J'utilise le site shellcheck pour vérifier que je n'ai pas fait d'erreur de syntaxe, déclaré des variables inutilisées, etc.
shellcheck peut fonctionner localement si vous ne souhaitez que vos scripts restent sur votre machine (disponible dans les dépôts de votre distribution) :
$ shellcheck myscript
In myscript line 12:
eof
^-- SC1118: Delete whitespace after the here-doc end token.
Je l'utilise avant de vous partager un script sur Blogmotion et cela me permet de faire une vérification avant publication. Il y a toujours quelques détails à modifier
Je vous partage aussi la présentation d'Adrien D :
Attention aux suggestions de correction sur les doubles quotes, qui peuvent parfois être superflues et casser le script (j'ai eu le cas avec cURL).
Pour faire tourner du code en ligne (bash y compris) je vous rappelle que vous pouvez utiliser le site ideone.
Si vous utilisez Microsoft 365 Basic, voici une bonne nouvelle pour vous : sans payer plus cher, vous allez bénéficier de fonctionnalités supplémentaires pour OneDrive, dont une meilleure protection contre les ransomwares, ainsi qu'un coffre-fort personnel étendu. Faisons le point sur cette annonce !
Par l'intermédiaire d'un nouvel article, Microsoft a annoncé un ensemble de nouvelles fonctionnalités orientées "Sécurité" pour ses utilisateurs ayant souscrit à l'offre Microsoft 365 Basic. Il s'agit d'une offre d'abonnement proposée aux particuliers (adapté pour une seule personne), facturée 2 euros par mois (ou 20 euros par an) qui inclut 100 Go de stockage OneDrive.
Protection renforcée contre les ransomwares
Désormais, Microsoft va mieux vous protéger contre les ransomwares, dans le cas où l'acte malveillant affecte les données stockées sur votre OneDrive. Pour cela, OneDrive va surveiller l'activité sur votre compte et si un comportement suspect est détecté, vous pourrez restaurer facilement vos données à une date antérieure. "Lorsque Microsoft 365 détecte une attaque de ransomware, vous recevez une notification sur votre appareil et un courriel de Microsoft vous alertant de la menace potentielle.", précise Microsoft.
Plus de limites avec le coffre-fort personnel
Par ailleurs, vous pouvez mieux profiter de votre coffre-fort personnel ("Personal Vault") dans OneDrive. Pour rappel, il s'agit d'un dossier présent dans votre OneDrive qui bénéficie d'une sécurité supplémentaire : pour accéder au contenu de ce dossier, vous devez vous authentifier avec du MFA (authentification multifacteurs). De plus, il se verrouille automatiquement après 20 minutes d'inactivité. Ainsi, c'est un emplacement adapté pour stocker vos données sensibles, telles que la photocopie de votre passeport ou votre carte d'identité.
Le problème, c'est qu'avec l'offre Microsoft 365 Basic, ce coffre-fort ne pouvait contenir que 3 fichiers. Microsoft a décidé de lever cette limite. Vous pouvez exploiter ce coffre-fort personnel comme vous le souhaitez, dans la limite de 100 Go de stockage (ce qui correspond au quota OneDrive associé à cette offre).
Ce n'est pas tout...
Enfin, Microsoft a ajouté d'autres nouvelles fonctionnalités :
Les abonnés à Microsoft 365 Basic ont accès à des options de partage avancées puisqu'il est possible d'indiquer une date d'expiration sur un partage, mais aussi de définir un mot de passe pour protéger l'accès au partage.
À partir d'un appareil Android ou d'un iPhone, et à condition d'avoir la dernière version de l'application OneDrive, vous pouvez synchroniser vos dossiers et fichiers en mode hors connexion. Ceci signifie que vous pouvez accéder à ces documents même lorsque vous ne disposez pas de connexion à Internet.
Si vous avez l'habitude d'utiliser Python ou des projets codés en Python, vous connaissez probablement PyPI puisqu'il s'agit du référentiel officiel pour les projets Python. Ce 28 mars 2024, pendant plus de 10 heures, il n'était plus possible de s'inscrire : pourquoi ? La réponse dans cet article !
Pour les développeurs Python, PyPI est assurément incontournable ! Et, pour preuve, il référence des milliers de projets Python associés à des paquets divers et variés, plus ou moins populaires. Forcément, cette popularité fait de PyPI une cible attractive pour les cybercriminels, où ces derniers n'hésitent pas à charger de faux paquets malveillants ou à utiliser la technique du typosquatting pour tenter de piéger des utilisateurs.
D'ailleurs, c'est à cause d'une campagne malveillante que la Python Software Foundation a pris la décision d'empêcher temporairement la création de nouveaux comptes utilisateurs. Cette décision a pour objectif de limiter les activités malveillantes. En effet, un rapport mis en ligne par Checkmarx mentionne une importante campagne malveillante : en quelques heures, les pirates ont chargé sur PyPI un ensemble de 365 paquets différents, dont les noms imitent des projets légitimes.
À chaque fois, chacun de ces paquets contient un fichier "setup.py" malveillant qui, lors de l'installation, tente de se connecter à un serveur distant pour récupérer un logiciel malveillant de type info-stealer ! Ainsi, si un développeur ou un autre utilisateur télécharge et installe ce paquet malveillant, il récupère au passage un malware voleur de données qui se fera un plaisir d'exfiltrer les données mémorisées dans les navigateurs (identifiants, mots de passe, cookies, portefeuilles de cryptomonnaies).
Une campagne automatisée
Dans le cas présent, les pirates ont automatisé cette attaque : chaque compte PyPI est utilisé pour télécharger un seul paquet, et à chaque fois, un nom d'utilisateur et une adresse e-mail différents sont utilisés. Ainsi, il est plus difficile de faire une opération de nettoyage. Le script malveillant, quant à lui, est toujours le même : une preuve qu'il s'agit d'une campagne initiée par le même acteur malveillant.
C'est probablement pour cette raison que PyPI a pris la décision de bloquer les inscriptions ! Désormais, le problème est "résolu" et il est possible de s'inscrire de nouveau. Ceci signifie que ce jeudi 28 mars 2024, il n'était plus possible de s'inscrire entre 03h16 et 13h56, heure française.
Ce n'est pas la première fois que cela se produit, puisqu'une telle décision a été prise le 20 mai 2023. L'objectif étant de protéger les membres de la communauté Python.
Vous pouvez généralement remédier à une connexion internet lente si le problème vient de vous, mais la solution dépend de la cause des ralentissements. Les goulets d’étranglement de la vitesse sont dus à un certain nombre de raisons : un plan Internet lent, des interférences Wi-Fi, un équipement obsolète ou défectueux, etc.
Dans ce tutoriel, je vous liste les causes possibles d’une baisse des performances de votre connexion internet, tout en vous donnant des solutions concrètes pour résoudre ce problème. Parcourez cette liste afin de vous faire gagner du temps et éviter l’intervention coûteux d’un technicien.
Pourquoi Internet est lent
Voici les causes les plus probables qui sont à l’origine d’une connexion à Internet peu rapide :
Un problème technique sur votre fibre ou ligne ADSL. Des travaux ont endommagé votre liaison fibre ou votre ligne téléphonique rencontre des perturbation
Votre fournisseur internet rencontre un problème technique temporaire :
Un problème de connectivité. Par exemple, votre Wi-Fi est lent pour différentes raisons
Un logiciel réduit ou sature la bande passante : Par exemple un logiciel de P2P sature votre connexion internet
Votre navigateur internet est lent : Il ne s’agit pas d’un problème de débit mais votre navigateur internet est lent et donc les sites internet mettent du temps à charger
Votre réseau domestique est encombré : La congestion se produit lorsque vous surchargez votre connexion internet avec plus de trafic qu’elle ne peut en supporter. Pour y remédier, vous pouvez soit réduire votre consommation d’internet, soit passer à un plan plus rapide
Activités en arrière-plan : Des programmes ou des applications en cours d’exécution sur votre appareil peuvent utiliser une partie de la bande passante disponible, ce qui peut ralentir votre connexion Internet
Malware ou virus : Des logiciels malveillants sur votre appareil peuvent consommer des ressources réseau, ce qui peut entraîner une diminution de la vitesse de connexion
La difficulté pour diagnostiquer un problème de connexion internet qui rame est de réussir à déterminer, si le problème vient de la box internet, la liaison ou de votre appareil. Pour cela, vous devez effectuer des tests afin de réduire les scénarios.
Que faire si ma connexion Internet est lente : les solutions
Redémarrer votre box internet
Un problème de fonctionnement du routeur ou box internet peut aussi être la source de message d’erreur sur internet. Tentez de réinitialiser et rebooter le routeur, cela peut résoudre le problème.
Puis allez dans le menu Administration et chercher l’option Redémarrer ou Réinitialiser
Malheureusement, chaque fabricant de routeurs place le bouton Redémarrer ou redémarrer dans un endroit différent. Vous devrez peut-être consulter le manuel de routeur ou la documentation en ligne pour le trouver. Autre solution, consiste à débrancher l’alimentation puis attendre quelques secondes et la rebrancher.
Tester la connexion internet depuis un autre appareil
Ensuite vous devez déterminer si les lenteurs internet se produisent sur un appareil en particulier ou sur tous les appareils. Si vous possédez un smartphone, vous pouvez avec ce dernier. Avant cela, arrêtez tous les autres appareils afin de n’avoir que cet appareil témoin. Surfer sur la toile afin de vérifier si les sites internet se chargement rapidement. Éventuellement, lancez le téléchargement d’un fichier pour vérifier la vitesse de téléchargement ou faites un test de mesures du débit internet.
Si internet n’est pas lent, alors il s’agit probablement d’un problème de liaison présent votre appareil ou un logiciel qui sature la bande passante. Poursuivez les investigations et solutions de ce guide.
Connecter internet en connexion filaire (Ethernet)
Si vous vous connectez à internet par Wi-Fi, il convient de contrôler la connexion Internet en filaire avec un câble Ethernet. Cela permet de vérifier si un problème de lenteur Wi-Fi est présent. Si internet fonctionne correctement en Ethernet alors consultez ces tutoriels :
Un logiciel de téléchargement peut saturer la bande passante, votre logiciel antivirus peut perturber la connexion internet. Pour tester ce scénario, vous devez vérifier la connexion internet en mode sans échec car dans ce mode, la plupart des logiciels sont désactivés.
En dernière solution, vous pouvez aussi démarrer Windows en mode minimal et réactivez les applications une à une, pour trouver la coupable.
Réinitialiser votre navigateur internet
Votre navigateur internet est encombré et peut aussi être lent. Il en résultat que l’affichage des sites internet est lent. Pour résoudre cela, réinitialiser le navigateur internet. Ne vous inquiétez pas, vous ne perdez pas les favoris et mots de passe enregistrés. Pour y parvenir, suivez ces tutoriels :
Le problème ne vient peut-être pas de votre connexion internet, mais de l’appareil que vous utilisez. Votre ordinateur, votre tablette, votre téléphone ou votre console de jeux peut être obsolète et ne pas être capable de traiter les vitesses Wi-Fi actuelles.
Par exemple, l’ancienne (mais très appréciée) console portable PlayStation Vita prend en charge jusqu’à 150 Mbps par seconde parce qu’elle utilise une radio Wi-Fi 4. Cette vitesse peut diminuer en fonction du routeur auquel elle se connecte et du protocole de sécurité qu’elle utilise. La Vita ne pourra jamais dépasser cette limite de 150 Mbps.
Si vous rencontrez des problèmes de vitesse sur un ordinateur de bureau ou un ordinateur portable, essayez de mettre l’appareil hors tension. Cela permet de vider la mémoire de tout ce qui est indésirable, d’actualiser votre connexion et de nettoyer les processus inutiles et les fichiers temporaires. Les problèmes de vitesse sont généralement dus à un processeur surchargé, et un cycle d’alimentation rapide, c’est-à-dire l’arrêt complet de l’appareil pendant 30 secondes, lui permettra de “se vider la tête”.
D’autres éléments peuvent ralentir vos appareils, notamment les suivants :
Évitez de surcharger l’unité centrale de votre ordinateur en fermant les applications et les fenêtres de navigation inutilisées. Maintenez le système d’exploitation de votre appareil à jour en autorisant les mises à jour automatiques, et gardez vos définitions antivirus à jour.
Dans de rares cas, une baisse de la vitesse Internet peut avoir pour origine un problème de pilotes sur votre carte Wi-Fi ou Ethernet. Dans ce cas, vous pouvez tenter une mise à jour de pilotes pour résoudre ce problème.
Si votre appareil est en Windows 11, vous pouvez aussi consulter les solutions de ce guide. Dans, ce tutoriel vous donne 10 solutions pour résoudre un problème de connexion internet lente sur votre PC en Windows 11.
Si vous rencontrez des problèmes persistants de vitesse Internet, il peut être utile de contacter votre fournisseur d’accès Internet pour obtenir de l’aide ou d’effectuer des diagnostics sur votre propre équipement réseau pour identifier et résoudre les problèmes potentiels.
Dans ce tutoriel, nous allons apprendre à capturer une image de référence Windows 11 23H2 avec MDT. Cette image, préparée par nos soins, pourra ensuite réutilisée en tant que master afin d'être déployée sur un ensemble de machines de votre parc informatique.
La méthode que nous allons employer aujourd'hui consiste à :
1 - Prendre une machine Windows 11 qui servira de référence. Sur cette machine, nous pouvons modifier la configuration du système, installer des applications, déposer des fichiers de configuration, etc... Selon les besoins
2 - Capturer cette machine avec MDT afin que l'image Windows dans son intégralité (système + applications) donne lieu à une image WIM
3 - Ajouter cette image WIM à la liste des systèmes d'exploitation de MDT
4 - Déployer cette image de référence, qui est notre master, sur X ordinateurs
Ceci permet d'avoir une image prête à l'emploi, avec tous nos prérequis, ce qui en fait un master sur-mesure. Néanmoins, préférez autant que possible le déploiement d'applications par l'intermédiaire de MDT : ceci est la recommandation, et c'est aussi plus simple pour gérer les versions que vous souhaitez déployer, car l'image WIM capturée est figée (même si nous pouvons toujours agir dessus via les étapes de post-installation).
Dans certaines situations, cette méthode s'avère très utile, voire indispensable, et permettra d'éviter bien des galères aux équipes IT... Surtout, elle permettra de gagner un temps fou. Lors d'une précédente expérience, j'ai eu de nombreuses applications spécifiques à installer sur des machines, du style AutoCAD, Revit, Cadwork, etc... Elles sont à la fois lourdes et difficiles à déployer de façon silencieuse. De ce fait, les applications étaient installées sur une machine Windows 11, puis l'image capturée, ce qui permettait d'avoir une image prête à l'emploi avec ces applications préinstallées.
Pour cette démonstration, une machine sous Windows 11 Pro 23H2, déployée par l'intermédiaire de MDT (via la procédure décrite dans le précédent tutoriel) sert de point de départ.
Pour simuler quelques changements sur le système, je procède à l'installation de deux applications : la suite LibreOffice et VLC Media Player. Vous pourriez également décider de durcir la configuration du système à l'aide d'un outil comme HardeningKitty.
En complément, les VMware Tools sont installées dans la VM. Ainsi, lorsque cette image sera capturée puis de nouvelles VM déployées, elles bénéficieront directement des VMware Tools.
Ceci n'est qu'un exemple afin d'avoir un "master" à capturer. De votre côté, faites ce dont vous avez besoin.
Remarque : vous ne devez pas chiffrer la machine de référence avec BitLocker, sinon la capture échouera.
III. Les permissions sur le DeploymentShare
Si vous avez suivi notre tutoriel sur l'installation de MDT pour déployer Windows 11, vous avez créé le compte "Service_MDT" et vous lui avez attribué des permissions en "Lecture seule" sur le partage DeploymentShare. En fait, il s'agit de l'utilisateur déclaré dans les paramètres de MDT et utilisé par le LiteTouch (WinPE) pour se connecter au DeploymentShare.
Nous devons modifier les permissions car l'utilisateur doit pouvoir écrire dans le répertoire "Captures" afin de venir écrire l'image WIM.
Modifiez les permissions de partage :
1 - Effectuez un clic droit sur le dossier du DeploymentShare puis cliquez sur "Propriétés". Cliquez sur l'onglet "Partage" puis sur "Partage avancé".
2 - Cliquez sur le bouton "Autorisations".
3 - Sélectionnez l'utilisateur dans la liste, ici "Service_MDT".
4 - Attribuez la permission "Modifier" à cet utilisateur.
5 - Validez avec "OK".
Modifiez les permissions sur le système de fichiers NTFS :
1 - Cliquez sur l'onglet "Sécurité".
2 - Cliquez sur "Modifier".
3 - Sélectionnez l'utilisateur "Service_MDT" dans la liste.
4 - Attribuez la permission "Modification" à cet utilisateur.
5 - Cliquez sur "OK".
Voilà, cette étape est terminée.
IV. Créer une tâche Sysprep and Capture pour Windows 11
À partir de la console Deployment Workbench, créez une nouvelle séquence de tâches (via un clic droit sur "Task Sequences"), dans votre DeploymentShare.
Commencez par nommer cette séquence de tâches, par exemple "Capturer Windows 11" et poursuivez.
Lors de la sélection du template, choisissez "Sysprep and Capture".
À l'étape suivante, prenez une image système correspondante à la version que vous allez capturer. Mais, je crois que cela n'a pas de réelle importance puisque nous allons capturer notre image complète par la suite.
Poursuivez jusqu'à la fin... Tout en sachant que ces informations seront écrasées par la future tâche de déploiement de l'image.
Finalisez la création de la séquence de tâche.
Avant d'aller plus loin, accédez aux propriétés de votre DeploymentShare, puis dans l'onglet "Rules", assurez-vous d'avoir la ligne suivante :
SkipCature=NO
Sinon, l'assistant ne vous permettra pas de lancer la capture car l'étape de capture sera masquée.
En complément, si vous avez configuré le CustomSettings pour l'intégration au domaine Active Directory, vous devez commenter les lignes correspondantes, sinon l'étape "Capture Image" de l'assistant LiteTouch ne s'affichera pas (il s'agit probablement d'un bug). Une fois la capture effectuée, vous pouvez "réactiver" ces lignes.
V. Capturer image Windows 11 23H2 avec MDT
A. Démarrer la capture de l'image de référence
Désormais, nous allons initier la capture de l'image Windows 11. Vous ne devez pas démarrer en boot PXE sur le LiteTouch pour cette étape. À partir d'une session, sur la machine Windows 11 à capturer, accédez au DeploymentShare de votre serveur MDT.
À partir du nom ou de l'adresse IP. Puis, dans le répertoire "Scripts", exécutez le fichier "LiteTouch.vbs".
Actuellement, vous êtes toujours sur Windows 11, connecté à la session, et le LiteTouch démarre !
Sélectionnez la séquence de tâche "Capturer Windows 11" créée précédemment puis continuez.
Choisissez "Capture an image of this reference computer". Vous pouvez éventuellement donner un nom personnalisé à l'image WIM. Ici, la capture va générer l'image "CAPTW11-01.wim".
Continuez jusqu'à la dernière étape puis cliquez sur "Begin".
B. Le Sysprep
Le LiteTouch va commencer par initier un Sysprep sur la machine Windows. Cette étape est cruciale car Sysprep efface toutes les informations spécifiques à la machine : le SID, le nom de l'ordinateur, etc... Afin de préparer la machine au clonage ou à la création d'une image de référence (notre cas).
Patientez...
Le Sysprep est l'étape la plus délicate, disons.
Il y a régulièrement des plantages à cette étape, notamment à cause des applications Appx provisionnées dans une session et pas dans une autre. Si vous rencontrez une erreur, consultez ce fichier journal :
C:\Windows\System32\sysprep\Panther\setupact.log
Vous pouvez constater des lignes comme celle-ci :
SYSPRP Package <Nom du package> was installed for a user, but not provisioned for all users.
Dans ce cas, vous devez utiliser PowerShell pour essayer de faire le nettoyage nécessaire. Ceci peut bloquer sur une première application, puis sur une deuxième, donc consultez bien les logs si l'erreur revient après avoir fait le nécessaire.
Remove-AppxPackage -Package <Nom du package>
Pour lister les paquets de Microsoft, vous pouvez utiliser cette commande :
Quand le Sysprep sera terminé et effectué avec succès, la machine va redémarrer.
C. Création de l'image WIM
Au redémarrage, la machine va automatiquement poursuivre la capture et procéder à la création de l'image WIM. Ceci signifie que l'image WIM est envoyée dans le répertoire "Captures" de votre DeploymentShare.
Patientez jusqu'à la fin... Ici, la capture s'est déroulée sans problème !
Sur le serveur MDT, il y a bien une nouvelle image WIM. Son poids est d'environ 9,4 Go.
VI. Ajouter l'image de référence à une séquence de tâches
Nous avons fait la capture de notre image de référence, c'est bien, mais comment l'utiliser ? Comment déployer cette image sur des ordinateurs ?
A. Importer l'image WIM dans MDT
Tout d'abord, nous devons importer l'image WIM dans MDT, en tant qu'image de système d'exploitation.
Sur "Operating Systems", effectuez un clic droit et cliquez sur "Import Operating System".
Un assistant s'exécute. Choisissez "Custom image file" comme type d'OS.
Puis, à l'étape "Image", cliquez sur "Browse" pour sélectionner l'image WIM générée par la tâche de capture. Cochez également l'option "Move the files..." pour que l'image WIM soit déplacée dans le répertoire "Operating Systems" de votre DeploymentShare. Sinon, elle sera copiée et elle occupera deux fois plus de place sur votre serveur...
Poursuivez jusqu'à la fin en suivant l'assistant... Il n'est pas nécessaire de changer les autres paramètres, si ce n'est nommer le répertoire de destination.
Voilà, l'image WIM est importée !
B. Associer l'image WIM à une séquence de tâches
Désormais, nous allons associer l'image WIM capturée à une séquence de tâches dans le but de la déployer sur des appareils. Vous pouvez créer une nouvelle séquence de tâches, ou éditer une séquence de tâches existante. Ici, nous allons éditer la tâche "Déployer Windows 11 Pro 23H2".
1 - Rendez-vous dans "Task Sequences".
2 - Double-cliquez sur la séquence de tâches à modifier.
3 - Cliquez sur l'onglet "Task Sequence" pour accéder à la liste des tâches.
4 - Sous "Install", cliquez sur la tâche "Install Operating System".
5 - Sur la droite, cliquez sur "Browse", ceci vous permet de choisir l'image WIM à déployer !
Sélectionnée l'image correspondante à votre capture :
Validez. Vous pouvez cliquer sur "OK"car c'est la seule modification que nous devons apporter à la séquence de tâches.
VII. Déployer l'image de référence avec MDT
Tout est prêt, nous n'avons plus qu'à tester cette nouvelle configuration !
Prenez une machine sur laquelle tester le déploiement... Pour ma part, ce sera une nouvelle machine virtuelle. Puis, démarrez en boot PXE pour charger l'image LiteTouch de votre MDT.
Vous voilà sur l'écran "Task Sequence" où vous pouvez sélectionner la tâche "Déployer Windows 11 Pro 23H2" à laquelle est rattachée l'image WIM de référence.
Suivez les prochaines étapes pour associer un nom à la machine, etc... Puis lancez le déploiement !
Voilà, le déploiement est terminé ! Nous avons une nouvelle machine déployée à l'aide de notre image de référence ! Les applications LibreOffice et VLC Media Player sont bien présentes, tout comme les VMware Tools !
VIII. Conclusion
En suivant ce tutoriel, vous devriez être en mesure de capturer une image de référence personnalisée avec MDT, pour créer votre propre master sur-mesure à déployer sur les machines de votre parc informatique !
Darcula, c'est le nom d'une nouvelle plateforme de type "Phishing-as-a-Service" (PhaaS) qui permet d'usurper l'identité de différentes marques et organisations à partir de 20 000 domaines dans le but de voler les identifiants des utilisateurs sur mobile, aussi bien sur Android que sur iPhone. Faisons le point sur cette menace.
Alors que la plateforme Tycoon 2FA cible les utilisateurs de Microsoft 365 et Gmail sur ordinateur, Darcula quant à lui s'intéresse plutôt aux utilisateurs de smartphones Android et d'iPhone. Pour cela, des messages malveillants sont envoyés aux utilisateurs directement sur Google Messages (via le protocole RCS) et iMessage. Nous notons l'abandon du SMS traditionnel au profit du protocole RCS et d'iMessage, ce qui permet aux cybercriminels d'envoyer des messages protégés par le chiffrement de bout en bout, contrairement aux SMS. Ainsi, il n'est pas possible d'analyser le contenu du message pour le bloquer avant qu'il n'atteigne l'appareil de l'utilisateur.
Darcula : 200 modèles prêts à l'emploi
Le kit Darcula peut être utilisé par les cybercriminels pour usurper l'identité de services de livraison, mais aussi de services financiers, gouvernementaux, fiscaux, de sociétés de télécommunications, ou encore des compagnies aériennes. Au total, les abonnés ont accès à 200 modèles de messages et de pages malveillantes pour usurper l'identité des marques. Le contenu s'adapte également en fonction de la langue locale de l'utilisateur pris pour cible.
"La plateforme Darcula prétend prendre en charge environ 200 modèles d'hameçonnage, couvrant un large éventail de marques basées dans plus de 100 pays différents.", peut-on lire dans un rapport mis en ligne par Netcraft.
Les cybercriminels n'ont qu'à choisir une marque et un script de configuration s'occupe d'effectuer la configuration dans un conteneur Docker. D'ailleurs, la plateforme Darcula utilise le registre de conteneurs Harbor pour héberger l'image Docker.
L'utilisation du protocole RCS et de iMessage
L'utilisation du protocole RCS et d'iMessage pour émettre les messages malveillants obligent les pirates à contourner certaines restrictions. Il y a notamment des restrictions pour l'envoi en masse de messages. Du côté d'Apple, c'est interdit, ce qui conduit les cybercriminels à utiliser plusieurs comptes Apple ID différents et des fermes d'iPhone pour envoyer les messages. Chez Google, une restriction a été récemment mise en place pour empêcher les appareils rootés d'envoyer ou de recevoir des messages RCS.
En complément, iMessage intègre une protection un peu plus contraignante pour les cybercriminels : l'utilisateur peut cliquer sur un lien présent dans un iMessage uniquement s'il a déjà communiqué avec l'expéditeur du message en question. Pour cela, le message indique clairement à l'utilisateur qu'il doit répondre au message par un "Y" ou un "1" afin de pouvoir accéder au lien.
Darcula, une plateforme en pleine croissance
"Au total, Netcraft a détecté plus de 20 000 domaines liés à la cybercriminalité, répartis sur 11 000 adresses IP, qui ciblent plus de 100 marques.". De nombreux domaines en ".com" et ".top" sont utilisés par les cybercriminels et un tiers des hôtes sont protégés par les services de Cloudflare.
Par ailleurs, le document de Netcraft précise également 120 domaines supplémentaires sont créés chaque jour dans le but d'héberger des pages de phishing. Preuve que cette plateforme de PhaaS est en pleine croissance. À chaque fois, l'objectif des pirates est le même : voler les données confidentielles et/ou bancaires des utilisateurs, en fonction du template utilisé.
Même si nous tous plus ou moins habitués à recevoir ces messages suspects, restons vigilants...
Du jour au lendemain, soit après la mise à jour du BIOS, soit après le changement ou la mise à niveau d’un processeur AMD ou Intel, le système se bloque et le message suivant s’affiche à l’écran :
New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed.
Press Y to reset fTPM. If you have Bitlocker or encryption enabled, the system will not boot without a recovery key.
Press N to keep previous fTPM record and continue system boot. fTPM will NOT enable in new CPU, you can swap back to the old CPU to recover TPM related keys and data.
Ce tutoriel contient des instructions sur la manière de corriger l’erreur “New CPU installed. fTPM NV corrupted or fTPM NV structure changed” sur un ordinateur de bureau ou portable Windows 10/11.
Dans Windows 10 et Windows 11, Bitlocker un système de chiffrer de lecteur de disque, utilise TPM pour stocker en toute sécurité une clé de chiffrement et de déverrouiller automatiquement un lecteur lorsque l’ordinateur démarre. L’enregistrement fTPM est lié au matériel informatique, de sorte que s’il est modifié, par exemple vous changez le processeur, il doit être effacé avant d’être réutilisé. Cela signifie également que tout stockage chiffré ne sera plus déverrouillé par le TPM au démarrage et sera potentiellement inaccessible.
En résumé, si vous avez chiffré votre stockage pendant que vous utilisiez l’ancien processeur, probablement via Bitlocker, vous devez réinstaller ce processeur et déchiffrer le stockage avant d’installer le nouveau processeur, d’effacer le TPM et de rechiffrer.
La réponse diffère selon les cas de figure :
Répondre Y si BitLocker n’est pas utilisé. Consultez la suite de l’article pour vérifier cela, si vous ne savez pas
Répondre N, si BitLocker est installé et que vous avez besoin d’accéder aux données présentes sur vos disques
Si vous ne savez pas si BitLocker est utilisé, consultez la suite de ce guide. Enfin dans le cas où vous avez déjà répondu Y et que BitLocker est utilisé, vous aurez besoin de la clé de récupération pour accéder aux données.
Corriger “New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed”
Vérifier si BitLocker est utilisé
Si vous ne savez pas si BitLocker est actif sur votre PC, vous pouvez le vérifier. Vous pouvez faire cela depuis l’invite de commandes directement dans Windows ou depuis les options de récupération et de dépannage dans le cas où le chargement de Windows ne va pas au bout.
Vérifiez ensuite la ligne État de la Protection. Lorsque BitLocker n’est pas actif, vous obtenez Protection désactivée. Lorsque le disque est chiffré par BitLocker, Protection activée s’affiche. La méthode de chiffrement est indiquée, ici avec XTS-AES 128
Dans le cas où la protection BitLocker est désactivée, vous pouvez répondre Y pour réinitialiser le fTPM afin que le message au démarrage du PC ne s’affiche plus.
Si, après avoir appuyé sur la touche N, vous ne pouvez pas vous connecter à Windows à l’aide de votre code PIN ou de votre mot de passe, ou si Windows ne démarre pas, désactivez la protection BitLocker à partir de l’environnement de récupération Windows (WinRE). Pour ce faire, suivez les étapes ci-dessous :
Pour désactiver la protection BitLocker, vous devez posséder la clé de récupération BitLocker. Si vous ne possédez pas la clé BitLocker, essayez de la trouver à l’un des endroits suivants :
Sur une impression où a été sauvegardée la clé BitLocker, lors de l’activation de BitLocker sur votre système.
Sur une clé USB sur laquelle a été enregistrée la clé BitLocker lors de l’activation de BitLocker sur votre système.
Sur la page de la clé de récupération de votre compte Microsoft.
Sur votre compte Azure si vous vous connectez avec un compte Azure Active Directory
Note : Si vous possédez un PC Windows 10/11 et que vous avez ajouté un compte Microsoft (MSA) sur votre appareil, pour quelque raison que ce soit (par exemple, si vous utilisez un compte MSA pour vous connecter à Windows 10, ou pour télécharger des applications depuis le Microsoft Store, ou pour recevoir vos emails, ou pour activer Microsoft Office), alors à partir d’un autre appareil avec accès à Internet, connectez-vous avec ce compte Microsoft sur la page web Bitlocker Recover Key de Microsoft pour obtenir la clé de récupération pour votre appareil.
Désactiver TPM de votre PC
Si vous avez monté ou acheté un nouvel ordinateur/portable sans système d’exploitation et que vous voyez le message “fTPM corrompu-structure modifiée”, appuyez sur la touche Y pour réinitialiser le fTPM et poursuivre l’installation de Windows. Dans tout autre situation, ne désactivez pas TPM car il est utile pour Windows ou vos applications.
Si vous pouvez vous connecter à Windows mais que vous continuez à recevoir le message, vous pouvez essayer de désactiver la fonction fTPM via le BIOS.
Accédez au BIOS en appuyant sur F8, F10, F12, Del, Esc ou un autre bouton lorsque le système démarre. Plus de détails : Comment accéder au BIOS de son PC
Une fois à l’intérieur, allez dans la section Paramètres avancés/Configuration de l’unité centrale.
Recherchez les sections telles que Security Device Support ou simplement fTPM
Mozilla Firefox est le navigateur libre très populaire lorsque l’on est sensible à la vie privée. Mais vous pouvez rencontrer des problèmes pour afficher les sites WEB, notamment le message “La connexion a échoué” peut s’afficher.
Dans ce guide, je vous donne plusieurs solutions afin de corriger et résoudre les problèmes de chargement des pages internet sur Mozilla Firefox.
Pourquoi Mozilla Firefox n’arrive pas à se connecter au site internet
Voici les principales raisons qui peuvent faire que les sites internet ne fonctionnent pas :
Mozilla Firefox est corrompu ou endommagé
Un logiciel malveillant a modifié la configuration réseau (un proxy a été configuré, modification des serveurs DNS, …)
Un logiciel de sécurité (antivirus ou firewall) perturbe l’affichage des sites internet
Le réseau de Windows est endommagé. Dans ce scénario, vous devez rencontrer d’autres messages d’erreur de connexion sur d’autres applications
Pour diagnostiquer ce problème, vous devez prendre en compte si le problème se situe sur plusieurs navigateurs internet et vos applications réseaux ou si cela ne touche que Firefox. Dans le premier cas, il s’agit donc d’un problème de configuration générale ou du réseau de Windows qui est endommagé.
Résoudre “la connexion a échoué” sur Mozilla Firefox
Réparer Mozilla Firefox
Mozilla Firefox possède une fonctionnalité pour réinitialiser le navigateur internet afin de résoudre les problèmes les plus courants. Vous pouvez l’utiliser, sans perdre vos favoris et mots de passe enregistrés pour tenter de réparer le navigateur WEB. Voici comment faire :
Ouvrez un nouvelle onglet
Dans la barre d’adresse, saisissez about:support
A droite, cliquez sur Réparer Firefox
Puis laissez vous guider pour terminer la réinitialisation
Un antivirus tiers ou un pare-feu tiers peut perturber le chargement des sites internet sur Firefox. Si vous avez un logiciel de sécurité installé, il convient de tester en le désinstallant. Pour cela :
Faites un clic droit sur le menu Démarrer
Puis procédez à la désinstallation de tous les logiciels tiers
Changer les serveurs DNS
Un problème technique temporaire sur les serveurs DNS de votre fournisseur d’accès internet ou votre box internet qui rencontre un problème DNS peuvent faire que les sites WEB ne s’affichent plus dans Mozilla Firefox. Pour tester ce scénario, vous devez configurer des serveurs DNS tiers dans Windows et vérifier si cela résout le problème.
Sur votre clavier, appuyez sur la touche
+
R
Dans la fenêtre exécuter, saisissez : ncpa.cpl
Ouvrir les propriétés de la carte réseau
Dans le cas où vous êtes connecté en filaire (connexion par câble), faites l’opération sur la carte Ethernet.
Alors que si la connexion est en Wi-Fi, l’opération de changement de DNS doit être effectuée la carte Wi-Fi/Wireless.
Faites un clic droit sur la carte réseau en question puis Propriétés.
Une mauvaise configuration ou corruption du fichier HOSTS de Windows peut entraîner des erreurs de connexion au site. En effet, cela peut fausser la résolution DNS et l’adresse IP retournée pour le site. A partir de là, votre navigateur WEB se connecte à un mauvais serveur WEB et cela peut retourner des erreurs de connexion au site. Dans ce cas là, il faut réinitialiser le fichier HOSTS de Windows afin de remettre le contenu à zéro.
Mardi 26 mars 2024, Google a publié une nouvelle version de son navigateur Chrome dans le but de corriger 7 vulnérabilités, dont 2 failles de sécurité zero-day découvertes lors du Pwn2Own 2024 de Vancouver. Faisons le point sur cette mise à jour !
Les utilisateurs de Google Chrome sur Windows Mac et Linux vont pouvoir passer par la case maintenance : l'entreprise américaine a mis en ligne plusieurs versions pour protéger ses utilisateurs. Tout d'abord, nous allons évoquer les deux failles de sécurité zero-day découvertes et exploitées lors du Pwn2Own 2024, une compétition de hacking.
La première vulnérabilité, associée à la référence CVE-2024-2886, a été découverte par Seunghyun Lee (@0x10n) de KAIST Hacking Lab, le 21 mars 2024. Il s'agit d'une faiblesse de type "use after free" présente dans WebCodecs.
La seconde vulnérabilité, associée à la référence CVE-2024-2887, a été découverte par Manfred Paul de l'équipe Trend Micro Zero Day Initiative. Il s'agit d'une faiblesse de type "type confusion" présente dans le composant WebAssembly. Ces deux vulnérabilités sont considérées comme importantes.
Par ailleurs, d'autres vulnérabilités ont été reportées directement à Google, notamment la faille de sécurité critique CVE-2024-2883, découverte par Cassidy Kim le 3 mars 2024. Il s'agit d'une vulnérabilité de type "use after free" dans ANGLE.
Pour vous protéger, vous devez mettre à jour Google Chrome pour passer sur les versions 123.0.6312.86/.87 pour Windows et Mac, ainsi que la version 123.0.6312.86 pour Linux. Les versions antérieures sont vulnérables. Vous pouvez obtenir plus d'informations dans le bulletin de sécurité de Google.
Pour rappel, suite aux vulnérabilités découvertes à l'occasion de cette compétition de hacking, la Fondation Mozilla a mis en ligne une nouvelle version pour son navigateur afin de combler deux failles de sécurité zero-day : Firefox 124.0.1. Enfin, sachez que Manfred Paul est le grand gagnant de cette édition du Pwn2Own Vancouver 2024 grâce à plusieurs vulnérabilités découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge.
Dans ce tutoriel, nous allons avoir comment configurer l'authentification LDAP de GLPI pour pouvoir se connecter à l'application GLPI à partir des comptes utilisateurs présents dans un annuaire Active Directory. Ainsi, un utilisateur pourra accéder à GLPI à l'aide de son nom d'utilisateur et son mot de passe habituel (puisque ce seront les informations de son compte dans l'Active Directory).
GLPI propose nativement un modèle d'authentification LDAP, ce qui lui permet de s'appuyer sur un annuaire de comptes externe, comme l'Active Directory de Microsoft. Il faut savoir que les comptes utilisateurs de l'Active Directory seront importés dans la base de données de GLPI, grâce à un processus de synchronisation. Lorsqu'un utilisateur Active Directory se connecte pour la première fois, son compte est créé dans GLPI. Avant cela, il n'est pas visible, sauf si vous décidez d'effectuer un "import en masse" des comptes AD dans GLPI.
Avant de passer à la configuration, voici quelques informations sur l'environnement utilisé.
Pour cette démonstration, le domaine Active Directory "it-connect.local" sera utilisé et le contrôleur de domaine SRV-ADDS-02 sera utilisé. Ce serveur dispose de l'adresse IP "10.10.100.11" et la connexion sera effectuée en LDAP, sur le port par défaut (389).
- Le compte utilisateur qui sera utilisé comme "connecteur" pour permettre à GLPI de se connecter à l'Active Directory se nomme "Sync_GLPI". Il est stocké dans l'unité d'organisation "Connecteurs" de l'annuaire (voir image ci-dessous). Il s'agit d'un compte utilisateur standard, sans aucun droit particulier sur l'annuaire Active Directory. Faites-moi plaisir : n'utilisez pas de compte Administrateur.
- Tous les utilisateurs qui doivent pouvoir se connecter à GLPI à l'aide de leur compte Active Directory sont stockés dans l'unité d'organisation "Personnel" visible ci-dessous. Elle correspond à ce que l'on appelle la "Base DN" vis-à-vis du connecteur LDAP de GLPI. Les autres utilisateurs ne pourront pas se connecter. En fait, ce n'est pas utile de mettre la racine du domaine comme base DN : essayez de restreindre autant que possible pour limiter la découverte de l'annuaire Active Directory au strict nécessaire.
- Les utilisateurs de l'Active Directory pourront se connecter à GLPI à l'aide de leur identifiant correspondant à l'attribut "UserPrincipalName" (mis en évidence, en jaune, sur l'image ci-dessous). Cet identifiant, sous la forme "identifiant + nom de domaine", leur permettra se connecter à GLPI avec un identifiant qui correspond à leur e-mail. L'alternative consisterait à utiliser l'attribut "SamAccountName" (soit l'identifiant sous la forme "DOMAINE\identifiant").
Voilà, maintenant, nous allons pouvoir dérouler la configuration !
II. Installer l'extension LDAP de PHP
L'extension LDAP de PHP doit être installée sur votre serveur pour que GLPI soit capable de communiquer avec votre serveur contrôleur de domaine Active Directory (ou tout autre annuaire LDAP).
Connectez-vous à votre serveur GLPI et exécutez les deux commandes suivantes pour mettre à jour le cache des paquets et procéder à l'installation de l'extension.
sudo apt-get update
sudo apt-get install php-ldap
Cette extension sera installée et activée dans la foulée. Vous n'avez pas besoin de relancer le serveur.
III. Ajouter un annuaire LDAP dans GLPI
Désormais, nous allons ajouter notre annuaire Active Directory à GLPI. Connectez-vous à GLPI avec un compte administrateur, puis dans le menu "Configuration", cliquez sur "Authentification".
Au centre de l'écran, cliquez sur "Annuaire LDAP".
Puis, cliquez sur le bouton "Ajouter".
Un formulaire s'affiche à l'écran. Comment le renseigner ? À quoi correspondent tous ces champs ? C'est que nous allons voir ensemble.
Nom : le nom de cet annuaire LDAP, vous pouvez utiliser un nom convivial, ce n'est pas obligatoirement le nom du domaine, ni le nom du serveur.
Serveur par défaut : faut-il s'appuyer sur ce serveur par défaut pour l'authentification LDAP ? Il ne peut y avoir qu'un seul serveur LDAP défini par défaut.
Actif : nous allons indiquer "Oui", sinon ce sera déclaré, mais non utilisé.
Serveur : adresse IP du contrôleur de domaine à interroger. Avec le nom DNS, cela ne semble pas fonctionner (malheureusement).
Port : 389, qui est le port par défaut du protocole LDAP. Si vous utilisez TLS, il faudra le préciser à postériori, dans l'onglet "Informations avancées", du nouveau serveur LDAP.
Filtre de connexion : requête LDAP pour rechercher les objets dans l'annuaire Active Directory. Généralement, nous faisons en sorte de récupérer les objets utilisateurs ("objectClass=user") en prenant uniquement les utilisateurs actifs (via un filtre sur l'attribut UserAccountControl).
BaseDN : où faut-il se positionner dans l'annuaire pour rechercher les utilisateurs ? Ce n'est pas nécessaire la racine du domaine, tout dépend comment est organisé votre annuaire et où se situent les utilisateurs qui doivent pouvoir se connecter. Il faut indiquer le DistinguishedName de l'OU.
Utiliser bind : à positionner sur "Oui" pour du LDAP classique (sans TLS)
DN du compte : le nom du compte à utiliser pour se connecter à l'Active Directory. En principe, vous ne pouvez pas utiliser de connexion anonyme ! Ici, il ne faut pas indiquer uniquement le nom du compte, mais la valeur de son attribut DistinguishedName.
Mot de passe du compte : le mot de passe du compte renseigné ci-dessus
Champ de l'identifiant : dans l'Active Directory, quel attribut doit être utilisé comme identifiant de connexion pour le futur compte GLPI ? Généralement, UserPrincipalName ou SamAccountName, selon vos besoins.
Champ de synchronisation : GLPI a besoin d'un champ sur lequel s'appuyer pour synchroniser les objets. Ici, nous allons utiliser l'objectGuid de façon à avoir une valeur unique pour chaque utilisateur. Ainsi, si un utilisateur est modifié dans l'Active Directory, GLPI pourra se repérer grâce à cet attribut qui lui n'évoluera pas (sauf si le compte est supprimé puis recréé dans l'AD).
Ci-dessous, la configuration utilisée pour cette démonstration et qui correspond à la "configuration cible" évoquée précédemment.
Nom : Active Directory - it-connect.local
Serveur par défaut : Oui
Actif : Oui
Serveur : 10.10.100.11
Port : 389
Filtre de connexion : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
BaseDN : OU=Personnel,DC=it-connect,DC=local
Utiliser bind : Oui
DN du compte : CN=Sync_GLPI,OU=Connecteurs,OU=Tiering,OU=IT,DC=it-connect,DC=local
Mot de passe du compte : Mot de passe du compte "Sync_GLPI"
Champ de l'identifiant : userprincipalname
Champ de synchronisation : objectguid
Quand votre configuration est prête, cliquez sur "Ajouter".
Dans la foulée, GLPI va effectuer un test de connexion LDAP et vous indiquer s'il est parvenu, ou non, à se connecter à votre annuaire. Si ce n'est pas le cas (comme moi, la première fois), cliquez sur le nom de votre annuaire, vérifiez la configuration, puis retournez dans "Tester" sur la gauche afin de lancer un nouveau test. Pour ma part, le problème venait du champ "Serveur" : j'avais mis le nom DNS du serveur à la place de l'adresse IP, mais cela ne fonctionnait pas. Pourtant, mon serveur GLPI parvient bien à résoudre le nom DNS.
Par ailleurs, vous pouvez explorer les différents onglets : Utilisateurs, Groupes, Réplicats, etc... Pour affiner la configuration. L'onglet "Utilisateurs" est intéressant pour configurer le mappage entre les champs d'une fiche utilisateur dans GLPI et les attributs d'un compte dans l'Active Directory. Quant à l'onglet "Réplicats", vous pouvez l'utiliser pour déclarer un ou plusieurs contrôleurs de domaine "de secours" à contacter si le serveur principal n'est plus joignable.
IV. Tester la connexion Active Directory
Si GLPI valide la connexion à votre annuaire Active Directory, vous pouvez tenter de vous authentifier à l'application avec un compte utilisateur. Pour ma part, c'est l'utilisateur Guy Mauve qui va servir de cobaye. Son login GLPI sera donc "[email protected]" puisque je m'appuie sur l'attribut UserPrincipalName. Pour le mot de passe, je dois indiquer celui de son compte Active Directory.
Remarque : la source d'authentification doit être l'Active Directory.
Voilà, l'authentification fonctionne ! L'utilisateur a pu se connecter avec son compte Active Directory et il hérite du rôle "Self-service".
Dans le même temps, à partir du compte admin de GLPI, je peux remarquer la présence d'un nouveau compte utilisateur dont l'identifiant est "[email protected]" ! GLPI a également récupéré le nom, le prénom et l'adresse e-mail à partir de différents attributs de l'objet LDAP.
V. Forcer une synchronisation Active Directory
A partir de GLPI, vous pouvez forcer une synchronisation LDAP de façon à mettre à jour les comptes dans GLPI "liés" à des comptes Active Directory, mais aussi pour importer en masse tous les comptes des utilisateurs Active Directory. Ceci vous évite d'attendre la première connexion et vous permet de préparer le compte : attribution du bon rôle, etc.
Cliquez sur "Administration" dans le menu, puis "Utilisateurs". Ici, vous avez accès au bouton "Liaison annuaire LDAP".
Vous avez ensuite le choix entre deux actions différentes, selon vos besoins.
Si vous cliquez sur "Importation de nouveaux utilisateurs", vous pourrez importer en masse les comptes dans l'Active Directory. Il vous suffit de lancer une recherche, de sélectionner les comptes à importer et de lancer l'import grâce au bouton "Actions".
Remarque : vous pouvez aussi importer des groupes Active Directory. Pour cela, suivez la même procédure, mais en allant dans "Groupes" sous "Administration".
VI. Conclusion
En suivant ce tutoriel, vous devriez être en mesure d'importer les comptes utilisateurs d'un annuaire Active Directory dans GLPI, pour faciliter la connexion de vos utilisateurs. Sachez que si un utilisateur change son mot de passe dans l'Active Directory, ce n'est pas un problème : GLPI vérifie les informations lors de la connexion.
Une nouvelle variante du botnet "TheMoon" a été repéré dans 88 pays différents sur des milliers de routeurs, notamment de la marque ASUS, et des appareils IoT. Faisons le point sur cette menace.
Les chercheurs en sécurité de Black Lotus Labs ont surveillé de près la dernière campagne de TheMoon, qui s'est déroulée en mars 2024, et les chiffres sont élevés : en 72 heures, ce botnet est parvenu à compromettre 6 000 routeurs ASUS. Plus globalement, voici ce que précise le rapport au sujet de l'activité de TheMoon : "Alors que Lumen a déjà documenté cette famille de logiciels malveillants, notre dernier suivi a montré que TheMoon semble permettre la croissance de Faceless à un rythme de près de 7 000 nouveaux utilisateurs par semaine."
En effet, les appareils compromis par le botnet TheMoon sont ensuite exploités par le service proxy "Faceless" auquel il est lié. Ce service s'appuie sur les appareils infectés pour les utiliser comme proxy afin de masquer le trafic généré par les cybercriminels. Ainsi, ceci permet aux cybercriminels, notamment ceux des groupes IcedID et SolarMarker, de masquer leurs activités malveillantes.
TheMoon n'est pas une nouvelle menace puisqu'il a été repéré pour la première fois en 2014. À cette époque, il ciblait particulièrement les équipements LinkSys. Lors de la première semaine de mars, il y a eu une importante vague d'attaques à destination des routeurs ASUS.
Les routeurs ASUS, une cible privilégiée
Les chercheurs de Black Lotus Labs ne précisent pas comment les routeurs ASUS ont pu être compromis, mais il s'agirait de modèles qui ne sont plus pris en charge par le fabricant. Il est fort probable que des failles de sécurité connues et non corrigées soient exploitées par le botnet, ou que la technique du brute force soit utilisée : ces routeurs sont susceptibles d'être mal configurés et le compte admin par défaut pourrait fonctionner dans certains cas...
Lorsqu'un appareil est compromis, le logiciel malveillant part à la recherche d'un shell avec lequel il est compatible : "/bin/bash," "/bin/ash," ou "/bin/sh". Si c'est le cas, le chargeur télécharge, déchiffre et exécute un payload nommé ".nttpd" sur l'appareil. Ensuite, des règles de filtrage sont créées via iptables pour bloquer les flux entrants sur les ports 8080 et 80 en TCP, sauf pour des plages d'adresses IP spécifiques. Ceci permet aux attaquants d'être les seuls à pouvoir exploiter cet appareil à distance, notamment via le service de proxy. Enfin, TheMoon établit une connexion aux serveurs C2 pilotés par les attaquants et il est en attente de recevoir des instructions.
Si vous constatez des problèmes de stabilité, de performances ou des paramètres qui ont changé sur votre routeur ou un appareil IoT, il se pourrait que vous soyez victime de ce botnet, notamment si vous utilisez un routeur ASUS.
Grâce à l'entrée en vigueur du Digital Markets Act, Opera affiche une énorme croissance de 402% sur iPhone, en France ! Il s'agit d'une alternative à Safari qui semble séduire les utilisateurs de smartphones Apple.
Le 6 mars 2024, le Digital Markets Act (DMA) est entré en vigueur et les géants de la tech ont dû s'y préparer : que ce soit Google, Amazon, Microsoft ou encore Apple. D'ailleurs, sur les smartphones sous Android et iOS, Google et Apple doivent permettre à l'utilisateur de choisir facilement un navigateur tiers. Autrement dit, si nous prenons le cas de l'iPhone, Apple ne doit pas imposer Safari. Sur Android, il s'agit d'avoir le choix d'utiliser autre chose que Google Chrome. L'objectif étant d'offrir aux utilisateurs une certaine liberté, et surtout, de pouvoir faire ses choix de façon simple.
Bien que de nombreux utilisateurs d'iPhone aient pris la décision de poursuivre l'aventure avec Safari, d'autres, quant à eux, ont choisi d'utiliser un autre navigateur. En effet, il y a du choix : Brave, Mozilla Firefox, ou encore Opera. Au total, il y a une petite dizaine d'alternatives proposées.
Au mois de mars, le grand gagnant, c'est Opera : il affiche une croissance de 402% sur iOS, rien qu'en France. Chez nos voisins européens, il y a également une belle évolution pour Opera : +143% en Espagne, +68% en Pologne et +56% en Allemagne. Sur Android, Opera a également progressé : "Opera pour Android a également connu une croissance significative, en particulier en France, où le nombre de nouveaux utilisateurs a augmenté de 54 % le jour où le Ballot Screen a commencé à être introduit.", peut-on lire dans l'article de presse d'Opera.
De façon globale, sur desktop et mobile, Opera reste moins utilisé que certains navigateurs comme Google Chrome, Microsoft Edge et Safari, c'est un sérieux coup de pouce pour ce navigateur qui se démarque par certaines fonctionnalités intéressantes pour la confidentialité en ligne.
D'ailleurs, dans son article de presse, Opera en profite pour rappeler certaines de ces fonctionnalités disponibles sur mobiles : "Opera pour Android et Opera pour iOS sont des navigateurs puissants qui offrent une expérience rapide, sécurisée et centrée sur l'utilisateur. Tous deux proposent des fonctions de confidentialité avancées, telles qu'un VPN gratuit et sans connexion, ainsi qu'un bloqueur de publicités, un bloqueur de traqueurs et un bloqueur de fenêtres pop-up et de cookies intégrés."
Par ailleurs, certains utilisateurs ont pris la décision de s'orienter vers d'autres navigateurs. Du côté de Brave, le nombre d'installations quotidiennes est passé de 8 000 à 11 000 à partir du 9 mars 2024.
Windows contient de nombreux fichiers et dossiers dont vous n’avez pas besoin. Entre les caches, les fichiers inutiles qui gaspillent de l’espace et les fichiers que vous pouvez supprimer pour résoudre des problèmes, il peut être difficile de savoir ce qui peut être supprimé de Windows en toute sécurité afin de libérer de la place disque.
Dans ce tutoriel, je passe en revue quelques fichiers et dossiers Windows qui peuvent être supprimés en toute sécurité, ainsi que les raisons pour lesquelles vous pouvez vouloir les effacer. Cela vous aidera à libérer de l’espace disque et à mieux connaître votre PC. En fin d’article, je vous explique comment nettoyer Windows sans causer aucun dommage avec les utilitaires intégrés.
Supprimer ces fichiers et dossiers Windows pour libérer de l’espace disque
Les fichiers temporaires de l’utilisateur (C:\Users\<utilisateur\AppData\Temp)
On commence cette revue des dossiers de Windows que vous pouvez nettoyer avec le dossier temporaire utilisateur : C:\Users\<utilisateur\AppData\Temp
Comme son nom l’indique, il stocke les fichiers que les applications de l’utilisateur créé temporairement et qu’ils sont censés supprimer une fois l’application fermée. Parfois, ces fichiers peuvent rester et s’accumuler dans le temps.
Vous pouvez supprimer l’intégralité des fichiers qui s’y trouvent depuis l’Explorateur de fichiers. Saisissez le chemin %TEMP% et utilisez le raccourci clavier CTRL+A pour sélectionner tous les fichiers. Enfin supprimez les.
Le dossier temporaire de Windows (C:\Windows\Temp)
De la même manière que le dossier temporaire utilisateur, le système a besoin d’un dossier temporaire. Son emplacement est C:\Windows\Temp. Les fichiers et dossiers qu’ils contiennent contiennent des informations que Windows a utilisées à un moment donné, mais dont il n’a plus besoin.
Vous pouvez vous rendre simplement dans ce dossier avec l’Explorateur de fichiers et sélectionner tous les fichiers avec CTRL+A et tout supprimer. Sinon utilisez l’utilitaire de nettoyage de disque recommandé en fin d’article.
La corbeille de Windows (shell:RecycleBinFolder)
La corbeille de Windows stocke les fichiers qui viennent d’être supprimés. Elle permet de les restaurer, ce qui est assez pratique lorsque l’on a supprimé un fichier par erreur. La taille de la corbeille de Windows est limitée, et une fois cette taille atteinte, les anciens fichiers sont supprimés. Mais vous pouvez vider la corbeille de Windows très simplement :
Vous pouvez accéder à la corbeille par le raccourci situé sur votre bureau. Si vous ne le voyez pas, tapez shell:RecycleBinFolder dans la barre de navigation de l’explorateur de fichiers.
Une fois dans ce dossier, vous verrez tout ce que vous avez supprimé récemment
Cliquez avec le bouton droit de la souris sur les éléments individuels et cliquez sur Supprimer pour les effacer définitivement, ou choisissez Restaurer pour renvoyer un fichier à son emplacement d’origine
Windows.old (C:\Windows.old)
Chaque fois que vous mettez à jour votre version de Windows, le système conserve une copie de vos fichiers précédents, appelée Windows.old. Ce dossier contient essentiellement tout ce qui constituait votre ancienne installation, au cas où quelque chose n’aurait pas été transféré correctement.
Si nécessaire, vous pouvez utiliser ce dossier pour revenir à une version antérieure de Windows. Il est également possible d’ouvrir le dossier et de récupérer quelques fichiers égarés si vous en avez besoin. Notez que le système prévoit de le supprimer automatiquement, 10 jours après l’installation de la mise à jour de fonctionnalités. Donc si le dossier est encore présent, cela n’est pas normal.
Vous pouvez supprimer le dossier Windows.old sans problème.
C:\Windows\Logs
Le dossier système C:\Windows\Logs stocke différents journaux Windows liés aux utilitaires SFC, DISM, la restauration du système ou encore Windows Update. Vous pouvez y trouver des fichiers texte souvent avec l’extension .log ou des fichiers .etl. Il est tout à fait possible de supprimer ces fichiers s’ils prennent trop de place. Pour cela, il suffit de vous y rendre avec l’Explorateur de fichiers et de supprimer les fichiers manuellement.
LiveKernelReports (C:\Windows\LiveKernelReports)
Le dossier LiveKernelReports est un autre répertoire susceptible d’apparaître lorsque vous recherchez des fichiers volumineux sur votre ordinateur. Ce dossier contient les fichiers dump, qui sont des journaux d’information permanents conservés par Windows. Si votre ordinateur rencontre un problème, vous pouvez analyser le contenu des fichiers journaux à l’aide de l’Observateur d’événements pour commencer à résoudre le problème.
Tous les fichiers volumineux se terminant par l’extension DMP dans ce dossier peuvent être supprimés en toute sécurité si vous n’avez pas besoin de les examiner plus en détail. Cependant, comme pour les emplacements ci-dessus, nous vous recommandons d’utiliser l’utilitaire de nettoyage de disque au lieu de supprimer le fichier vous-même.
Lorsque Windows tombe en panne ou que vous rencontrez d’autres problèmes informatiques majeurs, ne supprimez pas immédiatement ces fichiers de vidage. Vous pouvez utiliser un programme comme WhoCrashed pour obtenir plus d’informations.
Fichiers de programme téléchargés (C:\Windows\Downloaded Program Files)
Ce dossier n’a rien à voir avec les téléchargements effectués par l’utilisateur. Il contient plutôt des fichiers utilisés par les contrôles ActiveX et les applets Java d’Internet Explorer. L’objectif est qu’une fois que vous utilisez l’une de ces fonctions sur un site web, vous n’ayez pas à la télécharger deux fois.
En fait, ce dossier est aujourd’hui inutile. ActiveX et Java ont en effet disparu du web moderne, et Internet Explorer n’est plus pris en charge. Par conséquent, votre dossier Downloaded Program Files est peut-être déjà vide (ou n’existe même pas), mais n’hésitez pas à en nettoyer le contenu si ce n’est pas le cas.
C:\Windows\SoftwareDistribution (Windows Update)
C:\Windows\SoftwareDistribution est un répertoire des systèmes d’exploitation Windows dans lequel le système stocke les fichiers relatifs à Windows Update.
Lorsque vous utilisez Windows Update pour télécharger et installer des mises à jour pour votre système d’exploitation, les fichiers sont temporairement stockés dans ce répertoire avant d’être installés. En outre, ce répertoire peut contenir des journaux, des fichiers temporaires et d’autres données liées aux opérations de Windows Update.
Le mode hibernation de votre PC est similaire au mode veille, sauf que le système enregistre tous vos travaux en cours sur le disque de stockage, puis s’éteint. Vous pouvez retirer la batterie de votre ordinateur portable et rester en hibernation pendant une semaine, puis redémarrer et reprendre là où vous vous étiez arrêté.
Bien entendu, cela prend de la place, et c’est à cela que sert le fichier d’hibernation. En fonction de la taille de votre disque dur, le fichier d’hibernation représente probablement plusieurs gigaoctets ou plus.
Si vous n’utilisez pas la mise en veille prolongée et que vous souhaitez la désactiver, vous pouvez facilement le faire via la ligne de commande. Notez que vous ne devez pas simplement supprimer hiberfil.sys, car Windows le recréera à nouveau.
Quels logiciels pour supprimer les fichiers inutiles ?
Supprimer ces fichiers inutiles peut être fastidieux, savez-vous que Windows possède un utilitaire de disque qui permet de nettoyer le disque en quelques clics ? Outre le fait que vous perdez du temps à le faire vous-même alors que vous pourriez automatiser le processus, il est plus sûr de laisser l’outil de nettoyage de disque effectuer ces nettoyages pour vous. Vous éviterez ainsi les erreurs courantes de maintenance de Windows, comme la suppression accidentelle de fichiers dont vous avez besoin ou la manipulation des mauvais dossiers.
Pour l’utiliser, c’est très simple :
Faites un clic droit sur le menu Démarrer > exécuter
Saisissez cleamgr et OK
En bas à gauche, cliquez sur
Cochez toutes les éléments et cliquez sur OK pour lancer le nettoyage de disque
Si vous trouvez cette interface trop lourde, vous pouvez vous rendre dans Paramètres > Système > Stockage pour essayer le nouvel outil de nettoyage du stockage de Windows 10 et 11. Cliquez sur Fichiers temporaires dans la liste des options, puis vous verrez s’afficher une liste similaire à celle proposée par l’utilitaire de nettoyage de disque.
Vous pouvez configurer Windows pour supprimer les fichiers inutiles automatiquement :
Vous utilisez Microsoft Edge sur Windows Server et il se ferme au bout de quelques secondes ? Sachez que vous n'êtes pas le seul et que ce problème serait lié à la version 123 du navigateur Edge. Faisons le point sur ce problème.
La Build 123.0.2420.53 de Microsoft Edge semble donner du fil à retordre aux administrateurs systèmes qui exploitent ce navigateur sur Windows Server. En effet, cette version ne semble pas fonctionner correctement : une page blanche s'ouvre au démarrage, puis quelques secondes plus tard, le navigateur se ferme tout seul. Ceci peut s'avérer très problématique sur certains serveurs, notamment les hôtes de sessions Bureau à distance (RDS) où les utilisateurs se connectent directement !
Ce problème fait suite à l'installation de la version 123.0.2420.53 sur Windows Server. Une version disponible depuis quelques jours sur Windows et Windows Server puisqu'elle a introduit le canal Stable de Microsoft Edge le 23 mars 2024.
Comment résoudre ce problème ?
Actuellement, la solution consiste à revenir en arrière, c'est-à-dire sur une version antérieure de Microsoft Edge. D'ailleurs, sur le forum de Microsoft une ligne de commande a été fournie par un utilisateur pour expliquer comment revenir en arrière à partir du package MSI d'une précédente version d'Edge grâce à l'utilisation du paramètre "ALLOWDOWNGRADE=1" :
msiexec /I Microsoft Edge_122.0.2365.106_Machine_X64_msi_en-US.msi ALLOWDOWNGRADE=1
Vous pouvez télécharger la version de Microsoft Edge de votre choix à partir de cette page. Sur la page du forum Microsoft, l'agent qui a répondu confirme que d'autres utilisateurs ont rencontré ce problème ! D'ailleurs, ces dernières heures, Microsoft a retiré cette mise à jour de son catalogue et elle n'est plus distribuée via WSUS: preuve qu'il y a un réel problème avec celle ! En attendant, si elle est déjà passée sur vos serveurs, vous risquez de rencontrer ce problème !
Et vous, rencontrez-vous ce bug sur Windows Server ?
PS : merci à Fabien Guérout de chez Délibérata (un ancien collègue !) de m'avoir signalé ce dysfonctionnement et confirmé que le downgrade vers une version antérieure permettait de corriger ce problème !
Tycoon 2FA, c'est le nom d'une plateforme de Phishing-as-a-Service (Phaas) utilisée par les cybercriminels pour cibler les utilisateurs de Gmail (Google) et de Microsoft 365, tout en outrepassant l'authentification à deux facteurs. Voici ce qu'il faut savoir sur ce kit redoutable !
En octobre 2023, les analyses de Sekoia ont fait la découverte de Tycoon 2FA pour la première fois. Néanmoins, les pirates du groupe Saad Tycoon en font la promotion sur un canal Telegram privé depuis août 2023.
Comme le soulignent les équipes de Sekoia dans un nouveau rapport, ce kit de phishing prêt à l'emploi est en pleine évolution et une nouvelle version a été publiée en 2024 : plus efficace et plus furtive, notamment l'ajout de capacités de détection et de blocage des bots. Actuellement, Tycoon 2FA exploite 1 100 domaines et a été utilisé pour mettre au point des milliers d'attaques de phishing.
Afin de pouvoir contourner l'authentification multifacteur et voler les informations d'identification des utilisateurs, Tycoon 2FA doit intercepter les données de la victime et les transmettre au service légitime. Pour atteindre cet objectif, la plateforme Tycoon 2FA intègre un reverse proxyqui va se positionner entre l'ordinateur de la victime et le service sur lequel elle va se connecter.
Un processus bien rôdé, en 7 étapes
Ainsi, actuellement en mars 2024, une attaque Tycoon 2FA se déroule en 7 étapes distinctes :
Étape 0 : les attaquants diffusent des liens malveillants par l'intermédiaire d'une campagne de phishing (e-mails malveillants) ou des QR codes piégés, dans le but d'amener la victime vers la page falsifiée.
Étape 1 : lorsqu'un utilisateur clique sur l'URL contenue dans l'e-mail, ou qu'il scanne le QR code, il est redirigé vers une page intégrant un défi Turnstile de Cloudflare afin de filtrer le trafic indésirable.
Étape 2 : cette étape n'est pas visible pour l'utilisateur, car elle exécute un code JavaScript en arrière-plan et redirige ensuite l'utilisateur vers une autre page en fonction de la présence d'une adresse électronique.
Étape 3 : cette étape est également invisible pour l'utilisateur qui sera redirigé automatiquement vers une autre page contrôlée par les cybercriminels.
Étape 4 : l'utilisateur se retrouve face à une fausse page de connexion Microsoft qui est utilisée par les attaquants pour voler les informations d'identification. WebSockets est utilisé pour l'exfiltration des données.
Étape 5 : c'est à ce moment-là que, si nécessaire, Tycoon 2FA va utiliser du code JavaScript pour proposer un défi 2FA à l'utilisateur, en relayant et en prenant en charge plusieurs méthodes (Notification sur Microsoft Authenticator, code à usage unique via une application, SMS ou par appel téléphonique). Il interceptera les informations de validation émises par l'utilisateur pour compléter le challenge MFA.
Étape 6 : fin du processus, l'utilisateur est redirigé vers une page déterminée par les cybercriminels. Le site de Microsoft, dans certains cas.
Au sujet de l'étape n°5, Sekoia précise : "À l'aide de serveurs proxy commerciaux, les pages d'hameçonnage Tycoon 2FA transmettent les données de l'utilisateur, notamment l'adresse électronique, le mot de passe et le code 2FA, à l'API d'authentification légitime de Microsoft. La réponse au trafic de l'API Microsoft renvoie les pages et les informations appropriées à l'utilisateur." - Ce qui montre l'efficacité de Tycoon 2FA et prouve que c'est un kit prêt à l'emploi très évolué.
Les affiliés de Tycoon 2FA ont accès à un véritable tableau de bord d'administration au sein duquel ils peuvent visualiser les identifiants collectés avec l'identifiant, le mot de passe, l'état du MFA, ainsi que la possibilité d'obtenir des cookies d'authentification prêts à l'emploi.
Un ensemble de domaines malveillants est associé à l'utilisation du kit Tycoon 2FA. Vous pouvez retrouver la liste sur le GitHub de Sekoia, sur cette page.
Tycoon 2FA, une plateforme massivement utilisée par les pirates
Sekoia a pu analyser le portefeuille de cryptomonnaie utilisé par le groupe de cybercriminels à l'origine du kit Tycoon 2FA. Depuis août 2023, il y a eu 700 transactions entrantes d'une valeur moyenne de 366 dollars, soit plus de 256 000 dollars. Les analystes indiquent également que 530 transactions ont dépassé 120 dollars, ce qui correspond au tarif pour accéder à la plateforme PhaaS pendant 10 jours.
"En supposant que le portefeuille est principalement utilisé pour les opérations PhaaS de Tycoon 2FA depuis août 2023, le montant total des transactions suggère que plusieurs centaines de kits Tycoon 2FA ont été vendus 'as a service' sur une période de six mois.", peut-on lire.
La clé de récupération BitLocker est une clé de chiffrement permettant de décrypter un disque chiffré par BitLocker ou sa version allégée Chiffrement de l’appareil. C’est un mot de passe numérique de 48 chiffres que vous avez obligatoirement sauvegardée lors de l’activation de BitLocker sur le lecteur. Cette clé est à utiliser en dernier recours … Lire la suite
Excellente nouvelle ! Il est possible d’activer BitLocker sur toutes les éditions de Windows 10. Alors, certes pour l’édition Famille, il s’agit d’une version allégée du logiciel de chiffrement BitLocker appelée Chiffrement de l’appareil. Mais, elle permet déjà de crypter efficacement le disque système. C’est donc une excellente protection contre le vol de données et les … Lire la suite
Dans cet article, nous allons comprendre, exploiter et corriger une vulnérabilité fréquente sur les environnements Active Directory : ASREPRoast.
Ce nom ne vous dit peut-être rien, mais il s'agit d'un défaut de configuration fréquent dans l'Active Directory. L'attaque ASREPRoast permet à un attaquant situé sur un réseau d'entreprise possédant un domaine de compromettre rapidement un compte utilisateur, et ainsi de passer d'un mode opératoire boite noire (attaque sans identifiants valides, juste une connexion au réseau) à un mode boite grise (attaque depuis un compte valide sur le domaine). Le passage d'un mode boite noire à boite grise change en général la donne de façon très importante lors d'une cyberattaque, car l'accès authentifié au domaine permet d'en extraire beaucoup d'informations.
L'objectif de cet article est de vous expliquer en détail cette vulnérabilité. Nous allons notamment voir comment elle peut être introduite sur un Active Directory, comment un attaquant peut l'exploiter et comment un défenseur peut l'identifier et la corriger.
C'est parti !
II. Qu'est-ce que l'attaque ASREPRoast ?
A. Dans les grandes lignes
Commençons par essayer de comprendre le nom de l'attaque. "ASREP" fait référence au message "KRB-AS-REP" du service Kerberos lors d'une authentification (réponse à un message KRB-AS-REQ, une requête d'authentification Kerberos). "Roast" renvoi simplement au mot "rôtir" ou "cuisiner" car l'on devra ensuite travailler un peu sur la donnée obtenue pour pouvoir l'utiliser.
Au sein d'un domaine, l'authentification Kerberos est assurée par le composant Key Distribution Center (KDC) des contrôleurs de domaine. Lorsqu'un utilisateur souhaite accéder à un service ou à une ressource réseau, il doit d'abord obtenir un Ticket Granting Ticket (TGT) auprès du KDC. Pour cela, l'utilisateur envoie une requête de type "KRB-AS-REQ" (Kerberos Authentication Service Request) au KDC, elle contient notamment des informations d'identification de l'utilisateur et une clé liée à son mot de passe.
Le KDC vérifie alors les informations d'identification fournies par l'utilisateur. Si celles-ci sont correctes et que l'utilisateur existe dans le domaine, le KDC lui délivre un TGT. Ce TGT est ensuite utilisé par l'utilisateur pour obtenir des tickets de session (TGS) auprès des services du domaine, lui permettant d'accéder à ceux-ci sans avoir à fournir à nouveau ses informations d'identification. Ce processus s'appelle pre-authentification.
Cependant, il existe une configuration spécifique représentée par un attribut sur les comptes utilisateurs appelé "Do not require Kerberos preauthentication". Cet attribut autorise l'envoi d'un TGT pour un compte sans que le demandeur n'ait prouvé son identité au préalable.
En conséquence, n'importe qui sur le réseau peut obtenir un TGT représentant ce compte utilisateur et tenter d'usurper son identité. Il est important de noter que le TGT obtenu ne peut être utilisé que si la personne qui le détient connaît le mot de passe du compte associé. Cependant, en cas d'utilisation d'un mot de passe faible, le contenu du TGT peut être utilisé pour retrouver le mot de passe du compte utilisateur.
Le TGT ne contient pas directement le mot de passe de l'utilisateur. Mais, il contient des informations chiffrées grâce au secret de l'utilisateur, qui sont utilisés pour prouver l'identité de l'utilisateur lorsqu'il demande des tickets de session ultérieurs. Ainsi, des "traces" du mot de passe s'y trouve, ce qui permet de tenter de casser le TGT pour retrouver le mot de passe en clair.
Regardons à présent dans le détail ce qu'il se passe lors d'une authentification via Kerberos. Pour cela, j'ai effectué une capture réseau des échanges dans différents cas de figures.
AS-REQ pour un login inexistant
Lorsqu'un utilisateur souhaite s'authentifier auprès du service Kerberos, le client envoi dans un premier temps un message de demande d'authentification ("KRB-AS-REQ"), voici à quoi il ressemble sur une capture réseau (cliquez sur l'image pour zoomer) :
Dans le cas d'une demande d'authentification avec un login incorrect, c'est-à-dire qui n'existe pas dans l'Active Directory, le service Kerberos renvoi un message de type "KRB-ERROR : C-PRINCIPAL-UNKNOWN" en réponse à l'AS-REQ" du client. Le message est clair : l'utilisateur "MMARTIN1" n'existe pas dans l'Active Directory.
AS-REQ pour un login existant avec pré-authentification
Si le login est correct, le service renvoi une réponse de type "KRB-ERROR : PREAUTH REQUIRED". Cette réponse du service Kerberos indique que pour obtenir un TGT pour cet utilisateur, il faut au préalable s'authentifier, ce qui est plutôt une bonne nouvelle d'un point de vue sécurité. Rappelons que les TGT sont des tickets qui permettent de demander des TGS (Ticket Granting Service) pour accéder à un service au nom de l'utilisateur présenté dans le ticket. Il est donc préférable de prouver son identité (s'authentifier) au préalable.
À noter que cette différence de comportement dans la réponse du service ("PRINCIPAL_UNKNOWN "ou "PREAUTH REQUIRED") permet une énumération des utilisateurs basée sur un dictionnaire. Sans même connaitre le mot de passe associé à un compte, on peut savoir s'il existe dans l'annuaire, car le service Kerberos nous indiquera clairement cette information dans sa réponse.
Voici à quoi rassemble une réponse "PREAUTH_REQUIRED". Suite à cette réponse, notre client s'authentifie envoyant un message "AS-REQ", encore ? (cliquez sur l'image pour zoomer) :
Ce second message "AS-REQ" contient cependant un nouvel item, il s'agit d'une donnée chiffrée à l'aide d'une clé liée au mot de passe utilisateur. Si le service Kerberos parvient à déchiffrer ce message avec le mot de passe de l'utilisateur (qu'il possède de son côté grâce à l'annuaire et sa base NTDS.DIT) alors, il aura la preuve qu'il s'agit du bon mot de passe, et donc du vrai utilisateur. Tout cela sans que le mot de passe n'ait transité en clair sur le réseau. Pour plus de détails, sachez que la donnée chiffrée est un timestamp : c'est-à-dire la date et l'heure actuelle dans un format précis (notez le "pA-ENC-TIMESTAMP" dans la seconde AS-REQ).
Enfin, si les identifiants sont corrects, le service envoi un message de réponse "AS-REP" contenant notamment un TGT, qui permet de demander ensuite des TGS (cliquez sur l'image pour zoomer) à différents services :
Voilà à quoi ressemble une authentification "classique" via Kerberos en vue d'obtenir un TGT.
AS-REQ pour un login existant sans pré-authentification
Cependant, Microsoft a ajouté un attribut aux objets utilisateur qui permet d'autoriser le service Kerberos à fournir un TGT à quiconque le demande, sans authentification : l'attribut "Do not require Kerberos preauthentication". Dans ce cas, un attaquant peut demander un TGT pour un tel compte sans avoir besoin de fournir de preuve d'identité valide. Voilà alors ce qu'il se passe (cliquez sur l'image pour zoomer) :
Une "AS-REQ", demandant un TGT pour l'utilisateur "RDUBOIS", puis une "AS-REP" du KDC délivrant TGT, le tout sans preuve d'identité (authentification). N'importe qui peut donc usurper l'identité de l'utilisateur "RDUBOIS" en demandant un TGT à son nom, puis utiliser ce TGT pour demander des TGS aux services du domaine et y accéder.
Pour être plus précis, rappelons que le TGT obtenu dans les messages "AS-REP" est chiffré et ne peut être utilisé sans connaître le mot de passe du compte utilisateur. Cependant, étant donné qu'il est chiffré avec un dérivé du mot de passe utilisateur, l'attaquant pourra tenter de casser ce mot de passe en Offline (localement, sans interactions supplémentaires avec le KDC ou le domaine), pour retrouver le mot de passe de l'utilisateur.
En résumé, quand cet attribut est présent sur un compte utilisateur, n'importe qui peut obtenir une donnée (le TGT) qui utilise un dérivé du mot de passe du compte utilisateur, et donc tenter de retrouver le mot de passe en clair. Même en étant confiant sur l'algorithme de chiffrement et la robustesse du mot de passe utilisé, reconnaissons qu'il est plutôt périlleux de fournir ce genre d'informations à un simple visiteur non authentifié sur notre système d'information.
J'espère que cette vue en détail des échanges Kerberos vous aura permis de mieux comprendre le fonctionnement de l'attaque ASREPRoast.
C. Pourquoi cet attribut ?
Certaines applications ne prennent pas en charge la pré-authentification Kerberos, il est ainsi courant de trouver des utilisateurs avec la pré-authentification Kerberos désactivée, permettant ainsi aux attaquants de demander des TGT pour ces utilisateurs. C'est la raison principale de l'existence de ce paramètre d'après la documentation Microsoft. La pré-authentification Kerberos peut également être désactivée pour d'autres raisons liées à des besoins spécifiques de sécurité ou de compatibilité avec d'autres systèmes.
Dans la réalité, il n'est pas rare de trouver de tels comptes, notamment sur des systèmes d'information qui ont un certain historique...
III. Configuration d'un Lab vulnérable
Attention, dans ce chapitre, nous allons configurer de manière volontaire un Lab vulnérable pour vous exposer le but et le fonctionnement de l'attaque.
NE PAS REPRODUIRE SUR UN ENVIRONNEMENT DE PRODUCTION.
Dans mon Lab de démonstration, j'ouvre la console "Utilisateurs et ordinateurs Active Directory", puis je sélectionne un de mes utilisateurs, ici l'utilisateur "RDUBOIS". Il faut ensuite faire un clic droit "Propriétés" sur cet objet et se rendre dans "Compte" :
Dans les "Options de compte", il faut trouver et cocher "La pré-authentification Kerberos n'est pas nécessaire" comme sur l'image ci-dessus.
Si vous vous souvenez des explications précédentes, l'attaque ASREPROAST est d'autant plus dangereuse si le mot de passe utilisé est faible, pour avoir un cas d'école, nous allons paramétrer le mot de passe de l'utilisateur "RDUBOIS" à "#1p@ssword" (ce n'est pas un mot de passe faible ? Vous allez voir que si ). Il faut à nouveau faire un clic droit sur l'objet puis "Réinitialiser le mot de passe" :
Vous l'aurez compris, pour effectuer une attaque ASREPRoast, il faut un login utilisateur à tester, voire plusieurs. Dans un premier temps, l'attaquant doit donc se constituer une liste de login (dictionnaire) qu'il soumettra ensuite au service Kerberos.
Dans le cas où l'attaquant n'est pas authentifié sur le domaine (boite noire) :
Si l'attaquant n'a pas de compte sur l'Active Directory, il peut utiliser différentes méthodes pour récupérer des logins valides. L'OSINT (Open Source Intelligence) est une méthode assez commune puisqu'avec quelques requêtes Google ou recherches Linkedin, on peut assez facilement retrouver une liste de personnes travaillant dans une entreprise. La recherche dans des fuites de données, basée sur le nom de l'entreprise ou l'adresse mail, est aussi fréquente.
Depuis l'intérieur du réseau (toujours sans compte valide sur le domaine), il existe un grand nombre de techniques également. Les imprimantes sont mon moyen favori, souvent mal protégées avec des interfaces d'administration exposées et verbeuses, elles stockent des carnets d'adresses qui exposent souvent des logins utilisateur. Les applications web internes, services SNMP, SMB et RPC mal configurés (authentification anonyme) ou même l'interception réseau sont également très efficaces.
Également, il est possible pour l'attaquant d'utiliser des dictionnaires pré-conçus utilisant des couples prénom-noms communs, voir des noms de comptes techniques comme "svc-ldap", "backup", "formation", "accueil", etc. Les dictionnaires que j'utilise souvent sont publics et fonctionnent en général très bien, bien qu'utilisant majoritairement des noms anglophones : https://github.com/insidetrust/statistically-likely-usernames.
Avec toutes ces méthodes, il est souvent très facile de se constituer une liste bien fournie de logins utilisateur potentiels. Il faut enfin savoir les formater grâce à la nomenclature actuelle de l'Active Directory ciblé : est-ce "marc.martin", marc_martin, "m.martin", "mmartin" ? etc.
Dans le cas où l'attaquant est authentifié sur le domaine (boite grise) :
Si l'attaquant possède déjà un compte sur le domaine, rien de plus facile. Une simple requête LDAP permettra de récupérer la totalité des logins utilisateur de l'annuaire, il aura alors une liste exhaustive des comptes à cibler, augmentant ses chances d'en trouver un avec l'attribut "Do not require Kerberos preauthentication".
Depuis Linux, une requête "ldapsearch" fera l'affaire :
J'utilise ici la commande "ldapsearch" pour récupérer les attributs "sAMAccountName" des utilisateurs du domaine, puis la commande "grep" pour isoler les lignes qui m'intéressent et enfin "cut" pour isoler uniquement le login de l'utilisateur. Si vous peinez à comprendre cette commande, n'hésitez pas à la décomposer dans votre environnement et à exécuter les commandes une à une. Le tout est enregistré dans le fichier "/tmp/userlist". Voici un exemple du résultat attendu :
Je me retrouve donc avec une liste de 1000 logins utilisateur valides dans le fichier "/tmp/userlist".
L'outil BloodHound va également récupérer la liste des utilisateurs pour les stocker dans un fichier JSON, qui pourra facilement être parcouru pour en extraire les logins. Je vous oriente sur mon cours sur BloodHound si vous souhaitez en savoir plus : Identifiez les faiblesses de votre Active Directory avec Bloodhound
Une fois cette liste, hypothétique, partielle ou complète à disposition, l'attaquant va pouvoir interroger sur le service Kerberos du domaine afin de voir si :
L'utilisateur existe dans l'annuaire;
Il dispose de l'attribut "Do not require Kerberos preauthentication".
B. Exploiter ASREPRoast depuis Linux
Depuis Linux, une multitude d'outils offensifs existent pour effectuer cette attaque. Je vais ici vous présenter les outils les plus classiques : "impacket" et "netexec".
Impacket est une bibliothèque Python utilisée pour interagir avec des protocoles de réseau tels que SMB, LDAP et Kerberos. Elle offre des outils pour la manipulation de paquets réseau, la création de serveurs et de clients pour ces protocoles, ainsi que des fonctionnalités avancées pour l'analyse et l'exploitation de vulnérabilités. Impacket est très largement utilisé pour les opérations offensives et de nombreux outils utilisent cette librairie.
En plus d'être une librairie très puissante, les créateurs d'Impacket fournissent des scripts qui l'utilisent afin d'automatiser certaines opérations et attaques, comme ASREPRoast. Je ne peux pas détailler ici la procédure d'installation de "Impacket" et de ses "examples scripts", je vous renvoie pour cela à la documentation officielle : Github - Impacket.
ASREPRoast en boite noire
Nous allons notamment utiliser le script "impacket-GetNPUsers" ("NP" pour "NoPreauth"). Dans le cas où nous sommes en boite noire, nous avons au préalable construit notre dictionnaire à partir de différentes sources. Nous pouvons utiliser ce dictionnaire pour réaliser une attaque ASREPRoast. Ici,"192.168.56.102" est l'adresse IP de mon contrôleur de domaine, qui héberge le service Kerberos (KDC)) :
Si l'on dispose d'un accès authentifié au domaine, encore mieux, "impacket-GetNPUsers" peut automatiser à la fois la récupération des utilisateurs dans la base LDAP, et l'envoi d'un "AS-REQ" en leur nom pour voir s'ils sont vulnérables à l'ASREPRoast :
Même principe pour "netexec", il suffira de spécifier l'utilisateur ("-u") et son mot de passe de ("-p") pour s'authentifier auprès du service LDAP afin de récupérer la liste des utilisateurs :
Voici le résultat attendu pour "impacket-GetNPUsers" et "netexec" :
On voit donc que plusieurs logins sont tentés sur le service Kerberos et que, pour certains, un hash au format "$krb5asrep$23$" est obtenu. Il s'agit d'une donnée extraite du TGT obtenu pour chaque utilisateur vulnérable, spécialement formaté pour être interprété par des outils de cassage de mot de passe.
Maintenant que nous avons ces hashs, nous pouvons tenter de les casser, par exemple, à l'aide de "JohnTheRipper" ou "hashcat" et de listes de mots de passe communs comme le dictionnaire de mot de passe "rockyou.txt" :
hashcat -m 18200 -a 0 ASREProastables.txt rockyou.txt
john --wordlist=rockyou.txt ASREProastables.txt
Ce cassage s'effectue totalement en local, sans interactions avec l'Active Directory ou le service Kerberos. Ainsi, aucune détection n'est possible. Également, l'utilisateur a ici tout son temps et la rapidité de l'opération dépendra de la robustesse du mot de passe et des ressources de calcul qu'il a à disposition. Si des mots de passe faibles ont été utilisés par les comptes utilisateurs vulnérables, ils seront retrouvés par ces outils :
Si les mots de passe sont très robustes, alors il faudra déployer des moyens considérables pour les casser. Ici, le mot de passe semble plutôt correct avec 3 alphabets et une longueur de 10 caractères, mais il se trouve dans le dictionnaire public et très connu "rockyou.txt". Nous venons de retrouver le mot de passe d'un utilisateur de l'Active Directory par l'intermédiaire d'un TGT signé grâce à un dérivé de son mot de passe par le service Kerberos.
C. Exploiter ASREPRoast depuis Windows
Sous Windows, l'outil le plus classique pour effectuer cette attaque est "Rubeus.exe", écrit en C#. Le plus simple est de l'exécuter sur une machine intégrée au domaine ou via un "runas.exe" :
Comme pour les outils Linux, le fichier "hashes.asreproast" contiendra les hashs contenus dans les TGT récupérés et pourra être passé à "hashcat" ou "JohnTheRipper" pour cassage.
V. Point de vue du défenseur
A. Lister les comptes utilisateurs avec preauth-notreq
Nous allons maintenant adopter le point de vue du défenseur ou blue team qui souhaite savoir si des utilisateurs vulnérables à ASREPROAST sont présents sur son domaine.
Lorsque nous sommes sur notre propre domaine et contrôleur de domaine, le plus simple est d'utiliser le module PowerShell "ActiveDirectory" qui permet de communiquer avec ADSI (Active Directory Services Interface). Nous pouvons notamment cibler l'attribut "useraccountcontrol" pour extraire les utilisateurs disposant de l'attribut "Do not require Kerberos preauthentication", exemple :
Nous avons la même liste utilisateur qu'obtenue via notre requête "ldapsearch" bien entendu, avec un filtre sur ceux qui ont déjà l'attribut "Do not require Kerberos authentication", mais nous utilisons ici des outils légitimes et plus accessibles pour les administrateurs système. J'ai notamment ajouté le "DN" et l'attribut "Enabled" en sortie de la commande (via le "Format-Table" ou "ft").
B. Corriger les comptes vulnérables
Une fois cette liste à disposition, il convient tout d'abord de déterminer :
Pourquoi ils sont/ont été utilisés, pour quels besoins, services et systèmes ?
Est-ce ce qu'ils sont toujours utilisés aujourd'hui ? (date de dernière authentification, dernier changement de mot de passe, journaux d'évènements)
Est-ce que l'attribut "Do not require Kerberos authentication" est vraiment utile et répond à un besoin fonctionnel ?
Une fois que ces questions ont toutes une réponse claire pour chaque compte, la décision de désactiver cet attribut peut être prise.
Corriger ASREPRoast via l'interface graphique
Depuis la console "Utilisateurs et ordinateurs Active Directory", effectuez un clic droit sur le compte utilisateur concerné, puis "Propriétés. Il faut ensuite se rendre dans "Compte" et localiser l'option suivante :
Une fois décochée, nous pouvons appliquer nos changements. La modification prend effet immédiatement.
Corriger ASPREPRoast via Powershell
Il est aussi possible de modifier la valeur de cet attribut en PowerShell via ADSI. Le cmdlet "Set-ADAccountControl" est fournie par le module PowerShell "ActiveDirectory" :
À nouveau, la modification est prise en compte immédiatement.
Mesure complémentaire en cas de besoin fonctionnel
Si l'attribut "Do not require Kerberos preauthentication" est nécessaire et répond à un besoin identifié et justifié, alors il convient de mettre un mot de passe très, très robuste à ce compte. L'idée est que même si un TGT est récupéré, l'attaquant ne puisse pas casser le hash qu'il contient en vue de récupérer le mot de passe en clair de l'utilisateur. Optez donc pour un mot de passe à plus de 30 caractères.
Dans l'idéal, il est également nécessaire de prévoir un renouvellement périodique de ces mots de passe afin de réduire leur exposition dans le temps. Si l'attaquant dispose de tout le temps disponible devant lui pour casser le hash contenu dans le TGT, alors il finira peut-être par y arriver (peut-être au bout de plusieurs années). Mais si le mot de passe du compte est changé tous les six mois, il n'aura potentiellement pas le temps de l'exploiter une fois qu'il l'aura cassé. Il s'agit d'une mesure de sécurité supplémentaire.
Limiter la propagation suite à une compromission
Il convient également de s'assurer que le compte qui dispose légitimement de l'attribut "Dot not require Kerberos preauthentication" possède des droits limités sur le domaine et le système d'information. La revue des ACL, appartenances aux groupes et l'application du principe de moindre privilège (configuration fine et minimaliste des droits pour répondre uniquement aux fonctions métiers) permettra de limiter au maximum les actions possibles de l'attaquant en cas de compromission du compte.
Changement de mot de passe
Enfin, il est à noter que si le compte a eu jusque-là cet attribut, n'importe quel utilisateur de votre domaine a peut être déjà récupéré un TGT et obtenu son mot de passe, ou est en train de tenter de le casser. Ces mesures de correction doivent donc s'accompagner d'un changement de mot de passe afin qu'un attaquant exploitant ou ayant exploité cette faiblesse ne puisse pas réutiliser le mot de passe compromis pour ce compte, ce qui sera possible même si l'attribut en question a été décoché.
C. Détecter une attaque ASREPRoast
Du point de vue du défenseur, nous allons également nous intéresser aux possibilités de détection d'une attaque ASREPRoast passée ou en cours sur le système d'information.
Détection via les journaux d'évènements
L'exploitation de l'ASREPRoast génère, comme toute interaction avec l'Active Directory, des évènements. Cependant, il n'est pas aisé de les distinguer clairement des activités légitimes et quotidiennes des utilisateurs du domaine. Il faut savoir que lorsqu'un "AS-REQ" est effectué sur un compte non vulnérable à l'ASREPRoast (et donc, échoue), aucun évènement de sécurité n'est généré. Seule l'émission d'un ticket Kerberos génère un évènement avec l'eventID 4768.
L'event ID 4768 est enregistré sur le contrôleur de domaine chaque fois qu'un TGT est émis. Il indique que le KDC a reçu une demande de TGT (AS-REQ) et qu'il a émis un TGT en réponse. L'évènement journalisé contient alors quelques détails intéressants sur la demande.
La requête est émise avec une authentification valide, auquel cas un TGT est émis en réponse à l'"AS-REQ".
La requête porte sur un utilisateur ayant l'attribut "Do not require Kerberos authentication", auquel cas pas besoin d'authentification, le TGT est tout de même émis en réponse à l'"AS-REQ".
Voici l'évènement tel qu'il apparaitra dans l'observateur d'évènement lors d'une demande de TGT classique, avec authentification (utilisation ici de "impacket-getTGT") :
On voit clairement qu'un TGT a été demandé et émis pour l'utilisateur "IT-CONNECT\mmartin" par le client "192.168.56.104". Nous allons également garder dans un coin de notre mémoire les informations relatives au "Type de pré-authentification" et "Type de chiffrement du ticket". Je réalise maintenant la même opération à destination du compte "IT-CONNECT\rdubois" et avec un outil offensif qui va directement demander un TGT sans authentification préalable (utilisation de "netexec") :
Les informations journalisées sont globalement les mêmes lors d'une demande et émission d'un TGT sur un compte ne nécessitant pas la pré-authentification. Cependant, on peut noter deux exceptions (à noter que le résultat est le même lors d'une exploitation avec "impacket-getNPUsers") :
Le "Type de chiffrement du ticket" est passé à "0x17" au lieu de "0x12".
Le "Type de pré-authentification" est passé à "0" au lieu de "2".
L'utilisation d'un chiffrement à "0x17" (RC4-HMAC) est un comportement typique des outils d'attaque qui downgrade (abaissent) le niveau de chiffrement utilisé pour le chiffrement du TGT afin de rendre le cassage de son contenu plus aisé. Par défaut, le niveau de chiffrement "0x12" entraine l'utilisation du AES256-CTS-HMAC-SHA1-96 (Source : 4768(S, F): A Kerberos authentication ticket (TGT) was requested). Voilà un premier élément caractéristique d'une attaque ASREPRoast avec des méthodes et outils classiques.
Egalement, la documentation Microsoft est limpide concernant les valeurs du "Type de pré-authentification" :
La demande de TGT avec une valeur "0" à "Type de pré-authentification" est donc également un signal intéressant à surveiller. Pour finir sur cette détection, je vous propose une requête KQL (pour ELK) qui permet d'identifier les événements de demande/émission d'un TGT avec un chiffrement faible (RC4) ou sans pré-authentification :
event.code:4768 AND (winlog.event_data.TicketEncryptionType: 0x17 OR winlog.event_data.PreAuthType: 0)
Pour détailler un peu la requête. Il s'agit d'un filtre sur les évènements Windows ayant un évènement ID 4768 et qui ont, soit un "TicketEncryptionType" à "0x17" (RC4), soit un "PreAuthType" à "0". Voici le résultat sur l'ELK de mon lab (avec moins d'activité qu'un vrai SI, bien sûr) :
Pas de doute, il y a eu une activité suspecte sur mon SI entre 17h45 et 18h15, des TGT sans pre-authentification et avec un algorithme de chiffrement faible ont été demandés.
Surveiller les modifications des attributs utilisateurs
Pour aller plus loin, vous pouvez également chercher et surveiller les event ID 4738 (A user account was changed) et 5136 (A directory service object was modified) qui apparaissent lorsqu'un attribut utilisateur est modifié :
Plutôt que la compromission, vous visualiserez alors tous les évènements d'activation/désactivation de l'attribut concerné sur des comptes utilisateurs, ce qui permettra de retrouver le moment où la vulnérabilité a été introduite sur le compte concerné. Là aussi, il faudra aller plus loin pour réellement identifier le nom de l'attribut modifié et s'assurer de n'obtenir que les alertes relatives à l'attribut "Do not require Kerberos preauthentication". Egalement, voici un exemple de requête filtre KQL pour cet évènement :
event.code:4738 AND winlog.event_data.UserAccountControl:*2096*
Voici l'aperçu d'un tel évènement dans la console ElasticSearch :
Utilisation d'un honey account
Si vous maitrisez correctement la sécurité de votre système d'information, notamment avec un SIEM et un SOC (Security Operation Center) efficaces, alors vous pouvez envisager la mise en place d'un honey account, ou "compte pot de miel". L'idée est de créer un compte utilisateur volontairement vulnérable à ASREPRoast afin que sa compromission génère un évènement de sécurité activement surveillé par la blue team.
Pour cela, il faut notamment être sûr que ce compte ne sera jamais utilisé de façon légitime par un utilisateur ou un service du SI. Ainsi, si une demande de TGT pour ce compte spécifique apparait dans les journaux d'évènement, ce sera forcément dû à une attaque ASREPRoast en cours.
Attention : La création et la gestion d'un compte pot de miel nécessitent une attention particulière. Il faut s'assurer que les politiques de sécurité et les procédures de surveillance sont bien établies pour garantir que le compte reste contrôlé et qu'il ne devienne pas une vulnérabilité supplémentaire. Il faut notamment s'assurer que l'honey account ait un mot de passe très robuste afin que le hash contenu dans son TGT ne soit jamais cassé, ce qui permettrait à l'attaquant d'obtenir un compte valide sur le domaine.
VI. Conclusion
J'espère que cet article vous a plu et que vous avez maintenant une meilleure idée des risques liés à cette attaque et de la façon de s'en protéger. J'ai essayé de faire en sorte qu'il soit complet en abordant le point de vue des attaquants comme des défenseurs.
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Une centaine d'organisations situées aux États-Unis et en Europe ont été victime d'une nouvelle campagne malveillante visant à déployer le malware StrelaStealer ! Voici ce qu'il faut savoir sur cette menace.
L'Unit42 de Palo Alto Networks a publié un rapport au sujet de la menace StrelaStealer, un logiciel malveillant repéré pour la première fois en novembre 2022. Après avoir infecté une machine, son objectif est de voler les informations d'identification des comptes de messagerie dans les applications Outlook et Thunderbird.
Alors qu'à la base ce malware ciblait principalement les utilisateurs hispanophones, il s'avère que les cybercriminels ont fait évoluer leur plan : désormais l'Europe et les États-Unis sont pris pour cible. Pour cela, les pirates n'hésitent pas à traduire en plusieurs langues les fichiers utilisés par ce malware, ce qui le rend polyglotte et lui permet de s'adapter à la cible.
Comme beaucoup d'autres logiciels malveillants, StrelaStealer est distribué par l'intermédiaire de phishing. Depuis la fin du mois de janvier, l'Unit42 a détecté une forte hausse de l'activité avec un important volume d'e-mails malveillants envoyés par jour. L'Unit42 évoque jusqu'à 500 organisations ciblées par jour et il y a eu des victimes : "Récemment, nos chercheurs ont identifié une vague de campagnes StrelaStealer à grande échelle touchant plus de 100 organisations dans l'UE et aux États-Unis.", peut-on lire dans le rapport. Dans la grande majorité des cas, ce sont les organisations du secteur des nouvelles technologies qui ont été les plus visées.
La chaine d'infection de StrelaStealer
Les pirates ont fait évoluer la chaine d'infection du malware StrelaStealer. Désormais, l'e-mail malveillant contient une pièce jointe au format ZIP qui a pour objectif de déposer des fichiers JScript sur la machine de la victime. Dans le cas où ces scripts sont exécutés, ils déposent un fichier batch et un fichier encodé en base64, qui donne lieu à une DLL qui sera exécutée via rundll32.exe afin de déployer le payload StrelaStealer.
Le schéma ci-dessous, issu du rapport d'Unit42 permet de comparer l'ancienne et la nouvelle chaine d'infection.
Si le logiciel malveillant est déployé, il vole les identifiants mémorisés dans Outlook et Thunderbird et ces informations sont immédiatement envoyées aux attaquants par l'intermédiaire d'un serveur C2.