I. Présentation

Dans cet article, nous allons passer en revue la caméra Reolink Argus 4 Pro disponible depuis le 10 juin 2024 ! Ce modèle intègre deux capteurs vidéo 4K offrant une vue panoramique de 180°C ! Nous allons évoquer ses caractéristiques, son installation, sa configuration et ses performances !

Commençons par la liste des caractéristiques principales de cette caméra :

• Résolution 4K (UHD - 5120 x 1440 @ 15 fps)
• Codec de compression vidéo : H.264/H.265
• Angle de vue horizontal : 180° sans angle mort
• Angle de vue vertical : 50°C
• Détection des mouvements jusqu'à 10 mètres
• Détection par IA des humains, des véhicules et des animaux
• Certifiée IP66
• Connectivité : Wi-Fi 6 (prise en charge 2.4 GHz et 5G)
• Sirène anti-intrusion interne à la caméra
• Enregistrements vidéos sur événements (ou manuel), mais pas d'enregistrement 24/7
• Stockage local sur carte microSD (non inclus) ou distant
• Accès à distance depuis n'importe où, avec une connexion Internet
• Batterie de 5 000 mAh
• Système audio bidirectionnel (micro et haut-parleur)
• Vision nocturne en couleurs
• Gestion des zones de détection
• Accès multi-utilisateurs
• Visualisation du live et de l'historique des enregistrements
• Compatible avec les assistants vocaux Amazon Alexa et Google Assistant
• Garantie : 2 ans
• Voir la fiche produit sur le site officiel

Au-delà de sa résolution 4K et son champ de vision ultra grand-angle à 180°C, cette caméra présente l'avantage d'être compatible Wi-Fi 6, avec la prise en charge des bandes de fréquences 2.4 GHz et 5 GHz. Sa technologie de vision nocturne en couleurs nommée Reolink ColorX est également un atout.

L'Argus 4 Pro est une version améliorée de l'Argus 4, comme le montre le comparatif ci-dessous.

II. Package et design

La boite de la caméra est aux couleurs de Reolink : entièrement bleue, avec le logo Reolink en blanc sur le dessus. Il y a aussi un marquage sur le carton qui montre que Reolink a apporté un soin particulier au packaging. Peu d'informations sur le produit en lui-même, puisque nous avons seulement la liste des produits qui est précisée. À l'intérieur de la boite, tous les éléments sont bien rangés et protégés, au sein de différents compartiments.

La caméra Argus 4 Pro est accompagnée par un panneau solaire qui va lui permettre d'être 100% autonome en énergie.

Commençons par regarder les accessoires présents pour accompagner la caméra. Il y a un support de fixation mural (en métal et plastique), une sangle de fixation, un lot de stickers, un câble USB-C pour recharger la caméra (facultatif), une notice d'utilisation en plusieurs langues dont le français, ainsi que toute la quincaillerie utile pour fixer la caméra.

Le panneau solaire Reolink est traité de la même façon puisque nous avons des accessoires équivalents qui lui sont adaptés.

Le design de cette caméra me fait penser à la forme du visage d'ET l'Extraterrestre, avec ses deux grands yeux. Ces deux capteurs 4K de 8 mégapixels (objectif f=2*4mm) permettront d'obtenir une vue ultra grand-angle de 180°. La coque de la caméra est entièrement blanche, à l'exception de la façade qui est noire.

Trois projecteurs LEDs sont intégrés sur la façade de la caméra : un autre centre entre les deux objectifs, et un à chaque extrémité, totalement à gauche et à droite. Au centre, toujours sur la façade, il y a un détecteur de lumière du jour ainsi qu'un micro. À l'arrière de la façon, il y a le haut-parleur de la caméra sur la gauche, et sur la droite, un cache qui protège le port USB-C. Si vous utilisez le panneau solaire, il devra rester constamment ouvert.

Le capteur PIR pour la détection de mouvements recouvre toute la partie avant "du pied" de la caméra, ce qui sera utile pour avoir un champ de détection large et cohérent vis-à-vis du champ de vision de la caméra. Sur la partie arrière se situe le pas de vis pour venir fixer le support de montage.

Si vous décidez d'utiliser le stockage local avec une carte microSD, sachez que celle-ci dispose d'un compartiment dédié et différent de celui du port USB-C. C'est bien pensé de la part de Reolink puisque la carte microSD pourra constamment rester à l'abri de l'humidité. À noter également la présence d'un bouton pour allumer, éteindre et réinitialiser la caméra.

Enfin, voici une photo de la caméra prise dans ma main pour que vous puissiez vous rendre mieux compte de sa taille.

Le panneau solaire Reolink, dont le poids est de 453.3 grammes, est relativement imposant. Voici ses dimensions : 210.6 x 174.6 mm. La partie principale fait moins de 7 mm d'épaisseur. Pour vous donner un ordre d'idée, il est légèrement plus grand qu'une feuille A4 pliée en deux (A5). Le câble USB-C utile pour connecter le panneau solaire à la caméra est d'une longueur confortable puisqu'il fait 4 mètres.

Maintenant que nous avons fait connaissance avec le matériel, voyons comment l'installer et le configurer !

III. Installation de la caméra Reolink

Avant d'installer la caméra, et peut-être même avant de l'acheter, il me semble important que vous preniez connaissance des possibilités offertes pour son installation. Mais aussi, et surtout, pour son positionnement. Tenez compte aussi de la qualité du signal WiFi à l'emplacement où vous envisagez d'installer la caméra.

Remarque : avant d'installer la caméra, il est recommandé d'effectuer une charge complète. Sans panneau solaire, l'autonomie de la caméra est d'une dizaine de jours

Au sujet du positionnement de la caméra, voici les recommandations de Reolink :

Si Reolink a intégré un support de fixation mural, des vis et une sangle à boucle pour la caméra et le panneau solaire, ce n'est anodin. Les vis seront utiles pour fixer les éléments sur un mur ou un plafond, tandis que la sangle sera utilisée pour la fixation sur un poteau ou un arbre. Attention, pour fixer la caméra avec la sangle, il est quand même nécessaire de fixer une plaque avec deux vis, afin de créer un système d'accroche pour la sangle.

Vous l'aurez compris, c'est une caméra 100% sans-fil, si ce n'est qu'il y a un câble USB pour relier la caméra au panneau solaire. Vous n'aurez pas de câble réseau, ni de câble d'alimentation à tirer.

L'illustration ci-dessous montre différents scénarios d'installation.

Tout le matériel nécessaire à l'installation de la caméra est fourni par Reolink, à l'exception des outils. Une fois la caméra installée, il conviendra de l'allumer puis de l'associer à votre compte dans l'application Reolink.

L'utilisateur n'a qu'à se laisser guider par l'application pour effectuer l'installation de la caméra. En trois minutes, ce processus peut être complété ! La prise en charge de la bande de fréquence 5 GHz est un plus.

Ce qui m'a plu également, c'est la fonctionnalité "anti-brute force" pour verrouiller le compte utilisateur s'il y a trop de tentatives de connexion infructueuses dans un intervalle de 3 minutes. C'est un plus pour la protection de la caméra.

Cette caméra bénéficie du Wi-Fi 6. Bien que ce ne soit pas la dernière norme en date, elle est relativement récente et améliore le débit, a une latence plus faible et une meilleure stabilité vis-à-vis des générations précédentes.

IV. Utilisation et configuration

A. Stockage des enregistrements

La caméra Reolink Argus 4 Pro n'a pas de coût mensuel puisque vous n'avez pas d'abonnement à payer. Plusieurs options sont offertes pour le stockage des enregistrements. Il faudra forcément en choisir une si vous désirez stocker les enregistrements associés aux événements, car la caméra n'a pas d'espace de stockage interne.

Remarque : la caméra Argus 4 Pro n'est pas conçue pour effectuer de l'enregistrement continu 24/7. Elle fonctionne selon le principe de l'enregistrement sur détection.

L'option la plus simple, c'est le stockage local sur une carte microSD (jusqu'à 128 Go) : elle n'est pas incluse, donc vous devez l'acheter en supplément. Elle doit être insérée directement dans la caméra, à l'emplacement prévu.

De plus, vous avez plusieurs alternatives :

• Stockage sur un serveur distant via le protocole FTP.
• Stockage sur le boitier Reolink Home Hub, vendu séparément (99.99 euros).
• Stockage sur un périphérique distant via le protocole RTSP (enregistreur, NAS, etc.), à condition d'avoir un Reolink Home Hub pour ajouter cette prise en charge.

Le boitier Reolink Home Hub est actuellement en précommande sur le site de Reolink. Ce boitier intègre une carte microSD de 64 Go pour stocker les enregistrements de vos appareils Reolink : il prend en charge jusqu'à 8 caméras. Son stockage extensible puisqu'il peut accueillir 2 cartes microSD supplémentaires (jusqu'à 2 x 512 Go).

C'est un périphérique très intéressant pour ceux qui veulent équiper leur logement de caméras Reolink puisqu'il permet de centraliser tous les enregistrements en local, sur votre réseau.

B. Lecture du flux vidéo de la caméra

L'application Reolink vous donne accès à l'ensemble de vos caméras de la marque. Vous pouvez piloter votre installation via cette application. Lorsque l'on accède au panneau de gestion de la caméra Argus 4 Pro, nous avons accès au flux en direct. À distance, l'utilisateur peut déclencher l'alarme, les projecteurs, ou encore parler au travers du haut-parleur. Il est aussi possible de prendre une capture (photo ou vidéo) et d'accéder à l'historique des enregistrements, jour par jour. Une fonction de timelapse pour avoir un aperçu rapide de ce qu'il s'est passé récemment est aussi proposée.

Remarque : pour la lecture du flux vidéo en direct, il y a un mode picture in picture, ce qui permet d'avoir une vignette flottante sur l'écran de son smartphone. Ainsi, il est possible de faire autre chose tout en gardant un œil sur l'image de la caméra.

C. Les réglages

Une section de l'application est dédiée au paramétrage de la caméra. Il y a de nombreuses options disponibles. La suite de cet article vous en donnera un aperçu.

• Configurer le Wi-Fi, avec la possibilité de basculer d'un réseau sans-fil à un autre, et d'effectuer un test de débit.
• Activer ou désactiver l'enregistrement de l'audio.
• Régler le volume du haut-parleur et de l'alarme.
• Régler le projecteur LED, pour gérer sa puissance manuellement ou laisser le mode auto.
• Gérer la sensibilité du capteur de mouvement (PIR).
• Activer ou désactiver les notifications par push et/ou e-mail lorsqu'un mouvement est détecté, ou si la batterie est faible.

• Créer des zones de non-détection pour chaque type d'intrusion (humain, véhicule, animal, autre).
• Spécifier une taille d'objet minimale ou maximale pour la détection, pour chaque type d'intrusion.
• Activer ou désactiver l'enregistrement de clips vidéos lorsqu'un mouvement est détecté (avec des options pour spécifier les horaires de détection par type d'intrusion, la durée du clip enregistré).

• Activer, désactiver et configurer la sirène : selon une plage horaire par type de détection, avec la possibilité d'utiliser un audio personnalisé pour le son de l'alarme diffusée via le haut-parleur de la caméra.

• Partager l'accès à la caméra à d'autres utilisateurs.
• Gérer le stockage local ou configurer le stockage distant.

L'application donne accès à des réglages poussés permettant de configurer finement la caméra. Ces règles offrent la possibilité de différencier le comportement de la caméra selon s'il s'agit d'une personne, d'un animal ou d'un véhicule.

D. Qualité de l'image et détection

L'Argus 4 Pro se distingue par ses deux lentilles 4K et son capteur infrarouge passif (PIR) ultra-large à 180°. Sans oublier la nouvelle technologie Reolink ColorX conçue par Reolink pour permettre à la caméra de capter la lumière autant que possible..... Elle profite de l'éclairage naturel et environnant (lampadaire, etc.), même lorsqu'il fait sombre, pour proposer une image en couleurs à la nuit tombée.

La caméra détecte les mouvements jusqu'à 10 mètres et à 180°C grâce à son capteur PIR. L'analyse des mouvements est effectuée par une IA (intelligence artificielle). L'intérêt étant de faire la différence entre une personne, un animal et un véhicule. À ce jour, la reconnaissance des visages n'est pas possible. Le système de détection à 10 mètres est très efficace et très précis. Il remplit largement sa mission.

L'utilisateur peut personnaliser les zones de détection et aussi créer des masques de confidentialité pour désactiver la détection sur certaines zones. Lorsqu'un "objet" est détecté par la caméra, il est mis en évidence sur l'image grâce à un encadré bleu (ceci est une fonction en bêta qui doit être activée dans les options de la caméra).

V. Conclusion

Vous recherchez un système de surveillance autonome ? La caméra Reolink Argus 4 Pro devrait vous plaire ! Sa belle image 4K ultra-large permet de couvrir une zone très large, avec une seule caméra, à condition qu'elle soit placée astucieusement. Ce champ de vision très large est impressionnant. Elle pourrait même remplacer deux caméras distinctes... Et, puisqu'elle n'est pas dépendante d'une prise de courant, vous pouvez l'installer où bon vous semble à condition d'être à portée du Wi-Fi.

L'application de Reolink est fonctionnelle et donne accès à de très nombreux paramètres, au point qu'il faut compter plusieurs minutes pour en faire le tour. L'utilisateur a vraiment la main sur le matériel, en plus de pouvoir stocker les enregistrements à plusieurs emplacements : en local, sur un NAS, sur un serveur via FTP, ou encore sur le Reolink Home Hub.

 Avantages                                                                 

• Caméra compacte et discrète
• Un champ de vision de 180° bien géré
• Système autonome avec WiFi 6 et alimentation solaire
• Une application à la fois simple et ultra-complète (avec beaucoup d'options)
• La détection différencie les personnes, les véhicules et les animaux avec de l'IA

 Inconvénients

• Un panneau solaire assez encombrant, et donc bien visible.
• L'installation de la caméra avec la sangle à boucle, c'est bien, mais dommage qu'il soit nécessaire d'utiliser 2 vis.

L'offre de lancement Reolink Argus 4 Pro

À l'occasion du lancement de sa nouvelle caméra, Reolink propose une offre très intéressante ! La caméra (+ le panneau solaire) est vendue 186.99 euros au lieu de 249.99 euros jusqu'au 22 juin 2024. Après cette date, le prix de vente sera à 199.99 euros du 24 au 30 juin 2024, avant un passage à son prix définitif.

Pour en profiter, voici nos liens d'affiliés vers Amazon.fr et la boutique officielle Reolink :

• Boutique officielle - Reolink Argus 4 Pro
• Amazon.fr - Reolink Argus 4 Pro

The post Test Reolink Argus 4 Pro – Une caméra autonome avec un champ de vision de 180 degrés first appeared on IT-Connect.

Une nouvelle faille de sécurité "zero-click" a été patchée dans Microsoft Outlook. Elle représente un risque très élevé puisqu'elle peut être exploitée pour exécuter du code à distance à partir d'un e-mail malveillant. Voici ce qu'il faut savoir.

Récemment, Microsoft a publié une mise à jour de sécurité critique pour son client de messagerie Outlook dans le but de corriger la faille de sécurité CVE-2024-30103. Découverte par trois chercheurs de chez Morphisec, cette vulnérabilité, associée à un score CVSS de 8.8 sur 10, a été signalée à Microsoft le 3 avril 2024. Elle peut être utilisée pour exécuter du code à distance sur l'appareil où Outlook est installé.

"Les recherches de Morphisec ont consisté en une analyse approfondie et du reverse engineering du code de Microsoft Outlook afin d'identifier les conditions spécifiques qui ont conduit à la découverte de cette vulnérabilité de Microsoft Outlook.", peut-on lire sur le blog de Morphisec.

Cette faille de sécurité représente un risque élevé en raison de sa nature "zero-click" puisqu'aucune interaction directe avec l'utilisateur n'est nécessaire pour l'exploitation. Il suffit que l'e-mail soit ouvert ou prévisualisé par l'intermédiaire du panneau de prévisualisation d'Outlook pour que la vulnérabilité soit exploitée et que le code malveillant soit exécuté.

Quelles sont les versions d'Outlook vulnérables à la CVE-2024-30103 ?

D'après le site de Microsoft, la faille de sécurité CVE-2024-30103 affecte plusieurs versions de Microsoft Outlook. Voici la liste publiée par l'entreprise américaine :

• Outlook 2016 (32 et 64 bits)
• Office 2019 (32 et 64 bits)
• Office LTSC 2021 (32 et 64 bits)
• Microsoft 365 Apps for Enterprise (32 et 64 bits)

Remarque : pour Outlook 2016, sachez que les versions 16.0.0.0 à 16.0.5452.1000 sont affectées par cette vulnérabilité.

Comment se protéger ?

Microsoft a publié des correctifs de sécurité le 11 juin, à l'occasion de la sortie de son Patch Tuesday de juin 2024. Si vous utilisez Outlook 2016, vous devez installer la KB5002600. Tandis que pour les autres versions, il convient de se référer au numéro de build de Microsoft Office correspondant à la version publiée le 11 juin dernier. Voici des liens utiles :

• Office 2019
• Office LTSC 2021
• Microsoft 365 Apps

Cette alerte rappelle l'importance de rester vigilant et de maintenir à jour ses logiciels pour se protéger des failles de sécurité les plus récentes. L'installation de cette mise à jour est plus que recommandée.

The post Patchez Outlook : une faille de sécurité « zero-click » a été corrigée par Microsoft (CVE-2024-30103) first appeared on IT-Connect.

media-downloader est un logiciel gratuit qui sert d’interface (GUI frontend) pour les extensions yt-dlp, youtube-dl, gallery-dl, lux, you-get, svtplay-dl, aria2c, wget and safari books.
L’interface graphique peut être utilisée pour télécharger n’importe quel média à partir de n’importe quel site web pris en charge par les extensions installées.
Vous pouvez effectuer plusieurs téléchargements, par lots sur YouTube, Twitter, Arte et autres sites de streaming et de vidéos. De plus, elle prend en charge une liste de lecture (playlist) comme YouTube par exemple.
Enfin cet utilitaire compatible Windows et Linux peut aussi extraire la piste audio d’une vidéo.

Dans ce tutoriel, je vous présente media-downloader et je vous montre comment l’utiliser.

Comment installer media-downloader

Sur Windows

Vous pouvez télécharger le setup depuis ce lien :

Laissez vous guider dans les étapes de l’installation.

Une alternative consiste installer l’utilitaire avec Scoop en utilisant cette commande :

scoop install media-downloader

Sur Linux

Pour Debian, vous devez ajouter un dépôt.
Voici les commandes à utiliser en remplaçant par votre version de Debian :

echo 'deb http://download.opensuse.org/repositories/home:/obs_mhogomchungu/Debian_12/ /' | sudo tee /etc/apt/sources.list.d/home:obs_mhogomchungu.list
curl -fsSL https://download.opensuse.org/repositories/home:obs_mhogomchungu/Debian_12/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/home_obs_mhogomchungu.gpg > /dev/null
sudo apt update
sudo apt install media-downloader

Du côté de Fedora :

sudo dnf -y install media-downloader

Des téléchargements binaires pour quelques distributions Linux sont disponibles ici.

Passer media-downloader en Français

Avant d’utiliser le logiciel, vous pouvez le passer en langue Français, pour cela :

• Allez dans l’onglet Settings
• Puis passez la langue en Français à partir du menu déroulant
• Éventuellement modifiez, le chemin de téléchargement ; c’est à dire le chemin de destination des vidéos téléchargées

Comment télécharger une vidéo sur internet

• Allez dans l’onglet Téléchargeur basique
• Dans Entrer URL, copiez/collez l’URL de la vidéo YouTube, d’un Tweet ou tout autre lien WEB menant à une vidéo

• Dans Nom du moteur, choisissez entre
  • yt-dlp : utilise yt-dlp pour télécharger une vidéo ce qui est recommandé dans la plupart des cas
  • ariac2c : utilitaire de téléchargement qui supporte différents protocoles tels que HTTP, HTTPS, FTP, SFTP, BitTorrent et Metalink
  • wget : autre utilitaires de téléchargement

• Dans Options, choisissez la résolution de la vidéo (2160p, 1440p, 1080p, 720p, etc) ou si vous ne souhaitez extraire que la vidéo ou le son

• Répétez l’opération si vous souhaitez ajouter d’autres vidéos en téléchargement
• Enfin, cliquez sur Télécharger et patientez. La vidéo se trouve dans le dossier de destination définis dans les paramètres de l’utilitaire

Comment télécharger les vidéos depuis une liste de lecture (playlist)

Vous pouvez aussi récupérer des vidéos depuis une liste de lecture, cela est très simple :

• Allez dans l’onglet Téléchargeur Liste de lecture
• Dans Entrer l’URL, copiez/collez l’URL de la playlist

• Celle-ci est analysée et les informations comme la durée, date de téléversement, nom s’affichent
• Répétez l’opération pour en charger d’autres
• Enfin cliquez sur Télécharger pour lancer la récupération des vidéos

• Le téléchargement s’opère, patientez, cela prend du prends, car la vitesse de téléchargement est la même qu’une lecture de la vidéo

Comment extraire une partie d’une vidéo

• Téléchargez le module yt-dlp-ffmeg depuis ce lien (fichier yt-dlp-ffmpeg.json)

• Allez dans l’onglet Configurer
• Cliquez sur Ajouter un module et charger le fichier yt-dlp-ffmpeg.json

• Allez dans l’onglet Téléchargeur basique
• Copiez/collez l’URL de la vidéo
• Dans nom du moteur, assurez-vous que yt-dlp-ffmpeg est sélectionné

• Puis dans Options de téléchargements, copiez/collez :

bestaudio+bestvideo --external-downloader ffmpeg --external-downloader-args "ffmpeg_i:-ss 00:01:00 -to 00:01:30

• Voici les explications :
  • bestaudio+bestvideo — la meilleur qualité de la vidéo
  • –external-downloader ffmpeg — utilisez ffmpeg comme utilitaire de téléchargement
  • –external-downloader-args “ffmpeg_i — permet de définir des options pour ffmeg
  • -ss 00:01:00 — définir le temps du début de téléchargement de la vidéo, ici 1 minute
  • -to 00:01:30 — Temps de fin de la vidéo, ici 1min30
• Cliquez sur Télécharger, l’utilitaire va télécharger la partie de la vidéo

Comment créer un menu contextuel sur Chrome ou Firefox pour ouvrir des liens dans Media Downloader

En ajoutant une extension sur votre navigateur internet, vous pouvez ouvrir directement un lien WEB contenant une vidéo directement dans Media Downloader afin de procéder au téléchargement de la vidéo.

Voici comment mettre en place l’extension et la configurer :

• Installez cette extension sur votre navigateur internet :
  • External Application Launcher pour Chrome
  • External Application Button pour Firefox
• Accédez à la page de configuration de l’extension et effectuez les opérations suivantes : – Ajouter Ouvrir dans Media Downloader dans le texte du nom d’affichage
• Ajoutez Ouvrir dans le téléchargeur de médias dans le champ de texte Nom d’affichage. Ce nom apparaîtra dans le menu contextuel du navigateur
• Puis réglez le chemin de l’application media-downloader, soit par défaut :

C:\Program Files (x86)\Media Downloader\media-downloader.exe

• En dessous, configurer dans quel menu déroulant s’affichera le menu Media-Downloader, par exemple sur Page Content et vidéo/Audio Content
• Enfin plus bas, ajoutez –u [HREF] dans le champ de texte des arguments si vous souhaitez qu’un lien soit simplement ajouté à Media Downloader ou ajoutez -a -u [HREF] si vous souhaitez qu’un lien soit ajouté à Media Downloader et que Media Downloader commence automatiquement à le télécharger.
• Les instructions relatives à l’installation du client natif s’afficheront une fois que vous aurez cliqué sur le bouton de la barre d’outils.

• Validez pour ajouter la nouvelle application

Ensuite faites un clic droit sur la page internet ou sur une vidéo puis Media Downloader

Media-Downloader s’affiche depuis l’onglet Téléchargeur par batch.
Vous pouvez ensuite procéder au téléchargement de la vidéo comme expliqué précédemment.

Quelles sont les alternatives à media-downloader

Il existe plusieurs alternatives comme Video DownloadHelper, YTDownloader, IDM et bien d’autres.
L’article suivant vous donne plusieurs solutions pour télécharger des vidéos depuis des sites de streaming :

L’article media-downloader : télécharger des vidéos sur internet est apparu en premier sur malekal.com.

Reptile et Medusa, c'est le nom de deux rootkits Linux utilisés par des cybercriminels pour infecter les machines virtuelles VMware ESXi ! Grâce à ces logiciels malveillants, ils peuvent mener différentes actions sur l'infrastructure compromise. Faisons le point.

Le groupe de cybercriminels traqué sous le nom "UNC3886" est suivi depuis plusieurs années par les chercheurs de Mandiant. Un nouveau rapport publié cette semaine met en lumière l'utilisation de rootkits open source pour avoir un accès à la fois persistant et discret sur les machines virtuelles VMware ESXi.

Depuis mars 2023, les cybercriminels d'UNC3886 exploitent des failles de sécurité zero-day dans les produits Fortinet et VMware pour cibler des organisations situées aux quatre coins du monde. "La majorité des organisations auxquelles Mandiant a répondu ou qu'il a identifiées comme cibles dans le cadre de ses propres analyses sont situées en Amérique du Nord, en Asie du Sud-Est ou en Océanie. Cependant, nous avons également identifié des victimes supplémentaires en Europe, en Afrique et dans d'autres parties de l'Asie.", précise le rapport. Divers secteurs d'activités sont ciblés (aérospatiale, télécommunications, technologie, défense, énergie) ainsi que des entités gouvernementales.

Sur les infrastructures VMware, le serveur vCenter semble être la cible privilégiée. C'est compréhensible, car c'est la clé pour ensuite avoir la maitrise de l'ensemble de l'infrastructure virtuelle. À ce sujet, Mandiant précise : "Après avoir exploité des vulnérabilités de type "zero-day" pour accéder aux serveurs vCenter et aux serveurs ESXi gérés par la suite, l'attaquant a obtenu le contrôle total des machines virtuelles invitées qui partageaient le même serveur ESXi et le serveur vCenter."

L'entrée en jeu des rootkits REPTILE et MEDUSA

Par la suite, ce sont les rootkits REPTILE et MEDUSA qui sont déployés par les cybercriminels. Le rootkit REPTILE se présente sous la forme d'un module chargé par le noyau de la machine ("Loadable Kernel Module" - LKM) et il a deux composants principaux nommés "REPTILE.CMD" et "REPTILE.SHELL".

Le rootkit REPTILE joue le rôle de porte dérobée pour les attaquants, ce qui leur permet d'avoir un accès au système infecté. Ainsi, ils peuvent s'appuyer sur ce rootkit pour exécuter du code et transférer des fichiers de façon discrète. La technique du port knocking est notamment utilisée pour accéder aux machines infectées.

Quant au rootkit MEDUSA, il est utilisé par les cybercriminels pour exécuter des commandes, mais aussi pour collecter les identifiants et les mots de passe, à chaque fois qu'une authentification locale ou distante est réussie. "L'utilisation de REPTILE a généralement été observée après que l'attaquant soit parvenu à accéder à des endpoints compromis où il a été utilisé pour déployer d'autres logiciels malveillants, des keyloggers et des utilitaires.", précise Mandiant.

En complément, UNC3886 a été observé en train d'utiliser de nombreux outils malveillants sur les systèmes compromis : Mopsled, Riflespine, Lookover, etc. Le rapport de Mandiant explique précisément l'intérêt et le fonctionnement de chacun de ces outils. Par exemple, voici l'objectif de Riflespine : "RIFLESPINE est une porte dérobée multiplateforme qui exploite Google Drive pour transférer des fichiers et exécuter des commandes."

Enfin, la liste complète des indicateurs de compromission et des règles YARA associés à l'activité d'UNC3886 est disponible à la toute fin du rapport de Mandiant.

Source

The post Ces rootkits Linux sont utilisés par les pirates pour contrôler les VMs sur VMware ESXi first appeared on IT-Connect.

Pulseway is a cloud-based remote monitoring and management tool that enables administrators to conveniently oversee and manage systems from anywhere. Version 9.6 introduces various new features, including improved remote control performance, advanced custom reporting, bulk action capabilities, patch history tracking, new SNMP and service monitoring, enhanced patch management, and improved automation.

Parmi les nouveaux de Windows 11 24H2, Microsoft apporte le système sudo notamment pour les développeurs.
Sudo (superuser do) est une commande qui vous permet d’exécuter des programmes élevés sans exécuter le terminal Windows en tant qu’administrateur.

Dans ce tutoriel, je vous explique comment activer sudo pour Windows et je vous apprends à l’utiliser.

Comment activer sudo pour Windows

• Faites un clic droit sur le menu Démarrer puis Paramètres. Pour aller plus vite, vous pouvez aussi utiliser le raccourci clavier + I. Sinon d’autres méthodes dans le tutoriel suivant : Comment ouvrir les paramètres de Windows 11
• Allez dans Système puis à droite dans Espace développeurs
• Enfin passer le commutateur Activé sur “Activer sudo“

• Puis le contrôle des comptes d’utilisateurs (UAC) se déclenche, cliquez sur Oui

• Sudo est maintenant activé sur le système

Configurer les modes de Sudo

Sudo dispose de trois modes différents :

• Dans une nouvelle fenêtre : Exécute le terminal avec des privilèges élevés
• Avec entrée désactivée : Exécute le terminal en ligne en tant qu’administrateur avec l’entrée standard fermée dans la fenêtre dans laquelle vous avez exécuté l’élévation. L’interaction avec le processus élevé est également bloquée
• En ligne (Inline) : Le terminal vous permet d’exécuter des tâches administratives dans la même fenêtre, comme dans Linux et macOS

Vous pouvez choisir le mode depuis le paramètre “Configurer le mode d’exécution des applications par sudo“

Il est également possible d’activer ou de désactiver Sudo et de modifier son mode à l’aide de la commande :

sudo config --enable normal

Comment utiliser Sudo

L’utilisation est extrêmement simple, il suffit de passer la commande en tout début.
Par exemple, prenons le cas de netstat :

netstat -ano

Ce qui nous donne :

sudo netstat -ano

L’UAC se déclenche et le résultat de la commande s’affiche dans la fenêtre courante ou dans une nouvelle fenêtre selon le mode sudo choisi.

L’article Activer et utiliser Sudo pour Windows est apparu en premier sur malekal.com.

Pouvons-nous dire adieu au chiffrement de bout en bout en Europe ? La question mérite d'être posée puisque le Conseil de l'Union Européenne voudrait surveiller nos conversations, dans le cadre d'un projet surnommé Chat Control par certaines personnes. La présidente de Signal a fait connaître son mécontentement.

Dans le courant de la semaine, le Conseil de l'Union Européenne doit modifier la réglementation visant à lutter contre les abus sexuels sur les enfants. Pour cela, les autorités aimeraient que les fournisseurs d'outils de communication fassent le nécessaire pour détecter les contenus pédopornographiques et les contenus illicites. Une première version de ce texte avait été présentée en mai 2022. Ce jeudi 21 juin 2024, la version finale de ce texte doit être présentée et approuvée.

Les applications telles que WhatsApp, Signal et Telegram intègrent du chiffrement de bout en bout (E2EE - End to End Encryption) qui est là pour assurer la sécurité des échanges, mais aussi assurer la confidentialité des conversations. Cette sécurité est là pour garantir la protection de la vie privée des utilisateurs. Ce qu'aimerait l'UE, c'est qu'une vulnérabilité soit introduite volontairement pour permettre la possibilité d'accéder au contenu des conversations privées.

La Présidente de Signal, Meredith Whittaker, a fait part de son mécontentement dans un nouveau communiqué : "Il est impossible de mettre en œuvre de telles propositions dans le contexte des communications chiffrées de bout en bout sans compromettre fondamentalement le chiffrement et créer une vulnérabilité dangereuse dans l'infrastructure de base qui aurait des répercussions mondiales bien au-delà de l'Europe."

Meredith Whittaker semble très remontée contre l'UE et cette envie de surveiller les conversations des utilisateurs. Ce qui est certain, c'est qu'elle ne se laissera pas faire et qu'elle compte bien défendre l'intérêt du chiffrement bout en bout, au nom de la défense de la vie privée des utilisateurs.

"Nous pouvons appeler cela une porte dérobée, une porte d'entrée ou la "modération du téléchargement". Mais quel que soit le nom qu'on lui donne, chacune de ces approches crée une vulnérabilité qui peut être exploitée par des pirates informatiques et des États-nations hostiles, en supprimant la protection des mathématiques inviolables et en la remplaçant par une vulnérabilité importante.", peut-on lire. Il est clair que cela ouvre la porte à la surveillance de masse.

Les solutions suisses Proton et Threema fustigent également et sont totalement contre l'idée proposée par l'UE.

Qu'en pensez-vous ?

Source

The post L’Europe veut surveiller les messageries sécurisées : Signal fait part de son mécontentement ! first appeared on IT-Connect.

Une nouvelle étude réalisée par SOCRadar met en lumière l'explosion des attaques par phishing depuis le lancement du chatbot IA d'OpenAI : le bien nommé ChatGPT. Voici ce qu'il faut retenir de cette étude.

Depuis que ChatGPT a été lancé, ce n'est pas la première fois qu'une étude met en évidence l'augmentation considérable des campagnes de phishing. D'ailleurs, son utilisation à des fins malveillantes n'est pas nouvelle, même si OpenAI et les autres "éditeurs" d'IA essaient de lutter contre cela.

La nouvelle étude publiée par SOCRadar évoque une augmentation de 4 151% des e-mails malveillants utilisés dans le cadre de campagnes de phishing, depuis le lancement de ChatGPT : "Depuis qu'OpenAI a lancé ChatGPT à la fin de l'année 2022, les chercheurs signalent une augmentation stupéfiante de 4 151 % des courriels malveillants.", peut-on lire.

Rien que sur l'année écoulée, une augmentation de 856% a été constatée. Ces campagnes malveillantes ciblent aussi bien les particuliers que les organisations, même si depuis janvier 2024, le nombre de boites aux lettres d'entreprise compromises a augmenté de 29%.

"Avec une augmentation stupéfiante de 856 % des courriels malveillants - et une augmentation de 4 151 % depuis le lancement de ChatGPT - les organisations doivent être en état d'alerte.", précise le rapport au sein duquel nous pouvons retrouver un graphe issu de l'étude "The State of Phishing in 2024" de SlashNext.

Des kits de phishing prêts à l'emploi, à la portée de tout le monde

Cette croissance énorme n'est pas étonnante, car les cybercriminels, au même titre que tous les utilisateurs, peuvent solliciter l'IA pour lui demander de générer des modèles d'e-mails. Ceci leur permet de générer des e-mails, prêts à l'emploi, dans la langue de leur choix, sans faire le moindre effort. De plus, ils peuvent utiliser l'IA pour générer du code, et ainsi développer plus rapidement des logiciels malveillants ou des kits de phishing prêts à l'emploi.

À ce sujet, voici les précisions apportées par SOCRadar : "Ces kits fournissent aux cybercriminels des outils et des modèles prépackagés pour lancer des campagnes de phishing, ce qui permet à des attaquants moins qualifiés de mener plus facilement des attaques sophistiquées." - Distribués sur le Dark Web ou par l'intermédiaire de canaux Telegram, ces kits de phishing sont désormais très complets et à la portée de tous.

Phishing : 10 signes qui ne trompent pas pour identifier un e-mail malveillant

Quand vous recevez un e-mail, soyez vigilant et permettez-vous d'avoir constamment un doute, même si l'e-mail provient d'un ami, de votre boss ou d'un collègue. Voici 10 signes à vérifier pour aider à identifier un e-mail malveillant (liste issue du rapport SOCRadar).

- Messages urgents : les e-mails qui impliquent une action immédiate de votre part, sur un compte bancaire ou pour un colis, par exemple, sont des pièges.

- Expéditeur inconnu : vous ne connaissez pas l'expéditeur ou l'e-mail est plutôt inattendue, il peut s'agir d'une usurpation de l'adresse e-mail.

- Liens suspects : les cybercriminels chercheront toujours à vous piéger avec une pièce jointe malveillante ou un lien malveillant, donc méfiez-vous des liens qui vous dirigent vers des sites web inconnus ou falsifiés. Le survol du lien à partir du client de messagerie révèle la véritable URL : l'occasion de voir le nom de domaine qui se cache derrière ce lien.

- Liens incohérents : méfiez-vous aussi des liens similaires au nom de domaine d'origine, mais qui ne correspondent pas au domaine officiel. Technique du typosquatting où l'attaquant pourrait utiliser "credtimutuel.fr" au lieu de "creditmutuel.fr", par exemple (à condition qu'il soit propriétaire du nom de domaine).

- Pièces jointes : les pièces jointes, au même titre que les liens, sont un véritable danger, notamment lorsque l'extension est .exe, .zip ou .doc, car elles peuvent contenir des logiciels malveillants. Dans certains cas, il peut s'agir d'un simple QR code placé dans un document PDF et qui vous redirigera vers un site malveillant s'il est scanné. Le service PhaaS ONNX est un bon exemple.

- Formatage incohérent : prêtez attention à la mise en forme des e-mails : la police, les couleurs, la mise en page ou les éventuelles images, notamment si cela ne correspond pas au style habituel de l'expéditeur.

- Quand l'offre est trop belle pour être vraie : on veut vous offrir un cadeau, un avantage exceptionnel ? Méfiez-vous, ne soyez pas naïf.

- Demandes d'informations personnelles : les e-mails où l'on vous sollicite pour obtenir des informations sensibles telles que des numéros de sécurité sociale ou des détails de cartes bancaires sont à supprimer sans réfléchir.

- Un e-mail trop générique : un e-mail généré à partir d'une IA peut manquer de personnalisation et être trop générique, notamment si des formulations comme "Cher client" sont utilisées. Néanmoins, avec les nombreuses fuites de données, les attaquants peuvent avoir en leur possession suffisamment d'informations à votre sujet pour créer un e-mail personnalisé et trompeur.

- Demandes inhabituelles : tout ce qui vous semble inhabituel peut être suspect, surtout s'il s'agit d'un paiement ou de la communication d'informations personnelles.

"Quand il y a un doute, c'est qu'il n'y a pas de doute"

The post Depuis le lancement de ChatGPT, les attaques par phishing ont augmenté de 4 151% ! first appeared on IT-Connect.

La nouvelle version de la suite bureautique open source ONLYOFFICE Docs a été dévoilée ! Quelles sont les nouveautés d'ONLYOFFICE Docs 8.1 ? Réponse dans cet article.

Pour rappel, ONLYOFFICE Docs est une suite bureautique open source conforme au RGPD, et utilisée par plus de 15 millions de personnes dans le monde.

D'abord, sachez que cette nouvelle mouture d'ONLYOFFICE Docs introduit plus de 30 nouvelles fonctionnalités et elle corrige un total de 432 bugs. Parmi les principales nouveautés, on retrouve un éditeur PDF plus complet, de nouvelles fonctions de sécurité notamment pour les feuilles de calcul, ainsi que de nouvelles versions pour les applications de bureau. De plus, l'équipe d'ONLYOFFICE a retravaillé certains éléments graphiques de l'interface, notamment certains boutons, pour améliorer l'expérience utilisateur.

Voici un résumé des nouveautés.

Un éditeur PDF plus complet

ONLYOFFICE Docs 8.1 intègre un éditeur plus complet pour un format de document très populaire : le format PDF. Cet éditeur natif permet de visualiser des documents PDF, mais aussi de les éditer directement. L'utilisateur peut éditer le texte, modifier les pages et la structure du document PDF (rotation, suppression, ajout), ainsi qu'insérer des objets divers et variés : images, formes, tableaux, etc.

De plus, la suite ONLYOFFICE Docs intègre également la création de formulaires PDF, simplifiant ainsi le processus pour les utilisateurs.

Nouvelles options dans l'éditeur de documents texte

Les utilisateurs peuvent désormais appliquer des couleurs d'arrière-plan aux pages et choisir le format de numérotation. La navigation entre les modes Édition, Révision et Lecture a été optimisée, permettant un changement fluide sans affecter les autres co-auteurs.

Plus de sécurité dans les tableurs

ONLYOFFICE Docs 8.1 apporte des fonctionnalités de sécurité pour restreindre l'affichage des cellules dans les plages protégées. Ceci est utile pour protéger des données importantes. De plus, l'historique de collaboration va mettre en évidence les cellules modifiées des versions.

Enfin, de nouvelles fonctions comme "GETPIVOTDATA" et "IMPORTRANGE" ont été ajoutées, ainsi que la possibilité de copier ou déplacer des feuilles entre classeurs ouverts dans un même navigateur.

Nouvelles options pour la création de présentations

L'éditeur de présentation intègre une nouvelle fonction baptisée "Masque de diapositives" pour appliquer une même mise en page à plusieurs diapos de façon simple et rapide. De plus, un panneau d'animation permet de visualiser les effets appliqués sur la ligne de temps, et les développeurs ont retravaillé le panneau des diapositives pour le rendre plus convivial.

Ce n'est pas tout...

• Bibliothèque de modèles étendue

La bibliothèque de modèles inclut désormais des documents texte, des feuilles de calcul et des présentations, disponibles gratuitement en plusieurs langues. Les utilisateurs peuvent proposer leurs propres modèles pour enrichir la bibliothèque.

• Mises à jour des applications de bureau

Les applications de bureau gratuites "ONLYOFFICE Desktop Editors" ont également été mis à jour vers la version 8.1. En plus des nouveautés disponibles dans la version Web en ligne, ces applications intègrent un lecteur de fichiers vidéo et audio amélioré, ainsi que la possibilité de masquer l'option « Connecter au Cloud ».

Source : communiqué de presse

The post Quelles sont les nouveautés de la suite ONLYOFFICE Docs 8.1 ? first appeared on IT-Connect.

In Kubernetes 1.30, notable improvements have been made to job management, especially for indexed jobs. The newly introduced success/completion policies, succeededIndexes and succeededCount, offer more precise control over job success criteria. These policies provide enhanced flexibility and robustness, ensuring that specific job indexes or a sufficient number must succeed before the job is considered complete.

I. Présentation

Dans cet article, nous allons nous intéresser aux attaques par brute force qui peuvent être menées sur les comptes utilisateurs d'un Active Directory.

Nous allons plus précisément étudier les évènements qui sont générés par défaut dans un Active Directory lors d'une attaque par brute force, mais aussi comment et pourquoi il est nécessaire d'améliorer la stratégie d'audit par défaut de l'Active Directory pour une meilleure détection.

Enfin, je vous partagerai quelques éléments et requêtes permettant détecter et visualiser une attaque par brute force dans un SIEM tel qu'ELK (ElasticSearch, Logstash, Kibana).

Si vous souhaitez en savoir plus sur ce qu'est une attaque par brute force avant de commencer la lecture de cet article, je vous oriente vers notre article à ce sujet :

• Qu'est-ce qu'une attaque par brute force ?

II. Les évènements générés lors d'une brute force

A. Les journaux par défaut de l’Active Directory

Commençons par nous intéresser aux évènements générés par l'Active Directory lors de l'exécution de telles attaques dans une configuration par défaut.

Au sein d’un lab composé d’un Active Directory en configuration par défaut, d’une machine d’attaque sous Kali Linux et d’un SIEM ELK chargé de collecter les journaux d’évènements, j’ai commencé par opéré une attaque par brute force classique sur le service Kerberos de mon Active Directory, puis 5 minutes plus tard via SMB, et enfin 5 minutes plus tard via LDAP.

Dans ma configuration actuelle, je remonte sur mon ELK tous les évènements du journal “security” ("Sécurité"), c’est ici que l’on s’attend à pouvoir découvrir un évènement de sécurité relatif à notre domaine.

Chaque opération a ciblé 2500 comptes utilisateurs (dont certains valides) et 2 mots de passe (dont certains valides aussi) :

# 21:15 - password spraying Kerberos
kerbrute passwordspray -d it-connect.tech --dc 192.168.56.102 list_domainUsers.txt 'Abcd1234!!'
kerbrute passwordspray -d it-connect.tech --dc 192.168.56.102 list_domainUsers.txt 'Abcd1234!'

# 21:20 - Brute force service SMB
netexec smb 192.168.56.102 -u list_domainUsers.txt -p /tmp/2passwords.txt -d it-connect.tech

# 21:25 - Brute force service SMB
hydra -L list_domainUsers.txt -P /tmp/2passwords.txt 192.168.56.102 ldap2

Voici les journaux récupérés immédiatement après l’attaque via le service Kerberos :

Il semble que ne soient journalisées uniquement les tentatives d’authentification réussies (plus précisément les demandes de TGT). Voici les journaux récupérés immédiatement après l’attaque via le service SMB :

Aucun nouvel évènement n’est présent alors que l’attaquant vient d’opérer plus de 5 000 tentatives d’authentification directement sur l’Active Directory. Le résultat sera le même côté LDAP.

Dans le cas où l’on regarderait uniquement nos journaux via le SIEM ELK, nous pourrions nous attendre en toute logique à voir 3 * (2500*2) = 15 000 évènements (au moins) sur le quart d’heure de réalisation des tests, cependant :

Il n’en est rien. Dans mon ELK, à peine une soixantaine d’évènements de sécurité sont journalisés.

On peut donc affirmer que les journaux de sécurité par défaut d’un Active Directory Windows ne permettent pas d’identifier une attaque par brute force. Les demandes réussies de TGT sur le service Kerberos sont bien journalisées, mais en dehors de cela concernant les évènements du journal “security”, nous sommes parfaitement à l’aveugle. Il va falloir une fois de plus suivre les bonnes pratiques des guides de sécurité !

Pour être tout à fait précis, lors de la réalisation de l’attaque par brute force sur le service SMB, des logs sont bien produits et permettent effectivement d’identifier une potentielle attaque, néanmoins ces logs sont bien cachés et pas vraiment surveillés la plupart du temps. Il s’agit des logs du service SMB du serveur qui héberge le service (qui peut donc être différent de l’Active Directory, même si les tentatives d’authentification concernent des utilisateurs du domaine) :

On peut ici voir plusieurs évènements relatifs à des tentatives d’authentification. Ils sont assez peu précis puisque le login de l’utilisateur concerné n’est pas journalisé. Ces évènements sont journalisés localement par le service SMB, et non directement par le service Active Directory.

Dans les faits, les journaux des services SMB des serveurs du domaine sont loin d’être les premiers auxquels on va s’intéresser. Dans la configuration par défaut des principaux agents de collecte de logs, ces journaux ne sont pas collectés pour centralisation.

Cela signifie que, dans le cas d’une attaque ciblant le service SMB d’un serveur intégré au domaine (hors contrôleur de domaine), le service SMB de ce serveur journalisera localement les évènements de tentative d’authentification, mais l’Active Directory, qui est l’autorité à qui est déléguée l’authentification, ne journalisera lui rien du tout à cause de sa configuration par défaut. Autrement dit, les journaux produits par le service SMB restent sur le serveur qui héberge le service SMB. Les potentiels journaux que l’on pourrait s’attendre à voir concernant l’Active Directory et son rôle d’autorité d’authentification (ici dans le cadre du NTLM), ne sont toujours pas produits.

L'authentification NTLM est un protocole d'authentification challenge/response utilisé pour authentifier un utilisateur sans envoyer son mot de passe sur le réseau. Lorsque vous vous authentifiez auprès d’un ordinateur intégré au domaine (qui n'est pas un contrôleur de domaine), ce serveur délègue la vérification de l’identité au contrôleur de domaine. Dans le cas de NTLM, il transmet les informations de challenge/réponse au contrôleur de domaine pour validation.

Dans un tel cas et si l’attaquant a connaissance de cette configuration, il peut donc cibler un service SMB d’un serveur autre que l’Active Directory mais quand même intégré au domaine. Son attaque produira des journaux locaux concernant le service SMB (non surveillés), mais les demandes de validation de l’identité de l’utilisateur que le serveur visé transmettra à l’AD ne seront eux pas journalisés.

B. Durcissement de la stratégie d’audit

Heureusement pour nous, il existe un moyen de faire en sorte que l’Active Directory génère les évènements relatifs aux tentatives d’authentification (réussies ou non). Il faut pour cela paramétrer la stratégie d’audit selon les bonnes pratiques de sécurité, c'est-à-dire tel que recommandé par les guides de l’ANSSI ou du CIS :

Ces recommandations visent à rendre les logs plus complets en activant la journalisation d'évènements de sécurité d'importance. Concernant l’audit de l’authentification, nous allons nous rendre dans l’éditeur de gestion des stratégies de groupe et plus précisément dans la GPO qui s’applique aux contrôleurs de domaine. Pour l’exemple, j’opère directement sur la GPO “Default Domain Controllers Policy”.

Il faut ensuite aller dans “Configuration ordinateur > Paramètres Windows > Configuration avancée de la stratégie d’audit > Stratégie d’audit > Connexion de compte” :

Il faut ici sélectionner la stratégie “Auditeur le service d’authentification Kerberos” et activer “Succès” et “Echecs” :

Comme nous l’avons vu, cela permet d’aller plus loin que la configuration par défaut qui ne journalise que les succès. Il faut également sélectionner la stratégie “Auditer la validation des informations d’identification” et également cocher “Succès” et “Échec” :

Cette seconde configuration nous permettra de journaliser les succès et échecs d’authentification passant par NTLM, pour lequel l’Active Directory est l’autorité de référence au sein d’un domaine.

Ainsi, même si l’on tente de s’authentifier sur le service SMB d’un serveur intégré au domaine (autre que l’Active Directory), celui-ci passera par l’Active Directory afin de valider l’identité de l’utilisateur. Celui-ci pourra alors journaliser cette demande de validation d’identité. Suite à ces modifications, il faut attendre que la GPO se déploie sur nos contrôleurs de domaine ou forcer la mise à jour via “gpupdate /force” :

Dès lors, voici à quoi ressemblent les journaux d’évènements de sécurité de l’Active Directory lors d’une attaque par brute force sur le service SMB (ciblant lui-même ou une machine intégrée au domaine) :

Voilà qui est plus intéressant ! Si l’on regarde plus en détail le contenu de l’évènement dans l’Observateur d’évènement, nous pouvons comprendre qu’il s’agit bien d’évènements en relation avec une tentative échouée d’authentification :

Bon, les détails techniques peuvent certes manquer (adresse IP source). Mais le nombre d’évènements et surtout leur présence dans le journal “Security” nous permettent déjà d’envisager la détection d’une telle attaque.

L’évènement ID 4776 (The domain controller attempted to validate the credentials for an account) apparaît lorsqu’un ordinateur du domaine tente de valider les identifiants qu’un utilisateur lui a envoyés. On peut notamment s’intéresser au code d’erreur pour comprendre le résultat précis de cette demande de validation :

Dans l’exemple ci-dessous, le code d’erreur nous apprend qu’il s’agit d’un compte existant, mais pour lequel le mot de passe saisi est incorrect :

Voici à présent les évènements que l’on peut visualiser lors d’une attaque par brute force sur le service Kerberos lorsque la stratégie d’audit est correctement configurée :

Ici aussi, nous comprenons rapidement qu’il s’agit d’un échec d’authentification si l’on regarde le contenu de l'évènement, le message et le type d’entrée :

L’évènement 4771 (Kerberos pre-authentication failed) est journalisé lorsqu’un utilisateur qui tente de s’authentifier sur le service Kerberos échoue à le faire (compte expiré, mauvais mots de passe, mauvaise version du protocole, etc.). On remarquera à nouveau le code d’échec (“0x18”) qui indique encore une fois un mauvais mot de passe saisi :

Concernant une attaque via le protocole LDAP, l’authentification repose également sur NTLM dans un environnement Active Directory classique, les évènements journalisés sont donc les mêmes qu’une attaque sur le protocole SMB (4776). À noter qu’il en est de même pour d’autres services dont l’authentification repose sur l’Active Directory si Kerberos n’est pas celui utilisé (MSSQL, RDP, etc.).

C. Surveiller le verrouillage des comptes utilisateur

À défaut d’avoir une stratégie d’audit correctement configurée au moment de la réalisation de l’attaque, notamment si vous êtes dans un contexte d’analyse “post mortem” (c’est-à-dire après constatation de l’incident), nous pouvons tenter de nous baser sur l’évènement relatif au verrouillage d’un compte utilisateur.

Dans un environnement Active Directory, la valeur par défaut du seuil de verrouillage d'un compte est 0 tentative échouée. Cette configuration signifie que le verrouillage de compte est désactivé. Il est fortement recommandé de mettre en place une valeur différente de 0, mais tout de même raisonnablement élevée afin d’éviter que l’utilisateur ne se bloque lui-même.

À titre d’exemple, les recommandations de Microsoft intégrées au Microsoft Security Compliance Toolkit proposent un seuil de 10 tentatives.

Pour en savoir plus sur la stratégie de verrouillage des comptes, je vous oriente vers notre article à ce sujet :

• IT-Connect - Active Directory et le verrouillage des comptes

Dans le cas où un seuil de verrouillage des comptes est effectivement en place, il est possible qu’une attaque par brute force entraîne le verrouillage temporaire des comptes ciblés. Cela va alors générer des évènements tels que ceux-ci (dans la configuration par défaut des stratégies d’audit) :

En surveillant activement ce type d’évènement et surtout leur nombre d’apparitions dans le temps, il devient possible de détecter une attaque par brute force.

Attention, dans les faits, si l’attaquant possède déjà un accès au domaine, il peut très facilement récupérer la politique de mot de passe en place (incluant le seuil de verrouillage) et calibrer son attaque pour rester en dessous du seuil de verrouillage. Cela ralentira grandement son attaque (c’est le but !), mais évitera l’apparition de tels évènements dans les journaux de sécurité.

III. Détection d'une attaque par brute force avec ELK

Bien ! Maintenant que nous en savons plus sur ce qu'est une attaque par brute force et notamment quels sont les évènements qui peuvent être générés lors d'une telle attaque (si la stratégie d’audit est bien configurée), nous allons nous intéresser aux possibilités de détection active via le SIEM ELK. J’ai réitéré mon trio d’attaque (Kerberos, LDAP, SMB) sur une période de 15 minutes :

Voilà qui est beaucoup plus parlant ! J’obtiens bien mes 15 000 évènements et peux même identifier clairement sur le graphique l’heure d’exécution de mes différentes attaques. Pour être plus précis, nous pouvons utiliser une requête KQL ciblant uniquement les évènements vus précédemment, ceux relatifs aux échecs d’authentification :

# Requête KQL qui filtre les event.code 4771 et 4776
event.provider: Microsoft-Windows-Security-Auditing and (event.code:4776 or event.code: 4771)

Sur un environnement classique avec des milliers d’utilisateurs qui se trompent parfois de mot de passe, voici le résultat que peut donner un tel filtre si une attaque par brute force à eu lieu :

Nous voyons clairement qu’au milieu des échecs d’authentification habituels assez peu nombreux, un pic de tentatives infructueuses d’authentification est présent. Enfin, nous pouvons en complément utiliser une requête KQL qui nous permet de visualiser les verrouillages des comptes :

# Requête KQL qui filtre les event.code 4771 et 4776
event.provider: Microsoft-Windows-Security-Auditing and event.code:4740

Voici alors l’effet qu’aura une attaque par brute force dans le résultat de cette requête KQL :

A 15h22, plus de 200 comptes utilisateur ont été verrouillés, ce qui apparait comme anormal au regard de l'occurrence habituelle de cet évènement. Attention toutefois, nous avons vu les limites de cette technique de détection :

• L’attaquant peut prendre connaissance du seuil de verrouillage en place et configurer son attaque pour ne pas l’atteindre.
• Le seuil de verrouillage par défaut est à 0, donc aucun événement de ce type n’apparaîtra sans un durcissement préalable de ce paramètre.

IV. Conclusion

Dans cet article, nous avons vu que les possibilités de détection d’une attaque par brute force avec la configuration par défaut de la stratégie d’audit du domaine sont limitées. Grâce aux durcissements de configuration proposés par de nombreux guides de bonnes pratiques, il est possible de journaliser chaque tentative d’authentification (en succès ou en échec) et donc de se donner la possibilité de détecter ce type d’attaque. Au travers quelques requêtes basiques dans un SIEM (ELK dans cet article), nous sommes parvenus à identifier une attaque par brute force.

Bien sûr, l’attaquant peut toujours étaler son attaque dans le temps afin de passer sous les radars (éviter un pic d’évènement dans un SIEM ou le déclenchement du seuil de verrouillage). Dès lors, son attaque sera beaucoup moins efficace, d’autant plus si des mots de passe robustes sont en place (imaginez tester 5000 mots de passe avec un ratio de 5 tentatives par compte toutes les 30 minutes).

Différents guides de l’ANSSI ont été cités dans cet article. Je vous recommande leur lecture pour aller plus loin concernant la sécurité d’un environnement Active Directory :

• ANSSI – Recommandations pour l’administration sécurisée des SI reposant sur l’Active Directory
• ANSSI – Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows
• ANSSI – Points de contrôle Active Directory
• ANSSI – Recommandations relatives à l'authentification multifacteur et aux mots de passe

N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !

The post Sécurité Active Directory – Comment détecter les attaques par brute force dans un domaine ? first appeared on IT-Connect.

Windows 11 24H2 (Mise à jour de fonctionnalités Windows 11 24H2) est la prochaine version du système d’exploitation dont Microsoft a confirmé la sortie en septembre ou octobre 2024. Cependant, l’entreprise américaine a publié la mise à jour de certaines fonctionnalités pour les PC Copilot+ à partir du 18 juin.

Elle confirme la poursuite de l’intégration de l’IA dans Windows 11, y compris l’amélioration de Copilot dans le système et les applications et l’introduction de nouvelles fonctionnalités, telles que Windows Recall, Voice Clarity, Windows Studio Effects, Live Captions, et Automatic Super Resolution (Auto SR).
Mais vous trouverez aussi de nombreuses améliorations non liées à l’intelligence artificielle.

Dans cet article, je vous énumère les nouvelles fonctionnalités et les changements attendus dans la prochaine mise à jour.

Quelles sont les nouveautés de Windows 11 24H2

Copilot+ et intelligence artificielle

Dans les versions précédente de Windows 11, Copilot a fait son apparition
L’application est en fait la version web de Copilot installée en tant qu’application web sur Windows 11. Elle fonctionne comme avant, mais ne peut par exemple pas modifier les paramètres du système.

Windows 11 24H2 apporte une modification signification de Copilot nommée Copilot+.
Elle vise simplement à faire en sorte que l’assistant se comporte davantage comme une application épinglée à la barre des tâches. C’est ce qu’explique Microsoft : “Vous bénéficiez ainsi des avantages d’une application classique. Par exemple, vous pouvez redimensionner, déplacer et accrocher la fenêtre“.
Microsoft prévoit d’ajouter les suggestions de Copilot partout où le chatbot est disponible pour aider, y compris dans l’application Paramètres et les notifications de toasts. De plus, l’interface a été mise à jour avec un nouveau design similaire à l’expérience OpenAI ChatGPT sur le web.

De plus, Copilot+ apporte de nouvelles fonctionnalités telles que Voice Clarity, Windows Studio Effects, Live Captions, et Automatic Super Resolution (Auto SR).
Initialement, elle devrait aussi apporter Windows Recall, l’entreprise a depuis fait marche arrière sur la technologie d’enregistrement effrayante Recall, suite à une tempête de critiques, et a confirmé que la première vague de PC Copilot+ arriverait désormais sans le service prêt à l’emploi.
Ces fonctionnalités sont décrites ici et dans la suite de cet article.

En résumé Microsoft continue d’intégrer toujours plus de fonctionnalités liées à l’intelligence artificielle dans son système d’exploitation.

Mais cette nouvelle fonctionnalité n’est disponible pour tout le monde. Seuls les PC avec une configuration de 16 Go de RAM, 256 Go de stockage et une NPU (Neural Processing Unit) capable d’effectuer au moins 40 TOPS (trillions d’opérations par seconde) peuvent en bénéficier.

En lien : Comment Microsoft introduit l’IA dans Windows 11

Windows Recall (IA)

Le point fort de ces fonctionnalités de Copilot+ est sans doute Recall, qui avait été appelé « AI Explorer » avant l’annonce officielle. Recall est en quelque sorte le successeur de Timeline, une fonctionnalité de Windows 10 qui vous permettait d’afficher un historique de votre activité et de revenir facilement à ce que vous faisiez auparavant. Le problème avec Timeline, c’est que tout était manuel, et que vous pouviez donc finir par faire défiler l’écran pendant longtemps sans trouver ce que vous vouliez.
Recall peut retrouver les éléments sur lesquels vous travailliez en les recherchant en langage naturel. Ainsi, si vous rédigez un essai sur les ordinateurs, vous pouvez dire « montrez-moi ce document sur les ordinateurs sur lequel j’ai travaillé la semaine dernière », et Windows 11 peut le retrouver pour vous.

Pour cela, l’application fonctionne avec un champs de recherche que vous pouvez utiliser pour décrire votre recherche à l’aide de texte ou de la voix, puis la fonction affichera vos instantanés pour le contenu le plus pertinent, comme si vous utilisiez un moteur de recherche en ligne à l’aide de texte ou d’images.

Windows Recall fonctionne en arrière-plan et prend des instantanés de tout ce que vous faites sur l’ordinateur. À l’aide de plusieurs modèles d’intelligence artificielle intégrés à l’appareil, la fonction analyse et rend chaque élément de contenu consultable en langage naturel, qu’il s’agisse d’un texte ou d’une image.

Vous aurez le choix d’activer ou de désactiver la fonction à partir de l’expérience out-of-box (OOBE), mais vous pourrez activer ou désactiver Recall manuellement à partir de l’application Paramètres ou de la stratégie de groupe.

Une fois la fonction activée, vous pouvez accéder à l’application Recall à partir de la barre des tâches en utilisant l’icône de la barre d’état système ou l’icône de l’application à côté des autres applications.

Le PC doit être compatible Copilot+ et la fonction nécessite un minimum de 25 Go d’espace, que le système réserve exclusivement au stockage d’un maximum de trois mois d’instantanés. Cependant, l’allocation par défaut sera différente en fonction de la capacité du disque dur du système.

Live Captions (IA)

Bien que Live Captions fonctionne déjà dans Windows pour fournir des sous-titres en anglais pour tout son diffusé sur votre PC (d’un appel Google Meet à une vidéo YouTube ou un flux Twitch), la version de Live Captions de Windows 11 24H2 incluse dans les PC Copilot+ peut effectuer une traduction en temps réel en plus des sous-titres.

Cela signifie que si vous pouvez actuellement activer les sous-titres en direct dans Windows 11, ils ne peuvent être sous-titrés qu’en anglais et ne peuvent pas traduire d’autres langues en anglais en temps réel. Mais avec un PC Copilot+, la fonction Live Captions améliorée peut traduire en anglais n’importe quel son en direct ou préenregistré dans plus de 40 langues, et afficher les sous-titres en anglais instantanément, même lorsque vous n’êtes pas en ligne.

L’audio peut être en direct ou préenregistré à partir de n’importe quelle application ou vidéo. La fonctionnalité peut traduire plus de 40 langues en anglais même sans connexion internet, car elle nécessite une NPU pour fonctionner.

Windows Studio Effects (AI)

Windows Studio Effects est une collection de fonctionnalités disponibles dans Windows 11, conçues pour améliorer la qualité des appels vidéo et audio grâce à des algorithmes d’intelligence artificielle (IA). Ces effets sont particulièrement utiles pour les réunions en ligne, les cours à distance, ou toute autre situation nécessitant une webcam et un microphone.

Les principaux effets de Windows Studio incluent :

• Flou d’arrière-plan (Background Blur) : Cet effet permet de flouter l’arrière-plan pour que seule la personne devant la caméra soit mise en avant.
• Focus vocal (Voice Focus) : Il filtre les bruits de fond pour que votre voix soit claire et distincte.
• Contact visuel (Eye Contact) : Corrige la direction de votre regard pour donner l’impression que vous regardez directement la caméra, même si vous regardez votre écran.
• Cadre automatique (Automatic Framing) : Cette fonctionnalité ajuste automatiquement le cadrage de l’image pour vous garder au centre de la caméra lorsque vous bougez​

Vous pouvez configurer ces fonctionnalités à partir de Paramètres > Bluetooth et appareils > Caméras ou accéder aux effets à partir de la page « Effets studio » dans le menu déroulant Paramètres rapides.

Il est important de noter que les effets de studio sont disponibles depuis un certain temps, mais qu’à partir de la version 24H2, ils sont plus largement disponibles sur les PC Copilot+.

Cocreator (IA)

Cocreator est une nouvelle fonctionnalité de Paint dans Windows 11 qui n’est disponible que sur les PC Copilot+. Elle vous permet essentiellement d’indiquer à Paint le type d’art que vous souhaitez créer, puis d’affiner la manière dont Paint applique cette demande à l’œuvre d’art que vous créez.

Pour être clair, Cocreator ne génère pas d’image dans Paint pour vous – ce type de génération d’image doit encore être effectué par Copilot ou d’autres programmes d’IA générative. Au lieu de cela, lorsque vous cliquez sur le bouton Cocreator dans Paint, un panneau de contrôle apparaît sur le côté avec une fenêtre de saisie de texte et quelques curseurs.

La fenêtre de saisie de texte vous demande de « décrire ce que vous aimeriez créer », et lorsque vous saisissez une description simple (quelque chose d’aussi simple que « ville cyberpunk » ou d’aussi spécifique qu’« une jolie tortue nageant sous l’océan, avec des récifs coralliens, des poissons et un éclairage spectaculaire »), l’IA applique votre demande à ce que vous dessinez dans Paint.

Voice Clarity (IA)

Toujours grâce à l’intelligence artificielle, vous allez pouvoir améliorer certains audio.
Grâce à la fonctionnalité Voice Clarity (Clarté vocale), il est possible de supprimer les bruits de fond, annuler les échos et réduire la réverbération en temps réel lors d’appels vidéo ou vocaux, ou lors d’enregistrements audio.

En outre, cette fonctionnalité profitera également aux jeux PC avec communication en ligne. Les applications peuvent activer la fonction « Suppression du bruit profond » pour les contenus audio génériques ou à voix seule. La clarté vocale garantit une voix claire lors des réunions en ligne et une communication en ligne plus fluide.

Voice Clarity fonctionne automatiquement sur les applications prises en charge avec le matériel pris en charge qui inclut le NPU. Vous ne trouverez pas d’option permettant d’activer la clarté vocale.

AutoSuper Resolution (IA)

La fonction Auto Super Resolution (en Français Optimisations pour les jeux en mode fenêtré) est remarquable, surtout si vous jouez. Cette fonction est similaire à DLSS de Nvidia, mais elle n’est pas intégrée à Windows, de sorte que tous vos jeux sont plus nets sans que les performances en pâtissent. En fait, ils peuvent tourner à un taux de rafraîchissement plus élevé, car cela soulage le GPU.

Vous pouvez activer la fonction de mise à l’échelle à partir de Paramètres > Affichage > Graphique et activer l’interrupteur à bascule « Auto SR ».

Auto RS est une fonction exclusive pour les PC Copilot+, car l’une des conditions requises est le nouveau NPU du processeur Qualcomm Snapdragon X Elite. En outre, elle ne sera disponible que pour un certain nombre de jeux.

Sudo pour Windows

Microsoft ajoute également la commande « sudo » à Windows 11, une fonctionnalité disponible sur les systèmes d’exploitation basés sur Unix (tels que Linux et macOS) depuis les années 1980.

Sudo (superuser do) est une commande qui vous permet d’exécuter des programmes élevés sans exécuter le terminal Windows en tant qu’administrateur.

Vous pouvez effectuer de nombreuses opérations à l’aide de cette commande, telles que la suppression d’un fichier protégé, l’invocation de commandes élevées et l’ouverture d’un nouveau terminal pour effectuer n’importe quelle tâche.

Vous devez activer l’option manuellement dans Paramètres > Système > Pour les développeurs et activer le paramètre “Activer sudo”.

Il est également possible d’activer ou de désactiver Sudo et de modifier son mode à l’aide de la commande :

sudo config --enable normal

L’option normal signifie « Inline », mais vous pouvez changer l’option en forceNewWindow pour utiliser le mode « Dans une nouvelle fenêtre » ou en disableInput pour le mode « Avec entrée désactivée ».

Une fois la fonctionnalité activée, vous pouvez exécuter des commandes élevées dans un terminal normal pour l’Invite de commande ou PowerShell (par exemple, sudo del monfichier.txt).

Économie d’énergie

“Économie d’énergie” est un nouveau mode d’économie d’énergie qui remplace le mode “Économiseur de batterie” existant. Il permet non seulement de prolonger la durée de vie de la batterie d’un appareil, mais aussi de réduire la consommation d’énergie sur les ordinateurs dépourvus de batterie.

Le mode d’économie d’énergie est en fait basé sur les fonctions « Économiseur de batterie » et « Mode d’alimentation », ce qui signifie qu’il fonctionne de la même manière en prolongeant la durée de vie de la batterie et en réduisant la consommation d’énergie par le biais d’un échange de performances du système.

Pour activer l’économiseur d’énergie, vous devez ouvrir Paramètres > Alimentation (Alimentation et batterie), cliquer sur le paramètre « Économiseur d’énergie », puis configurer la fonction.

Dans le cadre de cette nouvelle fonctionnalité, le menu déroulant Paramètres rapides ajoute une option permettant d’activer ou de désactiver l’option Économie d’énergie.

Prise en charge de la compression TAR, 7z, Gzip, Bzip2 et Zip dans l’Explorateur de fichiers

À partir de la version 24H2, l’Explorateur de fichiers comporte un nouvel assistant de compression pour créer des fichiers TAR, 7z et Zip qui inclut des options pour choisir des formats comme « gzip » et « bzip2 » pour des fichiers individuels ou pour créer des archives avec différents formats tar et types de compression.

En outre, un gestionnaire d’archive est fournit à partir duquel vous pouvez ajuster les niveaux de compression et sélectionner les types de données stockées dans chaque archive pour une plus grande personnalisation. Toutefois, la compression avec cryptage n’est toujours pas prise en charge.

Améliorations du menu contextuel de l’Explorateur de fichiers

Le géant américain a également mis à jour le menu contextuel de l’Explorateur de fichiers avec des étiquettes pour les principaux boutons d’action : couper, copier, coller, renommer, partager et supprimer.

Prise en charge du Wi-Fi 7

Windows 11 24H2 ajoute la prise en charge du Wi-Fi 7 (IEEE 802.11be Extremely High Throughput (EHT)).
Il s’agit de la norme sans fil la plus récente, basée sur les normes Wi-Fi 6 et 6E, qui offre une vitesse maximale théorique de plus de 40 Gbps. Elle est nettement plus rapide que les 9,6 Gbps de la norme Wi-Fi 6 (il est important de se rappeler qu’il s’agit de vitesses théoriques ; dans le monde réel, elles sont bien inférieures).

Mode d’impression protégé

Le mode d’impression protégé de Windows permet aux ordinateurs d’imprimer en utilisant la nouvelle pile d’impression moderne universelle du système (pilote) conçue pour fonctionner uniquement avec les imprimantes Mopria. Cette fonction vous permet de connecter une imprimante à Windows 11 sans avoir besoin d’un logiciel tiers. Désormais, l’imprimante fonctionnera tout simplement.

Cette mise à jour introduit également une option permettant de mettre en pause et de reprendre les travaux d’impression dans Paramètres > Bluetooth et périphériques > Imprimantes et scanners.

Autres améliorations

Amélioration des paramètres rapides : Microsoft ajoute une vue déroulante du menu déroulant des paramètres rapides dans la barre des tâches.

Prise en charge de l’arrière-plan HDR : Les utilisateurs disposant d’un écran HDR pourront définir des images .jxr comme arrière-plan de leur bureau et obtenir un rendu HDR.

La possibilité d’installer des pilotes pendant la configuration, comme le Wi-Fi, pour les utilisateurs qui configurent un PC personnalisé avec une installation entièrement nouvelle.

Prise en charge la version 2.0 de l’USB4, ou USB4 80Gbps. Cette nouvelle norme promet une bande passante bidirectionnelle allant jusqu’à 80 Gbps, ou jusqu’à 120 Gbps dans une seule direction, et sera prise en charge par des ordinateurs portables tels que le Razer Blade 18 de 2024.

L’Explorateur de fichiers permet désormais d’afficher et de modifier les métadonnées des fichiers « .png », notamment de définir des étoiles, de modifier les descriptions et d’ajouter des mots-clés.

La possibilité de diagnostiquer les problèmes liés à Internet en cliquant avec le bouton droit de la souris sur l’icône Internet de la barre des tâches, qui s’anime désormais lors de la connexion à un nouveau réseau.

Certaines applications ne sont plus incluses par défaut, comme Cortana, Mail & Calendrier, Contacts et Cartes,mais vous pouvez toujours les installer.

FAQ sur Windows 11 24H2

L’article Windows 11 24H2 : les nouveautés est apparu en premier sur malekal.com.

ONNX Store, c'est le nom d'une nouvelle plateforme de Phishing-as-a-Service (PhaaS) dont la spécialité est de cibler les comptes Microsoft 365 des salariés du secteur de la finance. Faisons le point sur cette menace.

Pour les cybercriminels, les comptes Microsoft 365 des utilisateurs représentent une cible privilégiée et l'occasion de mettre un pied dans le système d'information d'une organisation. L'accès à un compte Microsoft 365 donne généralement accès à des documents internes de l'entreprise, ainsi qu'à des e-mails, etc. Ce n'est donc pas étonnant de voir des plateformes de PhaaS s'intéresser particulièrement à ces comptes.

Phishing : un document PDF avec un QR code malveillant

Les chercheurs en sécurité de chez EclecticIQ ont fait la découverte d'ONNX Store, qui pourrait bien être le nouveau nom du kit de phishing Caffeine. "En février 2024, les analystes d'EclecticIQ ont découvert des campagnes de phishing ciblant les institutions financières.", peut-on lire dans le rapport d'EclecticIQ. Les employés de banques et de sociétés de financement privées sont notamment pris pour cible.

Pour tenter de piéger les utilisateurs, les pirates distribuent des e-mails de phishing comprenant une pièce jointe au format PDF. Cet e-mail vise à se faire passer pour le service RH de l'entreprise, en prétextant une bonne nouvelle : une augmentation de salaire. Mais, pour en savoir plus, l'utilisateur doit ouvrir le fichier PDF. Quant au document PDF, il contient un QR code malveillant et reprend le thème graphique d'Adobe ou de Microsoft. Cette technique permet de contourner de nombreux systèmes de protection.

Lorsque l'utilisateur scanne le QR code avec son mobile, il est redirigé vers une fausse page d'authentification Microsoft 365. Il est invité à saisir ses identifiants et son code 2FA si l'authentification multifacteurs est utilisée. Dans la foulée, ces informations sont transmises aux cybercriminels et ils peuvent profiter du jeton d'authentification pour compromettre le compte de l'utilisateur.

La plateforme de phishing ONNX Store

Les cybercriminels opèrent par l'intermédiaire de canaux Telegram pour gérer toutes les opérations liées à ONNX Store, y compris pour assurer le support. Il y a également des bots pour répondre à certaines interrogations des affiliés.

Cette plateforme a été conçue pour être robuste et elle s'appuie notamment sur les services de Cloudflare, ce qui permet de bénéficier de plusieurs fonctions dont le proxy IP et le Captcha anti-bot. De plus, pour contourner les systèmes de protection et perturber les scans, du code JavaScript chiffré est utilisé sur la page de phishing.

Comme c'est souvent le cas, les cybercriminels affiliés peuvent personnaliser le template de phishing Microsoft 365 pour qu'il corresponde aux besoins de l'attaque en cours de préparation. Enfin, en fonction des fonctionnalités souhaitées, l'abonnement ONNX Store coûte entre 150 dollars et 400 dollars par mois. L'abonnement le plus coûteux intègre des statistiques sur les liens malveillants, ainsi que le vol de cookies 2FA.

Source

The post Les utilisateurs Microsoft 365 du secteur de la finance ciblés par le service de phishing ONNX first appeared on IT-Connect.

Plusieurs failles de sécurité critiques ont été corrigées dans la solution VMware vCenter Server ! Ces faiblesses permettent d'exécuter du code à distance sur le serveur et d'élever ses privilèges en local. Faisons le point.

Pour rappel, la solution vCenter Server joue un rôle clé sur les infrastructures VMware puisqu'elle permet de centraliser la gestion des serveurs VMware ESXi et de leurs machines virtuelles. Compromettre le serveur vCenter offre à l'attaquant la possibilité de prendre le contrôle complet de l'infrastructure virtualisée.

Sur le site de support de Broadcom, désormais propriétaire de VMware depuis plusieurs mois, un nouveau bulletin de sécurité a été mis en ligne pour évoquer ces 3 nouvelles failles de sécurité : CVE-2024-37079, CVE-2024-37080, et CVE-2024-37081.

Voici des précisions sur ces vulnérabilités :

- CVE-2024-37079 - Score CVSS v3.1 de 9.8 sur 10 : une faille de sécurité de type "heap-overflow" dans l'implémentation du protocole DCERPC de vCenter Server. En l'exploitant, un attaquant connecté au réseau du vCenter peut envoyer des paquets spéciaux dans le but d'effectuer une exécution de code à distance sur le serveur pris pour cible.

CVE-2024-37080 - Score CVSS v3.1 de 9.8 sur 10 : une faille de sécurité similaire à la précédente puisqu'elle est aussi de type "heap-overflow" et qu'elle est présente également dans le protocole DCERPC de vCenter Server. Les conséquences sont les mêmes : une potentielle exécution de code à distance sur le serveur vCenter.

- CVE-2024-37081 - Score CVSS v3.1 de 7.8 sur 10 : une faille de sécurité liée à une mauvaise configuration de l'outil "sudo" dans vCenter Server. Grâce à cette vulnérabilité, un utilisateur local authentifié peut élever ses privilèges en tant que "root" sur l'Appliance vCenter Server.

Vous l'aurez compris, nous avons deux failles de sécurité critiques et une faille de sécurité importante. Mais, alors, qui est affecté et comment se protéger ?

vCenter Server : se protéger des CVE-2024-37079, CVE-2024-37080, et CVE-2024-37081

Ces trois vulnérabilités affectent les versions 7.0 et 8.0 de la solution VMware vCenter Server, ainsi que les versions 4.x et 5.x de VMware Cloud Foundation. Ainsi, VMware a publié de nouvelles versions pour patcher ces vulnérabilités. C'est la seule solution pour se protéger, car VMware ne propose pas de solution alternative : "Des solutions de remplacement à l'intérieur du produit ont été étudiées, mais il a été établi qu'elles n'étaient pas viables.", peut-on lire.

Voici les versions faisant office de patch :

• VMware vCenter Server 8.0 U2d,
• VMware vCenter Server 8.0 U1e,
• VMware vCenter Server 7.0 U3r

En complément, vous pouvez consulter cette FAQ mise à disposition par VMware. Pour les versions Cloud Foundation, référez-vous à cette page.

Source

The post Des failles de sécurité RCE ont été corrigées dans VMware vCenter : patchez votre serveur ! first appeared on IT-Connect.

Amazon has recently introduced support for FIDO2 passkeys. Both root and IAM users can now utilize passkeys linked to a FIDO security key device or an authenticator. Beginning in July 2024, MFA is mandatory for root users. In this article, I will explain how to set up the IAM policy and show how to log into AWS using the fingerprint sensor on a Mac. However, the procedure described here should also work for other authenticators on Windows and Linux. Regrettably, the configuration procedure is complicated, and Amazon's passkeys guide is flawed.

SCHTASKS.EXE est un utilitaire en ligne de commande de Windows permettant de créer, supprimer, configurer et afficher des tâches planifiées sur un ordinateur local ou distant. Cet outil est particulièrement utile pour automatiser diverses tâches administratives et pour gérer la planification de scripts et de programmes.

Dans ce tutoriel, je vous apprends à utiliser SCHTASKS avec la syntaxe et des exemples.

Quelle est la syntaxe de SCHTASKS

Voici la syntaxe de la commande :

SCHTASKS /parameter <arguments>

Voici un tableau avec certaines des options couramment utilisées de la commande SCHTASKS.EXE :

Option	Description
/CREATE	Crée une nouvelle tâche planifiée.
/DELETE	Supprime une tâche planifiée.
/QUERY	Affiche les tâches planifiées sur un ordinateur.
/CHANGE	Modifie une tâche planifiée existante.
/RUN	Exécute une tâche planifiée immédiatement.
/END	Arrête une tâche en cours d’exécution.
/ENABLE	Active une tâche planifiée désactivée.
/DISABLE	Désactive une tâche planifiée.
/S	Spécifie un ordinateur distant.
/U	Spécifie le nom d’utilisateur pour l’ordinateur distant.
/P	Spécifie le mot de passe pour l’ordinateur distant.
/SC	Spécifie le type de planification (MINUTE, HOURLY, DAILY, WEEKLY, MONTHLY, ONCE, ONSTART, etc.)
/TN	Spécifie le nom de la tâche.
/TR	Spécifie le programme ou le script à exécuter.
/ST	Spécifie l’heure de début de la tâche au format HH.
/RI	Spécifie l’intervalle de répétition en minutes.
/I	Spécifie le délai d’inactivité en minutes après lequel la tâche doit s’exécuter.

Comment utiliser l’utilitaire SCHTASKS avec des exemples

Créer une tâche planifiée

Vous pouvez créer de nouvelles tâches qui s’exécutent à des moments spécifiques, de manière quotidienne, hebdomadaire, mensuelle, ou selon une plage horaire définie.
Exemple pour planifier une tâche “Backup” qui exécute C:\script/BackupScript.bat à 2h du matin :

SCHTASKS /CREATE /SC DAILY /TN "Backup" /TR "C:\script\BackupScript.bat" /ST 02:00

Cela retourne :

Opération réussie : la tâche planifiée "Backup" a été créée.

Vous pouvez aussi définir des déclencheurs et des conditions spécifiques pour les tâches, telles que l’exécution de la tâche seulement si l’ordinateur est inactif, si un utilisateur est connecté, etc.Exemple : 

SCHTASKS /CREATE /SC ONIDLE /TN "IdleTask" /TR "C:\script\IdleScript.bat" /I 10

Afficher les tâches planifiée

L’utilitaire en ligne de commandes donne aussi la possibilité d’afficher toutes les tâches planifiées sur un système pour vérifier leur état ou leur configuration.

SCHTASKS /query

L’option /FO peut être utilisé pour spécifier le format de sortie : TABLE, LIST, CSV.

SCHTASKS /query /FO CSV

Pour avoir une sortie en XML :

SCHTASKS /query /XML

Enfin vous pouvez utiliser une redirection pour renvoyer la liste des tâches planifiées vers un fichier texte comme ceci :

SCHTASKS /query > %USERPROFILE%\Desktop\taches.txt

Supprimer des de tâches planifiées

Si vous avez configuré des tâches planifiées que vous souhaitez supprimer, cela est possible avec l’option /DELETE et /TN avec le nom de la tâche planifiée.
Par exemple pour supprimer la tâche “Backup” :

SCHTASKS /DELETE /TN "Backup"

Vous devez confirmer la suppression. Utilisez l’option /F pour forcer la suppression de la tâche et supprime
les avertissements si la tâche spécifiée est en cours d’exécution.

Exécuter une tâche planifiée à la demande

Vous pouvez exécuter des tâches planifiées manuellement à tout moment grâce à l’option /RUN .
Exemple : 

SCHTASKS /RUN /TN "Backup"

Lorsqu’aucune erreur n’a lieue et que la tâche planifiée se lance, vous obtenez :

Opération réussie : tentative d’exécution de la tâche planifiée "Backup".

Modifier une tâche planifiée

Pour modifier les propriétés d’une tâche existante, comme l’heure d’exécution, le programme à exécuter, etc, utilisez l’option /CHANGE et /ST pour définir la nouvelle heure.

Exemple : 

SCHTASKS /CHANGE /TN "Backup" /ST 03:00

Gérer une tâche sur des ordinateurs distants :

Vous pouvez gérer des tâches sur des ordinateurs distants en spécifiant le nom de l’ordinateur ou l’adresse IP.
Pour cela, vous devez spécifier le nom du PC, un nom d’utilisateur et son mot de passe pour y accéder.
Ensuite les options de création de la tâche planifiée sont identiques.

SCHTASKS /CREATE /S <Nom du PC> /U <Nom de l'utilisateur> /P <mot de passe> /SC DAILY /TN "<nom de la tâche planifiée>" /TR "<chemin\fichier>" /ST 02:00

Par exemple pour créer une tâche planifiée sur le poste distant “Serveur” auquel on se connecte avec l’utilisateur administrateur :

SCHTASKS /CREATE /S Serveur /U Administrateur /P dz4fz4f45 /SC DAILY /TN "RemoteBackup" /TR "C:\script\RemoteBackupScript.bat" /ST 02:00

L’article SCHTASKS : créer, supprimer, configurer et afficher des tâches planifiées en ligne de commandes est apparu en premier sur malekal.com.

I. Présentation

Dans ce tutoriel, nous allons voir comment mettre en place une politique de mot de passe d'un système d'exploitation Linux en utilisant PAM (Pluggable Authentication Module) et le module "pwquality". Nous verrons comment gérer les différents paramètres de cette politique.

Une politique de mot robuste est l'une des premières protections que doit comporter tout système ou application. Le terme "politique de mot de passe" comprend toutes les règles qui visent à gérer la structure des mots de passe (composition, longueur), mais aussi leur cycle de vie (renouvellement, changement, historique, durée de validité) et leur utilisation (nombre de tentatives d'authentification).

Il est important d’avoir une bonne gestion et une bonne configuration de la politique des mots de passe sur son système. Pour rappel, un mot de passe fort doit suivre les recommandations suivantes :

• Comprendre au moins 12 à 14 caractères.
• Ne pas contenir ni votre nom d’utilisateur, ni votre vrai nom, ni le nom de la société ou autre donnée en relation avec vous.
• Contenir des caractères provenant de chacune des quatre catégories suivantes : minuscule, majuscule, chiffre, caractères spéciaux.

Pour aller plus loin dans la compréhension de ce qu'est un mot de passe robuste, je vous oriente vers la documentation de l'ANSSI sur ce sujet :

• ANSSI - Recommandations relatives à l'authentification multifacteur et aux mots de passe.

Pour rappel, PAM est un système modulaire qui gère l’authentification des utilisateurs sous Linux. Nous allons utiliser le module "pwquality" qui permet de gérer tous les paramètres relatifs à la structure du mot de passe.

Version originale de l'article : 10 septembre 2013.

II. Gestion de la politique des mots de passe avec PAM

A. Installation de libpam-pwquality

Pour commencer, nous devons installer le module nécessaire pour finement gérer la qualité des mots de passe avec PAM : le module "libpam-pwquality.

# Installer libpam-pwquality sous Debian
sudo apt-get update
sudo apt-get install libpam-pwquality

# Installer libpam-pwquality sous Red Hat
sudo yum install pam_pwquality

Pour information, "libpam-pwquality" et "pam_pwquality" ont remplacé "libpam-cracklib" et "pam_cracklib" dans les distributions modernes. Cette installation devrait faire apparaitre le fichier "pam_pwquality.so" dans le dossier "/usr/lib/x86_64-linux-gnu/security/" :

root@debian:~# find / -name "pam_*.so" 2>/dev/null
[...]
/usr/lib/x86_64-linux-gnu/security/pam_pwquality.so
[...]

B. Configuration de libpam-pwquality

Nous nous rendons ensuite dans le répertoire "/etc/pam.d/" où se trouvent les fichiers de configuration de PAM. Le fichier "common-password" (ou "password-auth" et "system-auth" sur Red Hat) gère les règles de construction des mots de passe lors de la création ou de la modification des utilisateurs.

Sous Debian et dérivés, nous allons éditer le fichier "/etc/pam.d/common-password" ("/etc/pam.d/password-auth" et "/etc/pam.d/system-auth" sous Red Hat et dérivés) pour y modifier la ligne contenant "pam_pwquality.so", celle-ci a été ajoutée automatiquement à l'installation de "pam_pwquality.so" :

# Avant modification
password requisite pam_pwquality.so retry=3

# Après modification
password requisite pam_pwquality.so retry=3 minlen=12 difok=3

La modification de la politique prendra effet dès l'enregistrement du fichier modifié. Voici le détail des paramètres que nous venons d'ajouter dans notre politique de mot de passe :

• retry=3 : autorise trois essais pour la saisie du mot de passe ;
• minlen=12 : détermine la longueur minimale d’un mot de passe ;
• difok=3 : indique le nombre de caractères qui doivent être différents entre un ancien et un nouveau mot de passe.

Nous pouvons à présent tester la politique de mot de passe. Rien de plus simple : créez un nouvel utilisateur et essayez de définir un mot de passe faible.

sudo adduser testuser
# Lors de la saisie du mot de passe, essayez avec un mot de passe faible comme "2".
Nouveau mot de passe : 2
MOT DE PASSE INCORRECT : Le mot de passe comporte moins de 12 caractères

PAM analysera le mot de passe saisi et indiquera les problèmes comme la longueur insuffisante ou l'utilisation de motifs simples, en fonction des directives paramétrées.

C. Exemple de politique de mot de passe renforcée

Pour renforcer la politique des mots de passe, vous pouvez ajouter des paramètres supplémentaires. Par exemple :

password requisite pam_pwquality.so retry=3 minlen=12 difok=4 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

Les paramètres que nous venons d'ajouter sont les suivants :

• ucredit=-1 : exige au moins une lettre majuscule.
• lcredit=-1 : exige au moins une lettre minuscule.
• dcredit=-1 : exige au moins un chiffre.
• ocredit=-1 : exige au moins un caractère spécial.

Avec cette configuration, les mots de passe doivent à présent respecter strictement certaines directives concernant leur composition. Si vous souhaitez connaitre l'ensemble des paramètres utilisables avec "pam_pwquality.so", je vous oriente vers la documentation du module :

• die.net - pam_pwquality(8) - Linux man page

III. Conclusion

En configurant correctement la politique des mots de passe avec PAM et "pam_pwquality", vous pourrez renforcer la sécurité de votre système Linux en imposant des mots de passe robustes pour tous les utilisateurs. Ces configurations sont essentielles pour protéger les comptes utilisateurs contre les accès non autorisés.

Enfin, si vous souhaitez utiliser "pam_pwquality" avec une blacklist de mot de passe personnalisée, je vous oriente vers notre article sur ce sujet :

• IT-Connect - Créer une blacklist de mots de passe sous UNIX avec pam_pwquality

The post Comment configurer la politique de mots de passe sous Linux ? first appeared on IT-Connect.

Enfin un rayon de soleil en juin 2024 : notre partenaire GoDeal24 propose une nouvelle salve de promotions sur les licences, que ce soit celles des produits Microsoft ou pour certains logiciels tiers !

Les offres de GoDeal24 sont regroupées sur cette page ! Ce sera peut-être l'occasion de vous offrir une licence Microsoft Office, la suite bureautique utilisée par plus d'un milliard de personnes dans le monde.

Offres du moment : Microsoft Office, en guest star

• Microsoft Office 2021 Pro Plus (1 PC) – 28.75€
• Microsoft Office 2021 Pro Plus (2 PC) - 51.25€ (seulement 25.63€/PC)
• Microsoft Office 2021 Pro Plus (3 PC) - 71.95€ (seulement 23.98€/PC)
• Microsoft Office 2021 Pro Plus (5 PC) - 87.65€ (seulement 17.53€/PC)
• Microsoft Office 2021 Home and Business for Mac – 79.99€
• Microsoft Office 2019 Pro Plus (1 PC) – 20.09€
• Microsoft Office 2019 Home and Business for Mac – 29.01€
• Microsoft Office 2019 Pro Plus (2 PC) – 34.18€ (seulement 17.09€/PC)
• Microsoft Office 2016 Pro Plus (1 PC) – 19.39€
• Visio Pro 2021 (1 PC) - 22.97€
• Project Pro 2021(1 PC) - 25.70€

Pour profiter des offres ci-dessus, utilisez le code promo "GG62".

Des licences Windows 10 et Windows 11

• Windows 11 Pro (1 PC) – 13.55€
• Windows 11 Pro (2 PC) - 25.22€ (12.61€/PC)
• Windows 11 Pro (5 PC) – 53.75€ (seulement 10.75€/PC)
• Windows 11 Famille (1 PC) - 13.25€
• Windows 11 Famille (2 PC) – 24.75€ (seulement 12.38€/PC)
• Windows 10 Pro (1 PC) – 8.65€
• Windows 10 Pro (2 PC) – 14.86€ (seulement 7.43€/PC)
• Windows 10 Pro (5 PC) - 34.99€ (seulement 6.99€/PC)
• Windows 10 Famille (1 PC) – 8.61€
• Windows 10 Famille (2 PC) – 14.81€ (seulement 7.41€/PC)

Pour profiter des offres ci-dessus, utilisez le code promo "GG50".

Des packs Office + Windows

• Windows 11 Pro + Office 2021 Pro Plus Bundle - 38.59€
• Windows 10 Pro + Office 2021 Pro Plus Bundle - 34.56€
• Windows 11 Pro + Office 2019 Pro Plus Bundle - 30.99€
• Windows 10 Pro + Office 2019 Pro Plus Bundle - 25.55€

Pour profiter des offres ci-dessus, pensez à utiliser le code "GG62".

Ventes en gros, prix incroyables !

• Windows 10 Pro (50 PC) - 325.00€ (6.5€/PC)
• Windows 10 Pro (100 PC) - 600.00€ (6€/PC)
• Windows 11 Pro (50 PC) - 400.00€ (8€/PC)
• Windows 11 Pro (100 PC) - 750.00€ (7.5€/PC)
• Microsoft Office 2021 Pro (50 PC) - 1050.00€ (21€/PC)
• Microsoft Office 2021 Pro (100 PC) - 2000.00€ (20€/PC)

Visio Pro, Project Pro, Windows Server

• Windows 10 Enterprise 2019 LTSC - 9.14€
• Windows 10 Enterprise 2021 LTSC - 12.81€
• Windows Server 2022 Standard - 26.13€
• Windows Server 2019 Standard – 16.06€
• Microsoft Visio Professional 2021 - 30.23€
• Microsoft Project Professional 2021 - 33.82€
• Visual Studio 2022 Enterprise- 1 PC/Mac - 60.00€

Utilisez le code promo "GG50" pour profiter des offres ci-dessus.

Chez les autres éditeurs

• Ashampoo PDF Pro 3 - 18.99€
• CCleaner Pro - 1 PC pour 1 an - 23.77€
• AdGuard for Windows/Mac/Android/iOS - 3 appareils - 27.66€
• Internet Download Manager - 1 PC / Lifetime - 19.99€
• MacBooster 8 Lifetime Subscription - 10.24€

Toutes les offres chez les éditeurs tiers (hors Microsoft) sont regroupées sur cette page.

Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, le site GoDeal24 a la note de 4.8 sur 5 avec plus de 3 400 avis.

Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante : [email protected]

The post Bon plan GoDeal24 : Windows 11 à partir de 13€ et Office 2021 Pro à partir de 28€ ! first appeared on IT-Connect.

Ce week-end, une attaque par déni de service distribué (DDoS) importante a été orchestrée par des cybercriminels russes ! Leurs cibles : 14 sites du gouvernement français ! Voici ce que l'on sait sur cette attaque.

Ce samedi 15 juin, une attaque par déni de service distribuée a mis hors ligne 14 sites du gouvernement français. Parmi les sites impactés par cette cyberattaque, il y a notamment celui de la Police Nationale, de Légifrance, de l'INSEE, du Service Public ou encore celui des Ministères de l'Écologie et de la Culture. Même si tout semble revenu à la normale désormais, plusieurs sites étaient toujours inaccessibles lundi 17 juin, environ 48 heures après le début de la cyberattaque.

Pour rappel, une attaque par déni de service distribué (DDoS) consiste à surcharger de requêtes le serveur pris pour cible afin de le rendre indisponible. Si l'indisponibilité dure plusieurs heures, c'est que flux de requêtes ne parvient pas à être mitigé ou que le système a été isolé par mesure de protection. Dans tous les cas, ceci résulte en une indisponibilité du serveur web pris pour cible, lorsque l'attaque vise un site web.

• Qu'est-ce qu'une attaque DDoS ?

Cette cyberattaque aurait été orchestrée par le gang de pirates russes surnommé NoName057(16), actif depuis mars 2022. Il s'agit d'un groupe d'hacktivistes pro-russes qui visent à défendre les intérêts de la Russie à travers le monde. Leurs actions malveillantes comme celle-ci sont effectuées dans le cadre du projet DDoSia, dont l'objectif est d'opérer des attaques DDoS à l'encontre des pays contre l'invasion russe en Ukraine. Ce projet présent sur Telegram comptabilise plusieurs milliers d'utilisateurs, comme le rapporte SaxX sur X (Twitter).

Ces attaques ne sont pas nouvelles et cela risque de s'intensifier dans les prochaines semaines, notamment à l'approche des Jeux Olympiques de Paris 2024. Ce n'est pas un secret. En mars 2024, la France avait été ciblée par une attaque DDoS de grande ampleur lors de laquelle les pirates avaient pris pour cible une trentaine de sous-domaines de ".gouv.fr".

Source

The post France : plusieurs sites du gouvernement hors ligne à cause d’une nouvelle cyberattaque DDoS first appeared on IT-Connect.