillons. Les notifications définissent enfin si et quand les notifications sont affichées à l’utilisateur du système.
Certaines fonctions comprennent des options supplémentaires. La protection PUA, par exemple, peut être configurée en mode audit uniquement, ou la soumission automatique d’échantillons peut être demandée, afin de permettre à l’utilisateur de contrôler la fonctionnalité.
Réglages avancés de Windows Defender
L’onglet Avancé répertorie les options d’analyse et les actions par défaut contre les menaces. Les options sont pour la plupart explicites. Les options d’analyse définissent les zones du système que Microsoft Defender inclut dans ses analyses. Des options permettant de modifier l’intervalle de vérification des mises à jour et l’utilisation moyenne de l’unité centrale pendant les analyses sont proposées.
Réglages ASR
ASR (Attack Surface Reduction) que l’on peut traduire par réduction de la surface d’attaque), est l’onglet suivant. Il est conçu pour bloquer les comportements potentiellement malveillants sur le système par défaut. Les exemples incluent le blocage de l’exécution de processus non fiables et non signés qui s’exécutent à partir de périphériques USB, le blocage de la création de processus enfants par les applications Adobe Reader et Office, ou le blocage de l’utilisation abusive de pilotes signés vulnérables exploités.
Windows Guard
Enfin, DefenderGuard permet aux utilisateurs de contrôler la réactivation automatique des fonctions de protection, de la protection en temps réel, de la protection fournie par le cloud et du pare-feu Windows. Ces fonctions peuvent être désactivées, de sorte qu’elles ne s’activent plus d’elles-mêmes après un certain temps.
Rejoindre un domaine Microsoft Active Directory à partir d'une machine Linux n'est pas toujours facile. Tout d'abord parce la méthode diffère en fonction des distributions, mais également parce qu'il existe plusieurs façons pour joindre un domaine AD.
J'ai découvert l'existance d'un générateur de script bash pour rejoindre un domaine AD avec Winbind ouSSSD.
SSSD vs Winbind ?
Pourquoi utiliser SSSD plutôt que Winbind ? Voilà une très bonne question.
Pour y répondre je vais prendre (volontairement) de gros raccourcis :
Si vous êtes en mono-domaine et mono-forêt alors SSSD est recommandé
En bref : préférez SSSD qui est plus récent que winbind, il est aussi plus sécurisé et s'appuie sur Kerberos. Notez aussi que SSSD ne sait pas dialoguer avec NTLM.
Le générateur de script (de RedHat)
Le script est compatible avec RHEL 7, RHEL 8 et RHEL 9 (et toutes les distributions dérivées de RHEL dans les mêmes versions: Rocky Linux, AlmaLinux, etc).
Malheureusement ce générateur est réservé aux personnes ayant une souscription RedHat. Même si vous profitez des 16 licences développeur gratuites cela ne fonctionnera pas. Mais tout n'est pas perdu. Déjà parce que la documentation officielle RHEL est accessible à tous :
Ce script n'a rien de magique mais il permet aux débutants de ne pas se prendre la tête, grâce aux valeurs saisies en formulaire web et injectés en variables bash. Il fait aussi un backup de vos configurations actuelles par précaution.
Rejoindre un domaine AD à la main avec RHEL 8
Il est tout à fait possible de faire la même chose sans script à la mano.
Dans mon exemple le nom FQDN de mon domaine AD est "BM.LAB", son nom court est "BM" et mon compte permettant de joindre le domaine est "moncompteadmin".
Si vous êtes arrivés à la fin de cet article et que vous vous demandez pourquoi faire rejoindre une machine Linux dans un domaine AD Microsoft ? c'est vrai que j'aurais du commencer par ça.
La réponse : permettre à des utilisateurs de votre domaine AD de se connecter à des machines Linux via SSH, sans devoir le communiquer le mot de passe root ni leur créer de compte locaux. Si vous êtes tout seul à administrer vos serveurs vous n'aurez probablement pas d'intérêt à réaliser cette jointure. En revanche si vous travaillez en équipe alors dès qu'un petit nouveau arrive il vous suffit de l'ajouter dans les bon groupes pour avoir accès aux machines.
D'un point de vue sécurité : si quelqu'un quitte l'entreprise (ou votre équipe) vous n'aurez pas besoin de changer tous les mots de passe root car il ne les connait pas. En effet il a toujours utilisé son compte nominatif pour se connecter
J'espère que cet article vous aura éclairé un peu, c'est un vaste sujet et il est difficile d'en parler sans rentrer dans les détails déjà présents dans la documentation RHEL.
En cas d'erreur de connexion jetez un oeil aus logs dans /var/log/secure sur RHEL ou /var/log/messages sur Debian. Je vous partagerai encore quelques commandes utiles dans un futur article (si j'y pense ^^).
If you are virtualizing critical workloads, you want to ensure they do not fail if a host goes offline. All common platforms offer the capability to operate VMs in a high-availability cluster. Proxmox allows you to install a cluster even in the free version.
Les contrôleurs de domaine Active Directory sous Windows Server sont affectés par un nouveau problème pouvant engendrer une augmentation significative du trafic associé à l'authentification NTLM. Faisons le point sur ce problème.
Une charge plus élevée et des échecs d'authentification NTLM en masse, voici les conséquences d'un nouveau problème découvert sur les contrôleurs de domaine Active Directory. Il est lié aux mises à jour publiées le 9 avril par Microsoft, à l'occasion du Patch Tuesday d'avril 2024.
Par l'intermédiaire d'un nouveau post sur son site Internet, Microsoft a confirmé l'existence de ce problème. L'entreprise américaine apporte la précision suivante : "Ce problème est susceptible d'affecter les organisations qui ont un très faible pourcentage de contrôleurs de domaine primaires dans leur environnement et un trafic NTLM élevé." - En principe, les entreprises qui ont déjà fait le nécessaire pour désactiver NTLM ou réduire son utilisation au minimum, ne sont pas affectées.
Ce problème est présent uniquement sur les contrôleurs de domaine Active Directory sous Windows Server. Voici la liste des versions de Windows concernées, ainsi que les mises à jour à l'origine du bug :
Microsoft travaille à la résolution de ce dysfonctionnement. Aucun correctif n'est disponible pour le moment. La solution temporaire consiste à désinstaller la mise à jour problématique, si vous ne pouvez pas attendre le futur correctif.
Par ailleurs, Windows Server est affecté par un autre problème, causé par les mêmes mises à jour, et qui impacte les connexions VPN. Ce dysfonctionnement concerne aussi Windows 10 et Windows 11, comme nous l'expliquions dans notre précédent article :
Les mises à jour d'avril 2024 pour les systèmes d'exploitation Windows peuvent « casser » les connexions VPN ! Microsoft a confirmé l'existence de ce problème ! Voici ce qu'il faut savoir.
Sur le site de Microsoft, un nouveau problème, intitulé "Les connexions VPN peuvent échouer après l'installation de la mise à jour de sécurité April 2024", a fait son apparition. Microsoft a pris connaissance de ce problème après avoir reçu de nombreux signalements de la part des utilisateurs de Windows. L'entreprise américaine ne donne pas plus de précision, ni même un code d'erreur.
Ce problème affecte aussi bien Windows que Windows Server. Il est lié aux mises à jour publiées par Microsoft le 9 avril dernier, à l'occasion du Patch Tuesday d'avril 2024. Voici un récapitulatif des systèmes impactés et des mises à jour à l'origine du problème :
Pour le moment, Microsoft ne propose pas de correctif : "Nous travaillons à une solution et fournirons une mise à jour dans une prochaine version.", peut-on lire. Des investigations sont en cours et la seule solution temporaire disponible pour les utilisateurs, c'est de désinstaller la mise à jour problématique. Disons que c'est un peu la solution par défaut.
Ce n'est pas la première fois que la fonction VPN de Windows est impactée par une mise à jour. En janvier 2022, une mise à jour pour Windows 10 et Windows 11 était déjà l'origine d'un dysfonctionnement sur le VPN. En effet, à la suite de l'installation de la mise à jour, les connexions VPN L2TP étaient inutilisables.
Vous rencontrez ce problème ? N'hésitez pas à nous le dire en commentant cet article !
Dans ce tutoriel, nous allons apprendre à récupérer l'UID et le GID d'un utilisateur sur un NAS Synology. Vous allez me dire : pourquoi faire ? Et bien, sachez que ceci est utile lorsque l'on utilise un NAS Synology pour exécuter des containers Docker et que l'on souhaite faire tourner un container avec un compte utilisateur spécifique.
Avant de vous expliquer comment récupérer l'UID et le GID sur un NAS, voyons déjà à quoi correspondent ces deux valeurs.
L'UID pour User Identifier est un numéro unique associé à chaque utilisateur d'un système Linux. Il permet d'identifier l'utilisateur sans utiliser le nom et ne peut pas être modifié. Cette information est stockée dans le fichier "/etc/passwd".
Le GID pour Group Identifier est un numéro unique associé à chaque groupe d'un système Linux. Le GID permet d'identifier un groupe sans utiliser le nom et ne peut pas être modifié. Cette information est stockée dans le fichier "/etc/group".
Si un utilisateur ou un groupe est supprimé puis recréé, il n'aura pas le même UID / GID, car ce numéro est incrémenté à chaque fois.
Remarque : le compte super-utilisateur "root" hérite toujours de l'UID "0" et du GID "0".
III. Récupérer l'UID et le GID d'un utilisateur
Pour récupérer l'UID et le GID d'un utilisateur, nous devons utiliser la ligne de commandes SSH.
La première étape consiste à se rendre dans "Panneau de configuration", puis "Terminal & SNMP" afin de cocher l'option "Activer le service SSH". Ensuite, validez, et à la fin de l'opération, vous pouvez décocher cette option pour éviter d'exposer ce service inutilement si vous n'en avez pas l'usage.
Désormais, nous devons nous connecter en SSH à notre NAS. Vous pouvez utiliser une application telle que PuTTY, mais ce n'est pas obligatoire. Si vous utilisez Windows 10 ou Windows 11, il y a un client SSH natif pour vous permettre de vous connecter à votre NAS.
Ouvrez une invite de commande et saisissez la commande "ssh" selon le modèle suivant :
ssh <nom d'utilisateur>@<adresse ip>
Par exemple, pour se connecter sur le NAS avec l'adresse IP "192.168.1.200" avec le compte "itconnect" :
ssh itconnect@192.168.1.200
Si vous avez besoin de préciser un numéro de port spécifique (autre que le port 22), ajoutez cette option en ajustant le numéro de port :
ssh itconnect@192.168.1.200 -p 222
Saisissez votre mot de passe et vous devriez avoir accès au shell du système DSM. Attention, le compte que vous utilisez pour vous connecter doit être membre du groupe "administrators" de DSM (c'est le cas du compte créé nativement lors de l'installation du NAS).
Une fois que vous avez accès à votre NAS en ligne de commande, vous devez utiliser la commande "id".
Pour récupérer l'UID et le GID du compte avec lequel vous êtes connecté en SSH :
id
Pour récupérer l'UID et le GID d'un autre compte existant sur votre NAS (exemple avec le compte nommé "docker")
id docker
Ici, nous pouvons voir que l'UID de cet utilisateur est "1027" tandis que son GID est "100". Ici, c'est bien le groupe principal auquel appartient l'utilisateur qui est retourné, car il peut être membre de plusieurs groupes.
Il ne reste plus qu'à faire bon usage de ces deux informations !
IV. Conclusion
Grâce à cette astuce, vous êtes en mesure de récupérer l'UID et le GID d'un compte utilisateur de votre NAS Synology ! Ces informations étant différentes d'un NAS à un autre et d'un utilisateur à un autre, c'est une manipulation à connaître.
Une équipe de chercheurs en sécurité a analysé trois campagnes malveillantes s'appuyant sur des dépôts Docker Hub. D'après eux, environ 2,81 millions de dépôts sont utilisés à des fins malveillantes. Faisons le point sur cette menace.
D'après les chercheurs en sécurité de chez JFrog, environ 20 % des dépôts hébergés sur la plateforme Docker Hub contiennent du contenu malveillant, y compris des malwares. Ils ont découvert 4,6 millions de dépôts sans aucune image Docker, et donc inutilisables à partir de Docker et Kubernetes. Parmi ces dépôts, 2,81 millions ont été associés à trois campagnes malveillantes importantes lancées en mars 2021. Mais alors, quelles sont les données stockées dans ces dépôts sur Docker Hub ?
Docker Hub comme point de départ pour piéger les utilisateurs
Les cybercriminels utilisent les dépôts pour appâter les utilisateurs, en s'appuyant sur différentes techniques, dont le phishing. Par exemple, la technique baptisée "eBook Phishing" consiste à utiliser un dépôt Docker Hub pour inviter l'utilisateur à télécharger un eBook, au format PDF ou EPUB. Sauf qu'il est redirigé vers un site malveillant dont l'objectif est de collecter des numéros de cartes bancaires.
Nous pouvons citer également la technique "Downloader" où le dépôt Docker Hub est utilisé pour promouvoir des logiciels piratés ou des logiciels de triche pour les jeux-vidéos. Les cybercriminels utilisent des textes générés automatiquement et joue sur la description pour optimiser le référencement de la page. Là encore, la victime est redirigée vers un site malveillant grâce à un lien intégré à la page du dépôt. Ici, l'objectif est de déployer un malware sur la machine de la victime.
Pour rendre légitime leur lien et essayer de tromper l'utilisateur, les pirates usurpent l'identité de services de réducteurs d'URL. Par exemple, le domaine "blltly[.]com" vise à usurper l'identité du service légitime "bitly.com".
Voici un exemple :
Source : JFrog
Le graphique ci-dessous proposé par JFrog montre que le Docker Hub est activement utilisé pour des activités malveillantes. Certaines actions sont automatisées, ce qui explique le nombre conséquent de dépôts.
Source : JFrog
L'équipe de Docker a fait le ménage
La bonne nouvelle, c'est que l'équipe de modération du Docker Hub a supprimé l'ensemble des dépôts malveillants suite à l'analyse effectuée par les chercheurs de JFrog. Néanmoins, il convient de rester méfiant, car il y en a surement d'autres, et d'autres seront probablement créés par la suite.
Même si le Docker Hub est une source officielle pour le téléchargement des images Docker, c'est avant tout un espace communautaire sur lequel nous pouvons retrouver "tout et n'importe quoi". Ce n'est pas un cas isolé, puisque certains pirates exploitent la plateforme PyPI dans le cadre de leurs activités malveillantes.
Vous avez un disque SSD NVMe et vous souhaitez en faire un disque SSD externe ? Cela tombe bien, dans cet article, nous allons découvrir un boitier de chez UGREEN compatible USB4 ! Il s'agit de la norme USB la plus récente, avec un débit théorique de 40 Gbps.
Commençons par évoquer les caractéristiques de ce boitier UGREEN dont la référence exacte est CM642 :
Connectique : 1 x sortie USB-C
Emplacement pour disque : 1 x disque SSD NVMe M.2 (format 2230 / 2242 / 2260 / 2280)
Capacité maximale du disque : 4 To
Système de dissipation de la chaleur, avec ventilateur, intégré au boitier
Prise en charge des fonctions UASP, TRIM, S.M.A.R.T
Alimentation via USB : 5.0V - 3.0A Max
Systèmes d'exploitation pris en charge : Windows, Linux et macOS
Compatible : USB4 (40 Gbps), Thunderbolt 4, Thunderbolt 3, ainsi que USB3
Pour découvrir tous les produits et accessoires UGREEN, vous pouvez visiter leur site officiel :
Le packaging de ce boitier UGREEN est plutôt soigné puisqu'il nous donne un aperçu du boitier, ainsi que ses principaux atouts et ses caractéristiques techniques. Les accessoires sont dans une petite boite en carton, tandis que le boitier est à part et correctement emballé.
Au-delà du boitier UGREEN en lui-même, voici ce qu'il y a dans la boite : un guide d'utilisation, un câble USB-C vers USB-C, un câble USB-C vers USB-A, un tournevis, une vis, et un pad de pâte thermique. Si votre PC ne possède pas de port USB-C, vous pourrez quand même connecter le boitier grâce aux différents câbles fournit.
Le boîtier est en alliage d'aluminium, ce qui optimise la dissipation de la chaleur vers l'extérieur. Le boitier est protégé par une coque en silicone qui le protégera contre certaines chutes. Personnellement, je trouve que ce boitier est très chic et qu'il a une allure premium. Les finitions sont impeccables. Voici les dimensions du boitier lorsqu'il est équipé de la coque : 12.5 cm x 5.4 cm x 2.3 cm. Sur le dessus du boitier, à gauche de la mention UGREEN, se situe une LED d'activité.
Pour démonter le boitier et installer un disque, il y a une seule vis à retirer : elle se situe sur le dessus du boitier. Ceci permet d'ouvrir le couvercle supérieur pour accéder à l'intérieur du boitier. Un logement est prêt à accueillir votre disque SSD : ici, un disque SSD NVMe Samsung 990 PRO est utilisé. Une fois le disque en place, il faut positionner la pâte thermique sur le dessus avant de refermer le boitier. Par ailleurs, nous pouvons apercevoir le ventilateur intégré au boitier.
L'installation du disque dans le boitier s'effectue facilement et rapidement. En cas de doute, nous pouvons nous référer à la notice fournie par UGREEN. Désormais, le disque est prêt à être utilisé. La première fois, il sera nécessaire de formater le disque à partir du système d'exploitation, s'il s'agit d'un disque neuf.
III. Performances
Désormais, nous allons évoquer les performances, même si cela dépendra fortement des caractéristiques du disque intégré au boitier, ainsi que de la puissance de l'appareil sur lequel est connecté le boitier.
Pour évaluer les performances de ce boitier, j'ai utilisé un mini PC Geekom IT13 équipé de ports USB4. Un disque SSD NVMe Samsung 990 PRO est intégré au boitier, dont les données constructeurs sont les suivantes : vitesse séquentielle de lecture de 7 450 Mo/s et 6 900 Mo/s en écriture.
Sur le même PC et avec le même disque, un benchmark a été réalisé avec CrystalDiskMark en USB4 et en USB 3.2.
Connecté en USB 4.0
Connecté en USB 3.2 Gen2
La température de disque est de 26 °C lorsqu'il est connecté au PC, mais non sollicité. Pendant le benchmark, la température monte à 34 °C puis à 43 °C (et elle reste stable), ce qui reste très correct. Le boitier quant à lui devient un peu chaud, ce qui montre que la chaleur est dissipée vers l'extérieur.
Sous Windows, la copie de gros fichiers de l'ordinateur vers le disque externe (écriture) est effectuée à une vitesse moyenne de 650 Mo/s. La même opération dans l'autre sens, c'est-à-dire en lecture depuis le disque externe, est effectuée à une vitesse moyenne de 980 Mo/s.
IV. Conclusion
Ce boitier UGREEN est excellent : très joli, bien conçu et il répond présent lorsqu'on le sollicite. Il assure des transferts ultra-rapides, ce qui est pratique pour réaliser des sauvegardes sur disque ou transférer des gros fichiers (fichiers vidéos en 4K, etc.). D'après les tests de charge que j'ai réalisés, le système de dissipation thermique semble être au point.
Ce boitier est proposé à 129.99 euros sur Amazon.fr : ce n'est pas donné, mais ce sont les prix actuels pour les boitiers compatibles USB4. Et surtout, les disques SSD externes se font rares sur le marché. Actuellement, la meilleure option, c'est probablement d'acheter un boitier comme celui-ci et d'ajouter le disque SSD de son choix.
Dans cet article, nous allons introduire le Portail d'entreprise ou Company portal pour que vous puissiez avoir une idée plus précise de l'intérêt de cette fonctionnalité d'Intune, qui peut vous rendre bien des services.
Nous allons évoquer les fonctionnalités clés, le déploiement de l'application sur Windows, et nous découvrirons l'interface de cette même application.
II. Les fonctionnalités du Company Portal d'Intune
A. À quoi sert le Portail d'entreprise ?
Le Portail d'entreprise met à disposition des utilisateurs des informations utiles sur leur organisation et il leur donne accès à des actions pratiques en mode "self-service", comme la possibilité d'installer des applications, de déclencher la synchronisation d'un appareil ou encore de vérifier l'état de la conformité d'un appareil. Par ailleurs, l'enrollment d'un appareil peut être effectué via cette application, plutôt que par les paramètres du système.
Le Portail d'entreprise joue un rôle important dans le déploiement des applications via Intune. En effet, vous avez la possibilité de définir une des "applications en vedette", c'est-à-dire des applications disponibles et mises en avant dans le Portail d'entreprise. Ceci peut être utile pour mettre à disposition une application pour vos utilisateurs, sans que l'installation soit automatique : c'est l'utilisateur qui a la main.
Ceci s'applique aux applications dont l'option "Afficher ceci en tant qu'application à la une dans Portail d'entreprise" est définie sur "Oui". Vous pouvez tout à fait changer cette option sur vos applications existantes.
B. Les applications Portail d'entreprise
Le Portail d'entreprise Intune est accessible de plusieurs façons puisqu'il y a un portail Web et des applications, notamment une application Windows et une application mobile sur Android et iOS. N'importe quel utilisateur, à partir de son appareil inscrit et de son compte, peut accéder au Portail d'entreprise avec un navigateur via cette adresse :
Par ailleurs, l'application est accessible dans le Microsoft Store :
Désormais, nous allons voir comment déployer cette application via Intune.
III. Déployer l'application Company Portal sur Windows
Nous allons apprendre à déployer l'application Company Portal sur Windows à partir d'une stratégie d'applications Intune. Cette application étant publiée dans le Microsoft Store accessible depuis Windows, nous pouvons effectuer cette opération facilement.
Si vous n'êtes pas familier avec le déploiement d'applications du Microsoft Store via Intune, je vous recommande la lecture de cet article :
À partir du Centre d'administration Intune, vous devez créer une nouvelle application :
Cliquez sur "Applications", puis "Windows" et cliquez sur le bouton "Ajouter".
Dans le panneau latéral, choisissez le type d'application "Application Microsoft Store (nouvelle)" et suivez l'assistant.
À l'étape "Informations sur l'application", cliquez sur "Rechercher l’application Microsoft Store (nouvelle)" afin de rechercher "company portal". Sélectionnez l'application "Company portal" de type "UWP" visible dans la liste et cliquez sur "Sélectionner".
Ensuite, vous devez configurer cette application. Vous pouvez commencer par indiquer son nom en français, à savoir "Portail d'entreprise". Vous avez le choix entre une installation par utilisateur ou par machine (système). Indiquez également un logo, que vous pouvez récupérer sur Google via une recherche d'image.
Passez à l'étape "Affectations" et sélectionnez les groupes qui doivent bénéficier de cette application.
Poursuivez jusqu'à la fin pour finaliser la création de l'application.
IV. Aperçu du Company Portal sur Windows
Une fois que l'appareil aura effectué une synchronisation, l'application "Company Portal" sera visible sur Windows et vous pourrez commencer à l'explorer. L'image ci-dessous montre la section "Appareils" où l'utilisateur peut avoir un aperçu de l'ensemble des appareils dont il est déclaré comme propriétaire.
Par ailleurs, à partir du moment où une application ou plusieurs applications sont mises en avant dans le Portail d'entreprise, elles sont visibles directement dans l'interface de celui-ci. Si l'application n'est pas installée et qu'elle est disponible pour un utilisateur, il peut décider de l'installer.
Pour forcer la synchronisation d'un appareil à partir du Portail d'entreprise, Au sein de cette application, qui doit être au préalable installée sur l'appareil, cliquez sur le bouton des paramètres en bas à gauche (1) afin d'accéder au bouton nommé "Synchroniser" (2). Ceci est facilement accessible par un utilisateur lambda.
Sachez que vous avez aussi la possibilité de modifier l'apparence du Portail d'entreprise, en jouant sur les paramètres de branding de votre organisation, directement à partir du Centre d'administration Intune. En cliquant sur ce lien, vous serez redirigé directement vers la page de configuration. Au-delà de l'apparence, vous pourrez aussi activer/désactiver certaines fonctionnalités, notamment celle-ci qui peut être gênante :
Pour en savoir plus, consultez cette documentation de Microsoft :
Suite à la lecture de cet article, vous en savez plus sur le Portail d'entreprise de Microsoft Intune et vous êtes désormais en mesure de procéder à son déploiement et à sa personnalisation. Son atout principal, c'est le fait de permettre la publication d'applications auprès des utilisateurs. L'étape de branding est simple à effectuer, mais elle est importante, car elle permet d'ajouter le logo de votre entreprise, les coordonnées, etc.
Dans ce tutoriel, nous allons apprendre à déployer l'application Homer sur un NAS Synology, à l'aide d'un conteneur Docker ! Homer est un projet open source destiné à l'auto-hébergement dont l'objectif est de vous permettre de déployer une page d'accueil aux allures de tableau de bord sur votre propre serveur !
Sur cette page statique, vous allez pouvoir ajouter tous les éléments et liens que vous jugez nécessaire ! Par exemple, vous pouvez lister vos sites favoris, ajouter des liens vers vos applications préférées, ou encore vers vos équipements ! Il y a aussi la possibilité de remonter des informations à partir de services personnalisés, c'est-à-dire d'autres applications (Prometheus, AdGuard Home, Portainer, PiHole, Proxmox, etc...).
Homer peut s'avérer utile dans de nombreux scénarios et cette page est facilement personnalisable grâce à un fichier de configuration au format YAML.
Avant de créer le conteneur, nous allons préparer un répertoire pour stocker ses données. Au sein du répertoire "docker", nous allons créer le répertoire "homer" afin de maintenir la logique habituelle : un répertoire par conteneur. Ce qui donne :
Puis, dans le répertoire "homer", nous allons créer un répertoire "data" qui sera utilisé pour stocker les données applicatives d'Homer. Ce qui donne :
Désormais, nous pouvons lancer l'application Container Manager (Docker) pour créer un nouveau conteneur à partir d'un code de configuration Docker Compose.
Dans "Container Manager", cliquez sur "Projet" puis sur "Créer". Nommez ce projet "homer" puis indiquez le répertoire "/docker/homer" comme chemin pour ce conteneur. Autrement dit, l'option "Chemin" doit avoir pour valeur "/docker/homer".
En ce qui concerne la "Source", choisissez l'option "Créer un fichier docker-compose.yml". Une zone de texte apparaît : qu'allons-nous écrire ici ? Nous allons récupérer le code du fichier "docker-compose.yml" disponible sur GitHub officiel pour ensuite l'adapter.
Désormais, nous allons devoir modifier deux options : le chemin vers le répertoire local pour mapper le répertoire "/www/assets" du conteneur vers "/volume1/docker/homer/data", et les informations sur le compte utilisateur à utiliser pour exécuter le conteneur. Ici, l'utilisateur "docker" de mon NAS est spécifié en indiquant son UID "1027" et son GID "100".
Ici, nous ne modifions pas le mappage sur le numéro de port, donc l'application sera accessible sur le port 8080. Vous pouvez l'adapter si besoin. De plus, l'option "INIT_ASSETS=1" permet d'ajouter les fichiers de démonstrations à l'application, ce qui évite de partir de zéro.
Remarque : pour le nom de l'image, vous pouvez ajouter le tag "latest" pour récupérer la dernière image Docker de ce projet associée à ce tag. Ce qui donne la valeur "b4bz/homer:latest" pour la directive "image".
Une fois le fichier Docker Compose prêt, vous pouvez continuer jusqu'à la fin pour créer le conteneur. L'image "b4bz/homer" sera téléchargée à partir du Docker Hub et utilisée pour exécuter le conteneur.
Voilà, le conteneur Docker "homer" est actif !
Dès à présent, nous pouvons accéder à l'interface de l'application :
http://<adresse IP du NAS>:8080
Vous devriez obtenir ceci :
Désormais, nous allons évoquer la personnalisation de cette page d'accueil.
III. Personnaliser la page d'accueil Homer
Pour modifier la page d'accueil d'Homer, nous allons éditer le fichier suivant :
/docker/homer/data/config.yml
Pour l'éditer directement depuis l'interface de DSM, installez l'application "Éditeur de texte" depuis le "Centre de paquets". Ceci permet d'ajouter l'option "Ouvrir avec un éditeur de texte" dans le menu contextuel de DSM afin d'éditer les fichiers en ligne.
Le fichier de configuration s'ouvre. Il s'agit d'un fichier au format YAML, donc il faut respecter rigoureusement l'indentation, les espaces, etc... Pour ne pas générer de problèmes de syntaxes. L'édition est assez simple puisque le code est facilement lisible.
Vous pouvez charger vos images dans le répertoire "data/tools" de votre conteneur pour les appeler en tant que logo dans Homer. Par ailleurs, Homer s'appuie sur la bibliothèque FontAwesome pour charger les icônes, donc utilisez cette page pour rechercher un logo à intégrer sur une entrée (par exemple "fas fa-hdd" pour l'icône en forme de disque dur).
À titre d'exemple, voici le code du nœud « services » qui permet d'obtenir le résultat présenté ci-dessus avec les deux blocs "Mes sites favoris" et "Mes NAS".
# Services
# First level array represent a group.
# Leave only a "items" key if not using group (group name, icon & tagstyle are optional, section separation will not be displayed).
services:
- name: "Mes sites favoris"
icon: "fas fa-cloud"
items:
- name: "IT-Connect"
logo: "assets/tools/Logo-IT-Connect.png"
subtitle: "Tutoriels, cours, actualités - Informatique"
tag: "tutos"
keywords: "tutos"
url: "https://www.it-connect.fr"
target: "_blank" # optional html a tag target attribute
- name: "Mes NAS"
icon: "fas fa-hdd"
items:
- name: "NAS Synology DS220+"
icon: "fas fa-hdd"
subtitle: "https://192.168.1.200:5001"
tag: "nas"
keywords: "nas"
url: "https://192.168.1.200:5001"
target: "_blank" # optional html a tag target attribute
- name: "NAS Synology DS923+"
icon: "fas fa-hdd"
subtitle: "https://192.168.1.201:5001"
tag: "nas"
keywords: "nas"
url: "https://192.168.1.201:5001"
target: "_blank" # optional html a tag target attribute
Quand vous effectuez une modification, enregistrez le fichier et rafraichissez la page web pour voir ce que ça donne. Homer étant une page d'accueil statique, elle est très rapide à charger et très légère.
L'intégration des services personnalisés s'effectue aussi dans ce fichier. Référez-vous à la documentation afin de copier-coller le bloc de configuration correspondant à votre service :
En suivant ce tutoriel, vous devriez être en mesure d'installer Homer sur votre NAS Synology à l'aide de Docker ! C'est une application pratique et facile à personnaliser que l'on peut utiliser pour se créer une page d'accueil pour son Home Lab, ou, pour créer un portail d'entreprise léger, self-hosted, avec un ensemble de liens utiles.
Il y a des alternatives à Homer, notamment Heimdall, mais aussi Homarr qui est plus complet, mais aussi beaucoup plus lourd.
Pour aller plus loin, je vous recommande de publier cette application avec le reverse proxy de DSM, ce qui permettra d'avoir un certificat TLS et d'utiliser un nom de domaine. Référez-vous à ce tutoriel :
Le gang de ransomware LockBit a revendiqué la cyberattaque contre l'Hôpital Simone Veil de Cannes ! Cet acte malveillant s'est déroulé il y a deux semaines. Voici les dernières informations !
Souvenez-vous : dans la nuit du 15 au 16 avril 2024, l'Hôpital Simone Veil de Cannes a été victime d'une cyberattaque. Cet incident de sécurité a eu un impact important sur l'Hôpital, contraint de fonctionner en mode dégradé et de reporter certains rendez-vous.
Le redoutable groupe de cybercriminels LockBit est de retour ! Pourtant, il a été fortement perturbé et contrarié par l'opération Cronos menée par les forces de l'ordre de 10 pays, en février dernier. Lors de cette opération, des serveurs de LockBit ont été saisis et les autorités étaient parvenus à publier un outil de déchiffrement pour permettre à certaines victimes de récupérer leurs données. Deux mois après cette opération, les cybercriminels de LockBit s'en sont pris à cet hôpital français.
En effet, ceci semble être de l'histoire ancienne, car ce 30 avril 2024, le groupe de LockBit a revendiqué la cyberattaque contre l'Hôpital Simone Veil de Cannes. L'établissement a été référencé sur le site de LockBit :
Source : Numerama
Désormais, l'Hôpital Simone Veil de Cannes doit payer la rançon demandée par les pirates, sinon les données volées lors de la cyberattaque seront divulguées. En plus de chiffrer les données, les cybercriminels de LockBit ont pour habitude d'exfiltrer les données pour mettre la pression à leur victime. Dans le cas présent, la direction devrait avoir pour consigne de ne pas payer la rançon, donc des données seront certainement publiées.
Pour le moment, l'Hôpital Simone Veil de Cannes n'a pas confirmé ces informations. À suivre.
Dans cet article, nous allons explorer la problématique du stockage d'informations sensibles dans les partages de fichiers d'un système d'information et des conséquences que la mauvaise gestion des permissions et les négligences humaines peuvent avoir. Je vous partagerai mon retour d'expérience à ce sujet et notamment pourquoi il s'agit d'un incontournable dans le mode opératoire d'un attaquant lors d'une cyberattaque.
Nous allons également apprendre à utiliser l'outil Snaffler, qui peut être utilisé par la blue team (équipe de défense du SI) afin d'avoir une démarche proactive sur ce sujet et complémentaire vis-à-vis des autres bonnes pratiques de sécurité que nous allons évoquer.
Snaffler est un outil qui permet d'automatiser la recherche d'informations sensibles dans tous les partages de fichiers des systèmes du domaine. Cela grâce à de la découverte automatique de partage ainsi que des règles pré-conçues et personnalisables.
II. Partage réseau et informations sensibles
Les diverses missions que j'ai accomplies en tant qu'auditeur en cybersécurité et pentester m'ont conduit à la conclusion suivante : il est presque impossible de garantir qu'une donnée sensible n'est pas accessible à un utilisateur non légitime dans les partages réseau.
La recherche de fichiers contenant des mots de passe ou des données techniques sensibles est toujours une opération fructueuse via un compte authentifié sur le domaine.
La multitude de groupes, sites géographiques, permissions, ACL, partages, dossiers et sous-dossiers multipliée par la négligence, les mauvaises pratiques humaines et l'historique du SI font que dès qu'un attaquant compromet un compte utilisateur sur un domaine, il parvient à obtenir des identifiants grâce à une recherche d'information dans les partages de fichier. Ces identifiants peuvent être stockés dans :
des fichiers bureautiques;
des fichiers textes;
des coffres-fort de mots de passe;
des fichiers de configuration;
le code source d'une application web;
des disques dur de machines virtuelles;
des archives contenant un ou plusieurs des items précédents;
etc.
Le stockage d'informations sensibles dans les partages réseau des serveurs d'une entreprise est plutôt commun. C'est exactement le but de ces services : stocker les informations critiques de l'entreprise sur ses propres serveurs, au sein de son propre système d'information.
Cependant, c'est la gestion des permissions d'accès à ces informations qui pose majoritairement un problème. Une fois que l'attaquant obtient un compte valide du domaine, il peut alors profiter des droits de cet utilisateur, les groupes métiers auquel il appartient donneront de fait accès aux données relatives à son contexte métier.
Ça, c'est dans le meilleur des cas. Dans la réalité, le fait de disposer de n'importe quel compte utilisateur valide sur le domaine permet de profiter des droits permissions aux groupes "Tout le monde" et "Utilisateurs authentifiés". Ce sont les droits accordés à ces groupes sur les partages de fichiers qui sont généralement beaucoup trop permissifs. Et pour cause, lorsque l'on souhaite partager un dossier, celui-ci intègre par défaut une ACL de lecture sur le groupe "Tout le monde" (qui comprend "Utilisateurs authentifiés"), qu'il faut manuellement supprimer :
Pour rappel, Le groupe "Authenticated Users/Utilisateurs authentifiés" englobe tous les utilisateurs dont l'authentification a été vérifiée lors de leur connexion. Cela inclut à la fois les comptes d'utilisateurs locaux et ceux provenant de domaines de confiance. Le groupe "Tout le monde" inclut tous les membres du groupe "Utilisateurs authentifiés" ainsi que le compte intégré Invité, et divers comptes de sécurité intégrés (SERVICE, LOCAL_SERVICE, etc.).
Il faut aussi intégrer le fait que plus l'attaquant compromettra de compte utilisateur, plus il profitera des nouveaux privilèges obtenus pour accéder à de nouveaux partages et dossiers réseau en fonction des groupes d'appartenances des groupes compromis.
Par négligence, facilité ou ignorance des conséquences, il est très fréquent que la plupart des partages de fichiers soient accessibles aux membres du groupe "Utilisateurs authentifiés" du domaine, c'est-à-dire tous les utilisateurs.
Également, il faut connaitre et noter la différence entre les permissionsappliquées les partages réseau et lespermissions NTFS (appliquées sur les dossiers et sous-dossiers de ces partages). Ces permissions NTFS permettent de gérer les permissions des différents dossiers à l'intérieur d'un partage de fichier, en autorisant ou interdisant l'accès à des dossiers spécifiques. Dans les faits, cela permet donc de définir de façon granulaire qui a accès à quel dossier, mais cela rajoute de la complexité de gestion qui peut mener à des erreurs, des oublis, etc.
Pour mieux comprendre la différence entre permissions NTFS et permissions des partages, je vous invite à consulter notre article à ce sujet : Serveur de fichiers – Les permissions NTFS et de partage, résumé dans la vidéo ci-dessous :
Il est à noter que par "informations sensibles", la première idée qui vient en tête est bien sûr le mot de passe d'un compte privilégié du domaine. Dans un contexte d'entreprise, il peut s'agit également de données métiers (secrets industriels), d'informations financières et bancaires, mais aussi d'informations personnelles (RGPD) concernant les clients ou les salariés de l'entreprise. Nous verrons par la suite que ce détail à une importance pour la red team (attaquant), mais aussi pour la blue team (défenseur) qui souhaite avoir une démarche proactive et rechercher elle-même l'exposition excessive de données dans les partages réseaux.
Lors d'une cyberattaque, pour accomplir cette tâche de manière complète, la red team doit opérer de la façon suivante :
Énumérer les hôtes du domaine.
Énumérer les services de partage de fichiers présents sur ces hôtes.
Énumérer les partages exposés et les permissions d'accès avec l'utilisateur courant.
Parcourir chaque dossier et chaque fichier accessible à la recherche d'informations sensibles.
Vous l'imaginez bien, cette tâche est fastidieuse et ne peut être menée à bien dans un délai raisonnable. C'est pourquoi des outils ont été créés pour l'automatiser de façon efficace. De plus, ces opérations sont fréquentes dans le mode opératoire des attaquants et disposent de leur propre TTP dans le framework MITRE ATT&CK, preuve qu'il s'agit d'un sujet à prendre au sérieux :
Prenez notamment le temps de jeter un œil à la section "Procedure Examples" du TTP T1083. Cette section liste les cas avérés et documentés de cyberattaque ayant exploité ce TTP. Ici, près de 350 cas sont répertoriés.
III. Gestion des droits sur les partages réseaux : les bonnes pratiques standard
La gestion des permissions sur les partages réseau est une tâche à la base simple, qui devient très complexe dans un contexte réel d'entreprise. Il faut à la fois permettre la collaboration entre les utilisateurs, s'assurer que le principe de moindre privilège est respecté et garder un œil sur le respect des bonnes pratiques et directives données.
Le principe de moindre privilège est un concept fondamental en cybersécurité. Il consiste à n'accorder à un utilisateur, un processus ou un objet uniquement les privilèges nécessaires à l'accomplissement de ses tâches, et ce, sans accorder de droits superflus.
Ce principe vise à limiter les risques en réduisant la surface d'attaque potentielle. Il est souvent mis en avant lors de la gestion des droits d'accès pour souligner l'importance de mettre en place un modèle de privilèges granulaire, afin de minimiser les risques d'exploitation par des attaquants.
Les mesures "traditionnelles" de sécurité à prendre concernant la gestion des permissions d'accès aux partages de fichiers sont les suivantes :
S'assurer que les partages de fichiers ne sont pas accessibles en mode anonyme : cela peut paraitre étonnant, mais c'est beaucoup plus fréquent qu'on ne le croit d'après mes expériences.
Définir un modèle de droit clair et efficace, adapté au contexte de sécurité de l'entreprise. Pour trouver un modèle "standard" de sécurité, vous pouvez notamment consulter cet article sur la méthode AGDLP : AGDLP – Bien gérer les permissions de son serveur de fichiers.
S'assurer d'avoir une équipe formée sur le sujet : la gestion des droits sur les partages de fichiers peut avoir quelques secrets. Il faut s'assurer que notre équipe est techniquement formée, mais qu'elle connait aussi les bonnes pratiques internes de l'entreprise afin de savoir s'il y est légitime que tel groupe accède à telle information. On peut citer la directive n°1 du guide d'hygiène de l'ANSSI : Former les équipes opérationnelles à la sécurité des systèmes d’information.
Sensibiliser et former les utilisateurs concernant la manipulation, le stockage et la partage d'informations sensibles au quotidien, au sein d'une équipe ou avec des utilisateurs externes : On peut citer la directive n°2 du guide d'hygiène de l'ANSSI : Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique.
Archiver les données qui ne sont plus utilisées afin de réduire la surface d'attaque. Il est évident que si une donnée n'est plus exposée, elle ne pourra être compromise.
Même avec toutes ces bonnes pratiques, qu'est-ce qui empêcherai un utilisateur de stocker le mot de passe du compte X (ex-Twitter) de l'entreprise dans un fichier texte sur le partage "\\SRV-FICHIER\Communs\Communication", pour l'échanger plus facilement avec ses deux collègues du pôle communication ?
IV. Démarche proactive de recherche d'informations sensibles dans les partages
A. Snaffler : automatiser la recherche d'informations sensibles
En complément des mesures et bonnes pratiques listées dans la section précédente, la blue team peut souhaiter avoir une démarche proactive et utiliser elle-même les outils et méthodes des attaquants. Cela dans le but de vérifier que les mesures de sécurité sont efficaces et bien implémentées au travers des vérifications régulières. C'est ici que Snaffler entre en jeu.
Snaffler est un exécutable plutôt simple d'utilisation au regard de la charge de travail qu'il permet d'économiser. Comme indiqué précédemment, dans son utilisation standard, celui-ci va
Se connecter à l'Active Directory et lister les objets "Ordinateur".
Se connecter à chaque ordinateur afin de lister les partages de fichiers exposés.
Vérifier les droits de lecture sur chacun des partages, dossiers et sous-dossiers avec l'utilisateur courant.
Lister les fichiers et sélectionner les plus intéressants.
Lire le contenu de chacun des fichiers accessibles dans ces partages en fonction des règles de recherche configurées.
À chaque étape de ce processus sont appliquées des règles de matching afin de déterminer si le partage, répertoire ou fichier est intéressant ou doit être mis de côté. Ce processus peut être schématisé de la façon suivante :
Schéma macro du fonctionnement de Snaffler.
B. Utiliser Snaffler au sein d'un domaine Active Directory
Maintenant que nous avons introduit le sujet, passons à l'action. Il faut bien sûr commencer par télécharger l'exécutable depuis son dépôt Github : Github - Snaffler.
Attention, il faut également savoir que le binaire "Snaffler.exe" peut être détecté comme malveillant par certains EPP et EDR, le binaire étant autant utilisé par les défenseurs que par les attaquants, il est normal que des solutions de sécurité le catégorisent ainsi :
Analyse VirusTotal de la dernière version de Snaffler.exe.
D'après cette analyse VirusTotal réalisée sur la dernière version de Snaffler, 43 des 73 produits de sécurité utilisés considèrent le binaire comme malveillant. Il faudra donc certainement passer par une mise en liste blanche du binaire.
Snaffler est open-source, vous pouvez donc étudier son code source avant exécution sur votre système d'information.
Le plus simple pour avoir une vue rapide de ses capacités et de l'exécuter depuis un poste du domaine avec un utilisateur "non privilégié" du domaine.
Cependant, les choix de l'utilisateur et de la position sur le réseau du système utilisé ont ici leur importance et doivent refléter la situation de l'attaquant tel que souhaité dans votre simulation. S'agit-il d'un compte RH, stagiaire ou d'un membre de l'équipe IT ? L'attaquant effectue-t-il sa recherche depuis le réseau Wifi invité, le poste utilisateur de l'accueil ?, etc. À ce titre, plusieurs itérations du même test peuvent être effectuées, en modifiant le compte utilisateur utilisé ou la position réseau du système émettant la recherche. Vous pourrez alors comparer les résultats obtenus.
Depuis un poste intégré au domaine et un compte utilisateur valide sur le domaine, j'utilise Snaffler de la façon suivante :
.\Snaffler.exe -s -v Data
L'option "-s" est utilisée ici pour rediriger la sortie vers le terminal et l'option "-v Data" est utilisée pour définir le niveau de verbosité. "Data" signifie ici que nous n'aurons que des informations à propos des données trouvées, aucune information de debug.
Pas d'authentification, pas de spécification de cible (même si cela est possible via les options). Snaffler va utiliser la session actuelle de l'utilisateur ainsi que les informations du domaine pour se connecter à l'Active Directory et commencer son énumération.
En fonction de votre système d'information, Snaffler peut s'exécuter pendant assez longtemps (j'ai déjà vu des cas où l'analyse prenait plusieurs heures). Cependant, vous devriez avoir des premiers résultats assez rapidement. Ceux-ci s'affichent au fil de l'eau.
Voici un exemple de résultat (cliquez sur l'image pour zoomer) :
Exemple de sortie produite par Snaffler avec découverte d'informations sensibles.
A noter que pour une utilisation en live, cette première commande suffit. On peut toutefois stocker la sortie de Snaffler dans un fichier texte, ce qui est notamment intéressant lorsque la sortie produite est volumineuse :
snaffler.exe -s -v Data -o snaffler.log
Snaffler va alors écrire ses résultats dans un fichier dédié, qui pourra être parcouru après coup.
C. Comprendre les résultats de Snaffler
Comme vous pouvez le voir dans la capture ci-dessus, Snaffler peut être assez verbeux dans sa sortie. Lorsque l'on connait la structure de cet affichage, les choses deviennent cependant beaucoup plus simples. Dans un premier temps, on peut voir que Snaffler se connecte à tous les objets Ordinateurs retournés par sa requête LDAP (l'AD et un poste utilisateur dans mon cas) et liste les partages réseau disponibles (Cliquez sur l'image pour zoomer) :
Vue des systèmes et partages découverts par Snaffler dans la sortie standard.
À noter que j'effectue ma démonstration ici avec l'Administrateur du domaine, qui a donc accès à tous les répertoires partagés du domaine. En fonction de votre objectif (trouver absolument une donnée, où qu'elle soit, ou voir à quoi à accès tel profil utilisateur depuis telle position réseau), votre résultat pourra nettement différer.
Suite à cela, Snaffler commence à journaliser des informations à propos des fichiers qu'il trouve intéressant, ainsi que des extraits de ces fichiers (Cliquez sur l'image pour zoomer) :
Vue des fichiers et chaines de caractère découverts par Snaffler dans les partages de mon domaine.
Chaque ligne commence par le nom de l'utilisateur utilisé pour l'énumération ("[IT-CONNECT\Administrateur@AD01]" :
La première ligne nous indique qu'une règle de détection a trouvé un fichier intéressant (d'après son nom) : "confCons.xml". Les connaisseurs reconnaitront le nom d'un fichier de configuration de l'outil "mRemoteNG", utilisé pour stocker les connexions (nom, login, mot de passe) des connexions RDP, SSH, etc.
La seconde ligne est le résultat d'une règle de parsing du contenu d'un fichier et nous donne un extrait d'une donnée de ce même fichier de configuration. C'est souvent le plus intéressant et facile d'accès, car il s'agit de fichier "texte", facile à parser pour Snaffler. Mais, il ne faut pas forcément s'arrêter là.
La troisième ligne est à nouveau une règle de matching sur un nom de fichier. Snaffler a découvert un fichier de dump mémoire (".DMP"). Le chemin et nom complet du fichier (en violet) nous indique qu'il s'agit d'un dump mémoire du processus LSASS, notamment connu pour y stocker les identifiants et sessions des utilisateurs connectés. La structure du fichier n'étant pas du simple texte, Snaffler nous indique simplement sa présence et c'est à nous d'aller plus loin si l'on juge cela intéressant.
Pour mieux comprendre encore, voici la structure de chaque ligne de sortie Snaffler (cliquez sur l'image pour zoomer) :
Détails de la structure de sortie de Snaffler.
La couleur a notamment une importance, elle détermine le niveau de certitude et d'intérêt que Snaffler a sur la présence d'une information recherchée :
Black : certitude que l'information ou le fichier découvert est sensible
Red : a de grande chance d'être ou de contenir une information sensible
Yellow et Green : peut présenter un intérêt, mais une investigation plus poussée est nécessaire
Ces niveaux de catégorisation sont inscrits dans les différentes règles de Snaffler. La découverte d'un champ "password=" dans un fichier sera Red alors que la découverte d'un script PowerShell sera Green. À ce titre, il est possible de filtrer la sortie de Snaffler pour n'afficher, par exemple, que les résultats Red ou Black :
.\Snaffler.exe -s -v Data -b 3
L'option "-b 3" entraine une journalisation de la catégorie Black uniquement (la plus élevée). Je vous recommande cependant de journaliser au moins à partir du niveau Red, qui sont en général pertinents. Pour cela, utilisez l'option "-b 2".
D. Réaliser une recherche locale de données via Snaffler
Nous avons pour le moment utilisé Snaffler dans son mode "par défaut", dans lequel il va lui-même chercher une liste d'hôtes auprès de l'Active Directory. Il est aussi possible de réaliser une exécution uniquement locale de Snaffler, ciblant le système du fichier de l'hôte sur lequel il est déposé, sans communication réseau et avec des chances de détection réduite pour un attaquant :
.\Snaffler.exe -s -v Data -i C:\
Via l'option "-i", on ordonne à Snaffler de ne pas faire de récupération d'hôte et de se fier à notre liste à la place. Cette option peut aussi être utilisée pour spécifier un partage précis sur un système de notre choix :
.\Snaffler.exe -s -v Data -i \\AD01.it-connect.tech\Partage_IT
Enfin, si l'on souhaite que Snaffler effectue une découverte des partages, mais pas des hôtes, on peut lui fournir une liste d'hôte à énumérer avec l'option "-n" :
.\Snaffler.exe -s -v Data -n AD01.it-connect.tech,DESKTOP-VAU6BQO.it-connect.tech
Ces deux dernières options sont intéressantes pour une analyse ciblée sur un serveur ou un partage donné.
V. Utilisation et configuration personnalisée de Snaffler
A. Comprendre le fonctionnement des règles Snaffler
Pour mieux comprendre le fonctionnement de Snaffler, il faut savoir que celui-ci effectue une recherche et catégorisation progressive des fichiers et informations en fonctions des règles fournies. D'abord, il va rechercher les fichiers dans tous les partages, dossiers et sous-dossiers sur lequel il dispose de droits de lecture. Un premier tri est effectué sur ces fichiers :
En fonction de leurs tailles (pour des raisons de performance)
En fonction de leurs extensions (.kdbx, .id_rsa, .ppk, etc.)
En fonction des noms defichier (web.config)
En fonction d'un mot présentdans le nom du fichier ("Mes mots de passe 2024.xlsx")
En fonction de ces critères ou d'une combinaison d'entre eux, Snaffler appliquera une décision :
Discard : Exclure le fichier de l'analyse (trop gros, fichiers généralement pas intéressants ou difficiles à parser).
Keep : Journaliser le fichier (terminal/fichier de log).
Relay : passer le fichier à une ou plusieurs règles en vue d'y chercher une donnée spécifique (en fonction du format/type de fichier). Par exemple, si une règle recherchant les extensions ".ps1" trouve un fichier, elle passera ce fichier à un ensemble de règles permettant d'y chercher les mots "password", "net user", etc. grâce à des expressions régulières.
Les règles sont écrites au format TOML et sont assez complexes au premier abord. Il faut notamment bien comprendre le fonctionnement et les capacités de Snaffler pour les mieux les appréhender. Préférez donc utiliser l'outil dans un premier temps avant de vouloir concevoir vos propres règles.
Les règles par défaut de Snaffler, intégrées dans l'exécutable, sont généralement suffisantes pour avoir des résultats pertinents lors d'une première analyse.
Pour dégrossir le sujet et mieux comprendre Snaffler, étudions la règle suivante :
[[ClassifierRules]]
EnumerationScope = "FileEnumeration"
RuleName = "RelayPsByExtension"
MatchAction = "Relay"
RelayTargets = ["KeepPsCredentials",
"KeepCmdCredentials",
"KeepAwsKeysInCode",
"KeepInlinePrivateKey",
"KeepPassOrKeyInCode", "KeepSlackTokensInCode",
"KeepSqlAccountCreation",
"KeepDbConnStringPw"]
Description = "Files with these extensions will be searched for PowerShell related strings."
MatchLocation = "FileExtension"
WordListType = "Exact"
MatchLength = 0
WordList = ["\.psd1",
"\.psm1",
"\.ps1"]
Triage = "Green"
Les noms des différents attributs sont assez explicites et nous avons déjà aperçu des "EnumerationScope" précédemment dans l'article :
ShareEnumeration : règles portant sur les partages, permettant notamment d'exclure de l'analyse certains partages peu intéressant ("\\PRINT$" "\\IPC$").
DirectoryEnumeration : règles portant sur les noms des répertoires, permettant également d'en exclure certains.
FileEnumeration : règles portant sur les noms et extensions des fichiers, permettant d'inclure ou exclure certains d'entre eux de l'analyse, de journaliser les fichiers intéressants et de passer aux règles suivantes les fichiers à parser.
ContentsEnumeration : règles de parsage de fichier, qui permettent de détecter des patterns précis dans des fichiers ("password=", "client_secret", etc.)
PostMatch : Règles spécifiques d'exclusion pour exclure certains faux positifs classiques.
Notre règle ci-dessus va donc rechercher les fichiers ayant des extensions précises ("MatchLocation = FileExtension"), comme ".psd1", ".psm1" ou ".ps1". En cas de match, elle va relayer ("MatchAction = Relay") le fichier cible aux règles présentes dans la liste "RelayTargets". Voici, en exemple, l'une des règles cible en question :
[[ClassifierRules]]
EnumerationScope = "ContentsEnumeration"
RuleName = "KeepPsCredentials"
MatchAction = "Snaffle"
Description = "Files with contents matching these regexen are very interesting."
MatchLocation = "FileContentAsString"
WordListType = "Regex"
MatchLength = 0
WordList = [ "-SecureString",
"-AsPlainText",
"\[Net.NetworkCredential\]::new\("]
Triage = "Red"
Cette règle va rechercher dans le contenu du fichier ("MatchLocation = FileContentAsString") les mots "-SecureString", "-AsPlainText", "\[Net.NetworkCredential\]::new\(" et journaliser "MatchAction = Snaffle" en cas de match. Lorsqu'un script PowerShell contient l'instruction "-AsPlainText" ou qu'il fait référence à une SecureString, c'est généralement le signe qu'il y a un mot de passe intégré dans le script.
Les règles par défaut de Snaffler sont mises à jour occasionnellement en fonction des apports de la communauté (voir l'historique des pull requests Github), vous pouvez notamment consulter le contenu des règles sur le Github également : Github - Snaffler/SnafflerRules. N'hésitez pas à les consulter en parallèle de vos premières utilisations pour comprendre précisément comment ces règles sont structurées.
B. Créer une règle Snaffler personnalisée
Ces deux exemples devraient vous fournir les bases nécessaires à la modification des règles existantes et la création de vos propres règles. Nous allons voir dans cette section comment ajouter une règle de recherche dans le contenu des fichiers PowerShell. Dans un premier temps, il est nécessaire de générer une base de fichier de configuration à l'aide de l'option "-z" :
Snaffler.exe -z
Cette option va générer un fichier "default.toml" dans votre répertoire courant, qu'il faudra ensuite spécifier lors du lancement de Snaffler (c'est ce fichier qui contient la limite de taille de fichier au-delà de laquelle Snaffler ne s'intéressera pas à un fichier).
À titre d'exemple, imaginons que nous venons de mettre en place un SI de sauvegarde cloisonné de notre SI principal et totalement décorrélé de notre domaine. Dans la démarche d'un attaquant ayant compromis notre domaine et souhaitant atteindre les sauvegardes avant de déployer son ransomware, celui-ci peut chercher dans notre documentation, scripts et mails la trace d'un éventuel SI de sauvegarde.
Nous ne souhaitons donc pas qu'un attaquant ayant compromis un compte d'un membre du SI puisse découvrir de script contenant le nom de notre serveur de sauvegarde ("SRV-BACKUP01") et par conséquent l'existence de notre SI de sauvegarde. Je vais dans un premier temps ajouter la règle suivante :
Celle-ci va rechercher le terme "SRV-BACKUP01" dans tous les fichiers qui lui seront relayés. Ensuite, nous allons reprendre la structure de la règle "RelayPsByExtension" vu précédemment, ajouter quelques extensions et préciser ma nouvelle règle dans la liste des "RelayTargets" :
[[ClassifierRules]]
EnumerationScope = "FileEnumeration"
RuleName = "RelayScriptExtension"
MatchAction = "Relay"
RelayTargets = ["CUSTOM-KeepPsBackupServer"]
Description = "Files with these extensions will be searched for script related strings."
MatchLocation = "FileExtension"
WordListType = "Exact"
MatchLength = 0
WordList = ["\\.psd1",
"\\.psm1",
"\\.ps1",
"\\.bat",
"\\.cmd",
"\\.vbs"]
Triage = "Green"
Si j'exécute Snaffler en spécifiant ma nouvelle configuration, une analyse avec uniquement mes deux règles sera effectuée :
Snaffler.exe -s -v Data -z .\default.toml
Voici un résultat possible :
Ma nouvelle règle "CUSTOM-KeepPsBackupServer" a effectivement permis de trouver un script contenant le nom de mon serveur de sauvegarde, il ne s'agit pas d'une information sensible au regard des règles par défaut de Snaffler, mais dans mon contexte, cette information a intérêt à être remontée.
Attention, cette action va exécuter une analyse avec uniquement vos règles. Celles par défaut ne seront plus utilisées. Si vous souhaitez ajouter vos règles de façon durable dans l'analyse en plus de celles par défaut, il faut ajouter des fichiers ".toml" contenant vos règles dans le dossier "Snaffler/SnaffRules/DefaultRules", puis recompiler le binaire, qui contiendra alors l'ensemble des règles.
VI. Conclusion
Nous avons étudié dans cet article la problématique du stockage des informations sensibles dans les partages de fichiers et de la difficulté de gestion des droits et permissions dans le temps sur ces éléments. Snaffler est à mon sens un outil très intéressant pour compléter les mesures de sécurité habituelles sur ces sujets, puisqu'il permet de faire une analyse complète et concrète des informations visibles par un utilisateur sur les partages.
Il s'agit d'un outil très utilisé dans les phases de recherche, notamment lors des opérations de simulations d'attaques (tests d'intrusion). Dans des opérations réelles, l'attaquant ne va pas utiliser Snaffler car celui-ci est trop bruyant (un même compte utilisateur qui s'authentifie sur toutes les machines du domaine pour lister les partages), mais l'opération restera la même : voir quelles informations sont accessibles par un utilisateur compromis, et trouver des données techniques ou métier.
Enfin, il faut savoir qu'une version "étendue" de Snaffler existe ("UltraSnaffler"), elle permet de chercher des données dans des fichiers plus complexes comme des fichiers ".docx", ".xlsx". Ces possibilités ne sont pas proposées par défaut, car elle nécessite l'inclusion de librairies qui multiplie par 1200% le poids du binaire. Cela reste néanmoins une piste intéressante pour une utilisation et investigation avancée.
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Proxmox Virtual Environment (VE) 8.2 includes new functionalities such as an automated installation tool for more straightforward setup on bare-metal servers, a migration wizard for VMware ESXi virtual machines, and a switch to an nftables-based firewall for enhanced security. It also introduces LXC device passthrough for containerized workloads and advanced backup settings to optimize resource utilization during backups. These updates are part of a broader release that updates core technologies and system components.
Une clé produit (également appelée clé de licence ou clé d’activation) est une série de caractères alphanumériques utilisée pour activer et authentifier un logiciel, généralement lors de son installation. Cette clé est fournie par le fournisseur du logiciel et est unique pour chaque exemplaire du logiciel acheté ou obtenu légalement. Microsoft Office n’échappe pas à la règle et possède aussi une clé produit.
Dans ce tutoriel, je vous donne plusieurs méthodes pour récupérer la clé produit d’Office 2021, 2016, 2019, 2013 ou Microsoft 365.
Comment récupérer la clé produit Office 365, Office 2021, 2016, 2019, 2013
Méthode 1 : vérifier l’emballage du produit ou le reçu de l’e-mail
Dans le monde numérique, il est indispensable de trouver votre clé de produit Microsoft 365 pour pouvoir profiter de ses avantages. Un moyen facile de l’obtenir est de vérifier l’emballage ou le reçu de l’e-mail. Voici comment procéder :
Examinez l’emballage du produit :
Inspectez la boîte ou l’emballage de Microsoft 365 ou Microsoft Office
Vérifiez s’il y a un autocollant/étiquette avec la clé du produit
Décollez-le avec précaution pour obtenir le code
Vérifiez votre boîte de réception :
Ouvrez votre boîte de réception et recherchez un courriel provenant du magasin
Recherchez des mots-clés tels que “clé”, “licence” ou “série” dans l’objet ou le corps du message
Notez le code alphanumérique
Connectez-vous à votre compte :
Si vous l’avez acheté auprès de Microsoft, connectez-vous à votre compte
Allez dans le tableau de bord/l’historique des achats pour trouver la clé
Notez le code unique
Méthode 2 : ProduKey de NirfSoft
ProduKey est un petit utilitaire qui affiche la clé produit de Microsoft Office et Windows. Vous pouvez afficher ces informations pour votre système d’exploitation actuel ou pour un autre système d’exploitation/ordinateur en utilisant les options de la ligne de commande. Cet utilitaire peut être utile si vous avez perdu la clé de produit de votre Windows/Office et que vous souhaitez le réinstaller sur votre ordinateur.
Belarc Advisor est un logiciel gratuit conçu pour analyser un ordinateur et fournir des informations détaillées sur son matériel et son logiciel. Il examine divers aspects du système, tels que la configuration matérielle, les logiciels installés, les mises à jour manquantes, les vulnérabilités de sécurité, les clés de produit des logiciels, etc. Parmi les fonctionnalités, il est aussi capable d‘énumérer les clés produits depuis le menu Software Licences. Vous pouvez utiliser ce logiciel pour trouver la clé produit d’Office.
LicenceCrawler est un logiciel conçu pour aider les administrateurs informatiques et les professionnels de l’informatique à gérer les licences logicielles sur les réseaux d’entreprise. Il analyse les ordinateurs connectés au réseau et recueille des informations sur les licences logicielles installées, y compris les clés de produit, les numéros de série et les informations de licence associées à divers logiciels, tels que les systèmes d’exploitation, les applications bureautiques, les outils de développement, etc.
Dans le cas où vous avez acheté votre licence Office dans Microsoft Store, vous pouvez trouver la clé produit depuis ce dernier. Voici comment faire :
Allez sur www.microsoftstore.com. Dans le coin supérieur droit, sélectionnez “Se connecter” in et entrez l’identifiant et le mot de passe que vous avez utilisés pour acheter Office.
Une fois connecté, sélectionnez votre nom dans le coin supérieur droit, puis sélectionnez “Historique des commandes“.
Localisez l’achat unique d’Office ou l’application Office individuelle, puis sélectionnez “Installer Office” pour afficher votre clé de produit (cela n’installe pas réellement Office). Notez que cette clé de produit ne correspondra pas à la clé de produit affichée sur la page “Compte Microsoft“, services et abonnements. C’est normal.
Comment trouver la licence Office en invite de commandes ou PowerShell
Office 2021, 2016, 2019 et Office 2013
OSPP.VBS (Office Software Protection Platform) est un script utilisé par Microsoft Office pour gérer l’activation des produits Office, tels que Word, Excel, PowerPoint, etc. Il fait partie du système d’activation et de gestion des licences de Microsoft Office. Vous pouvez l’utiliser pour obtenir le statut d’activation de Microsoft Office. Voici comment faire :
Par exemple, sur une version crackée d’OffIce, le type de Licence est Retail Channel avec OOB_GRACE. De plus, le code erreur 0x4004F00C s’affiche.
LICENSE NAME: Office 19, Office19HomeBusiness2019R_Retail edition LICENSE DESCRIPTION: Office 19, RETAIL channel BETA EXPIRATION: 01/01/1601 LICENSE STATUS: ---OOB_GRACE--- ERROR CODE: 0x4004F00C ERROR DESCRIPTION: The Software Licensing Service reported that the application is running within the valid grace period Last 5 characters of installed product key: R62YT
Dans le cas de Microsoft 365, le script à utiliser pour obtenir les informations de licence est différent et se nomme vNextDiag.ps1. Voici comment faire :
Appuyez sur le raccourci clavier
+ X ou cliquez avec le bouton droit de la souris sur le menu Démarrer puis sélectionnez “Terminal Windows (admin)“. Plus d’informations : Comment ouvrir Windows Terminal
Puis utilisez les commandes suivantes, selon l’architecture de Windows
cd "c:\Program Files\Microsoft Office\Office16\" ; si Windows 32-bits
cd "c:\Program Files (x86)\Microsoft Office\Office16\" ; si Windows 32-bits
powershell -ep bypass -c ".\vNextDiag.ps1"
Vous utilisez un NAS QNAP ? Veillez à ce qu'il soit à jour, car plusieurs failles de sécurité critiques ont été corrigées ! Elles représentent une menace sérieuse pour votre NAS et vos données. Faisons le point.
En mars dernier, nous avons déjà publié un article au sujet de 3 failles de sécurité critiques découvertes dans le système d'exploitation utilisé par les NAS QNAP. Il s'avère que 3 autres vulnérabilités sont désormais mentionnées dans ce bulletin de sécurité et qu'une autre alerte mentionne 2 failles de sécurité découvertes à l'occasion d'une édition de la compétition de hacking Pwn2Own. L'exploitation de ces vulnérabilités peut permettre à un attaquant d'exécuter des commandes sur le NAS, ce qui pourrait lui permettre de compromettre l'appareil.
Commençons par évoquer les trois failles de sécurité critiques évoquées sur cette page :
CVE-2024-27124 :
Cette vulnérabilité d'injection de commande pourrait permettre à des utilisateurs d'exécuter des commandes sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 7.5 sur 10.
CVE-2024-32764 :
Cette vulnérabilité donne accès à une fonction critique du système sans authentification et pourrait permettre à des utilisateurs standards (sans privilèges élevés) d'accéder à certaines fonctions et de les utiliser, à distance. Ceci est lié au service myQNAPcloud Link. Elle est associée à un score CVSS de 9.9 sur 10.
"Un défaut de contrôle de l’authentification dans myQNAPcloud Link permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’accéder à certaines fonctionnalités critiques.", peut-on lire sur le site du CERT Santé.
CVE-2024-32766 :
Cette vulnérabilité d'injection de commande pourrait permettre à un attaquant non authentifié d'exécuter des commandes arbitraires sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 10 sur 10.
En plus de ces 3 vulnérabilités, voici 2 autres failles de sécurité importantes patchées il y a quelques jours par QNAP :
CVE-2023-51364, CVE-2023-51365 :
Il s'agit de deux vulnérabilités de type "path transversal" permettant à un attaquant de lire le contenu de fichiers protégés, et potentiellement, d'exposer des données sensibles via le réseau. Elles sont associées à un score CVSS de 8.7 sur 10.
Quelles sont les versions affectées ?
Voici la liste des versions affectées, pour chaque système :
QTS 5.x et QTS 4.5.x
QuTS hero h5.x et QuTS hero h4.5.x
QuTScloud c5.x
myQNAPcloud 1.0.x
myQNAPcloud Link 2.4.x
Comment se protéger ?
Pour vous protéger de l'ensemble de ces failles de sécurité, vous devez utiliser l'une de ces versions :
QTS 5.1.4.2596 build 20231128 et supérieur
QTS 4.5.4.2627 build 20231225 et supérieur
QuTS hero h5.1.3.2578 build 20231110 et supérieur
QuTS hero h4.5.4.2626 build 20231225 et supérieur
QuTScloud c5.1.5.2651 et supérieur
myQNAPcloud 1.0.52 (2023/11/24) et supérieur
myQNAPcloud Link 2.4.51 et supérieur
En complément, veillez à utiliser un mot de passe robuste sur vos comptes d'accès au NAS (activez le MFA également), sauvegardez régulièrement vos données et limitez les accès au NAS notamment l'exposition de l'appareil sur Internet.
La chaîne de magasins canadienne "London Drugs" est victime d'une cyberattaque majeure ! Plusieurs magasins sont actuellement fermés à cause de cet incident de sécurité ! Faisons le point.
London Drugs est une grande chaîne de magasins canadiens qui vend des produits divers et variés : des produits de beauté, des outils de jardinage ou encore des ordinateurs. Le site officiel mentionne 80 magasins pour un total de 8 000 employés.
Le 28 avril 2024, les équipes techniques de London Drugs ont fait la découverte d'une intrusion sur leur système informatique. L'information a été révélée dimanche soir dans un e-mail envoyé à CBC/Radio-Canada.
Suite à cette cyberattaque, qualifiée de problème opérationnel, des mesures ont été prises : "London Drugs a immédiatement pris des contre-mesures pour protéger son réseau et ses données", notamment en sollicitant l'aide d'experts externes. De plus, la direction a pris la décision de fermer temporairement tous ses magasins présents dans l'ouest du Canada, pour une durée indéterminée. Il s'agit d'une mesure de précaution et une conséquence de l'indisponibilité éventuelle d'une partie du système informatique. Rien qu'en Colombie-Britannique, London Drugs compte plus de 50 magasins.
Pour le moment, aucune information n'a été publiée quant à l'origine de cette attaque. Nous ignorons s'il s'agit d'un ransomware et s'il y a eu un vol de données.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a mis en ligne un nouveau guide au sujet de la sécurité de l'IA générative ! Un document probablement attendu par de nombreuses organisations et personnes compte tenu de la popularité du sujet !
Ce guide mis en ligne par l'ANSSI est le bienvenu ! Il devrait donc être consulté par toutes les entreprises qui envisagent d'utiliser ou de concevoir une IA générative.
D'ailleurs, c'est quoi exactement l'IA générative ? L'ANSSI nous propose sa définition dans les premières pages de son guide : "L’IA générative est un sous-ensemble de l’intelligence artificielle, axé sur la création de modèles qui sont entraînés à générer du contenu (texte, images, vidéos, etc.) à partir d’un corpus spécifique de données d’entraînement." - Autrement dit, il s'agit d'une IA destinée à différents cas d'usage tels que les Chatbots, la génération de code informatique ou encore l'analyse et la synthèse d'un document.
L'ANSSI insiste sur le fait que la mise en œuvre d'une IA générative peut se décomposer en trois phases :
1 - La phase d'entraînement, à partir d'ensembles de données spécifiquement sélectionnés.
2 - La phase d'intégration et de déploiement.
3 - La phase de production où l'IA est mise à disposition des utilisateurs.
Chacune de ces phases doit être associée à des "mesures de sécurisations spécifiques", notamment en tenant compte de "la sensibilité des données utilisées à chaque étape et de la criticité du système d’IA dans sa finalité.", peut-on lire. La confidentialité et la protection des données utilisées pour l'entraînement initial de l'IA est l'un des enjeux.
Au-delà de s'intéresser à l'IA générative dans son ensemble, ce guide traite de plusieurs scénarios concrets et qui font échos à certains usages populaires actuels.
Scénarios d'attaques sur un système d'IA générative
L'ANSSI évoque également des scénarios d'attaques sur l'IA générative, telles que les attaques par manipulation, infection et exfiltration. Le schéma ci-dessous met en lumière plusieurs scénarios où l'attaquant s'est introduit à différents emplacements du SI (accès à l'environnement de développement, accès à une source de données, accès à un plugin sollicité par le système d'IA, etc.).
Source : ANSSI
Sécurité de l'IA générative : les recommandations de l'ANSSI
Tout au long de ce guide, l'ANSSI a introduit des recommandations. Au total, il y a 35 recommandations à mettre en œuvre pour sécuriser l'intégralité d'un système d'IA générative. Il y a un ensemble de recommandations pour chaque phase du déploiement.
L'ANSSI insiste notamment sur l'importance de cloisonner le système d'IA, de journaliser et de filtrer les accès notamment car les plugins externes représentent un risque majeur, et de dédier les composants GPU au système d'IA. Autrement dit, l'ANSSI déconseille de mutualiser le matériel destinée à l'IA.
Pour consulter ce guide, rendez-vous sur le site de l'ANSSI :
Geekom propose aux lecteurs d'IT-Connect deux codes promotions pour deux modèles de PC : le GEEKOM FUN11 et le GEEKOM FUN9. Le premier bénéficie de 300 euros de remise, tandis que le second bénéficie de 200 euros de remise ! Faisons le point sur ces offres !
La très bonne marque Geekom propose de nombreux modèles de mini PC. Parmi ses différentes gammes, il y a la gamme "FUN" correspondante à des modèles plus imposants puisque leur boitier prend la forme d'un cube. L'avantage : ces boitiers permettent d'intégrer certaines cartes graphiques dédiées en comparaison des mini PC ultra-compacts.
Le Geekom Mini FUN11 est équipé d'un processeur Intel Core i9-11900KB (11 ème génération - 8 coeurs - 16 threads), de 32 Go de RAM (DDR4) et de 1 To de SSD NVMe. La RAM peut être augmentée jusqu'à 64 Go et il y a d'autres emplacements pour disques SSD NVMe. Bien qu'il soit livré sans carte graphique dédiée, il est compatible avec celles de la série AMD Radeon RX 6000 ou la série GeForce RTX 30 (jusqu’à 321 mm).
Par ailleurs, il est équipé du Wi-Fi 6E, du Bluetooth 5.2, d'un port Ethernet RJ45 en 2.5 Gbit/s, ainsi que plusieurs ports USB et USB-C. Il est livré avec le système d'exploitation Windows 11 Pro, que vous pouvez remplacer bien entendu.
Voici un aperçu de ce boitier dont les dimensions sont les suivantes : 386 x 153 x 219 mm.
L'offre spéciale : avec le code "ITPR300" obtenez 300 euros de réduction immédiate ! Le prix passe de 899.00 € à 599.00 € ! De plus, il y a un kit clavier-souris gaming (filaire) d'une valeur de 99.99 € offert ! Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.
200 euros de remise sur le Geekom FUN9
Le Geekom Mini FUN9 est un modèle d'ancienne génération, mais également moins onéreux, qui est tout de même équipé d'un processeur Intel Core i9-9980HK (9 ème génération - 8 coeurs - 16 threads), de 32 Go de RAM (DDR4) et de 1 To de SSD. Sur ce modèle, la RAM peut aussi être augmentée jusqu'à 64 Go et il y a aussi une évolution possible pour le stockage car la fiche technique mentionne ceci : "2 x M.2 2280 PCIe Gen3 * 4 ou SATA3 SSD, jusqu'à 2 To". Il n'est pas livré avec une carte graphique dédiée, mais il est compatible avec celles de la série AMD Radeon RX 6000 ou la série GeForce RTX 30 (jusqu’à 321 mm).
Par ailleurs, il est équipé du Wi-Fi 6, du Bluetooth 5.2, et deux ports Ethernet RJ45 en 1 Gbit/s (contre un seul port en 2.5 Gbit/s pour le premier modèle). À cela s'ajoutent des ports USB, un port USB-C, deux ports Thunderbolt 3, etc. Il est livré avec le système d'exploitation Windows 11 Pro, mais vous pouvez installer l'OS de votre choix.
L'offre spéciale : avec le code "ITPR200" obtenez 200 euros de réduction immédiate ! Le prix passe de 699.00 € à 499.00 € ! En complément, un ensemble clavier-souris sans-fil d'une valeur de 39.99 € est offert ! Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.
An essential step towards automating the Windows setup process is replacing the system drive's interactive partitioning with a script. Microsoft's examples for this purpose rely on batch files and Diskpart. However, installing PowerShell in Windows PE allows for a much more elegant solution.
Connexion
