Un nouveau coup de filet majeur contre les cybercriminels : les autorités internationales sont parvenues à démanteler des infrastructures associées à plusieurs logiciels malveillants. Nom de l'opération ENDGAME. Voici ce que l'on sait.
Le 30 mai 2024, une vaste opération de démantèlement de plusieurs infrastructures cybercriminelles a été menée avec succès dans le cadre d’une coopération judiciaire internationale baptisée "ENDGAME". Il s'agit d'une opération indépendante de l'opération Cronos menée contre le gang LockBit : preuve que les autorités travaillent ardemment pour lutter contre la cybercriminalité.
Cette opération coordonnée a été menée par des autorités de plusieurs pays, notamment la France, l'Allemagne, les Pays-Bas, le Danemark, le Royaume-Uni et les États-Unis. La coordination globale a été assurée par Europol, qui a d'ailleurs publié un rapport à ce sujet.
En France, cette initiative a été menée par la section J3 de lutte contre la Cybercriminalité du Parquet de Paris en collaboration avec l’Office anti-cybercriminalité (OFAC). Par ailleurs, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a contribué à l'opération ENDGAME en participant à l’identification et à la notification des victimes.
L'opération visait spécifiquement à neutraliser des serveurs rattachés aux infrastructures utilisées par les cybercriminels. Résultat, les forces de l'ordre sont parvenues à saisir une centaine de serveurs et plus de 2 000 noms de domaines ! Les serveurs en question sont répartis dans différents pays : Bulgarie, Canada, Allemagne, Lituanie, Pays-Bas, Roumanie, Suisse, Royaume-Uni, États-Unis et Ukraine.
"Les opérations menées par les forces de l’ordre se sont déployées sur plusieurs pays et ont mené à l’interpellation de 4 personnes dont 3 par les autorités françaises, à 16 perquisitions.", peut-on lire dans un post LinkedIn publié par le Parquet de Paris.
L'objectif était de cibler les infrastructures utilisées dans le fonctionnement de différents loaders : BumbleBee, IcedID, Smokeloader, Pikabot, Trickbot et SystemBCt. Ces logiciels malveillants sont généralement distribués via des campagnes de phishing. Une fois qu'une machine est infectée, ce code malveillant est utilisé pour télécharger et déployer d'autres malwares, dont des ransomwares.
Le Parquet de Paris précise que "L’administrateur du botnet Pikabot a été interpellé en Ukraine avec le concours des autorités ukrainiennes, l’un des acteurs principaux du dropper « Bumblebee » a été auditionné en Arménie."
Dans ce tutoriel, nous allons voir comment extraire des données d’une partition endommagée avec le logiciel de récupération de données TestDisk !
Il peut arriver, pour une raison ou pour une autre (choc physique, obsolescence, panne de courant électrique, attaque virale, etc.), qu’une partition d’un support de stockage devienne inaccessible en lecture/écriture. En d’autres termes, la partition passe d’un système de fichiers utilisé par la plupart des systèmes d’exploitation usuels (NTFS, FAT32, ext4, etc.) au système de fichiers binaire (RAW). La seule option qui se propose généralement à nous en ce moment est un formatage pur et simple de ladite partition… Et, les données alors ?...
TestDisk qui est un logiciel libre proposé par Christophe GRENIER fonctionnant sous une interface austère et actuellement sous sa version 7.2 (la première datant de 1998). TestDisk fonctionne à la fois sur des plateformes Windows, Linux et MacOS, peut justement aider à sauver les données avant le formatage. Très populaire, cette application rend bien des services lorsqu'il s'agit de restaurer ou récupérer des données.
Dans cet article, on traitera principalement de la fonction « extractions des données » de TestDisk bien que ce dernier propose également d’autres fonctionnalités (réparation des partitions, récupération des données effacées, etc.).
II. Petit rappel sur les systèmes de fichiers
L’informatique actuelle fonctionnant essentiellement avec le système de numération binaire (0 et 1) les données stockées sur unité de stockage, peu importe leur nature (HDD, SSD, USB, etc.), ne dérogent pas à cette règle. Il se pose alors le problème de représentation de ces dernières de telle enseigne qu’elles soient perceptibles par l’Homme.
C’est à partir de cet instant que les systèmes de fichiers rentrent en jeu.
Un système de fichiers est une des fonctionnalités d’un système d’exploitation consistant à créer, organiser et gérer les fichiers sur une unité de stockage connectée au système en question. On parle alors ici de la manière dont :
Les partitions sont créées et formatées (taille, type de table, etc.)
Les fichiers sont créés et gérés en cluster (de la plus petite taille constitutive d’un fichier à la plus grande)
Des méthodes et des outils utilisés pour créer et gérer ces partitions et ces fichiers au besoin
Etc.
Les systèmes de fichiers les plus usuels sont bien sûr NTFS, exFat, Fat32, FAT pour Windows ;NTFS, ext3, ext4 pour Linux ; APFS, HFS pour Apple, etc. Et bien sûr le système de fichier binaire RAW qui lui n’est pratiquement pas interprété par les systèmes d’exploitation sus-cités.
Sans plus tarder, nous allons voir comment extraire les données d’une partition en utilisant TestDisk
III. Extraire les données d’une partition avec TestDisk
D’abord, il faut télécharger TestDisk (pour ce tuto, on va prendre celui pour Windows) via le lien TestDisk 7.2 et l’extraire dans un dossier de créé pour la cause.
En ouvrant le dossier d’extraction, on doit pouvoir parcourir l’ensemble de ses fichiers, puis localiser et cliquer sur l’exécutable « testdisk_win » qui lui, demandera naturellement des privilèges Administrateur pour s’exécuter (inutile de rappeler ici que vous devez être connecté en tant que tel, ou connaître un compte Administrateur sur la machine locale).
Une fois TestDisk lancé, on sélectionne « CREATE » avec la touche « ENTREE » du clavier. Il faut rappeler ici que la plupart des consignes à suivre et des touches à utiliser sont indiquées par le logiciel.
Ensuite, on sélectionne avec les touches directionnelles du clavier le disque à partir duquel on souhaite extraire les données, ici « Disk \\.\PhysicalDrive1 - 30 GB / 28 GiB - USB SanDisk 3.2Gen1 » (mon support USB-test pour la cause) et on valide avec « PROCEED » avec la touche « ENTREE » du clavier.
Puis, on sélectionne le type de table de partition en fonction du formatage préalable du disque à extraire, ici « Intel/PC partition » (TestDisk pouvant aussi le détecter automatiquement) et on valide avec « ENTREE ».
Ensuite, on choisit « Advanced ».
Puis, on sélectionne le système de fichiers correspondant à la partition à partir de laquelle on souhaite extraire les fichiers. Ici « NTFS » et on choisit l’option « List » en bas pour afficher la liste des dossiers et des fichiers à extraire. Enfin, on valide.
On sélectionne ensuite le(s) fichier(s) (ici le logo de MEISTER INFORMATIK) à l’aide des « : » du clavier. Puis, on valide la copie avec « C » on constate que le fichier sélectionné devient automatiquement coloré en vert. Si on avait voulu choisir l’ensemble des fichiers, on aurait simplement appuyé sur la lettre « a » du clavier comme décrit par TestDisk.
À l'étape suivante, on choisit le dossier destination de stockage du ou des fichier(s) extrait(s). Ici le dossier « Recup TestDisk » de mon bureau et on valide de nouveau avec « C »
Une fois l’extraction terminée, TestDisk envoie un message signalant que l’extraction s’est correctement terminée. On peut le voir à travers le message « Copy done ! 1 ok, 0 failed » renvoyé par ce dernier. Il aurait également produit un message d’erreur au cas échéant.
On peut désormais ouvrir le dossier destination « Recup TestDisk » et y retrouver le logo de "MEISTER INFORMATIK" extrait du support USB.
Enfin, on peut l’ouvrir pour effectivement se rassurer qu’il ne soit pas altéré par l’état de santé du disque source (la partition étant bien sûr endommagée).
IV. Conclusion
Nous venons de voir comment extraire un ou plusieurs fichiers d'une partition endommagée avec le logiciel gratuit TestDisk.Cependant, il faut savoir que plus les fichiers sont nombreux à extraire, plus cela prendra du temps et de l’espace disque, donc il faudra prévoir les ressources spatio-temporelles adéquates.
Un des autres avantages de ce logiciel, est qu’il restaure généralement les fichiers tout en gardant leur structure d’origine depuis leurs dossiers racines. Donc, pas d’inquiétude à se faire quant au fait de les ranger de nouveau comme au départ : TestDisk s'en occupe.
Une fois l’opération d’extraction terminée, que faire ? On peut alors envisager de supprimer, créer et formater la partition afin de la réutiliser ou alors de purement remplacer l’unité de stockage défectueuse. En effet, un disque passé sous RAW est un signe que ce dernier est en train de « rendre l’âme » et qu’on pourrait se retrouver dans la même situation par la suite et perdre définitivement les données stockées sur ce dernier...
Il y a quelques jours, Microsoft a publié la mise à jour KB5037853 pour Windows 11 afin de permettre aux utilisateurs de tester les changements à venir en juin 2024, lorsque la nouvelle mise à jour cumulative sera disponible. Les premiers retours ne sont pas bons. Voici ce que l'on sait.
Le 29 mai 2024, Microsoft a mis en ligne la mise à jour optionnelle KB5037853 pour les appareils sous Windows 11. Étant optionnelle, cette mise à jour s'installe de façon automatique uniquement si l'on active l'option "Recevez les dernières mises à jour dès qu'elles sont disponibles" dans les paramètres de Windows Update.
Cette mise à jour permet de tester en avant-première les changements apportés par Microsoft, que ce soit les bugs corrigés ou les éventuelles nouvelles fonctionnalités. Ceci est un aperçu de ce qui attend les utilisateurs de Windows 11 dans la prochaine mise à jour cumulative obligatoire, c'est-à-dire celle qui sera publiée le 11 juin 2024 dans le cas présent.
Sur son site, Microsoft a révélé que cette mise à jour pouvait faire planter la barre des tâches sur les machines Windows 11 22H2 et Windows 11 23H2 où la mise à jour KB5037853 a été installée.
"Après l'installation de cette mise à jour, il se peut que vous rencontriez des problèmes lors de l'utilisation de la barre des tâches. Il se peut que la barre des tâches présente des dysfonctionnements temporaires, qu'elle ne réponde pas, qu'elle disparaisse et qu'elle réapparaisse automatiquement.", peut-on lire sur cette page. L'entreprise américaine précise également que ce plantage génère un événement avec l'ID 1000 dans les journaux Windows, évoquant "Explorer.exe" en tant qu'application en tant qu'application défectueuse. Une référence à "Taskbar.View.dll" est également présente.
La solution proposée par Microsoft
Microsoft a déjà remédié à ce bug impactant la barre des tâches en s'appuyant sur sa fonction Known Issue Rollback (KIR). L'application est automatique sur les appareils des particuliers ("non managés") même si le déploiement peut prendre 24 heures. Pour les appareils managés, il convient de s'appuyer sur une stratégie de groupe comme l'explique cette page de la documentation Microsoft. Dans le cas présent, il convient de déployer le package KIR que vous pouvez télécharger via ce lien.
En principe, la mise à jour cumulative qui sera publiée le 11 juin 2024 ne contiendra pas ce bug car Microsoft pourra le corriger d'ici-là. Merci à ceux qui ont essuyé les plâtres...
OSDCloud is a free PowerShell framework for deploying Windows 10 and Windows 11. The tool provides simple methods for adding drivers and configuring settings in an image. After booting from a customized WinPE, either the OSDCloudGUI or an automated script initiates the installation.
La cybersécurité est un enjeu crucial pour les petites et moyennes entreprises (TPE/PME). Comment sécuriser son réseau ? C'est la question que se posent les dirigeants d'entreprises. Nous allons voir comment répondre à cette question grâce à l'utilisation des fonctionnalités de la solution TP-Link Omada.
Nous vous proposons un tour d'horizon des fonctionnalités de sécurité offertes par la solution TP-Link Omada, autour de 3 grands axes, en commençant aujourd'hui par le premier :
La sécurité du réseau : détectez et bloquez les menaces
L'authentification réseau et la sécurité du Wi-Fi
La gestion d'un portail captif et la centralisation des logs
Ceci nous permettra d'évoquer un ensemble de fonctionnalités techniques à configurer pour renforcer la sécurité d'un réseau. Ces mesures viennent s'ajouter aux autres recommandations telles que la sensibilisation des utilisateurs, les sauvegardes régulières, l'application des mises à jour, utiliser des mots de passe robustes, etc.
Pour rappel, la solution TP-Link Omada est entièrement gratuite : 0 licence pour le contrôleur en lui-même, 0 licence pour les périphériques réseau et 0 licence pour les mises à jour logicielles. Autrement dit, il vous suffit d'acheter les appareils de la gamme TP-Link Omada : routeurs, switchs, points d'accès Wi-Fi, etc. Le contrôleur TP-Link Omada peut être un boitier physique ou une machine virtuelle que vous pouvez auto-héberger.
Pour approfondir ce point, consultez notre précédent article (inclus une vidéo) sur le sujet :
II. La sécurité du réseau : détectez et bloquez les menaces
En informatique, une menace désigne un danger potentiel en mesure de compromettre la sécurité de l'infrastructure d'une organisation. Ces menaces peuvent prendre différentes formes et être présentes aussi bien en interne qu'en externe. Ceci conduit les entreprises à sécuriser leur accès à Internet, mais également leur réseau local.
La base de la sécurité d'un réseau passe par l'implémentation de règles de filtrage afin de limiter et de contrôler les flux entrants et sortants. Aujourd'hui, face à la diversité des usages et la complexité des menaces, les organisations doivent effectuer du filtrage réseau et du filtrage applicatif pour garder la maitrise de leur réseau. Ces différentes règles, que l'on peut appeler "ACL", vont permettre de déterminer ce que peut faire ou ne pas faire un équipement connecté au réseau.
Quelle est la différence entre le filtrage réseau et le filtrage applicatif ? Le filtrage réseau se concentre sur les ports et les paquets IP, tandis que le filtrage applicatif intervient au niveau des applications et de leurs protocoles spécifiques. Autrement dit, nous ne travaillons pas sur la même couche du modèle OSI. Ceci fait référence à la fonction de pare-feu dont l'implémentation est recommandée par l'ANSSI dans plusieurs de ses guides, y compris dans celui intitulé "La cybersécurité pour les TPE/PME en 13 questions".
Le trafic du réseau ne doit pas seulement être filtré de façon statique. Ce n'est pas suffisant pour assurer la sécurité du réseau. Les flux en transit sur le réseau doivent être analysés pour détecter et bloquer les comportements suspects et malveillants. C'est pour cette raison que nous pouvons recourir à un système de détection d'intrusion (IDS) et un système de prévention d'intrusion (IPS). En effet, l'IDS va analyser les paquets de données à la recherche de schémas anormaux tandis que l'IPS va bloquer les attaques en temps réel.
A. Les fonctions de TP-Link Omada
Avec la solution TP-Link Omada, nous allons pouvoir déployer un ensemble de fonctionnalités pour sécuriser un réseau par le filtrage des flux ainsi que la détection et le blocage des menaces.
La Deep Packet Inspection (DPI) analyse en profondeur le contenu des paquets pour bloquer des applications et des services indésirables et/ou malveillants.
Le blocage par DNS Proxy permet de filtrer le trafic DNS malveillant par l'utilisation d'un DNS prévu à cet effet.
Le filtrage IP, MAC et URL permet de bloquer l’accès à des sites Web, adresses IP ou mots clés spécifiques.
La création d'ACL (Access Control List) pour restreindre l'accès aux ressources réseau, au niveau du routeur, des switchs et des bornes WiFi.
La restriction géographique (GeoIP) via les listes de contrôle d’accès (ACL) permet de limiter l’accès en fonction de la localisation géographique.
Le blocage des attaques par déni de service (DoS).
La protection contre l'ARP spoofing (ou empoisonnement de cache ARP).
Etc....
En combinant l'utilisation de ces fonctionnalités, les entreprises peuvent renforcer la sécurité de leur réseau, et ainsi mieux protéger leurs données.
B. Scénario de déploiement
Pour cette démonstration, nous allons mettre en œuvre une configuration dont l'objectif sera de :
Bloquer les flux entrants en provenance de la Russie et de la Chine, grâce au filtrage géographique.
Renforcer la sécurité de la navigation Internet grâce à l'utilisation d'un proxy DNS, ce dernier pouvant filtrer les contenus malveillants. Le DNS sécurisé "https://security.cloudflare-dns.com/dns-query" sera utilisé pour bloquer les malwares.
Bloquer les applications et les services relatifs au P2P, aux tunnels VPN, au partage de fichiers en ligne, et à la prise en main à distance.
Activer les mécanismes de protection contre les attaques DoS et l'ARP Spoofing.
Détecter et bloquer les flux malveillants (P2P, User-agents suspects, etc...) grâce à l'IDS/IPS.
C. La vidéo de mise en œuvre
Ci-dessous, la vidéo de mise en œuvre technique de cette configuration avec la solution TP-Link Omada.
L'interface intuitive de TP-Link Omada permet de configurer des fonctionnalités de sécurité simplement, aussi bien sur les réseaux filaires que Wi-Fi. En effet, la plateforme TP-Link Omada permet l'administration des routeurs, des switchs et des points d'accès, que ce soit pour un ou plusieurs sites, ainsi que un ou plusieurs clients lors de l'utilisation du mode MSP.
Visitez le site TP-Link Omada pour en savoir plus :
Sachez que des nouveautés sont attendues pour la version 5.15 qui sera disponible cet été :
Prise en charge du filtrage de contenu, y compris le filtrage DNS et le filtrage d'URL
Prise en charge de la base de données de signatures d'URL, mise à jour régulière
Prise en charge du filtrage DNS pour deux catégories (Travail et Domicile)
Prise en charge de la liste noire et de la liste blanche de filtrage de contenu
Fonctionnalités de SD-WAN
Rendez-vous prochainement pour la seconde partie de cette série intitulée "L'authentification réseau et la sécurité du Wi-Fi" ! En attendant, vous pouvez commenter cet article pour donner votre avis ou poser vos questions.
Comment enregistrer des GIF sous Linux pour créer des images animées ? Aujourd’hui, je vous présente Peek, un outil qui va vous permettre d'enregistrer rapidement et simplement des GIF sous Linux.
Les GIF sont notamment pratiques pour faire office de "mini-vidéo" car nous pouvons créer des images animées, afin de montrer quelques enchaînements rapides de commande, ils peuvent très bien se substituer aux vidéos dans le cadre de tutoriels ou sur les forums afin de montrer un événement dynamique. Enfin, ils sont beaucoup moins lourds à enregistrer et à traiter que les vidéos. C'est une particularité des GIF, car ce n'est pas possible avec les formats JPG et PNG.
Peek est un outil à installer sur une machine Linux. Pour cela, il est nécessaire de disposer d'un environnement graphique sur votre machine Linux car il ne fonctionnera pas si vous êtes seulement en ligne de commande.
Version originale de l'article : 28 septembre 2017.
II. Installation de Peek sur Debian
Il y a quelques années, il était nécessaire de compiler Peek afin de pouvoir l'installer sur Linux. Désormais, il est bien intégré aux différents dépôts, que ce soit pour Debian, ElementaryOS, Ubuntu, Fedora ou encore Arch Linux. Les commandes d'installations sont fournies sur le GitHub officiel.
Il suffit de l'installer comme n'importe quel paquet. Son installation va aussi déclencher l'installation de dépendances : ffmpeg, libavdevice59 et libkeybinder-3.0-0.
sudo apt-get update sudo apt-get install peek
À la suite de son installation, Peek pourra être lancé depuis la ligne de commande ou depuis votre environnement graphique.
III. Utilisation de Peek pour enregistrer un GIF
Peek est très simple d'utilisation, il suffit de le lancer depuis votre environnement graphique. Un raccourci est présent dans le lanceur d'applications.
Une fenêtre va alors apparaître avec seulement un bouton "Enregistrer en GIF" accompagné par une flèche sur la droite. Celle-ci permet de changer le format de sortie, pour enregistrer au format MP4, par exemple. Mais, ici, c'est bien la création d'un GIF animé qui nous intéresse.
Tout ce qui sera à l'intérieur du cadre sera alors enregistré dans le GIF animé. Avant de lancer l'enregistrement, vous devez ajuster la position et les dimensions de cette fenêtre transparente, en fonction de vos besoins.
Pour mettre fin à l'enregistrement, il suffit de cliquer sur le bouton "Arrêter". Peek demandera alors où vous souhaitez enregistrer votre fichier GIF, qui sera directement exploitable. À noter également la présence d'un chronomètre pour connaître la durée de l'enregistrement. Il va de soi que plus l'enregistrement est long et la zone capturée grande, plus l'image sera lourde.
La section "Préférences" de l'application intègre quelques options pour personnaliser Peek. Par exemple, vous pouvez ajuster la fréquence d'image. Ceci aura un impact sur la fluidité du GIF, mais aussi sur son poids. Il y a également un raccourci pour lancer ou arrêter la capture : CTRL + ALT + R. Ce dernier est personnalisable.
Remarque : si vous rencontrez l'erreur "Using screen recorder backend gnome-shell Recording to file /home/harry/.cache/peek/peekTP7X0Y.mp4 convert: delegate failed", c'est probablement qu'il vous manque le paquet "ffmpeg" sur votre machine. Voici comment remédier à ce problème :
sudo apt-get install ffmpeg
IV. Conclusion
Désormais, vous êtes capable d'enregistrer des GIF animés sur votre machine Linux ! Que pensez-vous de Peek ? Connaissez-vous des alternatives ? N'hésitez pas à commenter cet article.
La sortie de Windows 11 24H2 est proche et certains changements effectués par Microsoft pourraient perturber l'accès à des fichiers partagés sur les NAS. En effet, la configuration par défaut des accès réseau basés sur l'utilisateur du protocole SMB a été renforcée.
Ceci va impacter l'accès aux données hébergées sur des partages de fichiers, notamment sur les NAS, que ce soit des modèles de chez Synology, Asustor, QNAP ou encore TerraMaster. Microsoft a mis en ligne un article à ce sujet pour avertir ses utilisateurs. Nous allons évoquer ces changements ainsi que les solutions possibles.
II. Windows 11 24H2 : ce qui change avec le protocole SMB
A. Les modifications apportées par Microsoft
Microsoft a apporté deux changements importants dans la configuration des connexions SMB sur Windows 11 24H2. L'objectif étant de renforcer la sécurité de Windows et de lutter contre certaines attaques associées au protocole SMB (dont le "SMB relay").
Par défaut, la signature SMB sera requise et obligatoire pour toutes les connexions. Dans le cadre d'une connexion SMB, où le client est représenté par le PC Windows 11 et le serveur par le NAS (ou un autre périphérique), si le serveur SMB ne prend pas en charge la signature des échanges, alors la connexion échouera.
"Nous ne savons pas faire la différence entre un NAS qui n'a pas activé la signature SMB et un serveur malveillant qui ne veut pas que la signature SMB soit activée.", voilà une phrase qui résume bien l'intérêt d'avoir la signature SMB activée, et le problème de ne pas l'utiliser.
Le basculement vers l'accès invité, appelé "guest fallback", lors de la connexion à des partages SMB sera désactivé sur Windows 11 Pro. L'accès invité sert à se connecter sur un partage réseau en tant qu'invité, c'est-à-dire de façon anonyme, sans avoir besoin de préciser un identifiant et un mot de passe. Cette possibilité va être désactivée.
À ce sujet, Microsoft précise : "La signature SMB est disponible dans Windows depuis 30 ans mais, pour la première fois, elle est désormais requise par défaut pour toutes les connexions. La fonction d'invité est désactivée dans Windows depuis 25 ans et la fonction SMB guest fallback est désactivée depuis Windows 10 dans les éditions Enterprise, Education et Pro for Workstation."
Ces changements concernent principalement les connexions SMB sortantes depuis votre appareil Windows 11 vers d’autres serveurs SMB. Autrement dit, lorsque votre appareil Windows 11 se connecte à un autre serveur, notamment un partage réseau situé sur un NAS.
B. Les erreurs que vous pouvez rencontrer
Microsoft a précisé un ensemble de messages d'erreur et de codes d'erreur que vous pouvez rencontrer avec Windows 11 24H2 lors de l'accès à un NAS. Voici les messages en question.
Si la signature SMB n'est pas prise en charge par le NAS.
0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE
The cryptographic signature is invalid / La signature cryptographique n'est pas valide
Si le NAS exige une connexion en tant qu'invité (ce qui est plus rare).
You can't access this shared folder because your organization's security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network / Vous ne pouvez pas accéder à ce dossier partagé car les règles de sécurité de votre entreprise bloquent l'accès des invités non authentifiés. Ces stratégies permettent de protéger votre ordinateur contre les périphériques dangereux ou malveillants présents sur le réseau.
0x80070035
0x800704f8
The network path was not found / Le chemin d'accès au réseau n'a pas été trouvé
System error 3227320323 has occurred / L'erreur système 3227320323 s'est produite
Que faire pour résoudre ces erreurs ?
III. Comment configurer son NAS ?
Nous n'allons pas voir comment autoriser l'accès invité, car je considère que le risque de sécurité est trop important, autant pour votre appareil Windows 11 que pour les données hébergées sur votre NAS. Néanmoins, nous allons nous intéresser à la signature SMB.
Vous avez deux solutions :
Configurer le NAS pour activer la signature SMB et ainsi permettre la connexion des appareils Windows 11 24H2 tout en renforçant la sécurité des accès.
Configurer l'appareil Windows 11 24H2 pour ne pas rendre la signature SMB obligatoire, ce qui d'avoir une configuration identique à celle de Windows 11 23H2 et les versions antérieures.
A. Activer la signature SMB sur un NAS Synology
La signature SMB est prise en charge par le système DSM des NAS Synology. Il s'agit d'une fonctionnalité supportée dans DSM 6.2 et les versions supérieures (bien que pas située au même endroit dans toutes les versions). Voici où trouver cette option dans DSM 7.2.
Connectez-vous à DSM et accédez au "Panneau de configuration" afin de parcourir l'interface de cette façon :
1 - Cliquez sur "Services de fichiers".
2 - Cliquez sur l'onglet "SMB".
3- Cliquez sur le bouton "Paramètres avancés".
4 - Configurez l'option "Activer la signature serveur" de façon à choisir le mode "Défini par le client". La valeur par défaut est "Désactiver". Ceci permettra d'accepter les connexions des appareils Windows 11 24H2, tout en continuant d'autoriser les clients qui ne supportent pas la signature SMB, ou pour lesquels, elle n'est pas activée. Dans un second temps, il pourrait être utile de sélectionner le mode "Forcer".
Il ne vous reste plus qu'à cliquer sur "Sauvegarder" pour valider.
Ce simple changement va permettre aux appareils Windows 11 24H2 de se connecter à un partage de fichiers situés sur un NAS Synology, via le protocole SMB. À condition, bien entendu, de s'authentifier avec un nom d'utilisateur et un mot de passe. La configuration du NAS, c'est-à-dire du serveur SMB, est l'option à privilégiée.
Remarque : la signature SMB est prise en charge sur d'autres marques de NAS. L'idée générale reste la même, donc "il suffira" de naviguer dans les menus pour trouver une option équivalente à celle présentée ici.
B. Activer ou désactiver la signature SMB sur Windows 11
Pour activer ou désactiver la signature SMB sur Windows 11, il convient d'éditer la stratégie de sécurité locale ou d'utiliser PowerShell. Cette action doit être effectuée uniquement si le NAS, ou en tout cas le serveur SMB, ne supporte pas la signature SMB.
Voici la marche à suivre à partir de l'interface graphique :
Appuyez sur Win + R, tapez "gpedit.msc"et appuyez sur Entrée.
Dans l’arborescence, accédez à Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
Double-cliquez sur le paramètre nommé "Client réseau Microsoft : communications signées numériquement (toujours)", ou "Microsoft network client: Digitally sign communications (always)", en anglais.
Sélectionnez "Désactivé" et cliquez sur "OK".
Ce qui donne :
Remarque : ce paramètre est configurable dans une stratégie de groupe (GPO) Active Directory afin de modifier la configuration sur un ensemble d'appareils.
Si vous souhaitez opérer en ligne de commande, vous pouvez utiliser les commandes suivantes pour configurer la signature SMB à l'aide de PowerShell. Commencez par ouvrir une console PowerShell en tant qu'administrateur.
La commande ci-dessous sert à indiquer si votre PC est actuellement configuré pour exiger ou non la signature SMB. Si la valeur retournée "true", c'est que c'est le cas. Sinon, la valeur "false" sera retournée.
Ce changement va permettre à votre appareil Windows 11 24H2 de se connecter à un partage SMB, en faisant une croix sur la signature SMB.
IV. Conclusion
Voilà, nous venons de traiter cette problématique intéressante et qui devrait perturber de nombreux utilisateurs, que ce soit les particuliers ou les professionnels. En effet, les NAS sont très répandues et nous sommes susceptibles de les croiser aussi bien dans une baie informatique que dans un salon...
Ce qui est évoqué dans cet article, en prenant le cas d'un NAS, s'applique aussi pour Windows Server. En fait, la signature SMB doit être activée sur Windows Server pour que l'appareil Windows 11 24H2 puisse se connecter à un partage de fichiers. Ce cas de figure sera abordé dans un autre article.
La configuration évoquée ici est celle attendue dans la version stable de Windows 11 24H2. De mon côté, j'ai installé une machine Windows 11 24H2 en version "Preview" et la signature SMB n'était pas forcée : j'ignore pourquoi. Si vous faites des tests de votre côté, n'hésitez pas à faire un retour en commentaire.
Qu'est-ce que le tableau de bord Google My Activity ? Peut-on désactiver l'historique sur son compte Google ? Est-il possible de supprimer les données collectées par Google ? Nous allons répondre à ces trois questions !
À partir du moment où l'on utilise les services de Google, nos faits et gestes sont intégrés au sein d'un historique. Ceci est vrai pour les recherches sur le moteur de recherche, le streaming de vidéos sur YouTube ou encore la navigation avec Maps. Google essaie de jouer la carte de la transparence grâce à une interface en ligne que chacun peut utiliser pour visualiser son activité : Google My Activity.
II. Qu'est-ce que l'outil My Activity ou Mon Activité de Google ?
Google My Activity, ou en français, Mon Activité Google, se présente sous la forme d'un centre de contrôle accessible à partir de son compte Google, à l'adresse suivante : myactivity.google.com. Même s'il n'est pas connu de tous les utilisateurs, il n'est pas nouveau, car il existe depuis 2016.
Au-delà de vous, donner l'accès à votre historique sur les différents services Google, c'est aussi un moyen de brider la collecte de données. En effet, lorsque l'on arrive sur la page d'accueil de "Mon activité Google", on peut voir en un coup d'œil l'état des fonctions suivantes :
Activité sur le Web et dans les applications,
Historique des positions,
Historique YouTube
Tout cela correspond aux recherches effectuées sur le moteur de recherche Google et sur YouTube, mais aussi aux vidéos que vous regardez en étant connecté à votre compte Google. Ainsi, vous pouvez visualiser l'historique des recherches effectuées et des pages visitées sur tous vos appareils, car ces informations sont stockées sur les serveurs de Google. Sans surprise, ces différentes options sont activées par défaut. Vous pouvez lire cet article détaillé pour en savoir plus sur l'historique de my activity.
Google décrit l'historique de YouTube de cette façon : "L'historique YouTube répertorie les vidéos que vous avez visionnées ainsi que les recherches que vous avez effectuées sur YouTube. En conservant votre historique YouTube, vous pouvez bénéficier d'une expérience plus personnalisée, comme de meilleures recommandations ou la possibilité de reprendre là où vous en étiez."
La collecte de données des utilisateurs et Google, c'est un sujet de longue date. Ainsi, si l'on souhaite utiliser les services de Google sans pour autant donner le maximum d'informations à Google, cela me semble indispensable d'aller faire un tour dans cette interface. Vous pourriez bien être surpris de voir à quel point Google trace l'ensemble de vos actions. Même si l'on sait que Google "se fait plaisir", c'est l'occasion d'avoir un aperçu, car on peut imaginer, légitimement, que ces données sont exploitées par le géant américain.
Pour désactiver l'enregistrement de données, cliquez sur chaque section et désactivez toutes les options disponibles. Par la même occasion, vous pourrez supprimer l'historique relatif à la section en cours de configuration.
L'exemple ci-dessous montre comment désactiver l'enregistrement de votre activité pour le Web et les applications Google. Vous devez cliquer sur le bouton "Désactiver" puis choisir entre, simplement désactiver, ou alors désactiver et supprimer les données actuelles. Faites le choix que vous préférez et laissez-vous guider par l'assistant. Profitez-en également pour désactiver les paramètres secondaires.
III. Comment supprimer les données de son compte Google ?
Google My Activity offre la possibilité à l'utilisateur de supprimer les données de son historique, que ce soit pour Android (historique d'utilisation des applications !), la navigation Google Maps, les recherches Google, ou encore l'utilisation de l'assistant Google.
Tout d'abord, le bouton "Supprimer" présent sur la page d'accueil du tableau de bord Google My Activity peut vous permettre de supprimer rapidement les données, notamment celles les plus récentes (dernière heure, dernier jour), sur une période personnalisée ou sur toute la période.
Le fait de choisir "Toute la période" permet de sélectionner les services et applications pour lesquels vous souhaitez supprimer les données. Ceci est efficace à condition de désactiver également l'historique, sinon, Google va continuer à collecter les données.
Plus intéressant encore, il est possible, à partir du menu "Commandes relatives à l'activité" (présent dans le menu latéral, sur la gauche) de configurer la suppression automatique des activités Google de plus de 3 mois, de plus de 18 mois ou de plus de 36 mois.
IV. Conclusion
En conclusion, je dirais que Google My Activity est un outil utile pour savoir tout ce que Google sait de vous (et qu'on a le droit de savoir). Chaque internaute qui utilise les services de Google devrait s'y connecter au moins une fois pour définir ses préférences. Malheureusement, je doute que ce soit utilisé majoritairement, sauf par les utilisateurs avertis et ceux qui souhaitent volontairement améliorer la protection de leurs données personnelles.
Retenez que My Activity est un outil pratique pour contrôler et personnaliser votre expérience avec les services Google en gardant un œil sur votre activité en ligne. En effet, l'historique est exploité par Google pour personnaliser votre expérience à différents niveaux, y compris pour les publicités.
Pour se protéger totalement contre ce phénomène, la meilleure solution reste d'utiliser des services alternatifs en remplacement de ceux de Google. Pour la recherche sur le Web, vous pouvez utiliser les moteurs de recherche Qwant et DuckDuckGo en remplacement de Google (mais sachez qu'ils s'appuient sur l'API de Bing, le moteur de recherche de Microsoft). Pour la messagerie électronique, il y a également des alternatives, notamment ProtonMail, un service suisse en perpétuelle évolution, ainsi que d'autres tels que kMail d'Infomaniak.
Connaissiez-vous cette interface de gestion Google ?
Cet article a pour but de vous sensibiliser à l'importance de la vérification de l'intégrité des sources d'installation pour vos images ISO. Nous verrons également comment répondre à la question suivante : comment vérifier l'authenticité d'une image ISO ?
Nous allons parler d'un principe fondamental de la cybersécurité qui est la préservation de l'intégrité des sources. Que ce soit dans un contexte professionnel ou personnel, il est fréquent de rencontrer des sources historiques ou des versions obsolètes de logiciels, souvent sans un suivi approprié.
Il n'est pas rare de trouver des fichiers ISO de SQL Server ou de Windows téléchargés ou modifiés sans une référence adéquate au hash ou à la source de téléchargement correspondante.
Nous allons voir comment grâce à l'outil Check-ISO ou PowerShell et des sources fiables, qu'il sera possible de vérifier nos sources pour les images ISO de produits Microsoft.
II. Rappel sur l'intégrité des sources
A. Téléchargement de source Microsoft
Microsoft propose de télécharger les sources pour les particuliers et professionnels n'ayant pas d'abonnement à partir du centre de téléchargement disponible à l'adresse suivante : https://www.microsoft.com/fr-fr/download
Ce centre permet de télécharger les sources pour divers produits comme SQL Server, Windows Server, et Office. Malheureusement, seules les dernières versions mises à jour ou supportées sont disponibles. Pour Windows 11 où Microsoft propose la dernière version en encourageant à vérifier le hash une fois le téléchargement terminé.
Microsoft fourni un tableau des hash correspondant aux différentes langues disponibles.
Pour les entreprises, le même principe est proposé de partir du centre de gestion des licences en volume, le portail professionnel.
B. Problématique
Malgré les consignes de Microsoft, la charge de travail et le temps que cela requiert peuvent être importants et faire que la vérification de l'intégrité des sources n'est pas effectuée. Nous avons remarqué que régulièrement, tant dans les entreprises que chez les particuliers, ces actions ne sont pas respectées.
Peu de personnes téléchargent à partir du portail officiel ou gardent des traces de hash. D'autant plus que les prestataires infogérants n'ont souvent pas accès à ce dernier et utilisent parfois des sources partagées ou provenant d'autres endroits. Passer une après-midi à récupérer ou chercher les hash d'une version qui n'est plus supportée ou absente du portail n'est pas pratique...
Nous verrons ensemble comment apporter une réponse à cette problématique.
Remarque : le hash d'une image ISO sera identique entre deux fichiers, même s'il ne porte le même nom, mais que leur contenu est identique. Ainsi, nous pouvons vérifier l'authenticité d'une image à partir de son hash. Si elle est altérée, son hash sera modifié donc elle n'est plus authentique.
C. Risque de sécurité
Le grand risque réside dans les sources ISO modifiées par un tiers qui pourrait y injecter un malware ou un crack, pouvant endommager le système informatique.
L'image montre comment une source récupérée sur Internet non conforme ou à partir d'un partage manipulé par une personne malveillante, peut contenir un outil espion ou un dispositif capable de contourner la surveillance de sécurité.
Afin de remédier à cela, il est nécessaire de vérifier le hash de la source avant de l'installer. Nous allons voir comment effectuer cette vérification manuellement ou de manière automatisée avec un outil.
III. Vérifier l'intégrité d'une image ISO avec PowerShell
Il est possible d'obtenir le hash d'une image ISO ou d'un quelconque fichier à l'aide de PowerShell en utilisant la commande "Get-FileHash".
Voici un exemple pour vérifier l'intégrité du fichier "J:\ISO\WINDOWS\Windows\win_10.iso" :
Une fois le hash obtenu, vous devriez le comparer avec une base de données fiable. En cas d'absence du hash dans le centre de téléchargement Microsoft, il est possible d'utiliser le site suivant :
C'est un projet initié par des membres du staff de Microsoft et des MVP, intégrant les hash de toutes les distributions Microsoft officielles.
Le site contient une base de données riche, avec 380 téraoctets d'informations et d'images ISO, sous réserve de Microsoft. Il demeure ainsi l'une des sources les plus fiables à ce jour, recommandée sur plusieurs forums et blogs, y compris dans les Q&A de Microsoft.
Il suffit de coller le hash obtenu dans la barre de recherche, numérotée 1, située dans l'onglet "Recherche", puis d'appuyer sur Entrée.
Cette tâche peut s'avérer lente ou contraignante pour un grand nombre d'images ISO à vérifier, surtout pour les utilisateurs non avertis. De plus, le lien du site peut être amené à changer.
Pour répondre à ce besoin, l'outil Check-ISO a été développé.
IV. Le projet Check-ISO
Suite à plusieurs demandes des membres de la communauté IT-Connect et afin d'automatiser et de faciliter les actions précédentes, le projet Check-ISO a vu le jour. Cela permettra de gagner en temps et en maniabilité dans le processus de vérification d'intégrité. L'outil est open source, disponible en français et en anglais, et développé par Dakhama Mehdi.
Cet outil est essentiel pour toute personne effectuant fréquemment des installations, qu'il s'agisse de techniciens, d'administrateurs système ou même de responsables de la sécurité des systèmes d'information (RSSI). Ceci vous permet de vérifier si votre image ISO correspond bien à une image officielle de Microsoft, et à quelle version elle correspond.
A. Utilisation
Il n'y a rien de plus simple pour l'utilisation de l'outil ; il suffit de le lancer sous les différents formats et de sélectionner votre fichier ISO. Il est disponible au format exécutable, PS1 (script PowerShell) et dans le Microsoft Store.
Indiquez ensuite le chemin de la source Microsoft à vérifier.
Vous avez la possibilité de sélectionner l'algorithme de hachage à utiliser pour la vérification.
Cliquez ensuite sur "Vérifier ISO" et patientez jusqu'à ce que la vérification soit complète. Notez que le temps de calcul dépend de l'algorithme utilisé ainsi que de la taille de l'ISO.
Une fois la vérification terminée, le nom de la source sera listé en vert, si cette dernière est authentique. Dans le cas contraire, un message en rouge sera affiché indiquant que la source n'a pas été trouvée, et n'a pas pu être vérifiée.
B. Téléchargement
Check-ISO peut être obtenu de deux manières. Tout d'abord, en passant par le Microsoft Store intégré à Windows.
Entrez le nom "Check ISO" dans la barre de recherche et installez l'outil, cette méthode offre les avantages suivants :
Ne nécessite pas de droit admin
La source est vérifiée par l'équipe Microsoft
Cela garantira une mise à jour automatique des versions (pour régler les éventuels bugs)
La seconde méthode de téléchargement consiste à utiliser GitHub.
Copiez le code PowerShell disponible directement dans votre éditeur PowerShell ISE et enregistrez le projet. Vous avez également la possibilité de télécharger le code source au format ".ps1". La page du projet propose également une version portable de l'outil (.exe) signée pour en simplifier l'utilisation.
V. Conclusion
Désormais, vous êtes capable de vérifier l'authenticité d'une image d'un produit ou système d'exploitation Microsoft ! Vous n'avez plus d'excuses pour ne pas le faire ! La logique est la même pour d'autres images ISO ou fichiers, à condition de connaître le hash du fichier d'origine.
PowerShell est le nouveau shell de Windows qui permet aux administrateurs de passer toutes sortes de commandes sur Windows 10 et Windows 11. Il possède aussi des cmdlet pour gérer la base de registre Windows. Ainsi vous pouvez sans problème manipuler le registre Windows en PowerShell.
Grâce à ce tutoriel, vous allez comprendre comment créer, modifier, effacer des clés du registre Windows en PowerShell et bien plus.
Créer, modifier, effacer des clés du registre Windows en PowerShell
Afin de ne pas rencontrer des problèmes d’autorisations et permissions sous la forme de message d’accès refusé lors de la modification du registre Windows en Powershell, ouvrez ce dernier en administrateur. Pour cela :
Prenez l’habitude d’encadrer les clés du registre Windows avec des apostrophes car lorsqu’il y a un espace dedans, c’est obligatoire
Elle fonctionne avec les chemins HKLM, HCKU, etc
Lister une clé du registre Windows
Voici comment lister une clé du registre Windows en PowerShell. On utilise Get-Item avec le caractère * pour lister en récursif.
Get-Item -Path 'HKCU:\SOFTWARE\SysInternals\*'
Une autre méthode pour lister le contenu du registre Windows en PowerShell consiste à utiliser Get-childitem. Tout d’abord on se positionne sur la clé à lister avec Set-location :
Pour recherche une clé dans le registre Windows PowerShell, on utilise Get-childitem. Ici on recherche des valeurs Chrome dans HCKU (HKEY_CURRENT_USER) :
Docker Desktop provides a user-friendly graphical user interface (GUI) for developing, building, testing, and running containerized applications on Linux, Windows, and macOS. Docker Desktop 4.30 introduces an experimental phase to simplify the Windows Subsystem for Linux 2 (WSL 2) configuration by reducing the previously required two Docker Desktop WSL distributions (docker-desktop and docker-desktop-data) into one, aiming to improve startup time and simplify the codebase.
Le gang de ransomware Monti a frappé fort dans le Sud de la France en faisant 3 victimes d'un coup : l'aéroport de Pau-Pyrénées, l'école de commerce de Pau ainsi que le campus numérique de la ville. Faisons le point !
Dans la nuit du dimanche 12 au lundi 13 mai 2024, un groupe de pirates nommé Monti Ransomware a mené des cyberattaques à l'encontre de trois institutions de la ville de Pau. Les pirates sont parvenus à s'introduire sur l'infrastructure de l'aéroport de Pau-Pyrénées, l'école de commerce Eklore (ex-CNPC) et le campus numérique de la ville de Pau. Il s'agit de trois institutions liées à la Chambre de Commerce et d'Industrie (CCI) Pau Béarn.
Les journalistes de Sud-Ouest sont parvenus à obtenir des informations auprès de la CCI : « Les activités ne sont pas arrêtées mais simplement en mode dégradé. Il n’y a aucun souci sur les vols à l’aéroport. Idem à l’école de commerce, où les cours ont lieu mais sans une partie des outils numériques. », peut-on lire. Une plainte a été déposée.
Des données publiées sur le Dark Web
Sur son site accessible via le Dark Web, le gang de ransomware Monti a mis en ligne des données volées lors de cette cyberattaque. Il serait question de plusieurs milliers de documents, dont des documents administratifs, des factures, des bilans RH ainsi que des informations personnelles relatives aux salariés et aux étudiants. Des données précieuses pouvant être utilisées pour mener des campagnes de phishing ou tenter d'usurper l'identité des personnes concernées.
La divulgation des données par les pirates n'est pas une surprise : en France, les établissements publics ont pour consigne de ne pas payer la rançon demandée par les cybercriminels. Ceci est la bonne décision, mais généralement cela en résulte à la mise en ligne des données exfiltrées lors de l'attaque.
Le gang de ransomware Monti a été repéré pour la première fois en juin 2022. S'il porte un nom proche du ransomware Conti, ce n'est surement pas un hasard : le ransomware Monti partage certaines tactiques avec Conti, ce dernier ayant "fermé ses portes" en mai 2022. Ce qui a donné lieu à la naissance d'autres groupes de cybercriminels.
Grosse alerte de sécurité chez Check Point : un correctif de sécurité a été publié en urgence pour corriger une faille zero-day présente dans la fonction VPN des firewalls Check Point. Le problème : cette vulnérabilité est massivement exploitée par les pirates. Faisons le point.
En début de semaine, Check Point a mis en ligne un rapport pour évoquer une vague d'attaques visant ses firewalls. À ce moment-là, l'entreprise américaine évoquait une campagne basée sur l'utilisation de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.
Ces dernières heures, Check Point a fait une autre découverte à ce sujet : les pirates exploitent une faille de sécurité zero-day présente dans la fonction VPN pour compromettre les firewalls.
Désormais associée à la référence CVE-2024-24919, cette vulnérabilité est décrite de cette façon par Check Point : "La vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur les passerelles connectées à Internet dont l'accès à distance VPN ou l'accès mobile est activé.", peut-on lire dans le bulletin de sécurité de l'éditeur. Elle est associée à un score CVSS v3.1 de 7.5 sur 10.
Une faille zero-day exploitée depuis le 30 avril
Cette faille de sécurité zero-day est exploitée depuis, au moins, le 30 avril 2024 : date à laquelle la société mnemonic a constaté des tentatives d'exploitation chez certains de ses clients.
D'ailleurs, le rapport mis en ligne par mnemonic apporte des précisions sur les risques associés à cette vulnérabilité qui "permet à un attaquant d'énumérer et d'extraire des hashs de mots de passe pour tous les comptes locaux, y compris le compte utilisé pour se connecter à Active Directory." - On comprend mieux l'attirance des cybercriminels pour cette faille de sécurité.
Check Point recommande d'ailleurs de renforcer la sécurité du compte permettant de lier l'appliance firewall à l'annuaire Active Directory. À juste titre, voici ce que l'on peut lire dans l'article de mnemonic : "Les mots de passe faibles peuvent être compromis, ce qui entraîne d'autres abus et des mouvements latéraux potentiels au sein du réseau."
Qui est affecté ? Comment se protéger ?
D'après le site de Check Point, les produits suivants sont affectés : CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances. Pour que l'appliance soit vulnérable, il doit y avoir une ou plusieurs fonctions d'accès distance activée (Access VPN ou Mobile Access Software Blades).
Un hotfix a été publié pour diverses versions de système, y compris pour certaines versions en fin de vie.
Check Point a publiéun article de support pour guider ses clients dans l'installation du correctif de sécurité, dit "hotfix", permettant de se protéger de la CVE-2024-24919. Référez-vous à cette page pour accéder au téléchargement propre à votre version et lire les instructions de l'éditeur.
Aujourd'hui, le tracking web joue un rôle fondamental pour les entreprises cherchant à optimiser leurs ressources de manière efficiente. En analysant et en comprenant minutieusement le comportement des utilisateurs en ligne, le tracking web offre aux entreprises des informations précieuses pour allouer judicieusement leurs ressources. Dès lors, il permet de cibler les investissements marketing, de renforcer les stratégies d'acquisition et d'améliorer l'expérience utilisateur, offrant ainsi un avantage concurrentiel significatif.
Dans la suite de l’article, nous vous expliquons à quoi correspond précisément le tracking web ainsi que pourquoi et comment le mettre en place.
Qu’est-ce que le tracking web ?
Le tracking web fait référence à la partie collecte de données du web analytics. Ce dernier est une pratique visant à suivre et à comprendre le comportement des visiteurs sur un site web ainsi que les performances des stratégies d’acquisition. Cela implique la collecte, l'analyse et l'interprétation des données générées par un site. Son objectif principal est d'évaluer la performance des sources d'acquisition et d'améliorer les résultats en comprenant le comportement des utilisateurs.
Le tracking web (tracking client-side ou tracking server-side) est la composante de la collecte de données du web analytics. Il désigne la méthode spécifique utilisée pour collecter des informations sur le comportement des utilisateurs en ligne. Ce processus implique l’élaboration d’un plan de taggage et l'utilisation de diverses technologies telles que les cookies, les balises pixels et les scripts pour enregistrer les actions des utilisateurs sur un site web. Ainsi, le tracking web permet de recueillir des données détaillées sur les interactions des utilisateurs telles que les mouvements de souris, les clics et les interactions avec les éléments de la page.
Ce tracking peut être mis en place pour des outils d'analyse web, mais également pour des plateformes publicitaires telles que Google Ads, Meta Ads, etc. Les données collectées grâce au tracking web peuvent être de nature quantitative (taux, nombre d'utilisateurs, etc.) ou qualitative (appareils utilisés, source de trafic, etc.).
Pourquoi mettre en place un tracking web ?
Les deux objectifs principaux du tracking web sont de comprendre les performances des efforts d'acquisition marketing et d'appréhender le comportement des utilisateurs sur un site. Cela se traduit par l'analyse des résultats des campagnes marketing, incluant le trafic, les taux de conversion, les chiffres d'affaires, le ROAS, etc. Cette analyse peut être effectuée dans le temps ou en comparant différentes campagnes, annonces, etc.
La mise en place du tracking web doit permettre de comprendre qui sont les profils de visiteurs les plus actifs en termes de trafic et de conversions, ainsi que ceux qui quittent rapidement le site. Il est également important de déterminer la provenance des visiteurs afin de cibler efficacement les canaux les plus performants et allouer judicieusement les ressources.
Finalement, le tracking web offre une vue détaillée et précise des performances sur site des entreprises, permettant ainsi d'ajuster les stratégies pour optimiser les résultats et l'expérience utilisateur.
Comment mettre un en place un tracking web ?
Le tracking web implique plusieurs étapes essentielles pour assurer une collecte de données précise et utile.
Étape 1 : Réaliser un plan de mesure
En premier lieu, il peut être intéressant de réaliser un plan de mesure. Ce dernier permet de réaliser un cadrage détaillé du tracking web. Ce plan rassemble ainsi les informations cruciales pour orienter la collecte de données de manière efficace (liste des KPI et dimensions associées, informations sur la gestion du consentement, etc).
Étape 2 : Réaliser un plan de taggage
L'étape suivante consiste en la réalisation d’un plan de taggage dans lequel sont définis précisément les éléments qui doivent être traqués (actions utilisateurs). Il fournit des instructions sur la manière dont le tracking doit être réalisé. Ce document aligne toutes les parties prenantes autour d'une stratégie commune de collecte de données, tout en guidant les développeurs chargés de l'implémentation. Le plan de taggage, également connu sous le nom de plan de tracking, est donc d’une importance capitale dans les projets de tracking web. C’est pourquoi il doit nécessairement être créé avant l’implémentation du tracking.
Étape 3 : Déployer le plan de taggage
Le déploiement du plan de taggage se fait généralement par le biais d'un développeur qui implémente un code permettant l'envoi des données dans le dataLayer. Une vérification rigoureuse est ensuite nécessaire pour s'assurer que les données remontent correctement dans le dataLayer.
Étape 4 : Configurer les outils du tracking web
La configuration des outils de collecte de données, tels que Google Analytics 4 (GA4), Google Tag Manager (GTM), ou des plateformes de gestion de consentement (CMP), constitue une autre étape cruciale. Cela implique la création de variables, balises, déclencheurs dans GTM, ainsi que la mise en place des flux de données, la création de métriques personnalisées, etc., dans GA4. Une vérification rigoureuse est ensuite nécessaire pour s'assurer du bon fonctionnement et de la précision des données collectées par ces outils.
Cette étape consiste à configurer les différents outils utilisés pour la collecte, à savoir :
La CMP envisagée (Axeptio, Didomi, OneTrust, etc) ;
Le TMS envisagé (Google Tag Manager, Commanders Act, etc) - Création des variables, des déclencheurs, des balises, etc ;
L’outils web analytics envisagé (par exemple : Google Analytics 4) - Création de la propriété, activation ou non des signaux Google, création des conversions, création des dimensions personnalisées, connexion à BigQuery, connexion à Google Ads, connexion à Google Search Console, etc (+ 20).
Étape 5 (optionnelle) : Mettre en place des dashboards analytics
Enfin, bien que cela sorte de la sphère du tracking web, pour compléter ce dernier, il est possible de mettre en place des dashboards analytics. Il s’agit d’une autre étape du web analytics, dans la continuité du tracking web. Les dashboards offrent une visualisation claire et interprétable des données collectées, permettant aux entreprises de mieux comprendre et exploiter les informations. La mise en place de dashboard analytics va au-delà du simple suivi web : elle transforme les données en visualisations pertinentes pour une analyse approfondie de l'acquisition marketing et du comportement des utilisateurs sur un site web.
Quel est le rôle d’une CMP dans un tracking web ?
Chaque jour, des millions d'utilisateurs parcourent le web, laissant derrière eux une traînée numérique d'informations personnelles. Dans cette ère de données omniprésentes, la gestion du consentement devient une pièce maîtresse pour les entreprises souhaitant rester en conformité avec des lois telles que le RGPD, la Loi 25, et le CCPA.
Les Consent Management Platforms (CMP) sont les boucliers permettant aux entreprises de naviguer plus sereinement à travers ces réglementations évolutives.
Une CMP est un outil permettant de gérer le consentement donné par les utilisateurs du site web concerné. Cette solution permet aux entreprises de collecter, stocker et gérer le consentement de leurs utilisateurs de façon claire, transparente et en restant en conformité avec la législation en vigueur dans les différentes zones géographiques. En effet, la législation n’est pas la même en fonction du pays dans lequel se trouve l’utilisateur.
Dans cet article, nous allons découvrir et apprendre à maitriser Nuclei : un scanner web, open-source, rapide et puissant. Cet outil peut être utilisé dans de nombreux cas, notamment pour scanner un ou plusieurs sites web très rapidement et découvrir de potentielles vulnérabilités les affectant, et ce, de façon automatisée.
Nuclei propose de très nombreux points de test et de vérification. Par exemple, il vous permettra de facilement découvrir sur des sites web :
Des fichiers sensibles accessibles ;
Des signatures spécifiques à certaines technologies, voire la découverte de leur version exacte ;
Des CVE affectant une application ;
Des logins par défaut ;
Des défauts de configuration concernant l'application web, le service web, les en-têtes de sécurité ou les cookies ;
Des pages d'administration exposées ;
Réaliser des tâches de fuzzing ;
Certaines vulnérabilités du top 10 OWASP ;
Etc.
Et, je ne parle même pas de la prise en compte d'autres protocoles qui peuvent graviter autour de la réalisation d'une analyse de sécurité sur des applications web : DNS, SSH, SSL, mais aussi la réalisation de tâches d'OSINT ou d'analyse de fichiers, etc.
Ce projet open source présent sur le dépôt de ProjectDiscovery possède de nombreuses forces :
Rapidité : Nuclei est écrit en Go (Golang), un langage notamment optimisé pour le parallélisme et les opérations web/API. Il est capable d'effectuer un grand nombre d'opérations sur plusieurs centaines de sites en relativement peu de temps comparé à d'autres outils.
Développement communautaire : presque 5 000 commits en 4 ans existences, plus de 300 contributeurs venant de nombreux pays et plus de 8 000 modules de test. La grande force de Nuclei est également sa communauté qui propose continuellement de nouveaux modules de test pour suivre l'actualité des attaques et des vulnérabilités.
Simplicité de prise en main et de personnalisation : vous le verrez à la fin de cet article, la prise en main de Nuclei est aisé, un peu de pratique sera nécessaire pour une utilisation avancée, mais rien d'insurmontable, il suffit de savoir lire la manpage. Également, les choix techniques faits par les développeurs rendent l'outil personnalisable très facilement grâce au format YAML.
Dans les faits, j'utilise très fréquemment de Nuclei pour automatiser toute sorte de vérification, que ce soit sur une application web précise ou sur plusieurs centaines de sites. Ainsi, les cas d'usage les plus fréquents de Nuclei sont :
Effectuer une analyse globale d'une surface d'attaque composée de nombreuses applications web ;
Réaliser un check-up régulier de la sécurité des applications web de son entreprise ;
Automatiser la vérification de certains points lors test d'intrusion ou d'une recherche Bug Bounty ;
Vérifier rapidement sur un grand nombre de sites la présence d'une nouvelle vulnérabilité publiée ;
Etc.
Attention, bien que Nuclei ne soit pas fait pour exploiter des vulnérabilités, il enverra des requêtes qui s'apparenteront quoi qu'il arrive à une cyberattaque. Ainsi, assurez-vous de disposer d'une autorisation explicite des propriétaires des applications web visées (test d'intrusion, analyse interne à l'entreprise ou Bug Bounty). Pour rappel : Code pénal : Chapitre III : Des atteintes aux systèmes de traitement automatisé de données
II. Installation de Nuclei
Nous allons à présent installer Nuclei, j'utilise pour cela un OS Linux (Kali Linux), mais cela devrait fonctionner sur n'importe que Système Linux. L'outil étant écrit en Go, votre système doit disposer de quoi exécuter les programmes écrit en Go, vous pourrez vérifier que c'est le cas via la commande suivante :
$ go version
go version go1.21.6 linux/amd64
Si vous n'avez pas une version en réponse, c'est que Go n'est pas présent sur votre système. Je vous oriente vers la documentation officielle, très claire, pour l'installer :
Pour que Nuclei puisse être utilisé depuis n'importe quel dossier de votre système, n'oubliez pas d'ajouter le répertoire dans lequel seront stockés les binaires Go dans votre variable "PATH" et d'intégrer cette modification à votre ".bashrc" :
export PATH=$PATH:/usr/local/go/bin
Une fois cela fait, nous pouvons installer Nuclei avec la commande suivante :
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
Pour vérifier qu'il s'est bien installé, vous pouvez utiliser la commande suivante :
nuclei --version
Si tout s'est bien passé, voici le résultat attendu :
Récupération de la version Nuclei installée.
L'outil étant très souvent mis à jour, cette commande vous permettra également de mettre à jour Nuclei. Pour finir, il faut nous assurer que notre base de templates, nom des modules de test de Nuclei, est à jour. Nous pouvons pour cela utiliser la commande suivante (-ut" pour "--update-templates") :
nuclei -ut
Voici une sortie possible :
Mise à jour des templates Nuclei.
Voilà, notre base est à jour. Pensez à mettre souvent à jour votre base de template, car de nouveaux sont très souvent disponibles.
II. Maitriser Nuclei pour scanner des sites web
A. Utilisation basique de Nuclei
À présent, nous allons commencer à utiliser Nuclei dans des cas basiques, afin de se faire la main. Pour commencer, nous pouvons lancer Nuclei en mode "par défaut", sans trop lui spécifier d'option. Nous devons au moins lui spécifier l'application web à scanner :
Utilisation basique de Nuclei sur une application web.
Comme vous pouvez le voir, nous obtenons quelques informations à propos du contexte de lancement du test. Nous voyons notamment si Nuclei et notre base de template sont à jour, mais aussi le nombre de templates qui seront utilisés ici : 7921.
En sachant qu'un template peut lui-même exécuter plusieurs requêtes, cela donne une idée du nombre de requêtes et de tests que Nuclei va faire.
Vu l'application web testée ici, je ne suis pas près de trouver des vulnérabilités là-dessus avec Nuclei. Mais c'est pour l'exemple :). Vous noterez tout de même que Nuclei me renvoie quelques alertes de type "[info]", qui correspondent à des points de vérifications standard (certificat, CDN utilisé, technologies, etc.).
Pour connaitre le nombre exact de requêtes qui seront envoyées, et en plus avoir un état d'avancement du test, je vous conseille de systématiquement utilisé l'option "--stats" :
nuclei -u https://monapplication.tld --stats
Voici ce que cette option va changer :
Utilisation de l'option "-stats" de Nuclei.
Vous aurez un suivi, toutes les 5 secondes, du nombre de tests fait et à faire, le nombre d'hôtes qui ont été scannés parmi ceux fournis en entrée, le nombre de template pour lesquels il y a eu un résultat (4 dans mon exemple) et le nombre d'erreurs. Ce dernier nombre sera forcément élevé puisque la plupart des tests n'aboutiront pas, la cible ne pouvant de toute façon pas être vulnérables à tout d'un seul coup :-).
Pour aller plus loin, nous pouvons aussi scanner non pas une application web, mais un nom de domaine, observons la différence :
Utilisation de Nuclei sur un nom de domaine.
Comme vous pouvez le voir, Nuclei va utiliser "httpx" sur le nom de domaine fournit. Cet outil tiers va permettre de déterminer quels sont les services web accessibles sur le nom de domaine en allant vérifier sur les ports classiques pour ce service : TCP/80, TCP/81, TCP/443, TCP/8080, etc. Cela permet de faire une analyse un peu plus large, et de scanner aussi bien le service TCP/443 que les TCP/8080 si les deux sont présents pour un même domaine.
Enfin, dans un contexte plus réaliste, nous pouvons scanner plusieurs applications web, domaine ou adresse IP. Il suffit pour cela de créer un fichier texte avec une cible par ligne et d'indiquer ce fichier à Nuclei :
nuclei --list mesCibles.txt --stats
Voilà pour l'utilisation vraiment basique de Nuclei. Peut-être avez-vous déjà eu des premiers résultats ici, mais je vous conseille de continuer la lecture de l'article, car nous allons apprendre à manier l'outil de façon beaucoup plus efficace et intéressante.
B. Découverte et usage des templates
Comme indiqué dans l'introduction, la puissance de Nuclei réside dans ses nombreux templates et son approche modulaire. Les templates de Nuclei décrivent chacun un test bien précis et ceux-ci sont organisés en catégories et en tags, ce qui permet de facilement les utiliser en fonction de nos besoins. Voici notamment un aperçu des tags les plus présents :
Extrait du tableau présentant les principaux tags, auteurs et catégories des templatesNuclei.
Vous trouverez sur la page suivante la totalité des tags pouvant être utilisés dans les options d'exécution de Nuclei :
Par défaut, vos templates Nuclei sont normalement stockés dans le répertoire "~/.local/nuclei-templates/". Vous pourrez également les parcourir dans ce répertoire local.
Commençons, pour se faire une idée, par afficher tous les templates disponibles grâce à l'option "-tl" :
Option permettant de lister tous les templates Nuclei.
Comme vous pouvez le voir, il y a du monde ! Pas loin de 8 000 templates sont disponibles en date d'écriture de cet article. La capture ci-dessus est bien sûr tronquée. On peut notamment retrouver un début de hiérarchie dans la capture ci-dessus (cloud, code, exposures, etc.). Pour avoir une meilleure idée, voici à quoi ressemble un templateNuclei :
Ce template, qui se trouve dans le répertoire "http/exposed-panels/" et utilise les tags "panel" et "phpmyadmin" (ligne 17) a pour but de découvrir la présence d'une page d'authentification ou d'un panel "PHPMyAdmin" sur nos cibles.
Nous pouvons notamment voir les payloads qui seront utilisés sur chaque cible, il y en a ici 12. Ce qui signifie que ce test à lui seul générera 12 requêtes par cible. En exécutant ce test, Nuclei essaiera de charger la page "{{baseURL}}/phpmyadmin/" puis "{{baseURL}}/admin/phpmyadmin/", etc. Le "{{BaseURL}}" étant bien sûr remplacé à la volée par l'URL des applications ciblée par nos tests.
Pour chaque réponse, il consultera le code source de la page afin de trouver les chaines de caractères "phpMyAdmin" ou "pmahomme" et lèvera une alerte de niveau "[info]" s'il obtient une réponse positive.
Pour exécuter une analyse se basant sur ce template uniquement, nous pouvons utiliser la commande suivante :
Ici, Nuclei va automatiquement aller cherche le fichier ".yaml" au sein du répertoire par défaut de stockage des templates. Si nous souhaitons utiliser un ensemble de template en fonction de leur catégorie, nous pouvons utiliser la commande suivante :
# Templates relatifs à la découverte de panels d'administration
nuclei -t http/exposed-panels/* -list mesCibles.txt -stats
# Templates relatifs à la découverte de technologies et version
nuclei -t http/technologies/* -list mesCibles.txt -stats
Nous pouvons également nous aider des tags, qui permettent de sélectionner des templates dans plusieurs catégories. Par exemple, si nous avons un CMS "Joomla" à scanner, nous pourrions souhaiter découvrir ses plugins, sa version, puis la présence de CVE ou défauts de configuration spécifiques à "Joomla". Chacun de ces tests se trouve dans une catégorie Nuclei différente, mais tous partagent le même tag : "joomla". Exemple :
# Lister les tous les templates ayant un tags "joomla"
nuclei -tl --tags joomla
# Exécuter tous les templates ayant un tags "joomla"
nuclei --tags joomla -list mesCibles.txt -stats
L'utilisation unitaire d'un template, groupée via les tags ou via les catégories, est ce qui rend Nuclei très pratique d'utilisation et modulable en fonction des besoins et des cibles à scanner. Le grand nombre de templates et de modules nécessite quelque temps de pratique avant de pouvoir exploiter complètement la puissance de Nuclei, mais cela vaut vraiment le coup.
Nuclei est un outil très modulable et propose, en plus de ses nombreux templates, de nombreuses options. Prenez le temps de lire l'aide de l'outil pour avoir un aperçu de tout ce qu'il est capable de faire : "nuclei --help"
Également, plutôt que de réaliser une analyse soit trop précise, soit trop vague entrainant un grand nombre de requêtes inutiles. Nous pouvons utiliser le mode "intelligent" de Nuclei qui va utiliser l'application wappalyzer afin de réaliser une première découverte des technologies utilisées, puis un scan en utilisant les tags associés à ces technologies. Cette opération se fait via le tag "-as" (pour "-automatic-scan") :
# Analyse intelligente basée sur le détecteur de technologie wappalyzer
nuclei --tags joomla -list mesCibles.txt -stats
Avec ces quelques options, vous maitriserez mieux les différents concepts et la puissance de Nuclei. Pour vous faciliter l'utilisation des tags, je vous propose ce tableau qui détaille, pour les principaux tags, leur cas d'usage :
Tag
Usage
--tags cve, --tags cve2023, --tags cve2022
Templates relatifs à la détection de CVE. Utilisable aussi par année.
--tags panel
Templates permettant de découvrir des panels d'administration spécifiques à certaines technologies.
--tags wordpress, --tags wp-plugin, --tags joomla, etc.
Templates relatifs aux CMS, ou à la découverte de plugins des CMS.
--tags exposures
Templates permettant de rechercher des fuites de données dans des fichiers exposés (backups, configurations, etc.)
--tags osint
Templates relatifs à la recherche d'informations par sources ouvertes.
--tags tech
Templates de recherche de bannières des technologies utilisées et de leurs versions.
--tags misconfig
Templates permettant de rechercher des défauts de configuration classiques et connus dans les services web, les CMS, etc.
IV. Concevoir son propre template
A. Comprendre la structure d'un template
Nous allons à présent étudier un peu plus précisément les différents composants d'un template afin d'avoir les connaissances nécessaires pour construire notre premier template.
Vous l'autre peut être remarqué en manipulant Nuclei ou en lisant cet article, les templates Nuclei sont écrits en YAML et visent à décrire précisément comment les requêtes seront envoyées et leurs réponses analysées. On retrouve d'ailleurs l'utilisation du YAML dans les règles de détection SIGMA. Voici la structure globale d'un template :
Identifiant unique
C'est le nom du template, il sera utilisé notamment lors de l'affichage d'une alerte :
id: mon-premier-template
Les informations de métadonnées
Les "info" sont les données annexes d'un template, comme l'auteur, la description, mais aussi les tags, le niveau de criticité de l'alerte qui sera levée, etc. Elles sont importantes pour bien réutiliser, comprendre et évaluer les résultats de notre template par la suite.
info:
name: Mon premier template
author: it-connect
severity: medium
description: Je ne sais pas encore
reference: https://www.it-connect.fr
tags: generic
Le protocole cibléet la requête
Comme indiqué, bien que Nuclei s'oriente principalement autour du web (HTTP), il peut aussi faire quelques actions sur d'autres protocoles comme SSH, DNS, ou directement sur des fichiers. C'est aussi là que sera décrite la requête à envoyer, avec sa méthode (dans le cas de l'HTTP), les données POST, le chemin ciblé, le tout en utilisant des variables comme "{{BaseURL}}", comme vu plus haut.
Voici un exemple du module "tomcat-exposed-docs.yaml"
http:
- method: GET
path:
- '{{BaseURL}}/docs/'
Les matchers
Les matchers sont les éléments principaux du template, ils permettent d'analyser la réponse obtenue et d'y rechercher des éléments indiquant le succès de l'opération. Il s'agit en fait de différentes conditions pouvant s'appliquer sur les en-têtes de réponse, le corps de la réponse, son statut, sa taille, etc. Il est alors possible d'indiquer si toutes les conditions doivent être remplies pour déterminer un succès, ou seulement certaines d'entre elles. Ce sont notamment ces conditions qui assurent un minimum de faux positif.
Voici un exemple du template "tomcat-exposed-docs.yaml" :
matchers-condition: and
matchers:
- type: word
words:
- 'Apache Tomcat'
condition: and
- type: status
status:
- 200
Dans l'exemple ci-dessus, les conditions sont à la fois la présence de "Apache Tomcat" dans le corps de la réponse, et l'obtention d'un code HTTP 200 en retour.
Les extractors
Les extractors sont optionnels et sont déclenchés uniquement en cas de succès du test. Ils permettent de récupérer des informations supplémentaires comme une version grâce à une expression régulière.
Voici un exemple du module "tomcat-exposed-docs.yaml" :
Maintenant que nous connaissons la structure globale d'un template. Nous pouvons construire notre premier templates. Nous ferons simple pour débuter.
Supposons que nous avons découvert que l'administrateur système qui a été embauché pour l'été afin d'effectuer une sauvegarde de nos nombreuses applications web n'a pas été très rigoureux et a laissé certaines de ces archives "backup-lesysadmin.zip" à la racine des applications web. Notre entreprise possédant 340 serveurs web en DMZ avec plusieurs dizaines d'applications chacun, toutes dans des répertoires différents, il serait aussi rapide d'utiliser Nuclei pour aller identifier la présence de ce fichier sur toutes nos applications web.
Pour répondre à ce besoin, il faut commencer par définir les métadonnées de notre template :
id: recherche-zip-sysadmin
info:
name: Recherche archive ZIP du Sysadmin
author: it-connect
severity: medium
description: Recherche de l'archive ZIP créée par notre Sysadmin cet été
reference: https://www.it-connect.fr
tags: generic
Nous allons ensuite définir la requête à envoyer et les conditions à réunir pour déterminer le succès de l'opération. Ici, un code "200" et un en-tête "Content-Type" à "application/zip" :
http:
- method: GET
path:
- '{{BaseURL}}/backup-lesysadmin.zip'
matchers:
- type: word
part: header
words:
- 'application/zip'
condition: and
- type: status
status:
- 200
Notre premier template est prêt ! Pour l'utiliser, il suffit de spécifier le chemin vers le fichier à l'aide de l'option "-t", comme vu précédemment. Voici le résultat :
Utilisation d'un template précis avec Nuclei.
Nous avons bien un match sur l'une de nos applications web. L'alerte est, comme prévu, remonté en sévérité "Medium".
En cas de problème, notamment si Nuclei fait mine de ne pas avoir de template à utiliser, je vous conseille d'utiliser l'option "-v", les éventuelles erreurs de votre template seront alors affichées :
Affichage verbeux pour obtenir les erreurs de syntaxe d'un template.
Si vous souhaitez développer d'autres templates pour effectuer des tâches différentes ou plus complexes, je vous conseille de partir d'un template existant qui fait à peu près la même opération. Qu'il s'agisse de l'envoi de données en POST, la récupération d'informations dans les en-têtes ou le corps de la requête, etc. Vous aurez ainsi une base concrète sur laquelle démarrer.
V. Quelques options pour maitriser la bête
Je vous propose différentes options pour maitriser un peu plus la puissance de Nuclei. Il s'agit des options dont je me sers le plus au quotidien et qui sont, selon moi, utiles à connaitre pour une utilisation plus régulière de l'outil :
Générer un fichier de sortie
Pour stocker, archiver, comparer ou même traiter les données produites par Nuclei, il peut être utile d'écrire ses résultats dans un fichier. Nuclei propose notamment le format de sortie JSON, un format standard pouvant être facilement réutilisé par d'autres outils ou langage de programmation :
# Sortie texte standard
nuclei -list mesCibles.txt -o nuclei_output.txt
# Sortie au format JSON
nuclei -list mesCibles.txt -j -o nuclei_output.json
Gérer le nombre de requêtes sur une période
Vous constaterez surement rapidement que Nuclei et un outil très rapide, il peut arriver que les services web ou équipements intermédiaires aient du mal à encaisser la charge ou bannisse votre adresse IP si elle émet trop de requêtes sur une courte période. Pour cela, Nuclei intègre une option permettant de gérer le nombre de requêtes par seconde :
# Limiter l'exécution à 50 requêtes/seconde (valeur par défaut : 150)
nuclei -list mesCibles.txt -rl 50
Sélectionner/exclure les template exécutés par criticité
La sortie produite par Nuclei peut vite être très verbeuse en fonction du type, de la maturité et du nombre de cibles. Ainsi, de nombreuses options permettent de mieux contrôler les tests qui seront effectués et notamment d'en inclure ou omettre en fonction de la criticité de chaque template, établie sur 6 niveaux : unknown, info, low, medium, high, critical :
# Exécuter uniquement les templates à criticité medium, high et critical
nuclei -list mesCibles.txt -s medium,high,critical
# Exclure des tests les templates high et critical
nuclei -list mesCibles.txt -es high,critical
Optimiser la vitesse de tests
Il est aussi possible d'utiliser certaines options pour que la durée des tests soient optimisée. Par exemple, en raccourcissant le temps ou le nombre de requêtes à partir desquels Nuclei considère une page ou hôte en injoignable/timeout, ou le nombre de tentatives supplémentaires qu'il va faire après un premier échec :
# Réduire le nombre de seconde avant de requête en timeout (par défaut : 10
nuclei -list mesCibles.txt -timeout 2
# Réduire à 3 au lieu de 30 le bombre d'échec avant de considérer un hôte définitivement injoignable
nuclei -list mesCibles.txt -mhe 3
# Réduire à 1 au lieu de 3 le nombre de tentative de communication après un échec
nuclei -list mesCibles.txt -retries 1
Ces différentes options peuvent bien sûr être combinées entre elles pour plus d'efficacité.
VI. Conclusion
Dans cet article, nous avons fait le tour des principales options et cas d'usage de Nuclei. Cela devrait vous permettre de l'utiliser dans de bonnes conditions, bien qu'il regorge de fonctionnalités dont nous n'avons pas parlé grâce à ses nombreuses options et templates. J'espère notamment qu'utiliser cet outil vous aidera à trouver et à corriger des faiblesses sur vos applications web pour améliorer votre sécurité !
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Les erreurs d’activation de Windows figurent parmi les problèmes les plus fréquents rencontrés par les utilisateurs. Ce problème est généralement lié au serveur d’activation de Windows, qui ne parvient pas à valider ou reconnaître la licence associée au compte numérique. Une erreur courante à laquelle les utilisateurs peuvent être confrontés : “Nous ne pouvons pas activer Windows sur cet appareil car nous ne pouvons pas nous connecter au serveur d’activation de votre organisation. Assurez-vous d’être connecté au réseau de votre organisation et réessayez. Si les problèmes d’activation persistent, contactez le service d’assistance de votre organisation. Code d’erreur 0x8007007B.”. Ce tutoriel fournit plusieurs solutions de dépannage afin de vous expliquer l’origine de ce problème et vous aider à résoudre cette erreur d’activation des produits Windows.
Nous ne pouvons pas activer Windows sur cet appareil car nous ne pouvons pas nous connecter au serveur de votre organisation
Le “serveur de votre organisation” dans le contexte de l’activation de Windows fait référence à un serveur de gestion de clés (KMS, Key Management Service) utilisé principalement par les grandes entreprises et les institutions pour activer en masse les copies de Windows sur leur réseau. Key Management Service (KMS) est une technologie d’activation de volume développée par Microsoft. Elle permet aux organisations d’activer les systèmes d’exploitation Windows et les produits Microsoft Office en interne, sans avoir besoin de contacter directement les serveurs d’activation de Microsoft pour chaque installation.
Lorsque vous voyez une erreur indiquant que Windows ne peut pas se connecter au serveur de votre organisation, cela signifie généralement que le système d’exploitation tente de contacter un serveur KMS d’entreprise pour l’activation, mais ne parvient pas à établir la connexion. Ce message d’erreur rencontré par un particulier peut se produire dans les cas suivants :
Vous tentez d’activer Windows illégalement à l’aide d’un utilitaire de crack tel que KMSPico / KMSAuto
Vous avez installé Windows Entreprise sur votre PC personnel et tenter d’activer avec une clé produit provenant d’une entreprise
Vous avez acheté une licence pas chère sur internet lié à des licences de volume. La référence à un serveur d’organisation signifie qu’il dispose d’une licence de volume qui n’est pas valable pour un utilisateur personnel et qui est souvent utilisée par un vendeur suspect pour activer Windows illégalement.
Comment résoudre le problème “Nous ne pouvons pas activer Windows sur cet appareil car nous ne pouvons pas nous connecter au serveur de votre organisation”
Enregistrer à nouveau la clé produit de Windows
Vous pouvez tenter à nouveau d’enregistrer la clé produit de Windows. Assurez-vous que vous disposez d’une connexion internet stable puis suivez ces étapes :
Sur votre clavier, appuyez sur les touches
+
R
Puis dans le champs exécuter, saisissez cmd et OK
Puis saisissez les commandes suivantes où #####-#####-#####-#####-##### est la clé produit
Si le message d’erreur à l’activation de Windows persiste, il est probable que votre clé produit ne soit pas valide.
Réparer le service d’activation
Ouvrez à nouveau une invite de commandes en administrateur
Copiez/collez les commandes suivantes :
net stop sppsvc
cd %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\WSLicense
ren tokens.dat tokens.bar
net start sppsvc
cscript.exe %windir%\system32\slmgr.vbs /rilc
Puis redémarrez l’ordinateur et ré-enregistrer la clé produit Windows
Activer Windows par téléphone
Une autre solution est d’essayer d’activer Windows par téléphone car cela ne requiert aucune connexion au serveur d’activation.
Sur votre clavier, appuyez sur les touches + R
Puis saisissez la commande suivante :
slui.exe 4
Puis dans la liste, sélectionnez France (ou autre pays)
Ensuite cliquez sur Suivant
Téléphonez au centre d’activation de Microsoft avec le numéro indiqué gratuit ou pays
Puis indiquez l’ID d’installation (IID)
Puis saisissez le code retourné par le centre d’activation de Microsoft
Toujours impossible d’activer Windows ? Si vous avez acheté une licence pas chère sur internet, il est probable que celle-ci ne soit pas valide ou blacklistée par Microsoft. Contactez le vendeur pour lui demander une nouvelle clé produit. Si aucune réponse de sa part, il s’agit d’une arnaque.
Dans le cas d’un achat sur des plateformes telles qu’Amazon ou CDiscount, laissez un commentaire pour prévenir d’autres internautes. Tentez aussi de dénoncer le vendeur auprès de la plateforme.
Au cours des trois derniers mois, les cybercriminels derrière le botnet CatDDoS ont utilisé plus de 80 failles de sécurité différentes pour compromettre des appareils ! Ce botnet est ensuite utilisé pour effectuer des attaques DDoS. Faisons le point.
Le botnet CatDDoS, apparu pour la première fois en août 2023 et qui est considéré comme une variante du botnet Mirai, a été observé par l'équipe de chercheurs QiAnXin XLab. Il s'avère que le botnet a été utilisé pour cibler jusqu'à 300 appareils par jour et que pour la compromission de ces derniers, il s'appuie sur pas moins de 80 vulnérabilités différentes. Certaines n'ont pas encore été identifiées et il pourrait s'agir de zero-day, d'après le rapport publié par QiAnXin XLab.
Certaines vulnérabilités sont récentes, tandis que d'autres ont été découvertes il y a plusieurs années. Parmi les produits pris pour cible, nous pouvons citer : Apache Log4j, Apache ActiveMQ, Cacti, Jenkins, les routeurs Linksys, Netgear, TP-Link et D-Link, les NAS Seagate, les contrôleurs de gestion Wi-Fi Ruckus, des équipements de chez Zyxel ou encore différents modèles de caméras notamment chez Avtech. Il y a une réelle diversité dans cette liste.
Source : QiAnXin XLab
Toujours d'après ce rapport, la France fait partie des pays les plus impactés par les attaques DDoS orchestrées par CatDDoS : "Nous pouvons constater que les cibles des gangs liés à CatDDoS sont réparties dans le monde entier, en particulier aux États-Unis, en France, en Allemagne, au Brésil et en Chine." - Il peut s'agir de fournisseurs de services Cloud, d'industries, d'administrations publiques ainsi que d'organisations dans différents domaines comme la recherche scientifique, la construction, ou encore l'éducation.
Les chercheurs expliquent également que d'autres botnets sont similaires à CatDDoS et qu'ils partagent certains éléments. On pourrait presque dire qu'il y a un modèle de fonctionnement et de code qui est partagé entre plusieurs botnets.
Nous pourrions qualifier le botnet CatDDoS de botnet polymorphe, car il est capable d'effectuer des attaques DDoS en utilisant UDP, TCP et d'autres méthodes. Il n'est pas à exclure qu'il exploite la nouvelle technique baptisée DNSBomb.
DNSBomb, c'est le nom d'une nouvelle technique d'attaque révélée récemment et associée à la vulnérabilité CVE-2024-33655. Cette technique repose sur l'utilisation du DNS pour effectuer des attaques DoS avec un facteur d'amplification de x20 000. Voici ce qu'il faut savoir.
Qualifiée d'attaque Pulsing Denial-of-Service (PDoS), cette technique d'attaque baptisée DNSBomb correspond à la vulnérabilité CVE-2024-33655. Elle a été découverte par des chercheurs de l'université de Tsinghua (Chine) et vise à manipuler le trafic DNS. En effet, sa mise en œuvre repose sur l'exploitation des requêtes et des réponses du système DNS.
"DNSBomb exploite plusieurs mécanismes DNS largement mis en œuvre pour accumuler les requêtes DNS envoyées à faible débit, amplifier les requêtes en réponses de grande taille et concentrer toutes les réponses DNS en une courte salve d'impulsions périodiques de grand volume afin de submerger simultanément les systèmes cibles.", peut-on lire sur le site dédié à cette technique. L'objectif étant d'accumuler les réponses DNS pour les libérer simultanément vers une cible : ce qui fait l'effet d'une bombe.
Voici un schéma pour illustrer l'attaque DNSBomb :
Cette technique pourrait être beaucoup plus efficace que les autres déjà connues. Les chercheurs de l'université de Tsinghua ont effectué différents tests qui permettent d'affirmer que le facteur d'amplification de la bande passante peut être multiplié par 20 000. "Des expériences à petite échelle montrent que l'amplitude maximale des impulsions peut approcher 8,7 Gb/s et que le facteur d'amplification de la bande passante peut être multiplié par 20 000.", peut-on lire. Largement suffisant pour faire tomber la cible et notamment des infrastructures critiques.
Quels sont les services vulnérables ?
Il y a deux types de services particulièrement vulnérables à l'attaque DNSBomb : les services DNS et les services CDN (réseau de diffusion de contenu). Nous pensons notamment à des services comme ceux de Cloudflare et Akamai. Voici les conclusions des chercheurs de l'université de Tsinghua suite aux différents tests effectués :
"Grâce à une évaluation approfondie de 10 logiciels DNS grand public, de 46 services DNS publics et d'environ 1,8 million de résolveurs DNS ouverts, nous démontrons que tous les résolveurs DNS peuvent être exploités pour mener des attaques DNSBomb plus pratiques et plus puissantes que les attaques DoS à impulsions précédentes."
Pour limiter ou réduire l'impact de DNSBomb sur un serveur DNS, il convient d'adapter sa configuration pour implémenter des limites, notamment le nombre de requêtes maximales par client. Si vous utilisez Bind9, vous pouvez consulter cet article mis en ligne pour vous guider.
Un exploit PoC a été publié pour une faille de sécurité critique présente dans la solution de SIEM de chez Fortinet, c'est-à-dire FortiSIEM : quels sont les risques ? Faisons le point dans cet article.
Découverte par Zach Hanley de chez Horizon3, cette vulnérabilité associée à la référence CVE-2024-23108 a une sévérité maximale, soit un score CVSS de 10 sur 10. En exploitant cette faille de sécurité présente dans FortiSIEM, un attaquant non authentifié et situé à distance peut exécuter du code en tant que root sur le système. Dans son bulletin de sécurité, Fortinet précise que l'exécution de commandes s'effectue via des requêtes spéciales à destination de l'API de FortiSIEM.
La faille de sécurité CVE-2024-23108 est en fait liée à deux autres vulnérabilités : la CVE-2024-23109, corrigée le 8 février 2024, ainsi que la CVE-2023-34992 corrigée en octobre 2023. Dans un premier temps, Fortinet a nié l'existence des deux nouvelles CVE en affirmant qu'il s'agissait en fait de doublons de la faille de sécurité CVE-2023-34992. Pourtant, il s'agit bel et bien de variantes plus récentes permettant l'exploitation de la vulnérabilité avec des requêtes différentes.
Horizon3 a publié un rapport technique complet ainsi qu'un exploit PoC sur GitHub. Il permet d'exécuter des commandes en tant que root sur toutes les appliances FortiSIEM exposées à Internet et non patchées. La disponibilité de cet exploit PoC pourrait pousser les cybercriminels à exploiter cette faiblesse dans FortiSIEM.
Qui est affecté ? Comment se protéger ?
Différentes versions de FortiSIEM sont affectées par ces vulnérabilités. Voici la liste :
Versions comprises entre 7.1.0 et 7.1.1
Versions comprises entre 7.0.0 et 7.0.2
Versions comprises entre 6.7.0 et 6.7.8
Versions comprises entre 6.6.0 et 6.6.3
Versions comprises entre 6.5.0 et 6.5.2
Versions comprises entre 6.4.0 et 6.4.2
Pour se protéger, il convient de mettre à jour FortiSIEM vers la version 7.1.3, 7.0.3, 6.7.9 ou ultérieure. À l'heure actuelle, il existe des versions plus récentes, mais ceci vous permet de savoir quelle est la version minimale à utiliser.
Pour rappel, en mars dernier, Horizon3 avait publié un exploit PoC pour la faille de sécurité critique CVE-2023-48788 présente dans Fortinet EMS (Enterprise Management Server). Désormais, elle est activement exploitée dans des attaques...
Connexion
