L'abonnement Google One AI Premium arrive en France, mais à quoi correspond-il ? Quelles sont les fonctionnalités et les services intégrés ? Faisons le point.
Le 14 mai 2024 s'est déroulé l'événement Google I/O 2024 lors duquel l'entreprise américaine a dévoilée de nombreuses nouveautés et innovations liées à l'IA à destination de Gemini. Des nouveautés qui profiteront à d'autres services de Google tels que Gmail, mais aussi à Android 15 puisque cette version sera centrée sur l'IA.
L'abonnement Google One AI Premium commercialisé aux États-Unis jusqu'ici, arrive en France. Facturé 21.99 euros par mois par Google, avec deux mois offerts, il donne accès à du stockage en ligne ainsi qu'à un Gemini plus performant. Pour Google, c'est une façon de se positionner face à OpenAI et son abonnement ChatGPT Plus.
Cet abonnement intègre 2 To de stockage en ligne pour votre compte Google et utilisable dans l'ensemble des services, dont Google Drive et Google Photos.
Il intègre aussi Gemini Advanced, ce qui débloque l'accès à deux modèles de langage avancés correspondant à Gemini 1.5 Pro et Gemini 1.0 Ultra. Ceci permet d'avoir accès à l'IA la plus évoluée proposée par Google. Le LLM Gemini 1.5 Pro présente l'avantage de supporter plus de tokens que GPT-4, ce qui signifie qu'il peut traiter des documents plus longs et fichiers plus lourds (un document avec 1.4 million de mots, une vidéo de 2 heures, etc.).
De plus, cet abonnement donne accès aux nouveautés en avant-première, ainsi qu'à l'intégration de Gemini avec divers services Google tels que Gmail et Docs.
Voici un tableau récapitulatif proposé par Google sur cette page :
Par la suite, Google prévoit d'ajouter des fonctionnalités supplémentaires à cet abonnement, notamment Gemini Live, un équivalent à ChatGPT Voice pour transformer Gemini en assistant vocal. À cela s'ajoutent les Gems, des versions personnalisées de Gemini qui font penser aux fameux GPTs d'OpenAI.
Pour l'essayer dès maintenant, ou simplement en savoir plus, rendez-vous sur cette page du site Google One. En amont de la conférence de Google, OpenAI a dévoilé son nouveau modèle de langage GPT-4o, accessible à tout le monde de façon gratuite.
En l'espace d'une semaine, Google a corrigé trois failles de sécurité zero-day dans Google Chrome. Résultat : les mises à jour s'enchainent pour le navigateur. Faisons le point !
Il y a quelques jours, nous évoquions la vulnérabilité CVE-2024-4671présente dans le composant Visuals de Google Chrome et corrigée par Google le 9 mai 2024. Puis, le 13 mai 2024, la firme de Mountain View a publiée une nouvelle mise à jour de sécurité pour son navigateur afin de patcher la CVE-2024-4761.
Et, enfin, ce mercredi 15 mai 2024, Google a encore mis en ligne une mise à jour pour Chrome ! Cette fois-ci, elle a pour objectif de corriger la faille de sécurité zero-day associée à la référence CVE-2024-4947 faisant l'objet de cet article.
Comme pour les autres vulnérabilités, Google explique qu'elle est déjà connue par les cybercriminels, car un code d'exploitation a été repéré : "Google sait qu'il existe un programme d'exploitation pour CVE-2024-4947 dans la nature.", peut-on lire dans le bulletin de sécurité. À l'heure actuelle, cette vulnérabilité a déjà été exploitée dans le cadre d'attaques.
La faille de sécurité CVE-2024-4947 correspond à une faiblesse de type "type confusion" présente dans le moteur JavaScript Chrome V8, un composant régulièrement affecté par des vulnérabilités. Cette fois-ci, elle a été découverte par les chercheurs en sécurité Vasily Berdnikov et Boris Larin de Kaspersky.
Comment se protéger de la CVE-2024-4947 ?
Les utilisateurs de Google Chrome sur Windows, macOS et Linux sont affectés par cette faille de sécurité. Google a publié la version 125.0.6422.60 pour Linux et les versions 125.0.6422.60/.61 pour Mac et Windows, ainsi que la version 124.0.6367.201 pour Linux. Il est à noter que cette mise à jour corrige également trois autres vulnérabilités : CVE-2024-4948 (élevée), CVE-2024-4949 (moyenne), CVE-2024-4950 (faible).
Pour effectuer la mise à jour du navigateur Google Chrome sur votre machine : rendez-vous dans le menu avec les trois points verticaux, puis sous "Aide", cliquez sur "À propos de Google Chrome". Le navigateur effectuera une recherche de mise à jour automatiquement.
C'est déjà la 7ème faille de sécurité zero-day corrigée par Google dans son navigateur Chrome depuis le début de l'année 2024, dont 3 une semaine !
Depuis 2009, le botnet nommé Ebury a infecté pas moins de 400 000 serveurs Linux, et à la fin de l'année 2023, environ 100 000 appareils étaient toujours infectés par ce logiciel malveillant. Faisons le point !
Depuis plus de 10 ans, les chercheurs en sécurité de chez ESET suivent la progression et le comportement du botnet Ebury. Il a évolué au fil des années, que ce soit au niveau de ses capacités d'infection, que du nombre de machines compromises. Le graphique ci-dessous, partagé par ESET, montre bien cette progression.
Source : ESET - welivesecurity.com
Au total, Ebury a permis d'infecter 400 000 serveurs Linux en 15 années d'activités. Ce chiffre est énorme, mais la période est importante également : tous les serveurs n'ont pas été infectés en même temps. Comme l'explique ESET, ce botnet est actif au niveau mondial : "Il est à noter qu'il n'y a pas de limite géographique à Ebury, ce qui signifie que toute variation exceptionnelle est principalement due à l'emplacement des centres de données les plus populaires."
ESET estime qu'il est difficile d'estimer la taille du botnet à un moment donné, notamment car "il y a un flux constant de nouveaux serveurs compromis, tandis que d'autres sont nettoyés ou mis hors service."
La tactique du botnet Ebury
Les cyberattaques récentes d'Ebury montrent que les cybercriminels qui sont aux manettes cherchent à s'introduire sur l'infrastructure des fournisseurs de services Cloud et hébergeurs. Ainsi, ils peuvent prendre le contrôle des serveurs des clients de l'hébergeur dont l'infrastructure est compromise. Par exemple, il peut s'agir de serveurs VPS ou de containers.
Pour l'accès initial, la technique classique du credential stuffing est utilisée, c'est-à-dire que des couples d'identifiants et mots de passe volés sont utilisés pour essayer de "brute forcer" la cible. Lorsqu'Ebury parvient à compromettre un serveur, il s'intéresse aux connexions SSH en exfiltrant le contenu du fichier "known_host" et en volant les clés SSH. Ces informations sont ensuite utilisées pour tenter de se déplacer vers d'autres machines, notamment celles connectées sur le même segment réseau.
Source : ESET - welivesecurity.com
Par la suite, le malware est capable de rediriger le trafic du serveur compromis vers un serveur piloté par les attaquants, grâce à de l'ARP spoofing. Là encore, ceci permet aux attaquants de collecter des identifiants SSH qui seront ensuite utilisés pour compromettre de nouvelles machines.
Les serveurs compromis sont utilisés par les pirates d'Ebury dans le cadre d'opérations visant à générer de l'argent. Certains serveurs seront utilisés pour envoyer des e-mails de phishing, tandis que d'autres vont héberger des sites falsifiés permettant de voler des numéros de cartes bancaires.
Enfin, si ESET a pu rédiger un rapport aussi précis et aussi complet, ce n'est pas un hasard : ESET a travaillé en collaboration avec la "National High Tech Crime Unit" (NHTCU) des Pays-Bas, qui a récemment mis la main un serveur de sauvegarde utilisé par les opérateurs d'Ebury.
Dans ce tutoriel, nous allons apprendre à déployer iVentoy dans un container Docker sur un NAS Synology, à l'aide de l'application Container Manager. Ceci va permettre d'avoir un serveur PXE sur notre NAS Synology ! iVentoy prend en charge des images ISO Windows, Linux, etc.
Avant de commencer, veuillez installer le paquet "Container Manager" (Docker) sur votre NAS Synology. Ici, un NAS sous DSM 7.2 est utilisé.
II. Installer iVentoy sur un NAS Synology
A. Créer un répertoire pour le conteneur iVentoy
Nous allons commencer par créer un répertoire dédié pour ce conteneur, ainsi que plusieurs sous-répertoires nécessaires pour transférer des données à l'application. Ainsi, dans le répertoire "docker", nous allons créer un répertoire nommé "iventoy". Au sein de celui-ci, trois autres répertoires sont à créer : "data", "iso", "log".
Ce qui donne l'arborescence suivante :
B. Copier les fichiers "data" d'iVentoy
Au sein du répertoire "data" que nous venons de créer, nous devons stocker deux fichiers : "iventoy.dat" et "mac.db". Sans cela, le conteneur ne fonctionnera pas. Où faut-il récupérer ces fichiers ? Bonne question ! Vous devez télécharger la dernière version d'iVentoy sur GitHub :
Dans l'archive obtenue, vous pourrez trouver un dossier nommé "data" avec ces deux fichiers. Il vous suffit de les envoyer vers le NAS. Comme ceci :
En complément, dans le dossier "iso", vous pouvez copier-coller les images ISO des systèmes d'exploitation que vous souhaitez déployer par le réseau avec iVentoy.
C. Créer le conteneur iVentoy
Désormais, nous allons pouvoir créer le conteneur iVentoy à partir de Container Manager. Cliquez sur "Projet" puis créez un nouveau projet.
Nommez ce projet "iventoy" et sélectionnez le chemin "/docker/iventoy" correspondant au répertoire racine créé précédemment. De plus, sélectionnez la valeur "Créer un fichier docker-compose.yml" pour l'option "Source" puisque nous allons utiliser une configuration Docker Compose.
Que faut-il indiquer ici ? Comme point de départ, nous allons utiliser la configuration Docker Compose disponible sur cette page GitHub. Mais, nous devons modifier cette configuration, car elle n'est pas adaptée pour Synology.
Nous devons personnaliser cette configuration, notamment car iVentoy doit communiquer en direct avec notre réseau local. En effet, comme il joue le rôle de serveur DHCP et serveur PXE, il doit être joignable par les hôtes du réseau.
Pour la couche réseau de ce conteneur, nous allons utiliser le pilote macvlan de Docker pour répondre à ce besoin : notre conteneur iVentoy aura une adresse IP statique sur notre réseau local. Un réseau nommé "macvlan" sera créé dans Container Manager.
Voici le code complet et, à la suite, des explications supplémentaires :
Pour vous aider à comprendre cette configuration Docker Compose, voici quelques indications.
Ce conteneur doit être exécuté en mode privilégié, ce qui explique la présence de cette ligne :
privileged: true #must be true
La section "volumes" sert à mapper les répertoires du conteneur avec ceux présents sur notre NAS. Le répertoire "iso" créé précédemment devra être utilisé pour stocker les images ISO que vous souhaitez utiliser dans iVentoy.
Le conteneur sera connecté au réseau "macvlan" et il aura l'adresse IP "192.168.1.170". Adaptez en fonction de votre réseau local.
networks:
macvlan:
ipv4_address: 192.168.1.170
Cette partie de la configuration vise à créer le réseau "macvlan" dans Docker. Il est associé au sous-réseau "192.168.1.0/24", à la passerelle par défaut "192.168.1.254" . Nous attribuons aussi la plage d'adresses IP "192.168.1.192/28" (soit 14 adresses IP) au conteneur. Pour rappel, la version FREE d'iVentoy est, de toute façon, limitée à 20 adresses IP.
Une fois que vous avez adapté cette configuration à votre environnement, poursuivez jusqu'à la fin pour créer le conteneur Docker.
Le conteneur iVentoy est actif, nous allons pouvoir tenter une connexion à l'interface web !
D. Accéder à l'interface web d'iVentoy
Pour accéder à l'interface de gestion d'iVentoy, nous devons spécifier l'adresse IP du conteneur, ainsi que le numéro de port (26000 pour la GUI Web).
http://192.168.1.170:26000/
Nous avons bien accès à l'interface d'administration. Si vous ne parvenez pas à accéder à l'interface d'iVentoy, vérifiez la configuration de votre pare-feu Synology, ainsi que votre fichier Docker Compose.
Il ne reste plus qu'à effectuer la configuration d'iVentoy avant de faire notre premier test de déploiement ! Pour cela, référez-vous à notre précédent tutoriel sur iVentoy, si vous avez besoin d'aide.
En suivant ce tutoriel, vous êtes en mesure de mettre en place un serveur PXE iVentoy sur votre NAS Synology grâce à un conteneur Docker ! Libre à vous de l'installer sur un NAS ou sur une machine Linux ou Windows puisque iVentoy est léger et qu'il peut être déployé sur différents systèmes.
À l'occasion de son Patch Tuesday de Mai 2024, Microsoft a corrigé la faille de sécurité zero-day CVE-2024-30051. Sa particularité : elle est déjà exploitée par le malware QakBot ! Faisons le point sur cette menace.
Associée à la référence CVE-2024-30051, la faille de sécurité zero-day présente dans la bibliothèque "Desktop Window Manager" (DWM) du système d'exploitation Windows mérite une attention particulière. En charge de la gestion des fenêtres et introduit lors de la sortie de Windows Vista, il s'agit d'un composant central sur Windows.
Comme le précise Microsoft sur son site, cette vulnérabilité de type "heap-based buffer overflow" permet d'exécuter du code avec les privilèges SYSTEM sur la machine ciblée : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."
Une faille de sécurité zero-day exploitée par plusieurs malwares
Plusieurs chercheurs en sécurité sont à l'origine de la découverte de cette vulnérabilité, dont deux personnes de chez Kaspersky, qui ont mis en ligne un rapport au sujet de cette vulnérabilité et de la menace QakBot.
Tout a commencé par l'identification d'un fichier suspect sur VirusTotal, le 1er avril 2024. Ensuite, un suivi a été effectué par Kaspersky, ce qui a permis de découvrir l'existence d'un exploit pour cette vulnérabilité à la mi-avril.
"Nous l'avons vu utilisé avec QakBot et d'autres logiciels malveillants, et nous pensons que plusieurs acteurs de la menace y ont accès.", peut-on lire. Pour le moment, Kaspersky n'a pas donné de détails techniques supplémentaires afin de laisser le temps aux utilisateurs de Windows de se protéger.
QakBot, appelé aussi Qbot, est un Cheval de Troie bancaire identifié pour la première en 2008. Il est utilisé par les cybercriminels pour voler des numéros de cartes bancaires, des identifiants d'accès aux comptes bancaires, ainsi que des cookies de session. QakBot est aussi utilisé dans des attaques plus complexes où il sert à fournir un accès initial en vue d'exécuter un ransomware ou un autre logiciel malveillant.
Comment se protéger ?
La seule façon de se protéger, c'est d'installer la mise à jour de mai 2024 sur ses postes de travail Windows et ses serveurs sous Windows Server, car les deux OS sont vulnérables. Parmi les systèmes vulnérables, nous pouvons citer Windows 10, Windows 11, ainsi que Windows Server 2016 et les versions supérieures.
D'après la documentation de Microsoft, Windows Server est impacté même lorsqu'il est installé en mode "Core", c'est-à-dire sans interface graphique.
Les mises à jour viennent de sortir, donc pensez à les tester avant de les diffuser largement sur vos machines.
The multitenant organization feature, available as a preview since mid-2023, is now available for Microsoft 365 production environments. In this article, I will explore the new feature and explain how to configure it in M365.
VMware Workstation Pro et VMware Fusion Pro deviennent gratuits pour une utilisation personnelle ! Une excellente nouvelle pour celles et ceux qui veulent faire des labs sur leur machine personnelle ! Faisons le point sur cette annonce !
Il n'y a pas que des mauvaises nouvelles du côté de VMware. Même si celle-ci ne changera pas la vie des entreprises, elle est tout de même importante, car VMware Workstation Pro a toujours été un produit payant, tout comme VMware Fusion. Ces applications performantes et très populaires sont notamment très utilisées par les étudiants.
Mais cela, c'est du passé, car les applications VMware Workstation Pro et VMware Fusion Pro deviennent entièrement gratuites pour une utilisation personnelle. Si vous utilisez ces applications au travail, vous devez continuer à payer, et là, VMware parle d'un abonnement commercial payant.
Dans un nouvel article de blog, VMware, qui appartient désormais au géant Broadcom, précise : "Cela signifie que les utilisateurs quotidiens qui souhaitent disposer d'un laboratoire virtuel sur leur ordinateur Mac, Windows ou Linux peuvent le faire gratuitement en s'enregistrant et en téléchargeant les bits à partir du nouveau portail de téléchargement situé à l'adresse support.broadcom.com."
Au moment de l'installation, il suffira de faire le bon choix en fonction de votre situation. Si vous avez une clé de licence, vous n'aurez qu'à l'indiquer.
Source : vmware.com
Nouveau système d'abonnement
Comme les autres produits VMware, ceux de la catégorie "Desktop Hypervisor" vont abandonner les licences perpétuelles pour passer sur un système d'abonnement.
"À compter du 6 mai 2024, nos produits DH seront disponibles exclusivement par le biais d'un modèle de licence basé sur l'abonnement. Cette transition nous permet de fournir des mises à jour, des améliorations et un soutien continus à nos utilisateurs.", peut-on lire sur une page du support. Le tarif n'est pas précisé.
Les versions "Player" vont être arrêtées par VMware
Ce changement n'est pas sans conséquence pour deux autres applications de VMware : VMware Workstation Player et VMware Fusion Player. Elles vont être arrêtées, mais la prise en charge sera assurée jusqu'à la fin de vie des versions actuelles.
Cette décision semble logique, car VMware Workstation Pro est beaucoup plus complet que la version "Player" et la gratuité offerte par VMware n'a pas vocation à brider l'application.
Mardi 14 mai 2024, Microsoft a publié la mise à jour KB5037771 pour les machines sous Windows 11 23H2 ! Elle apporte 30 modifications et corrige le bug qui affecte les connexions VPN. Faisons le point.
Tout d'abord, sachez que Microsoft a résolu le problème lié aux connexions VPN sur Windows et Windows Server, grâce à ses nouvelles mises à jour. Pour corriger ce problème sur Windows 11, cela passe par l'installation de la mise à jour évoquée dans cet article. Pour en savoir plus sur ce problème, vous pouvez consulter notre article dédié.
À part cela, voici les changements et nouveautés mis en avant par Microsoft :
Nouveauté - Des publicités dans le menu Démarrer : la section "Nos recommandations" du menu Démarrer affiche certaines applications du Microsoft Store, ce qui correspond à la diffusion de publicités dans le menu Démarrer. Consultez cet article pour en savoir plus et désactiver cette "fonction".
Nouveauté - Vos applications préférées dans le menu Démarrer : la section "Nos recommandations" du menu Démarrer va afficher vos applications les plus fréquemment utilisées. Cela s'applique uniquement à celles que vous n'avez pas encore épinglées au menu Démarrer ou à la barre des tâches.
Nouveauté - Amélioration des icônes Widgets de la barre des tâches : elles ne sont plus pixelisées ou floues. Cette mise à jour lance également le déploiement d'un plus grand nombre d'icônes animées.
Nouveauté - Amélioration des widgets sur l'écran de verrouillage : ils sont plus fiables et leur qualité s'est améliorée. Cette mise à jour prend également en charge plus de visuels et une expérience plus personnalisée.
Cette mise à jour concerne le clavier tactile puisqu'elle corrige un bug lié à l'affichage de la disposition du clavier 106 japonais.
Cette mise à jour résout un problème affectant les paramètres, qui ne répondent plus lors de la fermeture d'un menu déroulant.
Pour en savoir plus sur les autres modifications, consultez cette page du site officiel.
De plus, Microsoft a corrigé des failles de sécurité dans Windows à l'occasion de la sortie de son Patch Tuesday. Pour approfondir le sujet, voici nos articles sur le dernier Patch Tuesday ainsi que sur la mise à jour Windows 10 :
Sur Windows 11 23H2, suite à l'installation de cette mise à jour, le numéro de version du système passera sur "22631.3593".
Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.
Mardi 14 mai 2024, Microsoft a publié la mise à jour KB5037768pour les machines sous Windows 10 22H2 et Windows 10 21H2 ! Quels sont les changements apportés par cette mise à jour ? C'est ce que nous allons évoquer dans cet article.
Commençons par une première bonne nouvelle : Microsoft a corrigé le problème lié aux connexions VPN sur Windows et Windows Server. En installant la mise à jour de mai 2024, ce problème ne sera plus qu'un lointain souvenir sur vos machines Windows 10. Pour en savoir plus sur ce problème, vous pouvez consulter notre article dédié.
Voici les quelques changements mis en avant par Microsoft pour cette mise à jour :
Nouveauté - Notifications pour les comptes Microsoft dans les paramètres : cette mise à jour lance le déploiement des notifications liées aux comptes Microsoft dans l'accueil des paramètres. L'objectif de ces notifications étant de vous inciter à utiliser un compte Microsoft et de le sécuriser correctement. Ce changement peut être désactivé dans les paramètres de confidentialité du système.
Nouveauté - Amélioration des widgets sur l'écran de verrouillage : ils sont plus fiables et leur qualité s'est améliorée. Cette mise à jour prend également en charge plus de visuels et une expérience plus personnalisée.
Cette mise à jour résout un problème affectant certains écouteurs sans fil : Microsoft évoque un problème d'instabilité avec les connexions Bluetooth sur les appareils dont le firmware date d'avril 2023 ou d'une date ultérieure.
Cette mise à jour apporte quelques modifications à Windows Search : la fonction de recherche est plus fiable et il est plus facile de trouver une application après l'avoir installée. Cette mise à jour offre également une expérience de recherche d'applications personnalisée.
Par ailleurs, cette mise à jour introduit une nouvelle optimisation qui va permettre de réduire la taille des mises à jour, c'est-à-dire du paquet de la mise à jour cumulative. Ainsi, Windows 10 va bénéficier d'une optimisation dont profitent déjà les utilisateurs de Windows 11. Dans cet article, Microsoft précise : "Cela signifie une utilisation réduite de la bande passante, des téléchargements plus rapides, un trafic réseau minimisé et des performances améliorées sur les connexions lentes." - Le poids des mises à jour va être réduit d'environ 20%, ce qui n'est pas neutre, car cela peut représenter 200 ou 300 Mo.
Tous les changements apportés par Microsoft sont listés sur cette page du site officiel.
Pour en savoir plus sur les dernières failles de sécurité corrigées et la mise à jour pour Windows 11, vous pouvez lire ces articles :
Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.
Pour rappel, le support de Windows 10 21H2 Enterprise, Windows 10 Enterprise multi-session et Windows 10 Education approche à grands pas car il prendra fin en juin prochain :
Ce mardi 14 mai 2024, Microsoft a publié son nouveau Patch Tuesday ! Ce mois-ci, l'entreprise américaine a corrigé 61 vulnérabilités et 3 failles de sécurité zero-day dans ses produits et services. Faisons le point !
Une faille de sécurité critique dans SharePoint Server
Le Patch Tuesday de Mai 2024 de Microsoft corrige une seule faille de sécurité critique. Il s'agit de la vulnérabilité associée à la référence CVE-2024-30044 présente dans SharePoint Server et qui permet à un attaquant d'effectuer une exécution de code à distance sur le serveur.
"Un attaquant authentifié disposant de l'autorisation Site Owner peut utiliser cette vulnérabilité pour injecter du code arbitraire et exécuter ce code dans le contexte de SharePoint Server.", précise Microsoft. Ces précisions sont importantes, car elles indiquent que l'attaquant doit être authentifié et disposer d'un certain niveau de privilèges pour exploiter la vulnérabilité.
Trois failles de sécurité zero-day corrigées par Microsoft
Évoquons les trois failles de sécurité zero-day patchées par Microsoft. Deux d'entre elles sont déjà activement exploitées, tandis que la troisième est déjà connue publiquement, sans être associée à des campagnes malveillantes.
CVE-2024-30040 - Windows MSHTML - Bypass des fonctions de sécurité
La vulnérabilité CVE-2024-30040, déjà exploitée dans le cadre de cyberattaques, permet d'outrepasser les mesures d'atténuation OLE dans Microsoft 365 et Microsoft Office qui protègent les utilisateurs des contrôles COM/OLE vulnérables.
En exploitant cette faille de sécurité, un attaquant distant non authentifié pourrait exécuter du code sur la machine vulnérable s'il parvient à convaincre l'utilisateur d'ouvrir un fichier malveillant.
Voici les précisions apportées par la firme de Redmond : "Un attaquant doit convaincre l'utilisateur de charger un fichier malveillant sur un système vulnérable, généralement par le biais d'un message électronique ou de messagerie instantanée, puis convaincre l'utilisateur de manipuler le fichier spécialement conçu, mais pas nécessairement de cliquer sur le fichier malveillant ou de l'ouvrir." - Ceci me semble un peu flou, mais cela pourrait signifier qu'une simple prévisualisation pourrait suffire.
Toutes les versions de Windows et Windows Server à partir de Windows 10 et Windows Server 2016 sont vulnérables.
CVE-2024-30051 - Bibliothèque Windows DWM - Élévation de privilèges
Également exploitée dans le cadre d'attaques, la faille de sécurité CVE-2024-30051 permet à un attaquant d'élever ses privilèges en tant que "SYSTEM" sur la machine Windows ciblée. "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.", peut-on lire sur le site de Microsoft.
Une note publiée par Kaspersky met en avant l'exploitation de cette vulnérabilité dans le cadre de campagnes de phishing visant à infecter les machines avec le malware Qakbot. Kaspersky précise que d'autres groupes de cybercriminels exploitent cette faille de sécurité : "Nous l'avons vu utilisé avec QakBot et d'autres logiciels malveillants, et nous pensons que plusieurs acteurs de la menace y ont accès."
Toutes les versions de Windows et Windows Server à partir de Windows 10 et Windows Server 2016 sont vulnérables.
Microsoft affirme que la faille de sécurité CVE-2024-30046 est déjà connue publiquement, mais qu'elle n'est pas exploitée à ce jour. C'est probablement parce que cette vulnérabilité présente dans Visual Studio est difficile à exploiter.
Elle affecte Microsoft Visual Studio 2022 de la version 17.4 à la version 17.9.
Des articles pour présenter les nouvelles mises à jour Windows 10 et Windows 11 seront publiés dans la journée.
OpenTofu, a Terraform fork, is an open-source infrastructure as code software solution that allows you to define and manage the complete infrastructure lifecycle using the HCL (HashiCorp Configuration Language). In this post, I'll walk you through the steps to create an S3 bucket in AWS using OpenTofu.
Veeam vient d'annoncer officiellement la prise en charge de l'hyperviseur Proxmox VE au sein de sa solution Veeam Data Platform, ce qui va permettre aux organisations de sauvegarder et de restaurer leurs machines virtuelles Proxmox avec la solution Veeam !
Il y a moins d'un mois, Veeam avait ajouté la prise en charge de la sauvegarde et la restauration des machines virtuelles exécutées sur l’hyperviseur Linux KVM d’Oracle pour sa solution Veeam Data Platform. Désormais, Proxmox VE vient s'ajouter à la liste des plateformes prises en charge, même s'il faudra attendre encore un peu pour en profiter : la fonctionnalité sera disponible au troisième trimestre 2024.
À l'heure actuelle, Veeam prend en charge les solutions VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Oracle Linux Virtualization Manager et Red Hat Virtualization, ainsi que les environnements AWS, Azure et Google Cloud. Cette liste va s'étoffer suite à l'annonce très attendue par la communauté IT et les organisations qui s'apprêtent à laisser de côté VMware au profit de Proxmox, notamment du côté des PME : vous allez pouvoir protéger vos machines virtuelles Proxmox VE avec la solution Veeam.
« La prise en charge attendue de l’environnement virtuel Proxmox par Veeam témoigne de la valeur que l’hyperviseur Proxmox VE apporte à ses utilisateurs dans un contexte marqué par la transformation du marché », ajoute Martin Maurer, CEO de Proxmox.
La prise en charge de Proxmox VE en quelques fonctionnalités clés
Voici quelques points clés quant à la prise en charge de Proxmox VE par Veeam :
Sauvegardes immuables des machines virtuelles Proxmox VE, sur site et dans le Cloud.
Performances de sauvegardeavec l’intégration des fonctions de suivi avancé des blocs modifiés (CBT — Changed Block Tracking) et d’ajout de sauvegardes à chaud.
Veeam BitLooker pour exclure automatiquement les blocs inutilisés sur les disques de sauvegarde, afin d'économiser de l'espace disque sur l'emplacement de stockage des sauvegardes.
Flexibilité du stockage : la prise en charge de tous les types de référentiels de sauvegarde Veeam Backup & Replication, y compris le stockage objet.
Liberté de restauration complète des machines virtuelles : les machines virtuelles associées aux plateformes de virtualisation les plus courantes (VMware vSphere ou Microsoft Hyper-V, par exemple) ou à des environnements de cloud publics peuvent être rapidement restaurées sur l’hyperviseur Proxmox VE et inversement.
Capacités de restauration granulaire avancées afin de pouvoir restaurer facilement les fichiers modifiés ou supprimés.
Désormais, il convient de patienter, même si nous aurons bientôt l'occasion de voir en action la prise en charge de Proxmox VE. À l'occasion de son événement VeeamON, qui se déroulera du 3 au 5 juin 2024, Veeam va présenter cette nouveauté en exclusivité !
Ubuntu 24.04 LTS (Noble Numbat) est la version avec un support étendu publiée en Avril 2024. Ce support s’étend sur 5 années, soit donc jusqu’en Juin 2029.
Cette version d’Ubuntu vient avec une version du noyau Linux 6.8, GCC est mis à jour vers la version 14, binutils vers 2.42, glibc vers 2.39 et Python en 3.12. La pile réseau par défaut est dorénavant NetPlan et PipeWire est le nouveau serveur de son.
Dans ce tutoriel, vous trouverez toutes les liens gratuits pour télécharger les images d’Ubuntu et ses dérivés Kubuntu, Lubuntu, Xubuntu.
Microsoft Places, c'est le nom de la nouvelle solution dévoilée par Microsoft. Propulsée par de l'intelligence artificielle, elle a pour objectif de faciliter l'organisation des réunions et du lieu de travail dans les organisations adeptes du mode hybride.
La solution Microsoft Places pour Microsoft 365 s'adresse aux organisations où les salariés sont parfois au bureau, parfois en télétravail, afin de leur permettre d'organiser plus facilement leur agenda : quand mes collègues seront-ils au bureau ? Quel est le meilleur moment pour aller au bureau cette semaine, et pourquoi ? Voici des questions auxquelles peut répondre Places.
"Avec Microsoft Places, une application qui réimagine le travail flexible, l'IA peut rendre encore plus facile la coordination du temps passé au bureau et la connexion avec les collègues.", c'est ainsi que Microsoft présente sa solution Places.
Si vous souhaitez organiser une réunion sur site avec vos collègues, Microsoft Places pourra vous indiquer quand ils seront sur site, ce qui vous permettra de choisir plus facilement le bon créneau. De plus, il facilitera la réservation d'une salle de réunion ou d'un bureau. L'outil a aussi pour objectif de vous inciter à aller au bureau quand vos collègues ou votre responsable sont également sur place, afin de favoriser les échanges et les relations sociales sur site.
Source : Microsoft
Comme le permet déjà Outlook, Places permettra d'indiquer d'où vous travailler actuellement. D'ailleurs, Places sera pleinement intégré dans Outlook, ce qui est cohérent puisqu'il est lié à l'organisation de votre emploi du temps. Ensuite, l'intelligence artificielle par l'intermédiaire de Microsoft Copilot pourra vous guider et vous conseiller, notamment pour identifier un lieu pour votre prochaine réunion. "Dans le courant du second semestre 2024, vous pourrez utiliser Copilot pour savoir quels sont les meilleurs jours pour venir au bureau.", précise Microsoft dans son article.
Places sera aussi utile pour les responsables de service parce qu'ils pourront informer les employés de l'heure à laquelle ils seront au bureau et des priorités à respecter pour chaque journée de travail. Enfin, le service informatique pourra s'appuyer sur Places pour obtenir des statistiques sur l'utilisation des salles.
Source : Microsoft
Quand sera disponible Microsoft Places ? À quel coût ?
Dès maintenant, Microsoft Places est disponible en préversion publique ("Public Preview") et il sortira probablement en version stable dans la seconde partie de l'année 2024. Microsoft n'a pas donné de date précise à ce sujet.
Microsoft Places n'est pas gratuit, car il sera proposé dans le cadre de la licence Microsoft Teams Premium, cette dernière étant facturée 6,60 € HT par utilisateur/mois.
Dans cet article, nous allons découvrir Zircolite, un outil d'investigation numérique simple d'utilisation capable de détecter des évènements de sécurité suspects dans différents formats de journaux d'évènements (logs), dont le format .evtx (Windows), les logs Auditd Linux, le format JSON, etc.
Cet outil peut être utilisé lors d'une suspicion d'intrusion sur un composant du système d'information, lors d'un contrôle de routine (threat hunting) sur les journaux ou lors d'une investigation numérique en bonne et due forme. L'intérêt de Zircolite est qu'il est standalone, il ne nécessite pas de serveur web ou base de donnée. Il peut être exécuté sur n'importe quel système Linux munit de Python3, ou sous Windows en tant que simple exécutable. Également, il est très simple d'utilisation et repose sur un standard pour la détection des évènements suspects : les règles Sigma.
II. Détection, investigation numérique et règles Sigma
A. Sigma : règles de détection pour les journaux d'évènements
À l'instar des règles Yara (pour les fichiers) et des règles Snort (pour les trames réseaux), les règles Sigma sont un format unifié de règles de détection orienté sur les journaux d'évènements. Ce format propose une manière uniforme de définition d'un évènement de sécurité à rechercher dans les journaux à l'aide de conditions qui seront utilisées comme critères de recherche et de catégorisation d'un évènement.
Les règles Sigma sont donc prises en compte par un grand nombre d'outils et disposent d'un autre avantage très important : la conversion.
L'écosystème des règles Sigma est, en effet, très intéressant, car il intègre des outils capables de convertir les règles Sigma en requêtes ou commandes spécifiques à certains produits. Par exemple, une requête KQL (pour ELK), Splunk, ou même une requête PowerShell en utilisant le cmdlet "Get-WinEvent". Bref, un sujet très intéressant là aussi. Voici un exemple :
Je viens de convertir la règle de détection Sigma "sysmon_file_block_executable.yml" en requête Splunk. Dans les faits, Zircolite utilise activement cette possibilité afin de convertir les évènements et les règles de recherche au format SQL/SQLite :
L'occasion ici de rappeler l'importance des journaux d'évènements, tant dans leur configuration, journaliser les bons évènements, notamment ceux de sécurité, que dans leur centralisation/externalisation : ne pas laisser les journaux sur le système qui les a générés, en faire une copie, une sauvegarde, dans un endroit sûr. En cas d'attaque, une équipe d'investigation numérique ou de remédiation aura du mal à vous aider si les journaux permettant de retracer le dérouler d'une cyberattaque ne sont pas complets et à disposition, voire n'ont jamais été produits.
Pour en apprendre plus, je vous recommande notre article sur le sujet de la centralisation des logs :
Pour l'exemple, voici une règle Sigma issue du Github SigmaHQ/Sigma, l'une des places centrales de la collaboration autour des règles de détection Sigma :
title: Suspicious PowerShell Download
id: 3236fcd0-b7e3-4433-b4f8-86ad61a9af2d
related:
- id: 65531a81-a694-4e31-ae04-f8ba5bc33759
type: derived
status: test
description: Detects suspicious PowerShell download commandreferences:
- https://www.trendmicro.com/en_us/research/22/j/lv-ransomware-exploits-proxyshell-in-attack.html
author: Florian Roth (Nextron Systems)
date: 2017/03/05
modified: 2023/10/27
tags:
- attack.execution
- attack.t1059.001
logsource:
product: windows
category: ps_classic_start
detection:
selection_webclient:
Data|contains: 'Net.WebClient'
selection_download:
Data|contains:
- '.DownloadFile('
- '.DownloadString('
condition: all of selection_*
falsepositives:
- PowerShell scripts that download content from the Internet
level: medium
Une explication détaillée des règles Sigma, de leur fonctionnement et de leur utilisation pourrait faire l'objet d'un cours entier, mais nous pouvons au moins nous intéresser aux points suivants :
logsource:
product: windows
category: ps_classic_start
Ces instructions permettent de spécifier dans quel type de logs, nous allons chercher notre information, ici pour les produits Windows et la catégorie "ps_classic_start", c'est-à-dire les journaux PowerShell. Une liste complète des logsource et catégories utilisables peut être trouvées sur la documentation officielle Sigma.
Viennent ensuite les conditions de notre recherche :
detection:
selection_webclient:
Data|contains: 'Net.WebClient'
selection_download:
Data|contains:- '.DownloadFile('- '.DownloadString('
condition: all of selection_*
Nous pouvons noter deux conditions ("selection_webclient" et "selection_download") qui doivent toutes deux être remplies ("condition: all of selection_*"). La première indique que le champ "Data" (le contenu de la commande PowerShell analysée) doit contenir "Net.WebClient" et la seconde qu'il doit contenir ".DownloadFile(" ou ".DownloadString('".
Les nombreuses autres instructions de cette règle permettent de spécifier son auteur, son niveau de criticité, d'obtenir des références externes, etc.
Zircolite propose ses propres règles Sigma, mais n'importe quel jeu de règle utilisant ce format peut être utilisé, c'est ce qui fait la grande puissance de l'outil. Vous pouvez retrouver les règles inclus dans Zircolite ici : Github - Zircolite-Rules et localement dans le sous-répertoire d'installation de Zircolite "rules" :
Ces deux sources vous donneront largement de quoi faire, utilisez les notamment pour comprendre le format des règles Sigma et commencer à jouer avec. Gardez en tête cependant que même en utilisant comme base un jeu de règles à jour et éprouvé, les règles les plus efficaces sont celles qui ont été adaptées à votre contexte métier et technique.
Maintenant que nous avons une idée légèrement meilleure de ce que sont les règles Sigma, largement utilisées par les blue teams (équipe de défense et détection) et par Zircolite, passons à l'action.
III. Zircolite : détection d'évènements suspects
A. Installation de Zircolite
Si vous souhaitez utiliser Zircolite depuis un système Windows, il suffit de télécharger l'archive Release du projet et de la décompresser sur votre système :
L'utilisation depuis Windows peut sembler la plus simple si vous souhaitez analyser des journaux Windows. Cependant, Zircolite peut aussi être utilisé en tant que script Python de la même façon. Dès lors, il faut télécharger le code source depuis Github et installer les dépendances Python :
cd /opt
git clone https://github.com/wagga40/Zircolite.git
cd Zircolite
pip install -r requirements.full.txt
Dans le cadre de l'article, je l'installe sur un système Kali Linux Purple, basé sur Debian.
B. Exporter ses logs Windows
Nous sommes prêts à analyser nos journaux d'évènements, mais commençons par les récupérer depuis un système qui nous intéresse. Sur un système Windows, les journaux d'évènements sont nativement stockés dans des fichiers ".evtx". Ceux-ci sont situés dans le répertoire "C:\Windows\System32\winevt\Logs" :
Répertoire par défaut d'un système Windows contenant les journaux d'évènements.
Si l'on souhaite analyser seulement une partie nos journaux, par exemple, d'une date à une autre ou certains évènements ID, nous pouvons effectuer les filtres qui nous intéressent dans l'Observateur d'évènements, puis exporter le résultat. Il faut pour cela se positionner dans le journal à exporter, puis cliquer sur "Enregistrer tous les évènements sous…" dans le panneau droit :
Export des journaux d'évènements "Sécurité" depuis l'Observateur d'évènements.
Il est également possible d'exporter les journaux d'évènements dans un fichier ".evtx" via la ligne de commande grâce à l'utilitaire "wevtutil.exe", présent nativement sous Windows. Voici un exemple pour exporter le journal "Sécurité" :
wevtutil export-log Security Z:\Security.evtx
Dans ces deux derniers cas, nous aurons en résultat un fichier ".evtx" à analyser.
Si vous ne souhaitez pas analyser vos propres journaux Windows ou que vous n'en avez pas sous la main, pas de panique. Voici une source qui propose des journaux Windows contenant des évènements de sécurité, des traces d'attaques, etc. :
Enfin, certains challenges Sherlocks de Hack The Box proposent également des fichiers ".evtx" contenant des traces de cyberattaque. Il s'agit là aussi d'un très bon moyen de s’entraîner.
C. Analyse les logs Windows avec Zircolite
Maintenant que nous avons tout à notre disposition, nous pouvons utiliser Zircolite pour mener une analyse sur ces journaux à l'aide de règles de détection Sigma :
python3 zircolite.py --evtx XXXX.evtx
Sous Windows, le format de la commande est le même :
Il est possible de fournir en entrée à Zircolite un fichier ".evtx," ou un dossier complet contenant un ensemble de fichiers ".evtx". Par exemple, si vous ne savez pas très bien où et quoi chercher et que vous avez copié tout le contenu du répertoire "C:\Windows\System32\winevt\Logs" :
python3 zircolite.py --evtx monRepertoire\
Voici le résultat obtenu lors de l'exécution de Zircolite sous Linux :
Résultat de l'exécution de Zircolite sur des journaux d'évènements Windows.
Zircolite nous indique ici dans un premier temps le jeu de règles Sigma qu'il va utiliser ("rules/rules_windows_generic_py_sigma.json"). Puis, il va analyser les journaux d'évènements fournit en entrées avec ces règles Sigma et nous afficher les évènements découverts, leur sévérité (High, Medium, Low), et leur nombre d’occurrences.
Parmi les éléments notables de l'exemple ci-dessus, on peut noter l'utilisation de "mimikatz", la réalisation d'une attaque DCSync, une opération de suppression des journaux d'évènements... Pas de doute ici, un attaquant est passé par là !
Si l'on souhaite utiliser un autre jeu de règles (des règles personnalisées par exemple), il est possible de le spécifier avec l'option "-r" :
Ce second jeu de règle utilisé me remonte par exemple 155 évènement suspects contre 47 avec le jeu de règle "par défaut". Une différence assez nette qui montre l'importance de disposer d'un jeu de règles complet et adapté à son contexte et aux évènements recherchés.
Vous remarquerez ici que j'ai utilisé les règles Sigma spécifiques aux évènements Sysmon, je vous invite à consulter notre article dédié pour en savoir plus sur ce qu'est Sysmon et son apport en termes de sécurité :
L'avant-dernière ligne nous indique qu'un fichier de sortie au format JSON a été créé : "detected_events.json". Ce fichier au format JSON est intéressant si l'on souhaite aller plus loin dans l'investigation des évènements découverts :
Extrait du fichier JSON d'évènements suspect généré par Zircolite.
Le contenu de cette sortie contient de nombreux détails techniques qui permettent d'en savoir plus sur les évènements suspects. Tous ne peuvent être affichés dans la sortie terminale de Zircolite pour des raisons de lisibilité. Dans ce fichier, vous n'aurez donc que des évènements suspects qui méritent une investigation. Zircolite a fait le tri parmi vos milliers de journaux pour n'en sortir que les évènements suspects d'après un ensemble de règle de détection Sigma.
Si vous n'êtes pas familier de la cybersécurité, l'élément principal sur lequel vous pourrez vous baser pour mieux comprendre les évènements suspectés relevés et les règles de détection sont le contenu des champs "references" (souvent des liens vers des blogposts) et les "tags". Ce dernier champ utilise les identifiants TTP du framework MITRE ATT&CK qui contient beaucoup d'informations sur les différents types d'attaques et modes opératoires des attaquants.
N'hésitez pas à utiliser un moteur de recherche ou le site du framework MITRE ATT&CK pour en apprendre plus sur une attaque identifiée par son TTP. Par exemple T1548 - Abuse Elevation Control Mechanism.
Il est aussi possible de ne s'intéresser qu'aux journaux d'évènements au-delà ("--after" ou "-A") ou avant ("--before" ou "-B") une certaine date, ce qui permet de filtrer ces derniers et d'améliorer les performances de recherche :
python3 zircolite.py --evtx /tmp/EVTX-ATTACK-SAMPLES/ -r /opt/Zircolite/rules/rules_windows_sysmon_full.json -A 2019-05-11T17:58:00 -B 2021-06-02T23:00:00
Le format à respecter pour spécifier une date est le suivant "<AAA-MM-DD>T<HH:MM:SS>", le "T" étant une valeur fixe. C'est notamment utile lorsque nous disposons de premières informations temporelles nous permettant d'orienter nos recherches.
D. Traiter la sortie JSON de Zircolite
Le format JSON étant un standard pris en charge par de nombreux outils, cela permet de faciliter la lecture et le traitement de ces données. Pour une utilisation et investigation immédiate sur ces évènements, nous pouvons, par exemple, utiliser la commande "jq", qui permet de parser, trier et filtrer les données JSON :
Lister tous les évènements suspects, les tags associés (TTP), ainsi que l'heure et l'hôte pour chaque occurrence :
Cette dernière commande est la plus parlante, puisque l'on commence à avoir un ordonnancement dans le temps des évènements suspects sur un système précis. Comme vous le voyez, connaître les subtilités du format JSON et manier "jq" est nécessaire ici. Sachez également que Zircolite peut directement envoyer les journaux obtenus par son analyse à différents composants comme un serveur Splunk ou ELK.
III. Utiliser le rapport web de Zircolite
Un dernier point important qu'il faut mentionner lorsque l'on parle de Zircolite est son interface web (autonome, elle aussi). Celle-ci peut être générée pour chaque analyse et contient une présentation graphique des évènements de sécurité relevés. Pour générer ce rapport au format web, il faut utiliser l'option "--package" :
python3 zircolite.py --evtx /tmp/EVTX-ATTACK-SAMPLES/ -r /opt/Zircolite/rules/rules_windows_sysmon_full.json --package
[...]
[+] Results written in : detected_events.json
[+] Generating ZircoGui package to : zircogui-output-6QYQ.zip
[+] Cleaning
Zircolite crée alors une archive contenant des fichiers .css, .js, et .html, qu'il faut décompresser :
Dès lors, la page web peut-être ouverte avec n'importe quel navigateur. La première vue que nous obtenons est une synthèse des évènements suspects identifiés par Zircolite dans les journaux analysés. On y trouve notamment une catégorisation de ces évènements basée sur le framework MITRE ATT&CK et par niveau de criticité :
Synthèse des évènements suspects relevés par Zircolite dans sa vue web.
Plus bas dans cette même page, nous pouvons obtenir une timeline des évènements relevés. Cette vue est très intéressante pour obtenir rapidement une vue d'ensemble de l'attaque (si l'on dispose de tous les journaux et des bonnes règles Sigma bien sûr) :
Vue timeline des évènements de sécurité suspects identifiés par Zircolite dans son rapport web.
Chaque évènement est positionné dans le temps par rapport aux autres (grâce à l'horodatage de chacun) et catégorisé en fonction de sa typologie avec les catégories du framework MITRE ATT&CK.
Dans le cadre d'une investigation numérique, l'établissement d'une timeline de l'attaque est l'un des objectifs principaux de l'équipe forensic. L'idée de pouvoir identifier très rapidement le séquençage des évènements pour mieux comprendre l'objectif de l'attaquant et son mode opératoire, ce qui permet de prendre les bonnes décisions concernant la suite des évènements.
Nous pouvons alors sélectionner n'importe lequel de ces évènements pour avoir des informations plus précises sur celui-ci (cliquez sur l'image pour zoomer) :
Tableau "Sigma alerts" du rapport web Zircolite concernant un évènement sélectionné.
Ce tableau contient de nombreuses colonnes et vous avez la possibilité de les étudier en utilisant la barre de défilement horizontale. Ces colonnes contiennent l'ensemble des informations de l'évènement sélectionné et initialement stocké dans le fichier ".evtx". Il s'agit des mêmes informations que celles présentes dans le fichier JSON étudié précédemment, mais affichées de manière plus lisible dans une page web (cliquez sur l'image pour zoomer) :
Vue en tableau filtrable des évènements suspects dans le rapport web Zircolite.
Cette simple vue nous permet, par exemple, de savoir que le processus "MSSQL" a exécuté un script via "cmd.exe" avec les droits de l'utilisateur "sqlsvc" sur le poste "MSEDGEWIN10". Cette vue par tableau permet également d'effectuer de nombreux filtres, à l'instar de ce que nous avons fait via "jq" sur le fichier JSON généré par Zircolite.
Le dernier élément notable de ce rapport web est la matrice du framework MITRE ATT&CK, qui montre tous les TTP détectés dans l'ensemble de journaux fournis en entrées (cliquez sur l'image pour zoomer) :
Vue d'ensemble des TTP identifiés par Zircolite dans son rapport web.
Là aussi, cette vue d'ensemble aide à se faire très rapidement une idée de la portée de l'attaque et des différentes opérations de l'attaquant sur les systèmes concernés.
IV. Conclusion
Dans cet article, nous avons fait le tour de Zircolite au travers des cas concrets sur des journaux d'évènements Windows. Nous avons notamment vu que Zircolite peut être utilisé de façon très simple en ligne de commande afin d'identifier des évènements suspects, d'étudier les détails de ces évènements et d'offrir une vue d'ensemble avec timeline d'une cyberattaque.
Il reste naturellement beaucoup de choses à découvrir au sujet de l'investigation numérique (forensic), des règles Sigma et de Zircolite. Néanmoins, le contenu de l'article devrait vous donner les bases de son utilisation, utiles pour l'étudier plus en profondeur et l'utiliser quotidiennement ou occasionnellement. Également, n'oubliez pas que Zircolite permet de traiter d'autres formats de journaux comme les journaux Sysmon for Linux, auditd, JSON, JSONL, etc... Même si cela n'a pas été traité dans l'article.
Au-delà de l'outil, cet article a permis de rappeler un grand nombre d'éléments concernant la sécurité d'un système unique ou de tout un système d'information : le durcissement des configurations pour permettre la journalisation des évènements importants de sécurité, la sauvegarde et centralisation de ces évènements, la capacité à pouvoir intervenir rapidement suite à une cyberattaque et commencer les premières investigations, etc.
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Le code erreur 0x80070426 apparaît dans Windows lorsqu’un utilisateur tente de mettre à jour le système d’exploitation Windows ou d’installer des mises à jour logicielles et qu’un problème se produit. En général, ce problème se produit lors de la phase d’installation et donc la mise à jour est en échec d’installation.
Dans ce guide, je vous donne plusieurs solutions pour résoudre l’erreur 0x80070426 sur Windows Update.
Résoudre l’erreur 0x80070426 sur Windows Update
Réparer les fichiers systèmes avec SFC et DISM
Pour réparer les fichiers systèmes de Windows 10 ou Windows 11, on utilise les utilitaires SFC (vérificateur de fichiers systèmes) et DISM. Ces deux outils s’utilisent en invite de commandes.
Ensuite on peut utiliser DISM pour réparer les images de Windows 10/11. Pour cela, utilisez la commande suivante :
Dism /Online /Cleanup-Image /CheckHealth
Puis enchaînez avec une vérification et réparation des fichiers corrompus et manquants avec l’outil SFC. Pour cela, saisissez :
sfc /scannow
Laisse le vérificateur de fichiers systèmes analyser Windows 10 ou Windows 11. Enfin si des fichiers systèmes sont corrompus, SFC tente de les réparer.
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver
Redémarrez le PC afin de prendre en compte les changements
Puis relancez les mises à jour Windows Update
Un article existe sur le site dédié avec d’autres méthodes pour vider le catalogue Windows Update et résoudre les erreurs d’installation :
Le démarrage sélectif permet de désactiver des applications et services Windows afin d’alléger le démarrage. Si vous avez suivi un mauvais tutoriel et désactiver des services Windows, cela peut causer des dysfonctionnements.
Il faut alors remettre le mode de démarrage en démarrage normal. Pour cela :
Windows Repair se lance automatique, acceptez les conditions d’utilisation
Toutefois, il est conseillé de faire les réparations en mode sans échec. Pour cela, en bas, cliquez sur Reboot To Safe Mode.. ou suivez ce guide complet : Redémarrez Windows en mode sans échec
Puis relancez Windows Repair
Cliquez sur l’onglet Réparation – Principal
La liste des type de réparation de Windows s’affiche : cliquez sur Préréglages : Réparations communes
Vous obtenez alors la liste ci-dessous, laissez les éléments cochés
Enfin cliquez en bas à droite sur Démarrer les réparations
L’opération se lance avec une succession d’étape… des fenêtres noires peuvent s’ouvrir ou se refermer
Laissez terminer, un message vous indique que la réparation Windows Repair est terminée
Lorsque Windows est totalement endommagé et que les problèmes sont trop nombreux, vous pouvez tenter de réparer Windows 10, 11 sans perte de données et en conservant les programmes installés. Cela permet de rétablir un système fonctionnel à partir des fichiers ISO et images de Windows. La procédure est décrite pas à pas dans cet article :
Il s’agit d’une opération de réinitialisation et de remise à zéro qui supprime les applications et remet le système à son état d’origine. C’est la solution radicale pour retrouver un système fonctionnel :
Si votre routeur tourne sous Tomato vous pouvez nativement allumer une machine à distance depuis l'interface d'administration (menu Tools > Wake On Lan). Je vous partageais d'ailleurs une astuce en 2013 (oui!) pour que vos machines soient persistantes dans cette liste WOL.
Si vous préférez utiliser SSH pour réveiller une machine avec Wake On LAN (WOL) c'est aussi possible, voyons comment.
Un peu de bash
Lorsque je ne suis pas chez moi c'est toujours en SSH avec Bitvise SSH Client que je me connecte à mon routeur. Je fais transiter ensuite différents ports dans le tunnel SSH pour joindre d'autres machines.
La commande native "ether-wake" permet de réveiller un périphérique (ordinateur fixe, laptop... peu importe).
Voici ce que j'utilise pour cela :
#!/bin/sh
/usr/sbin/ether-wake A1:B2:C3:D4:E5:F6
A1:B2:C3:D4:E5:F6 à remplacer par l'adresse MAC de la machine à réveiller
Je stocke ce script à l'emplacement suivant :
/opt/sbin/wol
Comme ce chemin est dans la variable $PATH de Tomato je n'ai qu'à saisir "wol" dans mon terminal SSH et paf ça se lance.
Pour que ça fonctionne : la persistance
Le répertoire /opt/sbinn'est pas persistant, donc à chaque reboot il faudra recommencer.
Pour éviter cette problématique, plusieurs options :
utiliser un script de démarrage (Administration > Scripts > Init) qui va créer le script bash et son contenu
Mémorisez le point de montage pour l'étape suivante. La partition VFAT (ou FAT32) ne nous intéresse pas ici.
Activer le montage automatique +script
Je m'assure que l'option pour monter les périphériques USB au boot soit cochée (USB and NAS > Automount).
Enfin j'ajoute un script dans la section "run after mounting" pour faire pointer le répertoire /opt/sbin vers celui de la clé USB (voir doc) :
mount -o bind /tmp/mnt/CLEUSB_OPT /opt
Et voilà ! Maintenant tout sera automatique quand votre routeur démarre, ou redémarre.
Vérifiez quand même que tout fonctionne bien en provoquant un redémarrage de votre routeur (saisir "reboot" en SSH).
Conclusion
Rien de compliqué aujourd'hui, c'est plus du partage pour piquer votre curiosité qu'une opération très technique. Vous pouvez maintenant stocker plein de scripts et les appeler directement par leur nom sans préciser le chemin.
Vérifiez toujours si le nom que vous choisissez n'existe pas déjà pour une commande/binaire système. Auquel cas vous pourriez casser des choses... c'est aussi pour cette raison que je préfère utiliser une clé USB plutôt que la partition JFFS. En effet, il suffit de retirer la clé pour avoir un démarrage sans les points de montages.
Libre à faire de faire plusieurs scripts pour réveiller telle ou telle machine, ou bien menu en bash, ou encore des arguments de sélection.
Ce lundi 13 mai 2024, à l'occasion de son événement "Spring Update", OpenAI a fait plusieurs annonces dont l'arrivée d'une application desktop officielle pour deux systèmes d'exploitation : Windows et macOS. Faisons le point.
Lors de son événement "Spring Update", très attendu par les amateurs d'IA, OpenAI a dévoilé son nouveau modèle de langage GPT-4o, accessible gratuitement aux utilisateurs dans une certaine limite, ainsi que deux applications desktop: l'une pour Windows, l'autre pour macOS. Cela signifie qu'il n'est plus nécessaire d'utiliser systématiquement un navigateur pour converser avec le chatbot.
Les utilisateurs de macOS ont le privilège de pouvoir installer et télécharger cette application dès maintenant. Mais, attention, l'accès à cette application est réservé aux utilisateurs ayant un abonnement ChatGPT Plus, pour le moment. Ceci devrait évoluer par la suite.
Tandis que les utilisateurs de Windows vont devoir patienter, comme nous pouvons le lire sur le site d'OpenAI : "Nous prévoyons également de lancer une version Windows dans le courant de l'année." - Vous l'aurez compris, OpenAI a officialisé cette application, mais elle n'est pas encore disponible sur Windows. Ceci est quand même étonnant quand on sait que Microsoft a investi des milliards de dollars pour financer les projets d'OpenAI...
OpenAI a également dévoilé une nouvelle interface pour ChatGPT conçue pour être plus conviviale et rendre plus agréable les conversations avec le chatbot. "Vous remarquerez un nouvel écran d'accueil, une nouvelle présentation des messages et bien plus encore.", précise OpenAI.
Comment télécharger ChatGPT sur macOS ?
L'application ChatGPT n'est pas disponible sur l'App Store officiel. En effet, l'installeur pour Mac est accessible depuis le site d'OpenAI, au sein de votre compte.
OpenAI a travaillé sur une application complète, bien intégrée à macOS, et qui n'est pas une adaptation de la version Web de ChatGPT. Par exemple, les utilisateurs peuvent solliciter l'IA à tout moment en utilisant le raccourci clavier "Option + Espace" qui affiche un menu similaire à Spotlight.
Lors de son événement "Spring Update", OpenAI a dévoilé son nouveau modèle de langage : GPT-4o. Dérivé de GPT-4, il est accessible à tout le monde et gratuitement ! Faisons le point.
GPT-4o est en quelque sorte une évolution du modèle de langage GPT-4, ce dernier étant déjà accessible depuis plusieurs mois aux abonnés payants de ChatGPT. OpenAI affirme que GPT-4o est plus rapide et plus "intelligent", mais aussi meilleur en multimodal. D'ailleurs, c'est de là que vient son nom, car le "o" signifie "omnimodel", faisant référence au fait que c'est un modèle multimodal.
GPT-4o est plus pertinent dans l'analyse de données et il est doté de meilleures capacités en interprétation de texte, d’image et d’audio. "Par exemple, vous pouvez maintenant prendre une photo d'un menu dans une autre langue et parler à GPT-4o pour le traduire, en apprendre davantage sur l'histoire et la signification de la nourriture, et obtenir des recommandations.", peut-on lire dans l'annonce officielle.
Jusqu'à présent, il convenait de disposer d'un abonnement payant à ChatGPT Plus pour pouvoir utiliser le modèle GPT-4 par l'intermédiaire de ChatGPT ou de son API. Les utilisateurs gratuits, quant à eux, étaient limités à l'utilisation de GPT-3.5.
Désormais, GPT-4o est disponible gratuitement et pour tout le monde : une excellente nouvelle pour tester sans frais ce nouveau modèle. Ceux qui paient seront moins limités et priorisés : "Les utilisateurs Plus auront une limite de messages jusqu'à 5 fois supérieure à celle des utilisateurs gratuits, et les utilisateurs Team et Enterprise auront des limites encore plus élevées.", peut-on lire sur le site d'OpenAI.
Évolution de ChatGPT Voice
OpenAI a également annoncé des nouveautés pour ChatGPT Voice, la fonction vocale de ChatGPT. Plutôt que de converser à l'écrit avec ChatGPT, vous pouvez l'utiliser avec la voix, comme les autres assistants vocaux du marché. La nouvelle version sera plus rapide et plus naturelle, avec un temps de réponse moyen de 320 millisecondes, similaire à celui d'un humain dans une conversation. Dans les prochaines semaines, elle sera disponible en version alpha pour les abonnés à ChatGPT Plus.
OpenAI veut frapper fort en s'appuyant sur GPT-4o pour ChatGPT Voice, de façon à ce que le même réseau neuronal soit utilisé pour traiter, en temps réel, les entrées et sorties pour le texte, l'audio et la vision. De plus, il sera capable de détecter les émotions des humains.
"Par exemple, vous pourriez montrer à ChatGPT un match de sport en direct et lui demander de vous en expliquer les règles.", peut-on lire. OpenAI a effectué plusieurs démonstrations impressionnantes en direct et mis en ligne cette vidéo :
Say hello to GPT-4o, our new flagship model which can reason across audio, vision, and text in real time: https://t.co/MYHZB79UqN
Text and image input rolling out today in API and ChatGPT with voice and video in the coming weeks. pic.twitter.com/uuthKZyzYx
D'ailleurs, dans quelques heures, Google doit annoncer des nouveautés pour son IA générative, Gemini, alors forcément, l'entreprise américaine est attendue au tournant...
Connexion
