Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 28 mars 2024IT

Phishing : Darcula cible Android et l’iPhone par l’intermédiaire de Google Messages et iMessage

28 mars 2024 à 13:00

Darcula, c'est le nom d'une nouvelle plateforme de type "Phishing-as-a-Service" (PhaaS) qui permet d'usurper l'identité de différentes marques et organisations à partir de 20 000 domaines dans le but de voler les identifiants des utilisateurs sur mobile, aussi bien sur Android que sur iPhone. Faisons le point sur cette menace.

Alors que la plateforme Tycoon 2FA cible les utilisateurs de Microsoft 365 et Gmail sur ordinateur, Darcula quant à lui s'intéresse plutôt aux utilisateurs de smartphones Android et d'iPhone. Pour cela, des messages malveillants sont envoyés aux utilisateurs directement sur Google Messages (via le protocole RCS) et iMessage. Nous notons l'abandon du SMS traditionnel au profit du protocole RCS et d'iMessage, ce qui permet aux cybercriminels d'envoyer des messages protégés par le chiffrement de bout en bout, contrairement aux SMS. Ainsi, il n'est pas possible d'analyser le contenu du message pour le bloquer avant qu'il n'atteigne l'appareil de l'utilisateur.

Darcula : 200 modèles prêts à l'emploi

Le kit Darcula peut être utilisé par les cybercriminels pour usurper l'identité de services de livraison, mais aussi de services financiers, gouvernementaux, fiscaux, de sociétés de télécommunications, ou encore des compagnies aériennes. Au total, les abonnés ont accès à 200 modèles de messages et de pages malveillantes pour usurper l'identité des marques. Le contenu s'adapte également en fonction de la langue locale de l'utilisateur pris pour cible.

"La plateforme Darcula prétend prendre en charge environ 200 modèles d'hameçonnage, couvrant un large éventail de marques basées dans plus de 100 pays différents.", peut-on lire dans un rapport mis en ligne par Netcraft.

Source : Netcraft

Les cybercriminels n'ont qu'à choisir une marque et un script de configuration s'occupe d'effectuer la configuration dans un conteneur Docker. D'ailleurs, la plateforme Darcula utilise le registre de conteneurs Harbor pour héberger l'image Docker.

L'utilisation du protocole RCS et de iMessage

L'utilisation du protocole RCS et d'iMessage pour émettre les messages malveillants obligent les pirates à contourner certaines restrictions. Il y a notamment des restrictions pour l'envoi en masse de messages. Du côté d'Apple, c'est interdit, ce qui conduit les cybercriminels à utiliser plusieurs comptes Apple ID différents et des fermes d'iPhone pour envoyer les messages. Chez Google, une restriction a été récemment mise en place pour empêcher les appareils rootés d'envoyer ou de recevoir des messages RCS.

En complément, iMessage intègre une protection un peu plus contraignante pour les cybercriminels : l'utilisateur peut cliquer sur un lien présent dans un iMessage uniquement s'il a déjà communiqué avec l'expéditeur du message en question. Pour cela, le message indique clairement à l'utilisateur qu'il doit répondre au message par un "Y" ou un "1" afin de pouvoir accéder au lien.

Darcula - Phishing iMessage exemple
Source : Darcula

Darcula, une plateforme en pleine croissance

"Au total, Netcraft a détecté plus de 20 000 domaines liés à la cybercriminalité, répartis sur 11 000 adresses IP, qui ciblent plus de 100 marques.". De nombreux domaines en ".com" et ".top" sont utilisés par les cybercriminels et un tiers des hôtes sont protégés par les services de Cloudflare.

Par ailleurs, le document de Netcraft précise également 120 domaines supplémentaires sont créés chaque jour dans le but d'héberger des pages de phishing. Preuve que cette plateforme de PhaaS est en pleine croissance. À chaque fois, l'objectif des pirates est le même : voler les données confidentielles et/ou bancaires des utilisateurs, en fonction du template utilisé.

Même si nous tous plus ou moins habitués à recevoir ces messages suspects, restons vigilants...

Source

The post Phishing : Darcula cible Android et l’iPhone par l’intermédiaire de Google Messages et iMessage first appeared on IT-Connect.

Corriger “New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed”

Par : malekalmorte
28 mars 2024 à 11:32

Du jour au lendemain, soit après la mise à jour du BIOS, soit après le changement ou la mise à niveau d’un processeur AMD ou Intel, le système se bloque et le message suivant s’affiche à l’écran :

New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed.
Press Y to reset fTPM. If you have Bitlocker or encryption enabled, the system will not boot without a recovery key.
Press N to keep previous fTPM record and continue system boot. fTPM will NOT enable in new CPU, you can swap back to the old CPU to recover TPM related keys and data.

Ce tutoriel contient des instructions sur la manière de corriger l’erreur “New CPU installed. fTPM NV corrupted or fTPM NV structure changed” sur un ordinateur de bureau ou portable Windows 10/11.

Corriger "New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed"

Qu’est-ce que ce message et que répondre ?

Le Firmware Trusted Platform Module (fTPM) est essentiellement une enclave sécurisée sur votre carte mère qui offre en autres des fonctionnalités cryptographiques.
Il existe cinq types d’implémentations de TPM : Discrete (dTPM), Software (sTPM), Integrated (iTPM), Hypervisor (hTPM) et Firmware (fTPM), qui semble être le problème ici.
Plus de détails : Qu’est-ce que TPM (Trusted Platform Module) et TPM dans Windows 10, 11

Dans Windows 10 et Windows 11, Bitlocker un système de chiffrer de lecteur de disque, utilise TPM pour stocker en toute sécurité une clé de chiffrement et de déverrouiller automatiquement un lecteur lorsque l’ordinateur démarre. L’enregistrement fTPM est lié au matériel informatique, de sorte que s’il est modifié, par exemple vous changez le processeur, il doit être effacé avant d’être réutilisé. Cela signifie également que tout stockage chiffré ne sera plus déverrouillé par le TPM au démarrage et sera potentiellement inaccessible.

En résumé, si vous avez chiffré votre stockage pendant que vous utilisiez l’ancien processeur, probablement via Bitlocker, vous devez réinstaller ce processeur et déchiffrer le stockage avant d’installer le nouveau processeur, d’effacer le TPM et de rechiffrer.

La réponse diffère selon les cas de figure :

  • Répondre Y si BitLocker n’est pas utilisé. Consultez la suite de l’article pour vérifier cela, si vous ne savez pas
  • Répondre N, si BitLocker est installé et que vous avez besoin d’accéder aux données présentes sur vos disques
  • Si aucun système d’exploitation Windows n’est installé, vous pouvez répondre Y

Si vous ne savez pas si BitLocker est utilisé, consultez la suite de ce guide.
Enfin dans le cas où vous avez déjà répondu Y et que BitLocker est utilisé, vous aurez besoin de la clé de récupération pour accéder aux données.

Message "New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed" au démarrage du PC

Corriger “New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed”

Vérifier si BitLocker est utilisé

Si vous ne savez pas si BitLocker est actif sur votre PC, vous pouvez le vérifier.
Vous pouvez faire cela depuis l’invite de commandes directement dans Windows ou depuis les options de récupération et de dépannage dans le cas où le chargement de Windows ne va pas au bout.

Ouvrir invite de commandes en administrateur
  • Puis saisissez la commande suivante :
manage-bde -status
  • Vérifiez ensuite la ligne État de la Protection. Lorsque BitLocker n’est pas actif, vous obtenez Protection désactivée. Lorsque le disque est chiffré par BitLocker, Protection activée s’affiche. La méthode de chiffrement est indiquée, ici avec XTS-AES 128
Comment vérifier le statut BitLocker

Dans le cas où la protection BitLocker est désactivée, vous pouvez répondre Y pour réinitialiser le fTPM afin que le message au démarrage du PC ne s’affiche plus.

Que faire si Windows ne démarre pas

Si, après avoir appuyé sur la touche N, vous ne pouvez pas vous connecter à Windows à l’aide de votre code PIN ou de votre mot de passe, ou si Windows ne démarre pas, désactivez la protection BitLocker à partir de l’environnement de récupération Windows (WinRE). Pour ce faire, suivez les étapes ci-dessous :

Pour désactiver la protection BitLocker, vous devez posséder la clé de récupération BitLocker. Si vous ne possédez pas la clé BitLocker, essayez de la trouver à l’un des endroits suivants :

  • Sur une impression où a été sauvegardée la clé BitLocker, lors de l’activation de BitLocker sur votre système.
  • Sur une clé USB sur laquelle a été enregistrée la clé BitLocker lors de l’activation de BitLocker sur votre système.
  • Sur la page de la clé de récupération de votre compte Microsoft.
  • Sur votre compte Azure si vous vous connectez avec un compte Azure Active Directory

Vous pouvez consulter ces deux guides :

Note : Si vous possédez un PC Windows 10/11 et que vous avez ajouté un compte Microsoft (MSA) sur votre appareil, pour quelque raison que ce soit (par exemple, si vous utilisez un compte MSA pour vous connecter à Windows 10, ou pour télécharger des applications depuis le Microsoft Store, ou pour recevoir vos emails, ou pour activer Microsoft Office), alors à partir d’un autre appareil avec accès à Internet, connectez-vous avec ce compte Microsoft sur la page web Bitlocker Recover Key de Microsoft pour obtenir la clé de récupération pour votre appareil.

Désactiver TPM de votre PC

Si vous avez monté ou acheté un nouvel ordinateur/portable sans système d’exploitation et que vous voyez le message “fTPM corrompu-structure modifiée”, appuyez sur la touche Y pour réinitialiser le fTPM et poursuivre l’installation de Windows.
Dans tout autre situation, ne désactivez pas TPM car il est utile pour Windows ou vos applications.

Si vous pouvez vous connecter à Windows mais que vous continuez à recevoir le message, vous pouvez essayer de désactiver la fonction fTPM via le BIOS.

  • Accédez au BIOS en appuyant sur F8, F10, F12, Del, Esc ou un autre bouton lorsque le système démarre. Plus de détails : Comment accéder au BIOS de son PC
  • Une fois à l’intérieur, allez dans la section Paramètres avancés/Configuration de l’unité centrale.
  • Recherchez les sections telles que Security Device Support ou simplement fTPM

Par fabricant :

  • Asrock : Configuration du processeur > Commutateur AMD fTPM > Désactiver
  • Gigabyte : Advanced Mode > Settings > Miscellaneous (or “Peripherals) > AMD CPU fTPM > set to Disabled.
  • MSI : Advanced > Trusted Computing > Security Device Support : Désactiver

L’article Corriger “New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed” est apparu en premier sur malekal.com.

Firefox : la connexion a échoué

Par : malekalmorte
28 mars 2024 à 07:55

Mozilla Firefox est le navigateur libre très populaire lorsque l’on est sensible à la vie privée.
Mais vous pouvez rencontrer des problèmes pour afficher les sites WEB, notamment le message “La connexion a échoué” peut s’afficher.

Dans ce guide, je vous donne plusieurs solutions afin de corriger et résoudre les problèmes de chargement des pages internet sur Mozilla Firefox.

Résoudre "la connexion a échoué" sur Mozilla Firefox

Pourquoi Mozilla Firefox n’arrive pas à se connecter au site internet

Voici les principales raisons qui peuvent faire que les sites internet ne fonctionnent pas :

  • Mozilla Firefox est corrompu ou endommagé
  • Un logiciel malveillant a modifié la configuration réseau (un proxy a été configuré, modification des serveurs DNS, …)
  • Un logiciel de sécurité (antivirus ou firewall) perturbe l’affichage des sites internet
  • Le réseau de Windows est endommagé. Dans ce scénario, vous devez rencontrer d’autres messages d’erreur de connexion sur d’autres applications
  • Un problème de certificat TLS qui peuvent faire que les sites sécurités (HTTPS) ne se chargent pas correctement

Pour diagnostiquer ce problème, vous devez prendre en compte si le problème se situe sur plusieurs navigateurs internet et vos applications réseaux ou si cela ne touche que Firefox.
Dans le premier cas, il s’agit donc d’un problème de configuration générale ou du réseau de Windows qui est endommagé.

La connexion a échoué dans Mozilla Firefox

Résoudre “la connexion a échoué” sur Mozilla Firefox

Réparer Mozilla Firefox

Mozilla Firefox possède une fonctionnalité pour réinitialiser le navigateur internet afin de résoudre les problèmes les plus courants.
Vous pouvez l’utiliser, sans perdre vos favoris et mots de passe enregistrés pour tenter de réparer le navigateur WEB.
Voici comment faire :

  • Ouvrez un nouvelle onglet
  • Dans la barre d’adresse, saisissez about:support
Comment réparer Mozilla Firefox
  • A droite, cliquez sur Réparer Firefox
Comment réparer Mozilla Firefox
  • Puis laissez vous guider pour terminer la réinitialisation

Désinstaller l’antivirus et firewall

Un antivirus tiers ou un pare-feu tiers peut perturber le chargement des sites internet sur Firefox.
Si vous avez un logiciel de sécurité installé, il convient de tester en le désinstallant.
Pour cela :

  • Faites un clic droit sur le menu Démarrer
  • Puis procédez à la désinstallation de tous les logiciels tiers
Supprimer l'antivirus ou le firewall

Changer les serveurs DNS

Un problème technique temporaire sur les serveurs DNS de votre fournisseur d’accès internet ou votre box internet qui rencontre un problème DNS peuvent faire que les sites WEB ne s’affichent plus dans Mozilla Firefox.
Pour tester ce scénario, vous devez configurer des serveurs DNS tiers dans Windows et vérifier si cela résout le problème.

  • Sur votre clavier, appuyez sur la touche + R
  • Dans la fenêtre exécuter, saisissez : ncpa.cpl
Ouvrir les connexions réseaux sur Windows
  • Ouvrir les propriétés de la carte réseau
    • Dans le cas où vous êtes connecté en filaire (connexion par câble), faites l’opération sur la carte Ethernet.
    • Alors que si la connexion est en Wi-Fi, l’opération de changement de DNS doit être effectuée la carte Wi-Fi/Wireless.
  • Faites un clic droit sur la carte réseau en question puis Propriétés.
comment changer les DNS de Windows
  • Sélectionnez TCP/IP IPv4
  • puis cliquez sur Propriétés
comment changer les DNS de Windows
  • Dans la partie basse, cochez l’option : utilisez le serveur DNS de l’adresse suivante
  • Enfin saisissez le DNS préféré (primaire) et éventuellement un serveur DNS (secondaire)
  • Voici les adresses des différents serveurs DNS :
    • Google DNS : 8.8.8.8 et 4.4.4.4
    • CloudFlare DNS : 1.1.1.1 et 1.0.0.1
    • OpenDNS : 208.67.222.222 et 208.67.220.220
comment modifier les DNS de Windows
  • Cliquez sur OK pour prendre en compte les changements

Pour plus de détails afin de changer les serveurs DNS de votre interface réseau, vous pouvez suivre les tutoriels suivants.

Réparer le réseau de Windows

Enfin en dernier lieu, il est possible que le réseau Windows soit endommagé.
Dans ce cas, vous pouvez le réparer en suivant ces tutoriels :

Ouvrir invite de commandes en administrateur
  • Puis copiez/collez les commandes suivantes en confirmant sur la popup :
netsh winhttp reset proxy
netsh winhttp reset tracing
netsh winsock reset catalog
netsh int ipv4 reset catalog
netsh int ipv6 reset catalog
Réinitialiser ou réparer le réseau de Windows 11 depuis Windows Terminal
  • Redémarrez l’ordinateur et relancez Mozilla Firefox pour tester si les problèmes de chargement de page internet sont résolus

Plus de méthodes pour résoudre les problèmes de connectivité dans Windows en suivant ces tutoriels :

Désactiver les proxys

  • Sur votre clavier, appuyez sur les touches + R
  • Puis saisissez inetcpl.cpl et OK.
  • Dans la fenêtre Propriétés Internet, cliquez sur l’onglet Connexions. Sélectionnez ensuite Paramètres du réseau local :
  • Assurez-vous que le paramètre Utiliser un serveur proxy pour votre réseau local… n’est pas coché. Cliquez ensuite sur OK, puis sur Appliquer
Supprimer proxy de Windows

Vider le fichier HOSTS de Windows

Une mauvaise configuration ou corruption du fichier HOSTS de Windows peut entraîner des erreurs de connexion au site.
En effet, cela peut fausser la résolution DNS et l’adresse IP retournée pour le site.
A partir de là, votre navigateur WEB se connecte à un mauvais serveur WEB et cela peut retourner des erreurs de connexion au site.
Dans ce cas là, il faut réinitialiser le fichier HOSTS de Windows afin de remettre le contenu à zéro.

Comment Réinitialiser/Restaurer le fichier HOSTS de Windows

L’article Firefox : la connexion a échoué est apparu en premier sur malekal.com.

Mettez à jour Google Chrome pour vous protéger de 7 vulnérabilités, dont 2 zero-day

28 mars 2024 à 06:00

Mardi 26 mars 2024, Google a publié une nouvelle version de son navigateur Chrome dans le but de corriger 7 vulnérabilités, dont 2 failles de sécurité zero-day découvertes lors du Pwn2Own 2024 de Vancouver. Faisons le point sur cette mise à jour !

Les utilisateurs de Google Chrome sur Windows Mac et Linux vont pouvoir passer par la case maintenance : l'entreprise américaine a mis en ligne plusieurs versions pour protéger ses utilisateurs. Tout d'abord, nous allons évoquer les deux failles de sécurité zero-day découvertes et exploitées lors du Pwn2Own 2024, une compétition de hacking.

La première vulnérabilité, associée à la référence CVE-2024-2886, a été découverte par Seunghyun Lee (@0x10n) de KAIST Hacking Lab, le 21 mars 2024. Il s'agit d'une faiblesse de type "use after free" présente dans WebCodecs.

La seconde vulnérabilité, associée à la référence CVE-2024-2887, a été découverte par Manfred Paul de l'équipe Trend Micro Zero Day Initiative. Il s'agit d'une faiblesse de type "type confusion" présente dans le composant WebAssembly. Ces deux vulnérabilités sont considérées comme importantes.

Par ailleurs, d'autres vulnérabilités ont été reportées directement à Google, notamment la faille de sécurité critique CVE-2024-2883, découverte par Cassidy Kim le 3 mars 2024. Il s'agit d'une vulnérabilité de type "use after free" dans ANGLE.

Pour vous protéger, vous devez mettre à jour Google Chrome pour passer sur les versions 123.0.6312.86/.87 pour Windows et Mac, ainsi que la version 123.0.6312.86 pour Linux. Les versions antérieures sont vulnérables. Vous pouvez obtenir plus d'informations dans le bulletin de sécurité de Google.

Pour rappel, suite aux vulnérabilités découvertes à l'occasion de cette compétition de hacking, la Fondation Mozilla a mis en ligne une nouvelle version pour son navigateur afin de combler deux failles de sécurité zero-day : Firefox 124.0.1. Enfin, sachez que Manfred Paul est le grand gagnant de cette édition du Pwn2Own Vancouver 2024 grâce à plusieurs vulnérabilités découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge.

The post Mettez à jour Google Chrome pour vous protéger de 7 vulnérabilités, dont 2 zero-day first appeared on IT-Connect.

Hier — 27 mars 2024IT

GLPI : comment configurer l’authentification LDAP via l’Active Directory ?

27 mars 2024 à 16:00

I. Présentation

Dans ce tutoriel, nous allons avoir comment configurer l'authentification LDAP de GLPI pour pouvoir se connecter à l'application GLPI à partir des comptes utilisateurs présents dans un annuaire Active Directory. Ainsi, un utilisateur pourra accéder à GLPI à l'aide de son nom d'utilisateur et son mot de passe habituel (puisque ce seront les informations de son compte dans l'Active Directory).

GLPI propose nativement un modèle d'authentification LDAP, ce qui lui permet de s'appuyer sur un annuaire de comptes externe, comme l'Active Directory de Microsoft. Il faut savoir que les comptes utilisateurs de l'Active Directory seront importés dans la base de données de GLPI, grâce à un processus de synchronisation. Lorsqu'un utilisateur Active Directory se connecte pour la première fois, son compte est créé dans GLPI. Avant cela, il n'est pas visible, sauf si vous décidez d'effectuer un "import en masse" des comptes AD dans GLPI.

Par ailleurs, en complément de ce tutoriel, voici le lien vers la documentation officielle :

II. Configuration cible

Avant de passer à la configuration, voici quelques informations sur l'environnement utilisé.

Pour cette démonstration, le domaine Active Directory "it-connect.local" sera utilisé et le contrôleur de domaine SRV-ADDS-02 sera utilisé. Ce serveur dispose de l'adresse IP "10.10.100.11" et la connexion sera effectuée en LDAP, sur le port par défaut (389).

- Le compte utilisateur qui sera utilisé comme "connecteur" pour permettre à GLPI de se connecter à l'Active Directory se nomme "Sync_GLPI". Il est stocké dans l'unité d'organisation "Connecteurs" de l'annuaire (voir image ci-dessous). Il s'agit d'un compte utilisateur standard, sans aucun droit particulier sur l'annuaire Active Directory. Faites-moi plaisir : n'utilisez pas de compte Administrateur.

- Tous les utilisateurs qui doivent pouvoir se connecter à GLPI à l'aide de leur compte Active Directory sont stockés dans l'unité d'organisation "Personnel" visible ci-dessous. Elle correspond à ce que l'on appelle la "Base DN" vis-à-vis du connecteur LDAP de GLPI. Les autres utilisateurs ne pourront pas se connecter. En fait, ce n'est pas utile de mettre la racine du domaine comme base DN : essayez de restreindre autant que possible pour limiter la découverte de l'annuaire Active Directory au strict nécessaire.

- Les utilisateurs de l'Active Directory pourront se connecter à GLPI à l'aide de leur identifiant correspondant à l'attribut "UserPrincipalName" (mis en évidence, en jaune, sur l'image ci-dessous). Cet identifiant, sous la forme "identifiant + nom de domaine", leur permettra se connecter à GLPI avec un identifiant qui correspond à leur e-mail. L'alternative consisterait à utiliser l'attribut "SamAccountName" (soit l'identifiant sous la forme "DOMAINE\identifiant").

GLPI - Arborescence Active Directory

Voilà, maintenant, nous allons pouvoir dérouler la configuration !

II. Installer l'extension LDAP de PHP

L'extension LDAP de PHP doit être installée sur votre serveur pour que GLPI soit capable de communiquer avec votre serveur contrôleur de domaine Active Directory (ou tout autre annuaire LDAP).

Connectez-vous à votre serveur GLPI et exécutez les deux commandes suivantes pour mettre à jour le cache des paquets et procéder à l'installation de l'extension.

sudo apt-get update
sudo apt-get install php-ldap

Cette extension sera installée et activée dans la foulée. Vous n'avez pas besoin de relancer le serveur.

III. Ajouter un annuaire LDAP dans GLPI

Désormais, nous allons ajouter notre annuaire Active Directory à GLPI. Connectez-vous à GLPI avec un compte administrateur, puis dans le menu "Configuration", cliquez sur "Authentification".

GLPI - Configuration - Authentification

Au centre de l'écran, cliquez sur "Annuaire LDAP".

GLPI - Authentification - Annuaire LDAP

Puis, cliquez sur le bouton "Ajouter".

GLPI - Ajouter un nouvel annuaire LDAP

Un formulaire s'affiche à l'écran. Comment le renseigner ? À quoi correspondent tous ces champs ? C'est que nous allons voir ensemble.

  • Nom : le nom de cet annuaire LDAP, vous pouvez utiliser un nom convivial, ce n'est pas obligatoirement le nom du domaine, ni le nom du serveur.
  • Serveur par défaut : faut-il s'appuyer sur ce serveur par défaut pour l'authentification LDAP ? Il ne peut y avoir qu'un seul serveur LDAP défini par défaut.
  • Actif : nous allons indiquer "Oui", sinon ce sera déclaré, mais non utilisé.
  • Serveur : adresse IP du contrôleur de domaine à interroger. Avec le nom DNS, cela ne semble pas fonctionner (malheureusement).
  • Port : 389, qui est le port par défaut du protocole LDAP. Si vous utilisez TLS, il faudra le préciser à postériori, dans l'onglet "Informations avancées", du nouveau serveur LDAP.
  • Filtre de connexion : requête LDAP pour rechercher les objets dans l'annuaire Active Directory. Généralement, nous faisons en sorte de récupérer les objets utilisateurs ("objectClass=user") en prenant uniquement les utilisateurs actifs (via un filtre sur l'attribut UserAccountControl).
  • BaseDN : où faut-il se positionner dans l'annuaire pour rechercher les utilisateurs ? Ce n'est pas nécessaire la racine du domaine, tout dépend comment est organisé votre annuaire et où se situent les utilisateurs qui doivent pouvoir se connecter. Il faut indiquer le DistinguishedName de l'OU.
  • Utiliser bind : à positionner sur "Oui" pour du LDAP classique (sans TLS)
  • DN du compte : le nom du compte à utiliser pour se connecter à l'Active Directory. En principe, vous ne pouvez pas utiliser de connexion anonyme ! Ici, il ne faut pas indiquer uniquement le nom du compte, mais la valeur de son attribut DistinguishedName.
  • Mot de passe du compte : le mot de passe du compte renseigné ci-dessus
  • Champ de l'identifiant : dans l'Active Directory, quel attribut doit être utilisé comme identifiant de connexion pour le futur compte GLPI ? Généralement, UserPrincipalName ou SamAccountName, selon vos besoins.
  • Champ de synchronisation : GLPI a besoin d'un champ sur lequel s'appuyer pour synchroniser les objets. Ici, nous allons utiliser l'objectGuid de façon à avoir une valeur unique pour chaque utilisateur. Ainsi, si un utilisateur est modifié dans l'Active Directory, GLPI pourra se repérer grâce à cet attribut qui lui n'évoluera pas (sauf si le compte est supprimé puis recréé dans l'AD).
GLPI - Formulaire configuration annuaire LDAP

Ci-dessous, la configuration utilisée pour cette démonstration et qui correspond à la "configuration cible" évoquée précédemment.

  • Nom : Active Directory - it-connect.local
  • Serveur par défaut : Oui
  • Actif : Oui
  • Serveur : 10.10.100.11
  • Port : 389
  • Filtre de connexion : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
  • BaseDN : OU=Personnel,DC=it-connect,DC=local
  • Utiliser bind : Oui
  • DN du compte : CN=Sync_GLPI,OU=Connecteurs,OU=Tiering,OU=IT,DC=it-connect,DC=local
  • Mot de passe du compte : Mot de passe du compte "Sync_GLPI"
  • Champ de l'identifiant : userprincipalname
  • Champ de synchronisation : objectguid

Quand votre configuration est prête, cliquez sur "Ajouter".

GLPI - Configurer Active Directory

Dans la foulée, GLPI va effectuer un test de connexion LDAP et vous indiquer s'il est parvenu, ou non, à se connecter à votre annuaire. Si ce n'est pas le cas (comme moi, la première fois), cliquez sur le nom de votre annuaire, vérifiez la configuration, puis retournez dans "Tester" sur la gauche afin de lancer un nouveau test. Pour ma part, le problème venait du champ "Serveur" : j'avais mis le nom DNS du serveur à la place de l'adresse IP, mais cela ne fonctionnait pas. Pourtant, mon serveur GLPI parvient bien à résoudre le nom DNS.

GLPI - Tester authentification LDAP

Par ailleurs, vous pouvez explorer les différents onglets : Utilisateurs, Groupes, Réplicats, etc... Pour affiner la configuration. L'onglet "Utilisateurs" est intéressant pour configurer le mappage entre les champs d'une fiche utilisateur dans GLPI et les attributs d'un compte dans l'Active Directory. Quant à l'onglet "Réplicats", vous pouvez l'utiliser pour déclarer un ou plusieurs contrôleurs de domaine "de secours" à contacter si le serveur principal n'est plus joignable.

IV. Tester la connexion Active Directory

Si GLPI valide la connexion à votre annuaire Active Directory, vous pouvez tenter de vous authentifier à l'application avec un compte utilisateur. Pour ma part, c'est l'utilisateur Guy Mauve qui va servir de cobaye. Son login GLPI sera donc "[email protected]" puisque je m'appuie sur l'attribut UserPrincipalName. Pour le mot de passe, je dois indiquer celui de son compte Active Directory.

Remarque : la source d'authentification doit être l'Active Directory.

Connexion à GLPI avec un compte Active Directory

Voilà, l'authentification fonctionne ! L'utilisateur a pu se connecter avec son compte Active Directory et il hérite du rôle "Self-service".

GLPI - Exemple - Connexion avec un utilisateur AD

Dans le même temps, à partir du compte admin de GLPI, je peux remarquer la présence d'un nouveau compte utilisateur dont l'identifiant est "[email protected]" ! GLPI a également récupéré le nom, le prénom et l'adresse e-mail à partir de différents attributs de l'objet LDAP.

Synchronisation GLPI et utilisateur Active Directory

V. Forcer une synchronisation Active Directory

A partir de GLPI, vous pouvez forcer une synchronisation LDAP de façon à mettre à jour les comptes dans GLPI "liés" à des comptes Active Directory, mais aussi pour importer en masse tous les comptes des utilisateurs Active Directory. Ceci vous évite d'attendre la première connexion et vous permet de préparer le compte : attribution du bon rôle, etc.

Cliquez sur "Administration" dans le menu, puis "Utilisateurs". Ici, vous avez accès au bouton "Liaison annuaire LDAP".

Vous avez ensuite le choix entre deux actions différentes, selon vos besoins.

Si vous cliquez sur "Importation de nouveaux utilisateurs", vous pourrez importer en masse les comptes dans l'Active Directory. Il vous suffit de lancer une recherche, de sélectionner les comptes à importer et de lancer l'import grâce au bouton "Actions".

Importer des comptes AD dans GLPI.jpg

Remarque : vous pouvez aussi importer des groupes Active Directory. Pour cela, suivez la même procédure, mais en allant dans "Groupes" sous "Administration".

VI. Conclusion

En suivant ce tutoriel, vous devriez être en mesure d'importer les comptes utilisateurs d'un annuaire Active Directory dans GLPI, pour faciliter la connexion de vos utilisateurs. Sachez que si un utilisateur change son mot de passe dans l'Active Directory, ce n'est pas un problème : GLPI vérifie les informations lors de la connexion.

The post GLPI : comment configurer l’authentification LDAP via l’Active Directory ? first appeared on IT-Connect.

En 72 heures, le botnet TheMoon a compromis 6 000 routeurs ASUS

27 mars 2024 à 14:00

Une nouvelle variante du botnet "TheMoon" a été repéré dans 88 pays différents sur des milliers de routeurs, notamment de la marque ASUS, et des appareils IoT. Faisons le point sur cette menace.

Les chercheurs en sécurité de Black Lotus Labs ont surveillé de près la dernière campagne de TheMoon, qui s'est déroulée en mars 2024, et les chiffres sont élevés : en 72 heures, ce botnet est parvenu à compromettre 6 000 routeurs ASUS. Plus globalement, voici ce que précise le rapport au sujet de l'activité de TheMoon : "Alors que Lumen a déjà documenté cette famille de logiciels malveillants, notre dernier suivi a montré que TheMoon semble permettre la croissance de Faceless à un rythme de près de 7 000 nouveaux utilisateurs par semaine."

En effet, les appareils compromis par le botnet TheMoon sont ensuite exploités par le service proxy "Faceless" auquel il est lié. Ce service s'appuie sur les appareils infectés pour les utiliser comme proxy afin de masquer le trafic généré par les cybercriminels. Ainsi, ceci permet aux cybercriminels, notamment ceux des groupes IcedID et SolarMarker, de masquer leurs activités malveillantes.

TheMoon n'est pas une nouvelle menace puisqu'il a été repéré pour la première fois en 2014. À cette époque, il ciblait particulièrement les équipements LinkSys. Lors de la première semaine de mars, il y a eu une importante vague d'attaques à destination des routeurs ASUS.

Les routeurs ASUS, une cible privilégiée

Les chercheurs de Black Lotus Labs ne précisent pas comment les routeurs ASUS ont pu être compromis, mais il s'agirait de modèles qui ne sont plus pris en charge par le fabricant. Il est fort probable que des failles de sécurité connues et non corrigées soient exploitées par le botnet, ou que la technique du brute force soit utilisée : ces routeurs sont susceptibles d'être mal configurés et le compte admin par défaut pourrait fonctionner dans certains cas...

Lorsqu'un appareil est compromis, le logiciel malveillant part à la recherche d'un shell avec lequel il est compatible : "/bin/bash," "/bin/ash," ou "/bin/sh". Si c'est le cas, le chargeur télécharge, déchiffre et exécute un payload nommé ".nttpd" sur l'appareil. Ensuite, des règles de filtrage sont créées via iptables pour bloquer les flux entrants sur les ports 8080 et 80 en TCP, sauf pour des plages d'adresses IP spécifiques. Ceci permet aux attaquants d'être les seuls à pouvoir exploiter cet appareil à distance, notamment via le service de proxy. Enfin, TheMoon établit une connexion aux serveurs C2 pilotés par les attaquants et il est en attente de recevoir des instructions.

Si vous constatez des problèmes de stabilité, de performances ou des paramètres qui ont changé sur votre routeur ou un appareil IoT, il se pourrait que vous soyez victime de ce botnet, notamment si vous utilisez un routeur ASUS.

Source

The post En 72 heures, le botnet TheMoon a compromis 6 000 routeurs ASUS first appeared on IT-Connect.

Digital Markets Act : une croissance de 402% pour Opera sur iPhone

27 mars 2024 à 06:00

Grâce à l'entrée en vigueur du Digital Markets Act, Opera affiche une énorme croissance de 402% sur iPhone, en France ! Il s'agit d'une alternative à Safari qui semble séduire les utilisateurs de smartphones Apple.

Le 6 mars 2024, le Digital Markets Act (DMA) est entré en vigueur et les géants de la tech ont dû s'y préparer : que ce soit Google, Amazon, Microsoft ou encore Apple. D'ailleurs, sur les smartphones sous Android et iOS, Google et Apple doivent permettre à l'utilisateur de choisir facilement un navigateur tiers. Autrement dit, si nous prenons le cas de l'iPhone, Apple ne doit pas imposer Safari. Sur Android, il s'agit d'avoir le choix d'utiliser autre chose que Google Chrome. L'objectif étant d'offrir aux utilisateurs une certaine liberté, et surtout, de pouvoir faire ses choix de façon simple.

Bien que de nombreux utilisateurs d'iPhone aient pris la décision de poursuivre l'aventure avec Safari, d'autres, quant à eux, ont choisi d'utiliser un autre navigateur. En effet, il y a du choix : Brave, Mozilla Firefox, ou encore Opera. Au total, il y a une petite dizaine d'alternatives proposées.

Au mois de mars, le grand gagnant, c'est Opera : il affiche une croissance de 402% sur iOS, rien qu'en France. Chez nos voisins européens, il y a également une belle évolution pour Opera : +143% en Espagne, +68% en Pologne et +56% en Allemagne. Sur Android, Opera a également progressé : "Opera pour Android a également connu une croissance significative, en particulier en France, où le nombre de nouveaux utilisateurs a augmenté de 54 % le jour où le Ballot Screen a commencé à être introduit.", peut-on lire dans l'article de presse d'Opera.

De façon globale, sur desktop et mobile, Opera reste moins utilisé que certains navigateurs comme Google Chrome, Microsoft Edge et Safari, c'est un sérieux coup de pouce pour ce navigateur qui se démarque par certaines fonctionnalités intéressantes pour la confidentialité en ligne.

D'ailleurs, dans son article de presse, Opera en profite pour rappeler certaines de ces fonctionnalités disponibles sur mobiles : "Opera pour Android et Opera pour iOS sont des navigateurs puissants qui offrent une expérience rapide, sécurisée et centrée sur l'utilisateur. Tous deux proposent des fonctions de confidentialité avancées, telles qu'un VPN gratuit et sans connexion, ainsi qu'un bloqueur de publicités, un bloqueur de traqueurs et un bloqueur de fenêtres pop-up et de cookies intégrés."

Par ailleurs, certains utilisateurs ont pris la décision de s'orienter vers d'autres navigateurs. Du côté de Brave, le nombre d'installations quotidiennes est passé de 8 000 à 11 000 à partir du 9 mars 2024.

Source

The post Digital Markets Act : une croissance de 402% pour Opera sur iPhone first appeared on IT-Connect.

Quels sont les fichiers ou dossiers que l’on peut supprimer dans Windows

Par : malekalmorte
27 mars 2024 à 07:37

Windows contient de nombreux fichiers et dossiers dont vous n’avez pas besoin. Entre les caches, les fichiers inutiles qui gaspillent de l’espace et les fichiers que vous pouvez supprimer pour résoudre des problèmes, il peut être difficile de savoir ce qui peut être supprimé de Windows en toute sécurité afin de libérer de la place disque.

Dans ce tutoriel, je passe en revue quelques fichiers et dossiers Windows qui peuvent être supprimés en toute sécurité, ainsi que les raisons pour lesquelles vous pouvez vouloir les effacer. Cela vous aidera à libérer de l’espace disque et à mieux connaître votre PC.
En fin d’article, je vous explique comment nettoyer Windows sans causer aucun dommage avec les utilitaires intégrés.

Supprimer ces fichiers et dossiers Windows pour libérer de l'espace disque

Supprimer ces fichiers et dossiers Windows pour libérer de l’espace disque

Les fichiers temporaires de l’utilisateur (C:\Users\<utilisateur\AppData\Temp)

On commence cette revue des dossiers de Windows que vous pouvez nettoyer avec le dossier temporaire utilisateur : C:\Users\<utilisateur\AppData\Temp

Comme son nom l’indique, il stocke les fichiers que les applications de l’utilisateur créé temporairement et qu’ils sont censés supprimer une fois l’application fermée.
Parfois, ces fichiers peuvent rester et s’accumuler dans le temps.

Vous pouvez supprimer l’intégralité des fichiers qui s’y trouvent depuis l’Explorateur de fichiers.
Saisissez le chemin %TEMP% et utilisez le raccourci clavier CTRL+A pour sélectionner tous les fichiers.
Enfin supprimez les.

Les fichiers temporaires de l'utilisateur (C:\Users\<utilisateur\AppData\Temp)

Le dossier temporaire de Windows (C:\Windows\Temp)

De la même manière que le dossier temporaire utilisateur, le système a besoin d’un dossier temporaire.
Son emplacement est C:\Windows\Temp.
Les fichiers et dossiers qu’ils contiennent contiennent des informations que Windows a utilisées à un moment donné, mais dont il n’a plus besoin.

Vous pouvez vous rendre simplement dans ce dossier avec l’Explorateur de fichiers et sélectionner tous les fichiers avec CTRL+A et tout supprimer.
Sinon utilisez l’utilitaire de nettoyage de disque recommandé en fin d’article.

Le dossier temporaire de Windows (C:\Windows\Temp)

La corbeille de Windows (shell:RecycleBinFolder)

La corbeille de Windows stocke les fichiers qui viennent d’être supprimés.
Elle permet de les restaurer, ce qui est assez pratique lorsque l’on a supprimé un fichier par erreur.
La taille de la corbeille de Windows est limitée, et une fois cette taille atteinte, les anciens fichiers sont supprimés.
Mais vous pouvez vider la corbeille de Windows très simplement :

  • Vous pouvez accéder à la corbeille par le raccourci situé sur votre bureau. Si vous ne le voyez pas, tapez shell:RecycleBinFolder dans la barre de navigation de l’explorateur de fichiers.
  • Une fois dans ce dossier, vous verrez tout ce que vous avez supprimé récemment
  • Cliquez avec le bouton droit de la souris sur les éléments individuels et cliquez sur Supprimer pour les effacer définitivement, ou choisissez Restaurer pour renvoyer un fichier à son emplacement d’origine
La corbeille de Windows (shell:RecycleBinFolder)

Windows.old (C:\Windows.old)

Chaque fois que vous mettez à jour votre version de Windows, le système conserve une copie de vos fichiers précédents, appelée Windows.old. Ce dossier contient essentiellement tout ce qui constituait votre ancienne installation, au cas où quelque chose n’aurait pas été transféré correctement.

Si nécessaire, vous pouvez utiliser ce dossier pour revenir à une version antérieure de Windows. Il est également possible d’ouvrir le dossier et de récupérer quelques fichiers égarés si vous en avez besoin.
Notez que le système prévoit de le supprimer automatiquement, 10 jours après l’installation de la mise à jour de fonctionnalités.
Donc si le dossier est encore présent, cela n’est pas normal.

Vous pouvez supprimer le dossier Windows.old sans problème.

Le dossier Windows.old - dossier que vous pouvez supprimer

C:\Windows\Logs

Le dossier système C:\Windows\Logs stocke différents journaux Windows liés aux utilitaires SFC, DISM, la restauration du système ou encore Windows Update.
Vous pouvez y trouver des fichiers texte souvent avec l’extension .log ou des fichiers .etl.
Il est tout à fait possible de supprimer ces fichiers s’ils prennent trop de place. Pour cela, il suffit de vous y rendre avec l’Explorateur de fichiers et de supprimer les fichiers manuellement.

Le dossier C:\Windows\Logs

LiveKernelReports (C:\Windows\LiveKernelReports)

Le dossier LiveKernelReports est un autre répertoire susceptible d’apparaître lorsque vous recherchez des fichiers volumineux sur votre ordinateur. Ce dossier contient les fichiers dump, qui sont des journaux d’information permanents conservés par Windows. Si votre ordinateur rencontre un problème, vous pouvez analyser le contenu des fichiers journaux à l’aide de l’Observateur d’événements pour commencer à résoudre le problème.

Tous les fichiers volumineux se terminant par l’extension DMP dans ce dossier peuvent être supprimés en toute sécurité si vous n’avez pas besoin de les examiner plus en détail. Cependant, comme pour les emplacements ci-dessus, nous vous recommandons d’utiliser l’utilitaire de nettoyage de disque au lieu de supprimer le fichier vous-même.

Lorsque Windows tombe en panne ou que vous rencontrez d’autres problèmes informatiques majeurs, ne supprimez pas immédiatement ces fichiers de vidage. Vous pouvez utiliser un programme comme WhoCrashed pour obtenir plus d’informations.

Le dossier LiveKernelReports (C:\Windows\LiveKernelReports)

Fichiers de programme téléchargés (C:\Windows\Downloaded Program Files)

Ce dossier n’a rien à voir avec les téléchargements effectués par l’utilisateur.
Il contient plutôt des fichiers utilisés par les contrôles ActiveX et les applets Java d’Internet Explorer. L’objectif est qu’une fois que vous utilisez l’une de ces fonctions sur un site web, vous n’ayez pas à la télécharger deux fois.

En fait, ce dossier est aujourd’hui inutile. ActiveX et Java ont en effet disparu du web moderne, et Internet Explorer n’est plus pris en charge. Par conséquent, votre dossier Downloaded Program Files est peut-être déjà vide (ou n’existe même pas), mais n’hésitez pas à en nettoyer le contenu si ce n’est pas le cas.

Fichiers de programme téléchargés (C:\Windows\Downloaded Program Files)

C:\Windows\SoftwareDistribution (Windows Update)

C:\Windows\SoftwareDistribution est un répertoire des systèmes d’exploitation Windows dans lequel le système stocke les fichiers relatifs à Windows Update.

Lorsque vous utilisez Windows Update pour télécharger et installer des mises à jour pour votre système d’exploitation, les fichiers sont temporairement stockés dans ce répertoire avant d’être installés. En outre, ce répertoire peut contenir des journaux, des fichiers temporaires et d’autres données liées aux opérations de Windows Update.

Vous pouvez le vider depuis l’Explorateur de fichiers. Si vous n’y arrivez pas, suivez ce guide : Comment vider SoftwareDistribution (catalogue de mise à jour) Windows Update

Le dossier C:\Windows\SoftwareDistribution (Windows Update)

Le fichier d’hibernation (C:\hiberfil.sys)

Le mode hibernation de votre PC est similaire au mode veille, sauf que le système enregistre tous vos travaux en cours sur le disque de stockage, puis s’éteint. Vous pouvez retirer la batterie de votre ordinateur portable et rester en hibernation pendant une semaine, puis redémarrer et reprendre là où vous vous étiez arrêté.

Bien entendu, cela prend de la place, et c’est à cela que sert le fichier d’hibernation. En fonction de la taille de votre disque dur, le fichier d’hibernation représente probablement plusieurs gigaoctets ou plus.

Si vous n’utilisez pas la mise en veille prolongée et que vous souhaitez la désactiver, vous pouvez facilement le faire via la ligne de commande. Notez que vous ne devez pas simplement supprimer hiberfil.sys, car Windows le recréera à nouveau.

Le fichier d'hibernation (C:\hiberfil.sys)

Quels logiciels pour supprimer les fichiers inutiles ?

Supprimer ces fichiers inutiles peut être fastidieux, savez-vous que Windows possède un utilitaire de disque qui permet de nettoyer le disque en quelques clics ?
Outre le fait que vous perdez du temps à le faire vous-même alors que vous pourriez automatiser le processus, il est plus sûr de laisser l’outil de nettoyage de disque effectuer ces nettoyages pour vous. Vous éviterez ainsi les erreurs courantes de maintenance de Windows, comme la suppression accidentelle de fichiers dont vous avez besoin ou la manipulation des mauvais dossiers.

Pour l’utiliser, c’est très simple :

  • Faites un clic droit sur le menu Démarrer > exécuter
  • Saisissez cleamgr et OK
  • En bas à gauche, cliquez sur
  • Cochez toutes les éléments et cliquez sur OK pour lancer le nettoyage de disque
L'utilitaire de nettoyage de disque de Windows

Si vous trouvez cette interface trop lourde, vous pouvez vous rendre dans Paramètres > Système > Stockage pour essayer le nouvel outil de nettoyage du stockage de Windows 10 et 11. Cliquez sur Fichiers temporaires dans la liste des options, puis vous verrez s’afficher une liste similaire à celle proposée par l’utilitaire de nettoyage de disque.

Vous pouvez configurer Windows pour supprimer les fichiers inutiles automatiquement :

Liens

L’article Quels sont les fichiers ou dossiers que l’on peut supprimer dans Windows est apparu en premier sur malekal.com.

À partir d’avant-hierIT

Sur Windows Server, Microsoft Edge 123 ne fonctionne plus ! Que se passe-t-il ?

26 mars 2024 à 15:03

Vous utilisez Microsoft Edge sur Windows Server et il se ferme au bout de quelques secondes ? Sachez que vous n'êtes pas le seul et que ce problème serait lié à la version 123 du navigateur Edge. Faisons le point sur ce problème.

La Build 123.0.2420.53 de Microsoft Edge semble donner du fil à retordre aux administrateurs systèmes qui exploitent ce navigateur sur Windows Server. En effet, cette version ne semble pas fonctionner correctement : une page blanche s'ouvre au démarrage, puis quelques secondes plus tard, le navigateur se ferme tout seul. Ceci peut s'avérer très problématique sur certains serveurs, notamment les hôtes de sessions Bureau à distance (RDS) où les utilisateurs se connectent directement !

Ce problème fait suite à l'installation de la version 123.0.2420.53 sur Windows Server. Une version disponible depuis quelques jours sur Windows et Windows Server puisqu'elle a introduit le canal Stable de Microsoft Edge le 23 mars 2024.

Comment résoudre ce problème ?

Actuellement, la solution consiste à revenir en arrière, c'est-à-dire sur une version antérieure de Microsoft Edge. D'ailleurs, sur le forum de Microsoft une ligne de commande a été fournie par un utilisateur pour expliquer comment revenir en arrière à partir du package MSI d'une précédente version d'Edge grâce à l'utilisation du paramètre "ALLOWDOWNGRADE=1" :

msiexec /I Microsoft Edge_122.0.2365.106_Machine_X64_msi_en-US.msi ALLOWDOWNGRADE=1

Vous pouvez télécharger la version de Microsoft Edge de votre choix à partir de cette page. Sur la page du forum Microsoft, l'agent qui a répondu confirme que d'autres utilisateurs ont rencontré ce problème ! D'ailleurs, ces dernières heures, Microsoft a retiré cette mise à jour de son catalogue et elle n'est plus distribuée via WSUS : preuve qu'il y a un réel problème avec celle ! En attendant, si elle est déjà passée sur vos serveurs, vous risquez de rencontrer ce problème !

Et vous, rencontrez-vous ce bug sur Windows Server ?

PS : merci à Fabien Guérout de chez Délibérata (un ancien collègue !) de m'avoir signalé ce dysfonctionnement et confirmé que le downgrade vers une version antérieure permettait de corriger ce problème !

The post Sur Windows Server, Microsoft Edge 123 ne fonctionne plus ! Que se passe-t-il ? first appeared on IT-Connect.

Le kit de phishing Tycoon 2FA contourne le MFA et cible les comptes Microsoft 365 et Gmail !

26 mars 2024 à 13:09

Tycoon 2FA, c'est le nom d'une plateforme de Phishing-as-a-Service (Phaas) utilisée par les cybercriminels pour cibler les utilisateurs de Gmail (Google) et de Microsoft 365, tout en outrepassant l'authentification à deux facteurs. Voici ce qu'il faut savoir sur ce kit redoutable !

En octobre 2023, les analyses de Sekoia ont fait la découverte de Tycoon 2FA pour la première fois. Néanmoins, les pirates du groupe Saad Tycoon en font la promotion sur un canal Telegram privé depuis août 2023.

Comme le soulignent les équipes de Sekoia dans un nouveau rapport, ce kit de phishing prêt à l'emploi est en pleine évolution et une nouvelle version a été publiée en 2024 : plus efficace et plus furtive, notamment l'ajout de capacités de détection et de blocage des bots. Actuellement, Tycoon 2FA exploite 1 100 domaines et a été utilisé pour mettre au point des milliers d'attaques de phishing.

Afin de pouvoir contourner l'authentification multifacteur et voler les informations d'identification des utilisateurs, Tycoon 2FA doit intercepter les données de la victime et les transmettre au service légitime. Pour atteindre cet objectif, la plateforme Tycoon 2FA intègre un reverse proxy qui va se positionner entre l'ordinateur de la victime et le service sur lequel elle va se connecter.

Un processus bien rôdé, en 7 étapes

Ainsi, actuellement en mars 2024, une attaque Tycoon 2FA se déroule en 7 étapes distinctes :

  • Étape 0 : les attaquants diffusent des liens malveillants par l'intermédiaire d'une campagne de phishing (e-mails malveillants) ou des QR codes piégés, dans le but d'amener la victime vers la page falsifiée.
  • Étape 1 : lorsqu'un utilisateur clique sur l'URL contenue dans l'e-mail, ou qu'il scanne le QR code, il est redirigé vers une page intégrant un défi Turnstile de Cloudflare afin de filtrer le trafic indésirable.
  • Étape 2 : cette étape n'est pas visible pour l'utilisateur, car elle exécute un code JavaScript en arrière-plan et redirige ensuite l'utilisateur vers une autre page en fonction de la présence d'une adresse électronique.
  • Étape 3 : cette étape est également invisible pour l'utilisateur qui sera redirigé automatiquement vers une autre page contrôlée par les cybercriminels.
  • Étape 4 : l'utilisateur se retrouve face à une fausse page de connexion Microsoft qui est utilisée par les attaquants pour voler les informations d'identification. WebSockets est utilisé pour l'exfiltration des données.
  • Étape 5 : c'est à ce moment-là que, si nécessaire, Tycoon 2FA va utiliser du code JavaScript pour proposer un défi 2FA à l'utilisateur, en relayant et en prenant en charge plusieurs méthodes (Notification sur Microsoft Authenticator, code à usage unique via une application, SMS ou par appel téléphonique). Il interceptera les informations de validation émises par l'utilisateur pour compléter le challenge MFA.
  • Étape 6 : fin du processus, l'utilisateur est redirigé vers une page déterminée par les cybercriminels. Le site de Microsoft, dans certains cas.

Au sujet de l'étape n°5, Sekoia précise : "À l'aide de serveurs proxy commerciaux, les pages d'hameçonnage Tycoon 2FA transmettent les données de l'utilisateur, notamment l'adresse électronique, le mot de passe et le code 2FA, à l'API d'authentification légitime de Microsoft. La réponse au trafic de l'API Microsoft renvoie les pages et les informations appropriées à l'utilisateur." - Ce qui montre l'efficacité de Tycoon 2FA et prouve que c'est un kit prêt à l'emploi très évolué.

Source : Sekoia

Les affiliés de Tycoon 2FA ont accès à un véritable tableau de bord d'administration au sein duquel ils peuvent visualiser les identifiants collectés avec l'identifiant, le mot de passe, l'état du MFA, ainsi que la possibilité d'obtenir des cookies d'authentification prêts à l'emploi.

Un ensemble de domaines malveillants est associé à l'utilisation du kit Tycoon 2FA. Vous pouvez retrouver la liste sur le GitHub de Sekoia, sur cette page.

Tycoon 2FA, une plateforme massivement utilisée par les pirates

Sekoia a pu analyser le portefeuille de cryptomonnaie utilisé par le groupe de cybercriminels à l'origine du kit Tycoon 2FA. Depuis août 2023, il y a eu 700 transactions entrantes d'une valeur moyenne de 366 dollars, soit plus de 256 000 dollars. Les analystes indiquent également que 530 transactions ont dépassé 120 dollars, ce qui correspond au tarif pour accéder à la plateforme PhaaS pendant 10 jours.

"En supposant que le portefeuille est principalement utilisé pour les opérations PhaaS de Tycoon 2FA depuis août 2023, le montant total des transactions suggère que plusieurs centaines de kits Tycoon 2FA ont été vendus 'as a service' sur une période de six mois.", peut-on lire.

Source

The post Le kit de phishing Tycoon 2FA contourne le MFA et cible les comptes Microsoft 365 et Gmail ! first appeared on IT-Connect.

BitLocker : utiliser une clé de récupération pour déverrouiller un lecteur

Par : Le Crabe
26 mars 2024 à 10:14
La clé de récupération BitLocker est une clé de chiffrement permettant de décrypter un disque chiffré par BitLocker ou sa version allégée Chiffrement de l’appareil. C’est un mot de passe numérique de 48 chiffres que vous avez obligatoirement sauvegardée lors de l’activation de BitLocker sur le lecteur. Cette clé est à utiliser en dernier recours … Lire la suite

Source

Comment activer BitLocker sur Windows 10 Famille ?

Par : Le Crabe
26 mars 2024 à 09:50
Excellente nouvelle ! Il est possible d’activer BitLocker sur toutes les éditions de Windows 10. Alors, certes pour l’édition Famille, il s’agit d’une version allégée du logiciel de chiffrement BitLocker appelée Chiffrement de l’appareil. Mais, elle permet déjà de crypter efficacement le disque système. C’est donc une excellente protection contre le vol de données et les … Lire la suite

Source

Sécurité de l’Active Directory : comprendre et se protéger de l’attaque ASREPRoast

26 mars 2024 à 08:00

I. Présentation

Dans cet article, nous allons comprendre, exploiter et corriger une vulnérabilité fréquente sur les environnements Active Directory : ASREPRoast.

Ce nom ne vous dit peut-être rien, mais il s'agit d'un défaut de configuration fréquent dans l'Active Directory. L'attaque ASREPRoast permet à un attaquant situé sur un réseau d'entreprise possédant un domaine de compromettre rapidement un compte utilisateur, et ainsi de passer d'un mode opératoire boite noire (attaque sans identifiants valides, juste une connexion au réseau) à un mode boite grise (attaque depuis un compte valide sur le domaine). Le passage d'un mode boite noire à boite grise change en général la donne de façon très importante lors d'une cyberattaque, car l'accès authentifié au domaine permet d'en extraire beaucoup d'informations.

L'objectif de cet article est de vous expliquer en détail cette vulnérabilité. Nous allons notamment voir comment elle peut être introduite sur un Active Directory, comment un attaquant peut l'exploiter et comment un défenseur peut l'identifier et la corriger.

C'est parti !

II. Qu'est-ce que l'attaque ASREPRoast ?

A. Dans les grandes lignes

Commençons par essayer de comprendre le nom de l'attaque. "ASREP" fait référence au message "KRB-AS-REP" du service Kerberos lors d'une authentification (réponse à un message KRB-AS-REQ, une requête d'authentification Kerberos). "Roast" renvoi simplement au mot "rôtir" ou "cuisiner" car l'on devra ensuite travailler un peu sur la donnée obtenue pour pouvoir l'utiliser.

Au sein d'un domaine, l'authentification Kerberos est assurée par le composant Key Distribution Center (KDC) des contrôleurs de domaine. Lorsqu'un utilisateur souhaite accéder à un service ou à une ressource réseau, il doit d'abord obtenir un Ticket Granting Ticket (TGT) auprès du KDC. Pour cela, l'utilisateur envoie une requête de type "KRB-AS-REQ" (Kerberos Authentication Service Request) au KDC, elle contient notamment des informations d'identification de l'utilisateur et une clé liée à son mot de passe.

Le KDC vérifie alors les informations d'identification fournies par l'utilisateur. Si celles-ci sont correctes et que l'utilisateur existe dans le domaine, le KDC lui délivre un TGT. Ce TGT est ensuite utilisé par l'utilisateur pour obtenir des tickets de session (TGS) auprès des services du domaine, lui permettant d'accéder à ceux-ci sans avoir à fournir à nouveau ses informations d'identification. Ce processus s'appelle pre-authentification.

Schéma d'une authentification Kerberos et de l'émission d'un TGT.
Schéma d'une authentification Kerberos et de l'émission d'un TGT.

Cependant, il existe une configuration spécifique représentée par un attribut sur les comptes utilisateurs appelé "Do not require Kerberos preauthentication". Cet attribut autorise l'envoi d'un TGT pour un compte sans que le demandeur n'ait prouvé son identité au préalable.

Schéma de l'émission d'un TGT pour un utilisteur ayant l'attribut "Do not require Kerberos preauthentication".
Schéma de l'émission d'un TGT pour un utilisteur ayant l'attribut "Do not require Kerberos preauthentication".

En conséquence, n'importe qui sur le réseau peut obtenir un TGT représentant ce compte utilisateur et tenter d'usurper son identité. Il est important de noter que le TGT obtenu ne peut être utilisé que si la personne qui le détient connaît le mot de passe du compte associé. Cependant, en cas d'utilisation d'un mot de passe faible, le contenu du TGT peut être utilisé pour retrouver le mot de passe du compte utilisateur.

Le TGT ne contient pas directement le mot de passe de l'utilisateur. Mais, il contient des informations chiffrées grâce au secret de l'utilisateur, qui sont utilisés pour prouver l'identité de l'utilisateur lorsqu'il demande des tickets de session ultérieurs. Ainsi, des "traces" du mot de passe s'y trouve, ce qui permet de tenter de casser le TGT pour retrouver le mot de passe en clair.

Cette attaque est très connue des attaquants, si bien qu'elle dispose de son propre TTP (Tactics, Technics and Procedures) dans le framework MITRE ATT&CK : T1558.004- Steal or Forge Kerberos Tickets: AS-REP Roasting.

B. Dans le détail

Regardons à présent dans le détail ce qu'il se passe lors d'une authentification via Kerberos. Pour cela, j'ai effectué une capture réseau des échanges dans différents cas de figures.

  • AS-REQ pour un login inexistant

Lorsqu'un utilisateur souhaite s'authentifier auprès du service Kerberos, le client envoi dans un premier temps un message de demande d'authentification ("KRB-AS-REQ"), voici à quoi il ressemble sur une capture réseau (cliquez sur l'image pour zoomer) :

"AS-REQ" suivi d'une erreur "ERR_C_PRINCIPAL_UNKNOWN".
"AS-REQ" suivi d'une erreur "ERR_C_PRINCIPAL_UNKNOWN".

Dans le cas d'une demande d'authentification avec un login incorrect, c'est-à-dire qui n'existe pas dans l'Active Directory, le service Kerberos renvoi un message de type "KRB-ERROR : C-PRINCIPAL-UNKNOWN" en réponse à l'AS-REQ" du client. Le message est clair : l'utilisateur "MMARTIN1" n'existe pas dans l'Active Directory.

  • AS-REQ pour un login existant avec pré-authentification

Si le login est correct, le service renvoi une réponse de type "KRB-ERROR : PREAUTH REQUIRED". Cette réponse du service Kerberos indique que pour obtenir un TGT pour cet utilisateur, il faut au préalable s'authentifier, ce qui est plutôt une bonne nouvelle d'un point de vue sécurité. Rappelons que les TGT sont des tickets qui permettent de demander des TGS (Ticket Granting Service) pour accéder à un service au nom de l'utilisateur présenté dans le ticket. Il est donc préférable de prouver son identité (s'authentifier) au préalable.

À noter que cette différence de comportement dans la réponse du service ("PRINCIPAL_UNKNOWN "ou "PREAUTH REQUIRED") permet une énumération des utilisateurs basée sur un dictionnaire. Sans même connaitre le mot de passe associé à un compte, on peut savoir s'il existe dans l'annuaire, car le service Kerberos nous indiquera clairement cette information dans sa réponse.

Voici à quoi rassemble une réponse "PREAUTH_REQUIRED". Suite à cette réponse, notre client s'authentifie envoyant un message "AS-REQ", encore ? (cliquez sur l'image pour zoomer) :

Réponse "ERR_PREAUTH_REQUIRED" indiquant que le compte utilisateur existe dans l'annuaire.
Réponse "ERR_PREAUTH_REQUIRED" indiquant que le compte utilisateur existe dans l'annuaire.

Ce second message "AS-REQ" contient cependant un nouvel item, il s'agit d'une donnée chiffrée à l'aide d'une clé liée au mot de passe utilisateur. Si le service Kerberos parvient à déchiffrer ce message avec le mot de passe de l'utilisateur (qu'il possède de son côté grâce à l'annuaire et sa base NTDS.DIT) alors, il aura la preuve qu'il s'agit du bon mot de passe, et donc du vrai utilisateur. Tout cela sans que le mot de passe n'ait transité en clair sur le réseau. Pour plus de détails, sachez que la donnée chiffrée est un timestamp : c'est-à-dire la date et l'heure actuelle dans un format précis (notez le "pA-ENC-TIMESTAMP" dans la seconde AS-REQ).

Enfin, si les identifiants sont corrects, le service envoi un message de réponse "AS-REP" contenant notamment un TGT, qui permet de demander ensuite des TGS (cliquez sur l'image pour zoomer) à différents services :

Transmission d'un TGT par le service Keberos suite à une authentification réussie.
Transmission d'un TGT par le service Keberos suite à une authentification réussie.

Voilà à quoi ressemble une authentification "classique" via Kerberos en vue d'obtenir un TGT.

  • AS-REQ pour un login existant sans pré-authentification

Cependant, Microsoft a ajouté un attribut aux objets utilisateur qui permet d'autoriser le service Kerberos à fournir un TGT à quiconque le demande, sans authentification : l'attribut "Do not require Kerberos preauthentication". Dans ce cas, un attaquant peut demander un TGT pour un tel compte sans avoir besoin de fournir de preuve d'identité valide. Voilà alors ce qu'il se passe (cliquez sur l'image pour zoomer) :

Obtention d'un TGT sans authentification préalable pour un utilisateur ayant l'attribut "No preauthentication required".
Obtention d'un TGT sans authentification préalable pour un utilisateur ayant l'attribut "No preauthentication required".

Une "AS-REQ", demandant un TGT pour l'utilisateur "RDUBOIS", puis une "AS-REP" du KDC délivrant TGT, le tout sans preuve d'identité (authentification). N'importe qui peut donc usurper l'identité de l'utilisateur "RDUBOIS" en demandant un TGT à son nom, puis utiliser ce TGT pour demander des TGS aux services du domaine et y accéder.

Pour être plus précis, rappelons que le TGT obtenu dans les messages "AS-REP" est chiffré et ne peut être utilisé sans connaître le mot de passe du compte utilisateur. Cependant, étant donné qu'il est chiffré avec un dérivé du mot de passe utilisateur, l'attaquant pourra tenter de casser ce mot de passe en Offline (localement, sans interactions supplémentaires avec le KDC ou le domaine), pour retrouver le mot de passe de l'utilisateur.

En résumé, quand cet attribut est présent sur un compte utilisateur, n'importe qui peut obtenir une donnée (le TGT) qui utilise un dérivé du mot de passe du compte utilisateur, et donc tenter de retrouver le mot de passe en clair. Même en étant confiant sur l'algorithme de chiffrement et la robustesse du mot de passe utilisé, reconnaissons qu'il est plutôt périlleux de fournir ce genre d'informations à un simple visiteur non authentifié sur notre système d'information.

J'espère que cette vue en détail des échanges Kerberos vous aura permis de mieux comprendre le fonctionnement de l'attaque ASREPRoast.

C. Pourquoi cet attribut ?

Certaines applications ne prennent pas en charge la pré-authentification Kerberos, il est ainsi courant de trouver des utilisateurs avec la pré-authentification Kerberos désactivée, permettant ainsi aux attaquants de demander des TGT pour ces utilisateurs. C'est la raison principale de l'existence de ce paramètre d'après la documentation Microsoft. La pré-authentification Kerberos peut également être désactivée pour d'autres raisons liées à des besoins spécifiques de sécurité ou de compatibilité avec d'autres systèmes.

Dans la réalité, il n'est pas rare de trouver de tels comptes, notamment sur des systèmes d'information qui ont un certain historique...

III. Configuration d'un Lab vulnérable

Attention, dans ce chapitre, nous allons configurer de manière volontaire un Lab vulnérable pour vous exposer le but et le fonctionnement de l'attaque.

NE PAS REPRODUIRE SUR UN ENVIRONNEMENT DE PRODUCTION.

Dans mon Lab de démonstration, j'ouvre la console "Utilisateurs et ordinateurs Active Directory", puis je sélectionne un de mes utilisateurs, ici l'utilisateur "RDUBOIS". Il faut ensuite faire un clic droit "Propriétés" sur cet objet et se rendre dans "Compte" :

Configuration de l'attribut "Do not require Kerberos preauthentication" sur un compte utilisateur.
Configuration de l'attribut "Do not require Kerberos preauthentication" sur un compte utilisateur.

Dans les "Options de compte", il faut trouver et cocher "La pré-authentification Kerberos n'est pas nécessaire" comme sur l'image ci-dessus.

Si vous vous souvenez des explications précédentes, l'attaque ASREPROAST est d'autant plus dangereuse si le mot de passe utilisé est faible, pour avoir un cas d'école, nous allons paramétrer le mot de passe de l'utilisateur "RDUBOIS" à "#1p@ssword" (ce n'est pas un mot de passe faible ? Vous allez voir que si 🙂 ). Il faut à nouveau faire un clic droit sur l'objet puis "Réinitialiser le mot de passe" :

Paramétrage d'un mot de passe faible sur le compte utilisateur.
Paramétrage d'un mot de passe faible sur le compte utilisateur.

Voilà, notre Lab d'entrainement est prêt !

IV. Point de vue de l'attaquant

Soyez vigilant à n'exploiter ou même tenter de découvrir cette vulnérabilité que si vous y êtes autorisé. Pour rappel : Code pénal : Chapitre III : Des atteintes aux systèmes de traitement automatisé de données

A. Trouver une liste de noms

Vous l'aurez compris, pour effectuer une attaque ASREPRoast, il faut un login utilisateur à tester, voire plusieurs. Dans un premier temps, l'attaquant doit donc se constituer une liste de login (dictionnaire) qu'il soumettra ensuite au service Kerberos.

  • Dans le cas où l'attaquant n'est pas authentifié sur le domaine (boite noire) :

Si l'attaquant n'a pas de compte sur l'Active Directory, il peut utiliser différentes méthodes pour récupérer des logins valides. L'OSINT (Open Source Intelligence) est une méthode assez commune puisqu'avec quelques requêtes Google ou recherches Linkedin, on peut assez facilement retrouver une liste de personnes travaillant dans une entreprise. La recherche dans des fuites de données, basée sur le nom de l'entreprise ou l'adresse mail, est aussi fréquente.

Depuis l'intérieur du réseau (toujours sans compte valide sur le domaine), il existe un grand nombre de techniques également. Les imprimantes sont mon moyen favori, souvent mal protégées avec des interfaces d'administration exposées et verbeuses, elles stockent des carnets d'adresses qui exposent souvent des logins utilisateur. Les applications web internes, services SNMP, SMB et RPC mal configurés (authentification anonyme) ou même l'interception réseau sont également très efficaces.

Également, il est possible pour l'attaquant d'utiliser des dictionnaires pré-conçus utilisant des couples prénom-noms communs, voir des noms de comptes techniques comme "svc-ldap", "backup", "formation", "accueil", etc. Les dictionnaires que j'utilise souvent sont publics et fonctionnent en général très bien, bien qu'utilisant majoritairement des noms anglophones : https://github.com/insidetrust/statistically-likely-usernames.

Avec toutes ces méthodes, il est souvent très facile de se constituer une liste bien fournie de logins utilisateur potentiels. Il faut enfin savoir les formater grâce à la nomenclature actuelle de l'Active Directory ciblé : est-ce "marc.martin", marc_martin, "m.martin", "mmartin" ? etc.

  • Dans le cas où l'attaquant est authentifié sur le domaine (boite grise) :

Si l'attaquant possède déjà un compte sur le domaine, rien de plus facile. Une simple requête LDAP permettra de récupérer la totalité des logins utilisateur de l'annuaire, il aura alors une liste exhaustive des comptes à cibler, augmentant ses chances d'en trouver un avec l'attribut "Do not require Kerberos preauthentication".

Depuis Linux, une requête "ldapsearch" fera l'affaire :

ldapsearch -v -x -D "[email protected]" -W -b "DC=it-connect,DC=tech"  -H "ldap://ad01.it-connect.tech" "(&(objectClass=user))" sAMAccountName |grep "sAMAccountName:" |cut -d " " -f 2 > /tmp/userlist

J'utilise ici la commande "ldapsearch" pour récupérer les attributs "sAMAccountName" des utilisateurs du domaine, puis la commande "grep" pour isoler les lignes qui m'intéressent et enfin "cut" pour isoler uniquement le login de l'utilisateur. Si vous peinez à comprendre cette commande, n'hésitez pas à la décomposer dans votre environnement et à exécuter les commandes une à une. Le tout est enregistré dans le fichier "/tmp/userlist". Voici un exemple du résultat attendu :

Extraction des utilisateurs de l'Active Directory avec un compte valide sur le domaine via "ldapsearch".
Extraction des utilisateurs de l'Active Directory avec un compte valide sur le domaine via "ldapsearch".

Je me retrouve donc avec une liste de 1000 logins utilisateur valides dans le fichier "/tmp/userlist".

L'outil BloodHound va également récupérer la liste des utilisateurs pour les stocker dans un fichier JSON, qui pourra facilement être parcouru pour en extraire les logins. Je vous oriente sur mon cours sur BloodHound si vous souhaitez en savoir plus : Identifiez les faiblesses de votre Active Directory avec Bloodhound

Une fois cette liste, hypothétique, partielle ou complète à disposition, l'attaquant va pouvoir interroger sur le service Kerberos du domaine afin de voir si :

  • L'utilisateur existe dans l'annuaire;
  • Il dispose de l'attribut "Do not require Kerberos preauthentication".

B. Exploiter ASREPRoast depuis Linux

Depuis Linux, une multitude d'outils offensifs existent pour effectuer cette attaque. Je vais ici vous présenter les outils les plus classiques : "impacket" et "netexec".

Impacket est une bibliothèque Python utilisée pour interagir avec des protocoles de réseau tels que SMB, LDAP et Kerberos. Elle offre des outils pour la manipulation de paquets réseau, la création de serveurs et de clients pour ces protocoles, ainsi que des fonctionnalités avancées pour l'analyse et l'exploitation de vulnérabilités. Impacket est très largement utilisé pour les opérations offensives et de nombreux outils utilisent cette librairie.

En plus d'être une librairie très puissante, les créateurs d'Impacket fournissent des scripts qui l'utilisent afin d'automatiser certaines opérations et attaques, comme ASREPRoast. Je ne peux pas détailler ici la procédure d'installation de "Impacket" et de ses "examples scripts", je vous renvoie pour cela à la documentation officielle : Github - Impacket.

  • ASREPRoast en boite noire

Nous allons notamment utiliser le script "impacket-GetNPUsers" ("NP" pour "NoPreauth"). Dans le cas où nous sommes en boite noire, nous avons au préalable construit notre dictionnaire à partir de différentes sources. Nous pouvons utiliser ce dictionnaire pour réaliser une attaque ASREPRoast. Ici,"192.168.56.102" est l'adresse IP de mon contrôleur de domaine, qui héberge le service Kerberos (KDC)) :

impacket-GetNPUsers -usersfile /tmp/userlist -request -format hashcat -outputfile /tmp/IMPACKET_asreproast_blackbox.txt -dc-ip 192.168.56.102 'it-connect.tech/'

L'outil netexec (NXC), également très présent dans les opérations offensives, peut aussi être utilisé :

netexec ldap 192.168.56.102 -u /tmp/userlist -p '' -d it-connect.tech --asreproast /tmp/NXC-asreproast_blackbox.out
  • ASREPRoast en boite grise

Si l'on dispose d'un accès authentifié au domaine, encore mieux, "impacket-GetNPUsers" peut automatiser à la fois la récupération des utilisateurs dans la base LDAP, et l'envoi d'un "AS-REQ" en leur nom pour voir s'ils sont vulnérables à l'ASREPRoast :

impacket-GetNPUsers -request -format hashcat -outputfile ASREProastables.txt -dc-ip 192.168.56.102 'it-connect.tech/mmartin:MyPassword1!'  -outputfile /tmp/IMPACKET_asreproast_greybox.txt

Même principe pour "netexec", il suffira de spécifier l'utilisateur ("-u") et son mot de passe de ("-p") pour s'authentifier auprès du service LDAP afin de récupérer la liste des utilisateurs :

netexec ldap 192.168.56.102 -u mmartin -p 'MyPassword1!' --asreproast /tmp/NXC-asreproast_greybox.txt

Voici le résultat attendu pour "impacket-GetNPUsers" et "netexec" :

Utilisation de "impacket-gtNPUsers" et "netexec" pour la réalisation d'une attaque ASREPRoast.
Utilisation de "impacket-gtNPUsers" et "netexec" pour la réalisation d'une attaque ASREPRoast authentifiée.

On voit donc que plusieurs logins sont tentés sur le service Kerberos et que, pour certains, un hash au format "$krb5asrep$23$" est obtenu. Il s'agit d'une donnée extraite du TGT obtenu pour chaque utilisateur vulnérable, spécialement formaté pour être interprété par des outils de cassage de mot de passe.

Maintenant que nous avons ces hashs, nous pouvons tenter de les casser, par exemple, à l'aide de "JohnTheRipper" ou "hashcat" et de listes de mots de passe communs comme le dictionnaire de mot de passe "rockyou.txt" :

hashcat -m 18200 -a 0 ASREProastables.txt rockyou.txt
john --wordlist=rockyou.txt ASREProastables.txt

Ce cassage s'effectue totalement en local, sans interactions avec l'Active Directory ou le service Kerberos. Ainsi, aucune détection n'est possible. Également, l'utilisateur a ici tout son temps et la rapidité de l'opération dépendra de la robustesse du mot de passe et des ressources de calcul qu'il a à disposition. Si des mots de passe faibles ont été utilisés par les comptes utilisateurs vulnérables, ils seront retrouvés par ces outils :

Cassage du hash "krb5asrep" extrait du TGT de l'utilisateur obtenu via ASREPRoast.
Cassage du hash "krb5asrep" extrait du TGT de l'utilisateur obtenu via ASREPRoast.

Si les mots de passe sont très robustes, alors il faudra déployer des moyens considérables pour les casser. Ici, le mot de passe semble plutôt correct avec 3 alphabets et une longueur de 10 caractères, mais il se trouve dans le dictionnaire public et très connu "rockyou.txt". Nous venons de retrouver le mot de passe d'un utilisateur de l'Active Directory par l'intermédiaire d'un TGT signé grâce à un dérivé de son mot de passe par le service Kerberos.

C. Exploiter ASREPRoast depuis Windows

Sous Windows, l'outil le plus classique pour effectuer cette attaque est "Rubeus.exe", écrit en C#. Le plus simple est de l'exécuter sur une machine intégrée au domaine ou via un "runas.exe" :

.\Rubeus.exe asreproast /format:hashcat /outfile:hashes.asreproast

Voici le résultat attendu :

Utilisation de "Rubeus.exe" pour la réalisation d'une attaque ASREPRoast.
Utilisation de "Rubeus.exe" pour la réalisation d'une attaque ASREPRoast.

Comme pour les outils Linux, le fichier "hashes.asreproast" contiendra les hashs contenus dans les TGT récupérés et pourra être passé à "hashcat" ou "JohnTheRipper" pour cassage.

V. Point de vue du défenseur

A. Lister les comptes utilisateurs avec preauth-notreq

Nous allons maintenant adopter le point de vue du défenseur ou blue team qui souhaite savoir si des utilisateurs vulnérables à ASREPROAST sont présents sur son domaine.

Lorsque nous sommes sur notre propre domaine et contrôleur de domaine, le plus simple est d'utiliser le module PowerShell "ActiveDirectory" qui permet de communiquer avec ADSI (Active Directory Services Interface). Nous pouvons notamment cibler l'attribut "useraccountcontrol" pour extraire les utilisateurs disposant de l'attribut "Do not require Kerberos preauthentication", exemple :

Get-ADUser -Filter 'useraccountcontrol -band 4194304' -Properties useraccountcontrol | Format-Table name, DistinguisedName, Enabled

Voici le résultat attendu :

Nous avons la même liste utilisateur qu'obtenue via notre requête "ldapsearch" bien entendu, avec un filtre sur ceux qui ont déjà l'attribut "Do not require Kerberos authentication", mais nous utilisons ici des outils légitimes et plus accessibles pour les administrateurs système. J'ai notamment ajouté le "DN" et l'attribut "Enabled" en sortie de la commande (via le "Format-Table" ou "ft").

B. Corriger les comptes vulnérables

Une fois cette liste à disposition, il convient tout d'abord de déterminer :

  • Pourquoi ils sont/ont été utilisés, pour quels besoins, services et systèmes ?
  • Est-ce ce qu'ils sont toujours utilisés aujourd'hui ? (date de dernière authentification, dernier changement de mot de passe, journaux d'évènements)
  • Est-ce que l'attribut "Do not require Kerberos authentication" est vraiment utile et répond à un besoin fonctionnel ?

Une fois que ces questions ont toutes une réponse claire pour chaque compte, la décision de désactiver cet attribut peut être prise.

  • Corriger ASREPRoast via l'interface graphique

Depuis la console "Utilisateurs et ordinateurs Active Directory", effectuez un clic droit sur le compte utilisateur concerné, puis "Propriétés. Il faut ensuite se rendre dans "Compte" et localiser l'option suivante :

Désactivation de l'attribut "Do not require Kerberos preauthentication" sur l'Active Directory.
Désactivation de l'attribut "Do not require Kerberos preauthentication" sur l'Active Directory.

Une fois décochée, nous pouvons appliquer nos changements. La modification prend effet immédiatement.

  • Corriger ASPREPRoast via Powershell

Il est aussi possible de modifier la valeur de cet attribut en PowerShell via ADSI. Le cmdlet "Set-ADAccountControl" est fournie par le module PowerShell "ActiveDirectory" :

PS C:\> Set-ADAccountControl -Identity rdubois -DoesNotRequirePreAuth $false

À nouveau, la modification est prise en compte immédiatement.

  • Mesure complémentaire en cas de besoin fonctionnel

Si l'attribut "Do not require Kerberos preauthentication" est nécessaire et répond à un besoin identifié et justifié, alors il convient de mettre un mot de passe très, très robuste à ce compte. L'idée est que même si un TGT est récupéré, l'attaquant ne puisse pas casser le hash qu'il contient en vue de récupérer le mot de passe en clair de l'utilisateur. Optez donc pour un mot de passe à plus de 30 caractères.

Dans l'idéal, il est également nécessaire de prévoir un renouvellement périodique de ces mots de passe afin de réduire leur exposition dans le temps. Si l'attaquant dispose de tout le temps disponible devant lui pour casser le hash contenu dans le TGT, alors il finira peut-être par y arriver (peut-être au bout de plusieurs années). Mais si le mot de passe du compte est changé tous les six mois, il n'aura potentiellement pas le temps de l'exploiter une fois qu'il l'aura cassé. Il s'agit d'une mesure de sécurité supplémentaire.

  • Limiter la propagation suite à une compromission

Il convient également de s'assurer que le compte qui dispose légitimement de l'attribut "Dot not require Kerberos preauthentication" possède des droits limités sur le domaine et le système d'information. La revue des ACL, appartenances aux groupes et l'application du principe de moindre privilège (configuration fine et minimaliste des droits pour répondre uniquement aux fonctions métiers) permettra de limiter au maximum les actions possibles de l'attaquant en cas de compromission du compte.

  • Changement de mot de passe

Enfin, il est à noter que si le compte a eu jusque-là cet attribut, n'importe quel utilisateur de votre domaine a peut être déjà récupéré un TGT et obtenu son mot de passe, ou est en train de tenter de le casser. Ces mesures de correction doivent donc s'accompagner d'un changement de mot de passe afin qu'un attaquant exploitant ou ayant exploité cette faiblesse ne puisse pas réutiliser le mot de passe compromis pour ce compte, ce qui sera possible même si l'attribut en question a été décoché.

C. Détecter une attaque ASREPRoast

Du point de vue du défenseur, nous allons également nous intéresser aux possibilités de détection d'une attaque ASREPRoast passée ou en cours sur le système d'information.

  • Détection via les journaux d'évènements

L'exploitation de l'ASREPRoast génère, comme toute interaction avec l'Active Directory, des évènements. Cependant, il n'est pas aisé de les distinguer clairement des activités légitimes et quotidiennes des utilisateurs du domaine. Il faut savoir que lorsqu'un "AS-REQ" est effectué sur un compte non vulnérable à l'ASREPRoast (et donc, échoue), aucun évènement de sécurité n'est généré. Seule l'émission d'un ticket Kerberos génère un évènement avec l'eventID 4768.

L'event ID 4768 est enregistré sur le contrôleur de domaine chaque fois qu'un TGT est émis. Il indique que le KDC a reçu une demande de TGT (AS-REQ) et qu'il a émis un TGT en réponse. L'évènement journalisé contient alors quelques détails intéressants sur la demande.

https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4768

Cet évènement apparait donc si :

  • La requête est émise avec une authentification valide, auquel cas un TGT est émis en réponse à l'"AS-REQ".
  • La requête porte sur un utilisateur ayant l'attribut "Do not require Kerberos authentication", auquel cas pas besoin d'authentification, le TGT est tout de même émis en réponse à l'"AS-REQ".

Voici l'évènement tel qu'il apparaitra dans l'observateur d'évènement lors d'une demande de TGT classique, avec authentification (utilisation ici de "impacket-getTGT") :

EventID 4768 suite à une demande et émission de TGT classique, avec authentification.
EventID 4768 suite à une demande et émission de TGT classique, avec authentification.

On voit clairement qu'un TGT a été demandé et émis pour l'utilisateur "IT-CONNECT\mmartin" par le client "192.168.56.104". Nous allons également garder dans un coin de notre mémoire les informations relatives au "Type de pré-authentification" et "Type de chiffrement du ticket". Je réalise maintenant la même opération à destination du compte "IT-CONNECT\rdubois" et avec un outil offensif qui va directement demander un TGT sans authentification préalable (utilisation de "netexec") :

EventID 4768 suite à une demande et émission de TGT à la suite d'une attaque ASREPROast via "netexec"
EventID 4768 suite à une demande et émission de TGT à la suite d'une attaque ASREPROast via "netexec".

Les informations journalisées sont globalement les mêmes lors d'une demande et émission d'un TGT sur un compte ne nécessitant pas la pré-authentification. Cependant, on peut noter deux exceptions (à noter que le résultat est le même lors d'une exploitation avec "impacket-getNPUsers") :

  • Le "Type de chiffrement du ticket" est passé à "0x17" au lieu de "0x12".
  • Le "Type de pré-authentification" est passé à "0" au lieu de "2".

L'utilisation d'un chiffrement à "0x17" (RC4-HMAC) est un comportement typique des outils d'attaque qui downgrade (abaissent) le niveau de chiffrement utilisé pour le chiffrement du TGT afin de rendre le cassage de son contenu plus aisé. Par défaut, le niveau de chiffrement "0x12" entraine l'utilisation du AES256-CTS-HMAC-SHA1-96 (Source : 4768(S, F): A Kerberos authentication ticket (TGT) was requested). Voilà un premier élément caractéristique d'une attaque ASREPRoast avec des méthodes et outils classiques.

Egalement, la documentation Microsoft est limpide concernant les valeurs du "Type de pré-authentification" :

La demande de TGT avec une valeur "0" à "Type de pré-authentification" est donc également un signal intéressant à surveiller. Pour finir sur cette détection, je vous propose une requête KQL (pour ELK) qui permet d'identifier les événements de demande/émission d'un TGT avec un chiffrement faible (RC4) ou sans pré-authentification :

event.code:4768 AND (winlog.event_data.TicketEncryptionType: 0x17 OR winlog.event_data.PreAuthType: 0)

Pour détailler un peu la requête. Il s'agit d'un filtre sur les évènements Windows ayant un évènement ID 4768 et qui ont, soit un "TicketEncryptionType" à "0x17" (RC4), soit un "PreAuthType" à "0". Voici le résultat sur l'ELK de mon lab (avec moins d'activité qu'un vrai SI, bien sûr) :

Visualisation dans ELK des évèenemtn caractértistique d'une attaque ASREPRoast

Pas de doute, il y a eu une activité suspecte sur mon SI entre 17h45 et 18h15, des TGT sans pre-authentification et avec un algorithme de chiffrement faible ont été demandés.

Surveiller les modifications des attributs utilisateurs

Pour aller plus loin, vous pouvez également chercher et surveiller les event ID 4738 (A user account was changed) et 5136 (A directory service object was modified) qui apparaissent lorsqu'un attribut utilisateur est modifié :

Journalisation de la modification d'un attribut utilisateur via l'eventID 4738.
Journalisation de la modification d'un attribut utilisateur via l'eventID 4738.

Plutôt que la compromission, vous visualiserez alors tous les évènements d'activation/désactivation de l'attribut concerné sur des comptes utilisateurs, ce qui permettra de retrouver le moment où la vulnérabilité a été introduite sur le compte concerné. Là aussi, il faudra aller plus loin pour réellement identifier le nom de l'attribut modifié et s'assurer de n'obtenir que les alertes relatives à l'attribut "Do not require Kerberos preauthentication". Egalement, voici un exemple de requête filtre KQL pour cet évènement :

event.code:4738 AND winlog.event_data.UserAccountControl:*2096*

Voici l'aperçu d'un tel évènement dans la console ElasticSearch :

Visualisation de l'eventID 4738 relatif à l'ajout de l'attribut "Do not requiere kebreroas pre-authentication" dans ElasticSearch.
Visualisation de l'eventID 4738 relatif à l'ajout de l'attribut "Do not requiere kebreroas pre-authentication" dans ElasticSearch.
  • Utilisation d'un honey account

Si vous maitrisez correctement la sécurité de votre système d'information, notamment avec un SIEM et un SOC (Security Operation Center) efficaces, alors vous pouvez envisager la mise en place d'un honey account, ou "compte pot de miel". L'idée est de créer un compte utilisateur volontairement vulnérable à ASREPRoast afin que sa compromission génère un évènement de sécurité activement surveillé par la blue team.

Pour cela, il faut notamment être sûr que ce compte ne sera jamais utilisé de façon légitime par un utilisateur ou un service du SI. Ainsi, si une demande de TGT pour ce compte spécifique apparait dans les journaux d'évènement, ce sera forcément dû à une attaque ASREPRoast en cours.

Attention : La création et la gestion d'un compte pot de miel nécessitent une attention particulière. Il faut s'assurer que les politiques de sécurité et les procédures de surveillance sont bien établies pour garantir que le compte reste contrôlé et qu'il ne devienne pas une vulnérabilité supplémentaire. Il faut notamment s'assurer que l'honey account ait un mot de passe très robuste afin que le hash contenu dans son TGT ne soit jamais cassé, ce qui permettrait à l'attaquant d'obtenir un compte valide sur le domaine.

VI. Conclusion

J'espère que cet article vous a plu et que vous avez maintenant une meilleure idée des risques liés à cette attaque et de la façon de s'en protéger. J'ai essayé de faire en sorte qu'il soit complet en abordant le point de vue des attaquants comme des défenseurs.

N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !

The post Sécurité de l’Active Directory : comprendre et se protéger de l’attaque ASREPRoast first appeared on IT-Connect.

Phishing : plus de 100 organisations en Europe et aux États-Unis impactées par StrelaStealer

26 mars 2024 à 06:10

Une centaine d'organisations situées aux États-Unis et en Europe ont été victime d'une nouvelle campagne malveillante visant à déployer le malware StrelaStealer ! Voici ce qu'il faut savoir sur cette menace.

L'Unit42 de Palo Alto Networks a publié un rapport au sujet de la menace StrelaStealer, un logiciel malveillant repéré pour la première fois en novembre 2022. Après avoir infecté une machine, son objectif est de voler les informations d'identification des comptes de messagerie dans les applications Outlook et Thunderbird.

Alors qu'à la base ce malware ciblait principalement les utilisateurs hispanophones, il s'avère que les cybercriminels ont fait évoluer leur plan : désormais l'Europe et les États-Unis sont pris pour cible. Pour cela, les pirates n'hésitent pas à traduire en plusieurs langues les fichiers utilisés par ce malware, ce qui le rend polyglotte et lui permet de s'adapter à la cible.

Comme beaucoup d'autres logiciels malveillants, StrelaStealer est distribué par l'intermédiaire de phishing. Depuis la fin du mois de janvier, l'Unit42 a détecté une forte hausse de l'activité avec un important volume d'e-mails malveillants envoyés par jour. L'Unit42 évoque jusqu'à 500 organisations ciblées par jour et il y a eu des victimes : "Récemment, nos chercheurs ont identifié une vague de campagnes StrelaStealer à grande échelle touchant plus de 100 organisations dans l'UE et aux États-Unis.", peut-on lire dans le rapport. Dans la grande majorité des cas, ce sont les organisations du secteur des nouvelles technologies qui ont été les plus visées.

Source : Unit42

La chaine d'infection de StrelaStealer

Les pirates ont fait évoluer la chaine d'infection du malware StrelaStealer. Désormais, l'e-mail malveillant contient une pièce jointe au format ZIP qui a pour objectif de déposer des fichiers JScript sur la machine de la victime. Dans le cas où ces scripts sont exécutés, ils déposent un fichier batch et un fichier encodé en base64, qui donne lieu à une DLL qui sera exécutée via rundll32.exe afin de déployer le payload StrelaStealer.

Le schéma ci-dessous, issu du rapport d'Unit42 permet de comparer l'ancienne et la nouvelle chaine d'infection.

Source : Unit42

Si le logiciel malveillant est déployé, il vole les identifiants mémorisés dans Outlook et Thunderbird et ces informations sont immédiatement envoyées aux attaquants par l'intermédiaire d'un serveur C2.

Une fois de plus, méfiance avec les e-mails...

Source

The post Phishing : plus de 100 organisations en Europe et aux États-Unis impactées par StrelaStealer first appeared on IT-Connect.

Avec la Surface Pro 10 et le Surface Laptop 6, Microsoft rentre dans l’ère des PC IA

26 mars 2024 à 06:00

Microsoft a dévoilé ses premiers PC boostés à l'IA et dont le clavier intègre une nouvelle touche dédiée à Copilot : la Surface Pro 10 et le Surface Laptop 6. Faisons le point sur ces nouveautés !

Les premiers ordinateurs de Microsoft équipés d'une touche Copilot sur le clavier et équipés d'une unité de traitement neuronal (NPU) ont été dévoilés ! Ces nouveaux appareils de Microsoft entrent dans ce que l'on appelle l'ère des PC IA. En effet, selon les configurations, la Surface Pro 10 et le Surface Laptop 6 pourront bénéficier d'un processeur Intel Core Ultra 5 ou Intel Core Ultra 7, ainsi qu'un NPU Intel AI Boost.

D'après Microsoft : "Du point de vue des performances, le Surface Laptop 6 est deux fois plus rapide que le Laptop 5, et le Surface Pro 10 est jusqu'à 53 % plus rapide que le Pro 9." - Le NPU Intel AI Boost devrait permettre à la machine d'être plus efficace pour traiter les tâchées liées à l'IA, ce qui devrait optimiser l'autonomie générale de la batterie. L'entreprise américaine annonce jusqu'à 19 heures d'autonomie pour ces deux modèles, soit 4 heures de plus pour la Surface Pro 10 et 2 heures de plus pour le Laptop 6.

Microsoft Surface Laptop 6 - Clavier Copilot
Microsoft Surface Laptop 6, avec la touche de clavier Copilot

Microsoft abandonne sa configuration basée sur 128 Go de stockage flash pour proposer au minimum 256 Go, et jusqu'à 1 To pour la version la plus complète. Pour la mémoire vive, vous avez le choix entre 8 Go, 16 Go, 32 Go et même 64 Go de RAM pour la première fois. Par ailleurs, au niveau de la connectivité, ces deux appareils auront le droit au Wi-Fi 6E (802.11ax) et au Bluetooth 5.3.

Pour faciliter la lecture des clés de sécurité, la Surface Pro 10 bénéficie d'une puce NFC, ce qui est une nouveauté vis-à-vis des générations précédentes. Du côté du Surface Laptop 6, un lecteur de carte à puce est intégré à certaines versions, et uniquement aux États-Unis et au Canada, d'après le site de Microsoft.

Par ailleurs, ce nouveau modèle de Surface Pro bénéficie d'un nouveau revêtement antireflet qui devrait améliorer la visibilité de l'écran, ainsi que d'une caméra ultra-large (champ de vision de 114 degrés) de 10,5 mégapixels et d'une résolution de 1440p. De son côté, le Laptop 6 bénéficie d'une nouvelle caméra pour passer de 720p à 1080p.

Prix et disponibilité

Pour le moment, la Surface Pro 10 et le Surface Laptop 6 sont disponibles uniquement pour les entreprises. Il s'agit d'appareils estampillés "for business", même s'il n'est pas à exclure que le grand public puisse en bénéficier par la suite. Les précommandes sont ouvertes et les premières livraisons sont prévues pour le 10 avril 2024.

Ces deux appareils sont disponibles à partir de 1 399 euros TTC. Un tarif variable selon la configuration choisie : processeur, RAM, stockage, etc. À ce prix-là, vous avez le droit à une Surface Pro 10 avec un processeur Intel Ultra 5 135U, 8 Go de RAM et de 256 Go de SSD. A cela, il faudra ajouter le tarif du clavier Surface Pro (à partir de 159.99 € TTC).

Pour en savoir plus :

Source

The post Avec la Surface Pro 10 et le Surface Laptop 6, Microsoft rentre dans l’ère des PC IA first appeared on IT-Connect.

[Script] Être notifié d’une facture d’eau à payer (Métropole)

Par : Mr Xhark
26 mars 2024 à 08:00

 


Les organisations publiques telles que les régies des eaux ne sont pas forcément les mieux dotées en terme de délivrance d'email.

Il est très facile de passer à côté d'une notification de facture à payer, ou pire : de ne jamais recevoir la facture ! Ensuite c'est la relance par courrier et éventuellement les pénalités qui vont avec 🤑

Pour éviter ça j'ai écrit un script bash qui va vérifier tous les jours si une facture est en attente de règlement et me notifie sur mon téléphone via ntfy :

 

Cela fonctionne avec certaines communes de l'agglomération Grenobloise, mais pas que.

Liste des communes de l'agglo compatibles

Avant tout vous devez savoir si votre commune est compatible avec ce script. Pour que cela fonctionne votre commune doit être en "gestion métropole".

3 méthodes pour cela : une facile 2 autres plus destinées aux bidouilleurs. Pas d'inquiétude car peu importe la méthode le résultat sera le même.

Méthode 1 (facile)

Rendez-vous sur cette page https://ael.eauxdegrenoblealpes.fr/ puis cliquer sur votre commune dans le menu.

Prêtez attention au message qui vous informe de qui dépend votre commune :

Si votre commune dépend de "Métropole Alpes Grenoble" le script fonctionnera pour votre commune.

Si votre commune dépend d'autre chose que "Métropole Alpes Grenoble" désolé mais ce script ne fonctionnera pas.

Méthode 2 (avancée)

Rendez-vous sur cette liste :

https://ael.eauxdegrenoblealpes.fr/local/communes.json

Une fois votre commune trouvé, cherchez :

"nomSociete": "METROPOLE"
  • Si votre commune est listée et avec cette valeur alors ce script va fonctionner
  • Si votre commune est listée mais avec une autre valeur que "METROPOLE" en face du champ "nomSociete" alors ce script risque de ne pas fonctionner.

Méthode 3 (avancée en CLI)

Pour les paresseux vous pouvez également vérifier la compatibilité depuis un terminal bash :

curl -s https://ael.eauxdegrenoblealpes.fr/local/communes.json | jq -r '.items[] | select(.nomSociete == "METROPOLE") | .nomCommune'

Cette valeur correspond aux communes qui utilisent le système d'agence en ligne (AEL) de "www.somei.fr" (également visible dans les entêtes HTTP de certaines requêtes) compatible avec ce script. Si votre commune fait partie de la liste retournée alors ce script fonctionnera.

Si vous habitez en dehors de l'agglomération Grenobloise et que cela marche pour vous pensez à le préciser en commentaire 🙂

Téléchargement du script

Récupérez le script depuis mon espace GitHub :

↪ regiesDesEauxGrenoble.sh (raw)

Rendez le script exécutable chmod +x *.sh

puis modifiez les 3 variables obligatoires :

LOGIN="[email protected]"
PASSW="xxxxxxxxxxxxxxxx"
NUMCONTRAT="1234567"

Le numéro de contrat se trouve en haut à gauche de votre espace en ligne, sinon sur vos factures.
⚠ à ne pas confondre avec le numéro de compteur.

Enfin pour recevoir la notification avec ntfy renseignez le chemin du script de notification ntfy :

NTFYSCRIPT="/home/pi/ntfy/ntfy-ng.sh"
NTFYTOPIC="topic-ntfy-au-choix"

Pour ne pas recevoir la notification via NTFY commentez la ligne qui commence par $NTFYSCRIPT

Lancement du script

Et voici une trace d'exécution du script :

./regiesDesEauxGrenoble.sh
___ Debut du script v2023.11.30 ___

> conversationId=JS-WEB-Netscape-d2b7b62f-dbbc-4e98-b6d9-c6cf0df682a2

=== [CURL_0] Lecture cookie BigIP ===
> Cookie BigIP=!FEnXYYZzn8rzsY1t3jM/Zi5c...

=== [CURL_1] Recup openToken et MessageId (/generateToken) ===
> OpenToken=openToken-9270a4c3-db52-5573-ccdf-a6548855ff0a3
> MessageId=SMI-WEBAPI-MSG-20240325-123157-874s9fd2-daf2-4cd6-9425-c718ea1011c1

=== [CURL_2] Envoi du formulaire de connexion (/authentification) ===
> tokenAuthentique=50364c12-19ac-87a2-a9b1-c14f2f8415ac

=== [CURL_3] Lecture solde euros (/Facturation) ===
[Facture d'Eau] 34,15€ A REGLER

Et voilà !

Conclusion

Vous n'avez maintenant plus aucune excuse pour payer vos factures en retard !

Vous pouvez ensuite connecter le tout facilement à votre solution domotique, ou laisser le script tourner en crontab.

Je suis content de vous partager ce bout de script car j'ai passé quelques heures dessus pour décortiquer le fonctionnement sans avoir d'API digne de ce nom. Je ne m'attendais pas à devoir faire autant d'étapes avec cURL !

J'espère que ce script vous sera utile! En tout cas c'était un très entrainement pour moi et je sais que cette base me resservira. D'ailleurs je vous partage très bientôt un autre script similaire pour des charges envoyés par un syndic d'immeuble (même problème : les emails arrivent aléatoirement...)

 

 

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 26/03/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Script] Être notifié d’une facture d’eau à payer (Métropole) provient de : on Blogmotion.

Où trouver la clé de récupération BitLocker ?

Par : Nautilus
26 mars 2024 à 07:00
La clé de récupération de BitLocker est un code sécurisé à 48 chiffres utilisé pour déverrouiller votre disque chiffré par l’outil BitLocker intégré à Windows. Avec Windows Famille et son Chiffrement de l’appareil (BitLocker léger), le déverrouillage est automatique grâce au module TPM. Avec Windows Pro, il est aussi possible de déverrouiller un disque chiffré … Lire la suite

Source

La faille matérielle GoFetch affecte les puces Apple M1, M2 et M3 et ne peut pas être corrigée !

25 mars 2024 à 17:30

GoFetch, c'est le nom d'une attaque qui exploite une faille de sécurité importante découverte dans les puces Apple M1, M2 et M3 utilisées par les générations les plus récentes de Mac. La particularité de cette vulnérabilité : elle ne peut pas être corrigée, à moins d'impacter très fortement les performances des puces fabriquées par Apple. Faisons le point !

Une équipe de chercheurs du MIT Computer Science & Artificial Intelligence Laboratory (CSAIL) a mis au point une technique d'attaque baptisée GoFetch, qui exploite une faille de sécurité matérielle présente dans les puces Apple Silicon. Cette attaque de type "side-channel" cible une fonction d'optimisation matérielle appelée Data Memory-dependent Prefetcher (DMP).

Le DMP est une fonction intégrée dans les puces Apple et qui a pour objectif d'aider le processeur à deviner les données dont il pourrait avoir besoin ensuite afin d'optimiser les performances (principe du prefetch). Dans le cas présent, l'attaque permet de tromper la fonction DMP afin qu'elle révèle des informations sensibles stockées en mémoire.

En effet, en exploitant GoFetch, un attaquant pourrait extraire des clés cryptographiques stockées sur un Mac (OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber et Dilithium) dans le but de contourner les opérations de chiffrement effectuées directement par la puce Apple Silicon. Il serait possible de compromettre les clés utilisées par divers algorithmes de chiffrement. In fine, ceci facilite l'accès aux données stockées sur le Mac.

Pour mener à bien cette attaque, l'attaquant doit convaincre la victime d'exécuter un malware (par l'intermédiaire d'un e-mail malveillant, par exemple). Le malware doit être exécuté en parallèle de l'application prise pour cible, et ce, pendant un certain temps afin de pouvoir voler la clé.

Comment se protéger de la faille GoFetch ?

GoFetch fait référence à une faille de sécurité matérielle dans l'architecture même des puces Apple, donc en raison de sa nature, il ne sera pas possible de corriger directement la vulnérabilité. L'intégration d'un correctif ou d'une mesure d'atténuation va passer par la couche logicielle.

Le problème, c'est que la mise en œuvre d'un quelconque correctif va très fortement dégrader les performances des puces Apple, en particulier les deux premières générations : Apple M1 et M2. D'ailleurs, au passage, cette histoire n'est pas sans rappeler les failles de sécurité Meltdown et Spectre qui touchaient de nombreux processeurs Intel et AMD et dont la correction impactait également les performances du processeur.

Pour en savoir plus, vous pouvez consulter le site officiel de GoFetch. Sur ce site, il est d'ailleurs précisé qu'un code PoC sera mis en ligne prochainement... Apple ne s'est pas encore exprimé au sujet de GoFetch. Affaire à suivre...

The post La faille matérielle GoFetch affecte les puces Apple M1, M2 et M3 et ne peut pas être corrigée ! first appeared on IT-Connect.

Ordinateur lent : 13 choses à faire pour nettoyer et booster son PC

Par : malekalmorte
25 mars 2024 à 07:49

Si vous avez l’impression de devoir fréquemment interrompre ce que vous faites pour attendre que votre ordinateur effectue des tâches informatiques ou si vous craignez constamment que votre ordinateur ne se bloque alors que vous êtes en train de faire quelque chose, il se peut que des problèmes de performances informatiques soient en cause.

Que vous utilisiez votre ordinateur pour travailler ou pour vous amuser, un ordinateur lent peut vous rendre la vie bien plus frustrante qu’elle ne devrait l’être. Des performances médiocres peuvent rendre votre ordinateur pratiquement inutile, surtout lorsque vous avez du mal à ouvrir une application, à charger un site web ou même à démarrer votre système.

Que vous soyez sur un PC de bureau ou un PC portable et que vous ne sachiez pas quoi faire, suivez les solutions de ce tutoriel complet pour retrouver un PC rapide.

PC lent : comment le booster

Votre PC est lent : comment booster son ordinateur

Désinstaller les applications inutiles

Tout d’abord, vous devez faire la chasse aux applications installées.
Souvent, elles se mettent au démarrage, ajoutent des services. L’accumulation de programmes a un impact important sur le système dont les ressources système peuvent être saturées.

  • Faites un clic droit sur le menu Démarrer
  • Puis Applications et fonctionnalités
  • Désinstallez les applications inutiles. Aidez-vous de ce guide : Liste des programmes inutiles sur Windows
  • Vous pouvez trier la liste en haut à droite, par taille, date d’installation
Désinstaller les applications inutiles de votre PC
Conseils :
  • Installez vraiment l’essentiel. Nettoyer une fois par an les programmes installés pour retirer celles que vous n’utilisez plus
  • Faites attention aux discours marketing, beaucoup d’applications sont inutiles notamment les logiciels de nettoyage, de mise à jour de pilotes, etc
  • Pour aller plus loin, vous pouvez aussi désinstaller les applications préinstallées de Windows 10, 11
  • Ne multiplier pas les navigateurs internet installés. Ils se mettent au démarrage et ajoutent des services pour se mettre à jour

Supprimer les programmes au démarrage

De nos jours lorsque vous installez une nouvelle application, celle-ci a tendance à s’ajouter au démarrage de Windows.
Ces pratiques sont de plus en plus courantes et causes de terribles ralentissements du PC.
En effet, chez certaines utilisateurs, il n’est pas rare de voir une dizaine d’applications configurées pour s’exécuter au démarrage de Windows.
Cela allonge le temps de chargement mais surtout augmentent le nombre d’applications qui s’exécutent en arrière-plan.
Il est impératif de nettoyer Windows et désactiver les programmes au démarrage pour alléger ce dernier.
Voici comment faire :

  • Ouvrez le gestionnaire de tâches par un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
  • puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+MAJ+ESC
  • Ensuite sur le gestionnaire de tâches de Windows, cliquez sur l’onglet Démarrage
  • La liste des programmes s’ouvrent alors et vous pouvez désactiver les programmes
  • Pour se faire, double-cliquez sur le programme dans la liste afin de passer le statut sur Désactiver
  • Enfin redémarrez l’ordinateur pour prendre en compte les modifications.
Désactiver ou supprimer les programmes au démarrage de Windows 8 ou 10

Nettoyer l’intérieur de son PC pour le dépoussiérer

Une des causes courantes des baisses de performances d’un ordinateur est que ce dernier surchauffe.
Cela se produit lorsque l’intérieur de l’ordinateur est sale, les ventilateurs et aérations sont obstrués par la poussière.
Les composants électroniques chauffent plus, car ils sont mal refroidis.
C’est d’autant plus vrai dans les périodes de fortes chaleurs en été.

Il est important de nettoyer une fois par an son PC pour assurer un bon refroidissement.
Pour se faire, consultez ce guide pas à pas :

Conseils :
Nettoyer l'intérieur de son PC pour le dépoussiérer

Réinitialiser les navigateurs internet

On utilise tous les jours notre navigateur internet pour surfer, effectuer des opérations du quotidien.
Beaucoup d’utilisateurs ont tendance à installer des extensions, ce qui peut avoir un impact négatif sur le vitesse et la réactivité du navigateur internet.

Pour retrouver un navigateur WEB rapide, vous pouvez le réinitialiser.
Vous ne perdez pas les favoris et mots de passe enregistrés :

Conseils :
Réparer ou réinitialiser Google Chrome

Vérifier la santé de votre disque ou SSD

Un disque dur ou SSD défaillant peut causer de graves lenteurs car les performances seront altérées.
Surveillez votre équipement informatique est important pour s’assurer qu’il fonctionne de manière optimale.
Pour vérifier la santé de votre disque dur ou SSD, utilisez le logiciel CrystalDiskInfo :

  • Téléchargez CrystalDiskInfo en suivant ce tutoriel :
  • Puis vérifiez l’état de santé de votre disque :
    • Correct : tout va bien, votre disque dur ou SSD fonctionne correctement
    • Prudence : votre périphérique de stockage commence à rencontrer des problèmes de fonctionnement. Il faudra très certainement le remplacer dans les prochaines semaines
    • Mauvais : votre disque dur ou SSD est en panne, il faut le remplacer
Quels sont les attributs S.M.A.R.T et leurs lectures

Plus d’aide dans ces tutoriels :

Si le disque est en Prudence, il est probable qu’une baisse de performance soit présente.
Faites un chkdsk comme expliqué dans le paragraphe suivant. Toutefois, il est possible qu’à terme la situation empire et que devez procéder au changement de disque.

Vérifier régulièrement la santé de votre disque vous permet de prévenir des pannes et donc des pertes de données. De plus, cela garantit que votre PC fonctionne de manière optimum. Je vous conseille donc de garder CrystalDiskInfo pour des vérifications régulières.

Faire un chkdsk

Après une coupure de courant, un plantage de Windows, le système de fichiers peut être endommagé.
Cela peut augmenter les accès disque et l’utilisation du disque et avoir un impact négatif sur la vitesse de votre PC.
Faites une vérification, analyse et réparation avec l’outil chkdsk (checkdisk) en suivant ces étapes :

chkdsk C: /F /R
chkdsk pour détecter et marquer les secteurs défectueux

Lorsque le volume est en cours d’exécution, chkdsk vous propose de faire l’analyse au démarrage de Windows, sinon il lance directement celle-ci.
Le message “chkdsk ne peut pas s’exécuter parce que le volume est utilisé par un autre processus.” s’affiche

  • Cliquez sur O pour effectuer l’analyse au redémarrage.
  • Redémarrez l’ordinateur afin que l’analyse chkdsk s’effectue, ce qui va prendre 1h30 au minimum.

Plus de détails sur l’utilisation de l’utilitaire chkdsk dans cet article très complet :

Faites un nettoyage de disque

Lorsque la partition système C est saturée et que l’espace disque est faible, cela peut avoir aussi des conséquences sur la réactivé de votre ordinateur.
Faire un nettoyage de disque permet de libérer de la place disque mais aussi dans certains cas de retrouver un ordinateur rapide.
Pour y parvenir, utilisez l’utilitaire de disque inclus dans Windows.

  • Sur votre clavier, appuyez sur la touche + R
  • Puis saisissez cleanmgr et OK
Ouvrir Cleanmgr
  • En bas à gauche cliquez sur Nettoyer les fichiers systèmes
Faire un nettoyage de disque avec cleamgr dans Windows
  • Puis en bas à gauche, cliquez sur Nettoyer les fichiers système
Faire un nettoyage de disque avec cleamgr dans Windows
  • Cochez tous les éléments de la liste
  • Enfin cliquez sur OK, l’outil va alors nettoyer et supprimer les fichiers volumineux et inutiles qui encombrent votre disque
Conseils :

Réparer les fichiers systèmes et endommagés

Si les fichiers système de Windows sont endommagés, cela peut aussi avoir des conséquences sur la vitesse du PC.

Pour réparer les fichiers systèmes de Windows 10 ou Windows 11, on utilise les utilitaires SFC (vérificateur de fichiers systèmes) et DISM.
Ces deux outils s’utilisent en invite de commandes.

Dism /Online /Cleanup-Image /CheckHealth
DISM - réparer les images de Windows 10
  • Puis enchaînez avec une vérification et réparation des fichiers corrompus et manquants avec l’outil SFC. Pour cela, saisissez :
sfc /scannow

Laisse le vérificateur de fichiers systèmes analyser Windows 10 ou Windows 11.
Enfin si des fichiers systèmes sont corrompus, SFC tente de les réparer.

sfc scannow - le vérificateur de fichiers systèmes de Windows 10

Plus de détails dans l’article suivant :

Supprimer les virus avec Malwarebytes

Si votre ordinateur est infecté par un logiciel malveillant, cela va dégrader les performances car le malware peut utiliser les ressources système à votre insu.
Faire une analyse et éradication de malware est alors la solution pour retrouver un PC rapide :

  • Téléchargez MBAM depuis ce lien :
  • Lancez une analyse de votre PC
La recherche de virus sur MBAM
  • Enfin supprimer toutes les menaces détectées
Historique des détections MBAM
  • Redémarrez le PC pour prendre en compte les modifications, si nécessaire

Plus de détails dans ce tutoriel complet :

Soyez vigilant sur internet, ne téléchargez que des fichiers de sources sûres. Si le sujet de la sécurité vous intéresse, vous pouvez aussi consulter ce guide : Protéger son PC des virus et des pirates ?

Mettre à jour Windows

Lorsque vous avez des versions de Windows en retard, cela peut aussi jouer sur la réactivité du système.
En effet, lorsque vous mettez à jour Windows, le système est en parti réinstallé et cela permet de redonner une jeunesse.
De plus, il convient de vérifier que vous n’avez pas des mises à jour de Windows en échec d’installation.
Windows peut boucler sur l’installation, ce qui va gaspiller des ressources et rendre votre ordinateur lent.

  • Faites un clic droit sur le menu Démarrer puis Paramètres. Pour aller plus vite, vous pouvez aussi utiliser le raccourci clavier + I
  • Sur Windows 10 : allez dans mises à jour et sécurité puis Windows Update
  • Sur Windows 11 : allez dans le menu Windows Update
  • Vérifiez qu’aucun mise à jour n’est en erreur, si c’est le cas, suivez ce guide : Comment réparer ou réinitialiser Windows Update

En autre, il est conseillé de vérifier que Windows est à jour :

Vérifiez régulièrement que les mises à jour s’installent correctement. Windows Update est une source importante de lenteur de Windows.
Savoir si Windows 11 est à jour et à la dernière version

Mettre à niveau votre PC

La configuration matérielle de votre PC joue beaucoup sur les temps de réponse du système.
En effet, plus la puissance de calcul du CPU est importante, plus votre PC sera rapide.
De même si vous avez beaucoup de mémoire RAM, vous pouvez ouvrir plus d’applications ou des applications plus gourmandes.
Enfin de nos jours, un ordinateur doit être équipé d’un SSD beaucoup plus rapide que les anciens disque dur (HDD).

En clair donc, si votre PC commence à prendre de l’âge, il est désuet, même pour surfer, maintenant, un PC de 4 Go avec un processeur avec seulement 2 coeurs va connaître des ralentissements.

Pour palier à cela, il faut mettre à jour la configuration matérielle de votre ordinateur.
Pour y parvenir, consultez ce guide :

Comment mettre à niveau (upgrader) son PC

Accélérer Windows

Vous cherchez les bonnes habitudes à suivre pour garder votre PC le plus rapide possible ?
Vous pouvez continuer à améliorer les performances et à booster votre PC en suivant les conseils de ces deux guides complet :

Accélérer Windows

Réinitialiser le PC

Si aucune des solutions ci-dessus ne résout votre problème, une autre option consiste à réinstaller le système d’exploitation ou à tout effacer et à recommencer.
Effacer tout ce qui se trouve sur votre ordinateur et réinstaller le système d’exploitation peut améliorer les performances en éliminant les anciens logiciels ou pilotes.

  • Fermez toutes les applications ouvertes et enregistrez votre travail
  • Ouvrez les paramètres de Windows par exemple par le raccourci clavier + I
  • Puis, allez dans le menu système et cliquez sur Récupération
  • Enfin cliquez sur Réinitialiser ce PC
Réinitialiser le PC en Windows 11
  • Laissez vous guider pour terminer la remise à zéro de votre PC

Les liens d’aides :

L’article Ordinateur lent : 13 choses à faire pour nettoyer et booster son PC est apparu en premier sur malekal.com.

❌
❌