L'enseigne de prêt-à-porter française Zadig & Voltaire est victime d'une importante fuite de données : un cybercriminel a publié une base de données avec les données personnelles de plus de 600 000 clients. Faisons le point.
Rappel - Créée en 1997, Zadig & Voltaire est une marque française de prêt-à-porter, aussi bien pour les femmes que pour les hommes.
Ce mercredi 5 juin, au petit matin, un cybercriminel a publié sur un forum de hacking une base de données appartenant à l'enseigne de prêt-à-porter Zadig & Voltaire. Il s'agit de données publiées sur BreachForums, la principale "place de marché" pour l'achat et la revente de données issues de cyberattaques. Preuve que BreachForums est bien de retour après avoir été malmené par les forces de l'ordre ces dernières semaines.
Cette fuite de données contient les données personnelles de 638 726 clients de l'enseigne française. Selon les informations fournies par le cybercriminel à l'origine de la divulgation des données, ces données auraient été volées en novembre 2023. Ceci laisse entendre que la cyberattaque s'est déroulée dans les jours ou semaines précédant le vol de données.
Dans cette base de données, nous retrouvons diverses informations au sujet des clients de Zadig & Voltaire, notamment des noms et prénoms, des adresses e-mails, des numéros de téléphone, des adresses postales, ainsi que des dates de naissance. C'est typiquement le genre d'informations que l'on retrouve dans un fichier client.
Si vous êtes client de Zadig & Voltaire, nous vous recommandons de modifier le mot de passe de votre compte client, par précaution. Méfiez-vous également des e-mails que vous recevez, car une campagne de phishing pourrait être organisée à partir de ces informations.
En 2024, ce n'est pas la première enseigne de prêt-à-porter à subir une cyberattaque associée à une fuite de données. En avril 2024, c'est la marque "Le Slip français" qui a été victime d'un incident similaire. Un peu plus tôt dans l'année, c'était au tour d'une filiale de l'enseigne Benetton.
The post Cyberattaque Zadig & Voltaire : les données personnelles de 600 000 clients publiées sur le Dark Web first appeared on IT-Connect.
Dans cet article, nous allons découvrir comment automatiser les sauvegardes des zones DNS sur un contrôleur de domaine Active Directory.
Dans un environnement Microsoft, qu'il soit sous Active Directory ou non, le service DNS joue un rôle essentiel. Il assure la traduction des noms de machines en adresses IP et inversement, tout en permettant la résolution des noms de domaine externes, qu'ils soient sous forme d'alias ou non. Il est donc primordial de veiller à ce que ces zones DNS soient disponibles et à jour.
Cette disponibilité peut être assurée par le nettoyage régulier des zones DNS, dont nous discuterons prochainement, ou par la mise en place de sauvegardes régulières, qui réduiront la durée d'indisponibilité en cas de problème.
La sauvegarde des zones DNS est essentielle pour restaurer une zone en cas de problèmes tels que des anomalies, des suppressions accidentelles ou des dysfonctionnements. De plus, elle permet de comparer facilement les différents enregistrements à l'aide de tableaux Excel ou de PowerShell.
Il peut arriver que des enregistrements statiques de serveurs soient supprimés de la zone, entraînant ainsi un dysfonctionnement.
De même, une erreur lors du nettoyage de la zone peut entraîner la suppression accidentelle d'enregistrements dynamiques, tels que ceux des clusters ou des objets enfants CNO (Cluster Name Oobject) avec des pointeurs SQL comme Always On, ce qui perturberait la production.
Dans de tels cas, une restauration est nécessaire.
Par défaut, la zone principale est disponible dans le chemin suivant :
ConnexionC:\windows\System32\DNS
La sauvegarde des contrôleurs de domaine avec différents outils (Veeam, Commvault, Windows Backup) ne permet de sauvegarder que le fichier en cours.
Cela signifie que seule la dernière sauvegarde sera disponible. Par exemple, si la sauvegarde des VMs s'effectue le soir à 21h, vous perdriez toutes les modifications effectuées durant la journée en cas de restauration. Il est alors nécessaire de remonter la sauvegarde pour avoir accès à plusieurs versions des zones et explorer les enregistrements pour une comparaison.
Note : Il est à noter que les zones intégrées à l'AD sont déplacées dans la corbeille pour une durée correspondante au tombstone. Il est alors possible de restaurer ces zones après suppression seulement à l'aide des commandes PowerShell. La restauration des enregistrements seuls est un peu plus compliquée et sera traitée dans un prochain article.
La console DNS offre la possibilité d'exporter la zone sous différents formats tels que ".txt" ou ".csv". Cependant, cette méthode est réciproque à la zone sauvegardée présente dans le chemin par défaut, mais ne permet pas de restaurer toutes les zones.
De plus, il n'est pas pratique d'effectuer cela manuellement sur toutes les zones plusieurs fois par jour.
La commande Dnscmd, un outil en ligne de commande apparu dans Windows Server 2003, permet de gérer le DNS en ligne de commande.
Elle propose diverses actions de maintenance sur la zone DNS, telles que le nettoyage de la zone, la suppression du cache, et surtout l'exportation partielle ou complète de la zone. Malheureusement, cette commande a été dépréciée par Microsoft et n'est pas intégrée à PowerShell pour faciliter la gestion des sorties.
Une interface de ligne de commande pour la gestion des serveurs DNS. Cet utilitaire est utile dans les scripts des fichiers batch pour automatiser des tâches courantes de gestion DNS, ou pour effectuer une installation sans assistance simple et la configuration de nouveaux serveurs DNS sur votre réseau.
Différentes options sont disponibles. Voici quelques exemples.
# Définit l'heure actuelle sur tous les horodateurs dans une zone ou d'un nœud
Dnscmd /ageallrecords
# Efface le cache du serveur DNS
Dnscmd /clearcache
# Réinitialise la configuration du serveur ou une zone DNS
Dnscmd /config Par ailleurs, DNSCMD permet d'exporter la configuration DNS à l'aide de la commande suivante :
Dnscmd /ZoneExportLe problème, c'est que Dnscmd exporte toujours le fichier dans le même répertoire, ce qui peut entraîner l'écrasement de sauvegardes précédentes.
Il n'est pas possible d'enregistrer dans un autre dossier sans ajouter une action dans le script qui regroupera le contenu et modifiera ou déplacera le nom du dossier.
Pour pallier cette limite, Microsoft a introduit des commandes PowerShell permettant de mieux exploiter le DNS.
La commande "Export-DnsServerZone" permet d'exporter une zone dans un dossier. Cependant, comme pour le Dnscmd, il n'est pas possible de changer le dossier racine de sauvegarde.
Pour effectuer une sauvegarde de toutes les zones, nous allons utiliser la commande PowerShell permettant de lister les zones DNS présentes, à savoir "Get-DnsServerZone". Ceci va nous permettre de créer un script de sauvegarde des zones DNS.
Nous exclurons les zones inverses loopback par défaut "0", "127" et "255" car elles ne contiennent pas d'enregistrement et n'existent pas de réseaux 255 ou 0. Ces enregistrements ne sont pas possibles et génèrent une erreur lors de la sauvegarde.
Le script permet de créer un dossier au format date et heure/minutes du jour pour sauvegarder les zones à l'intérieur, ce qui permet d'avoir plusieurs enregistrements par jour/semaine et évite l'écrasement. Généralement, cette partie n'est pas répliquée ni nettoyée.
La taille des zones DNS pour les grandes entreprises ne dépasse généralement pas quelques Ko, voire 4 ou 5 Mo, ce qui nous permet d'avoir plusieurs sauvegardes sans risque d'occuper trop d'espace sur le disque.
Intéressons-nous au code du script et à sa logique de fonctionnement.
La partie suivante permet de créer un dossier horodaté.
$backupDate = Get-Date -Format 'yyyy-MM-dd-HHmm'
$backupDirectory = "$env:SystemRoot\system32\dns\Backup\$backupDate"
New-Item -ItemType Directory -Path $backupDirectory -ErrorAction StopEnsuite, nous exclurons les zones non utiles, et effectuerons une sauvegarde.
$zonesToExclude = @( '0.in-addr.arpa', '127.in-addr.arpa', '255.in-addr.arpa')
Try {
Write-Output "Backup zonename : $($_.ZoneName)"
Export-DnsServerZone -Name $_.ZoneName -FileName Backup\$backupDate\Backup.$($_.ZoneName).$zoneBackupDate -ErrorAction Stop
}Le script nécessite les droits administratifs du domaine ou d'administrateur DNS pour effectuer la sauvegarde. La commande PowerShell ne permet pas d'effectuer la sauvegarde sur un serveur distant nativement, mis à part l'utilisation de la commande "Invoke-Script".
Il est alors judicieux de l'exécuter sur le contrôleur de domaine. Il n'est pas nécessaire de l'exécuter sur tous les contrôleurs de domaine si les zones sont répliquées. Idéalement le DC ayant le rôle PDC, car c'est celui qui orchestre le plus souvent les changements. Toutefois, le choix peut être décidé selon l'architecture de l'entreprise, notamment en cas d'un foret multi-domaine.
Le script est disponible sur GitHub, ce qui garantira sa maintenance et ses mises à jour, ainsi que d'éventuelles améliorations.
Pour exécuter le script, veuillez l'ouvrir ou copier son contenu à l'aide d'un éditeur ISE, puis cliquez sur "Exécuter".
Vous remarquerez dans la sortie le nom des zones sauvegardées.
Un dossier contenant les sauvegardes est créé dans le chemin par défaut.
Dans le dossier, vous trouverez les enregistrements sous format ".dns". Il est possible d'explorer ces fichiers à l'aide d'un éditeur de texte.
La principale raison du développement du script est la sauvegarde automatisée. Pour cela, nous allons créer une tâche planifiée pour exécuter le script, à l'aide du "Planificateur de tâches" de Windows Server.
Voici les étapes à suivre :
Si vous avez besoin d'aide à ce sujet :
Dans l'onglet "Déclencheurs", cliquez sur "Nouveau".
Choisissez l'heure qui vous convient pour l'exécution de la sauvegarde automatique.
Dans notre cas, nous avons choisi d'exécuter la sauvegarde à 10h et à 15h. Cette planification permet de minimiser l'écart entre les enregistrements DNS sauvegardés et la sauvegarde complète du contrôleur de domaine prévue pour le soir à 21h. De cette manière, nous nous assurons d'avoir peu d'écart dans les enregistrements DNS tout au long de la journée, ainsi que lors de la sauvegarde principale.
Répétez l'opération pour créer un second déclencheur correspondant à la seconde sauvegarde.
Dans l'onglet "Actions" cliquez sur "Nouveau"
Choisissez ensuite "Démarrer un programme", saisissez "Powershell.exe" et dans les arguments, entrez :
-file <chemin complet vers votre script>Validez ensuite par "OK".
Pour vérifier si le script s'est exécuté correctement, rendez-vous dans l'historique des tâches après avoir exécuté la tâche planifiée une première fois.
Votre contrôleur de domaine crée désormais automatiquement des sauvegardes de toutes vos zones DNS.
Nous verrons dans un prochain article comment restaurer une zone DNS à partir d'une sauvegarde.
La sauvegarde régulière des zones DNS permet de réduire les interruptions de service en cas de problème et soulage la charge sur les solutions de sauvegarde qui ne peuvent pas effectuer de sauvegarde en continu. Il est utile d'avoir plusieurs sauvegardes des zones DNS pour pouvoir les comparer facilement en cas de besoin à l'aide d'un fichier CSV ou Excel, ou pour récupérer une entrée supprimée.
Il est à noter que les zones intégrées dans l'Active Directory seront toujours disponibles et pourront être récupérées à partir d'une procédure différente, que nous aborderons dans un prochain article.
The post Active Directory : comment automatiser la sauvegarde des zones DNS ? first appeared on IT-Connect.
Windows 11 IoT Enterprise LTSC 2021 est une version de support étendue (LTSC (Long-Term Servicing Channel)).
De plus, la configuration requise est moins restrictive notamment TPM et le démarrage sécurisé (Secure boot) ne sont pas obligatoires.
Cela peut permettre à des PC qui ne répondent pas aux exigences de bénéficier de Windows 11, si des pilotes matériels compatibles sont disponibles.
Dans ce tutoriel, je vous donne toutes les étapes, pas à pas, pour réussir à Installer Windows 11 IoT Enterprise LTSC.
| Windows 11 Entreprise LTSC 2021 (x64) (Français) - English | |
|---|---|
| Nom de fichier | 26100.1.240331-1435.ge_release_CLIENT_ENTERPRISES_OEM_x64FRE_en-us.iso |
| Taille du fichier | 4.2G |
| Format du fichier | ISO |
| SHA1 | 59d7a1d21e2452896a849bb80065dd598d6aa211 |
PM6N-7J2WJ-P88HH-P3YRH-YY74HVoici comment passer le système en Français :
Les versions LTSC (Long-Term Servicing Channel) de Windows 10/11 Enterprise sont conçues pour offrir un support de mise à jour plus long (10 ans) et sont dépourvues de la plupart des applications du Store (UWP).
La configuration requise pour Windows 11 IoT Enterprise LTSC est moins exigeante.
Dans le cas des spécifications optionnelles, une carte avec un BIOS suffit pour les deux versions, au lieu de l’UEFI. Le TPM est optionnel et le Secure Boot est également optionnel. On peut déjà le constater avec un matériel non pris en charge si l’on veut installer un ISO Windows 11 Enterprise.
Si l’on choisit l’ISO Enterprise « simple » pour l’installation, Windows se plaint que la configuration matérielle requise n’est pas remplie. Si l’on choisit l’IoT Enterprise, l’installation se déroule sans problème. Même en ce qui concerne les processeurs, Windows 11 24H2 IoT Enterprise est très peu gourmand. Un Intel Atom à deux cœurs (Elkhart Lake), par exemple, suffit.
Plus de détails : https://learn.microsoft.com/fr-fr/windows/iot/iot-enterprise/hardware/processor_requirements
| Composant | Configuration minimale recommandée | Configuration minimale facultative requise |
|---|---|---|
| Processeur¹ | 1 GHz, 2 cœurs | 1 GHz, 2 cœurs |
| Mémoire système | 4 Go | 2 Go |
| Taille de stockage | 64 Go | 16 Go |
| Type de stockage | Disque SSD (Solid-State Drive) | Disque dur SSD (SSD) disque dur hybride (HDD) Flash ( eMMC, SD, USB) |
| Microprogramme système | UEFI | BIOS |
| Module de plateforme sécurisée (TPM) | TPM 2.0 | Facultatif |
| Démarrage sécurisé | Activé | Facultatif |
| DirectX | DirectX 12 | DirectX 10 / None |
| Affichage | 9 pouces diagonales 720p HD | Taille personnalisée / Facultatif |
La seule différence entre IoT Enterprise LTSC et IoT Enterprise Subscription LTSC est que l’édition d’abonnement prend en charge une licence d’abonnement.
Voici tout de même un comparatif.
| Fonctionnalités | Enterprise LTSC | IoT Enterprise LTSC / IoT Enterprise Subscription LTSC |
|---|---|---|
| TPM / Secure boot / UEFI / 4GB RAM | Tous requis | Non Requis |
| Automatic Device Encryption | Activé | Désactivé |
| Fin de support | 5 ans | 10 ans |
| Reserved Storage Feature | Activé | Désactivé |
| Digital License (HWID) | Non supporté | Supporté |
| Edge désinstallable en dehors de l’EEE | ||
| 2 sessions RDP simultanées |
L’article Installer Windows 11 IoT Enterprise LTSC est apparu en premier sur malekal.com.
Dans ce tutoriel, je vais vous expliquer comment arrêter Debian 12 ou comment redémarrer Debian 12 à l'aide de la commande systemctl intégrée à Systemd. Deux actions basiques, mais indispensables.
Comme d'autres distributions, Debian 12 intègre Systemd et hérite par conséquent de nombreux outils pour manipuler le système. On retrouve notamment l'utilitaire "systemctl" qui va permettre de gérer les services, mais aussi l'alimentation du système, comme nous allons le voir.
Version originale de l'article : 14 avril 2021.
Que ce soit pour arrêter ou redémarrer le système Debian 12, il faut disposer des droits nécessaires. Vous pouvez utiliser le compte "root" ou sinon "sudo" avec votre utilisateur, à condition d'avoir la délégation nécessaire pour utiliser ces commandes.
Pour arrêter Debian 12, on va utiliser l'option "poweroff", ce qui donne :
systemctl poweroff
# ou
sudo systemctl poweroff
Suite à l'exécution de cette commande, la machine va arrêter tous les processus et services dans le but de s'éteindre complètement. Disons qu'elle va se mettre hors tension. Par contre, si l'on utilise "halt" à la place de "poweroff", la machine va s'arrêter et interrompre l'exécution du système, mais sans s'éteindre complètement.
Voici la commande à titre indicatif, mais préférez celle ci-dessus :
systemctl halt
# ou
sudo systemctl halt
Enfin, pour planifier un arrêt, je n'ai pas connaissance d'une option avec "systemctl poweroff", ce qui nous obligerait à jouer avec une tâche planifiée... Mais ce ne sera pas nécessaire parce que vous pouvez utiliser la commande "shutdown" si elle est disponible sur votre système.
Il suffit de spécifier l'heure à laquelle vous souhaitez arrêter le système. Par exemple, pour éteindre le serveur à 23:00 :
shutdown --poweroff 23:00
# ou
sudo shutdown --poweroff 23:00
La machine s'éteindre complètement à l'heure que vous le souhaitez !
Nous pourrions aussi planifier un arrêt de Debian dans 15 minutes, de cette façon :
shutdown -h +15
# ou
sudo shutdown -h +15Voici le résultat obtenu :
Si vous souhaitez annuler un arrêt planifié, vous pouvez utiliser la commande suivante :
shutdown -c
# ou
sudo shutdown -cDans le même esprit, on va simplement remplacer "poweroff" par "reboot" pour redémarrer Debian 12 :
systemctl reboot
# ou
sudo systemctl reboot
Vous pouvez tout à fait planifier un redémarrage à une heure spécifique :
shutdown -r 23:00
# ou
sudo shutdown -r 23:00Mais également planifier un redémarrage dans 15 minutes :
shutdown -r +15
# ou
sudo shutdown -r +15Quelques commandes très simples, mais qu'il faut connaître ! Pensez à utiliser l'option "poweroff" plutôt que l'option "halt" qui n'éteint pas complètement la machine. Bien entendu, il est possible d'arrêter ou redémarrer Debian à partir de l'interface graphique, à condition qu'un environnement de bureau soit installé. L'image ci-dessous illustre la procédure.
The post Comment arrêter ou redémarrer Debian 12 ? first appeared on IT-Connect.
Dans ce tutoriel, nous allons voir ensemble une astuce sous Linux : comment compresser et décompresser les fichiers tar.bz2 sous Linux, notamment Debian, Ubuntu ou CentOS. Une archive tar.bz2 s'appuie sur l'algorithme de compression bzip2. Cet algorithme est plus puissant, le poids des archives sera inférieur vis-à-vis du gzip mais la création de l'archive avec ce format nécessite plus de ressources système.
Personnellement, c'est surtout la commande pour décompresser une archive de ce type que j'utilise fréquemment, plutôt que la création d'une archive dans ce format. Néanmoins, nous verrons les deux opérations.
Version originale de l'article : 15 octobre 2020.
Pour créer l'archive via l'algorithme bzip2, nous allons utiliser la commande tar avec plusieurs options, notamment l'option "j" pour spécifier l'algorithme bzip2, l'option "c" pour indiquer qu'il s'agit d'une archive à créer, l'option "f" indique que le nom de l'archive suit, tandis que l'option "v" sert à activer le mode verbeux.
Voici un exemple pour créer l'archive "MonArchive.tar.bz2" en intégrant dans cette archive "MonFichier1.txt" et "MonFichier2.txt" :
tar -jcvf MonArchive.tar.bz2 MonFichier1.txt MonFichier2.txt
Il est à noter que l'option "-r" ou "--append" peut-être utilisée pour ajouter des fichiers à une archive existante. Sinon, l'archive est écrasée si elle existe déjà.
Passons maintenant à la phase de décompression...
Comment décompresser une archive tar.bz2 ? Là encore, nous allons utiliser la commande tar avec les options adéquates.
Avant même de décompresser l'archive tar.bz2, sachez que nous pouvons regarder son contenu. Ceci permet d'avoir un aperçu des données présentes dans l'archive avant même de la décompresser.
tar -tvjf MonArchive.tar.bz2Ensuite, nous pouvons passer à l'étape suivante : décompresser cette archive. Pour cela, l'option "j" est indispensable pour spécifier qu'il s'agit d'une archive compressée via l'algorithme bzip2. Ensuite, nous avons les options classiques, notamment "x" pour l'extraction.
Voici un exemple pour extraire le contenu de l'archive nommée "MonArchive.tar.bz2":
tar -jxvf /home/MonArchive.tar.bz2
Le contenu de l'archive sera extrait dans le dossier courant au niveau du shell Unix. Si l'on veut décompresser le contenu de l'archive vers un répertoire de destination spécifique, par exemple "/tmp/", nous devons utiliser une option supplémentaire :
tar -jxvf /home/flo/MonArchive.tar.bz2 -C /tmp/
Remarque :
Si vous obtenez un message d'erreur du type "tar (child): bzip2 : exec impossible: Aucun fichier ou dossier de ce type" lors de l'extraction, c'est qu'il vous manque le paquet "bzip2" sur votre machine. Voici comment l'installer sur CentOS avec yum :
yum install bzip2
Ensuite, vous pouvez réessayer d'extraire les données. Il ne vous reste plus qu'à exploiter vos données ! Si vous avez besoin d'aide pour utiliser une option supplémentaire, je vous invite à lire la page man de tar.
Voilà, nous avons appris les bases pour compresser et décompresser des fichiers tar.bz2 sous Linux en utilisant la commande tar, décidément très utile sur Linux lorsqu'il s'agit de manipuler des archives compressées. Nous avons vu comment créer une archive, afficher son contenu avant de la décompresser, et bien sûr comment décompresser cette archive.
The post Comment compresser et décompresser des archives tar.bz2 sous Linux ? first appeared on IT-Connect.
Ce mardi 4 juin 2024 sera une journée à oublier pour OpenAI puisque son chatbot ChatGPT a été indisponible pendant plusieurs heures. OpenAI parle d'une panne majeure. Voici ce que l'on sait.
Si vous utilisez ChatGPT au quotidien, vous l'avez surement constaté : ChatGPT était inaccessible une bonne partie de la journée du 4 juin 2024. En France, nous avons pu constater ce problème dans le courant de la matinée et jusqu'en fin d'après-midi, le service étant partiellement de retour en milieu de journée. Il s'agissait bien d'une panne mondiale.
Les nombreux signalements effectués sur le site DownDetector montre bien ce phénomène avec deux vagues de signalements :
Du côté d'OpenAI, on estime que cette panne majeure a perturbé l'accès à ChatGPT pendant 5 heures et 29 minutes. C'est en tout cas ce qui est précisé sur la page où l'on peut obtenir l'état des différents services de l'entreprise américaine. Voici un aperçu :
"Nous avons connu une panne majeure qui a eu un impact sur tous les utilisateurs de tous les plans de ChatGPT. L'impact incluait tous les services liés à ChatGPT. L'impact n'incluait pas platform.openai.com ou l'API.", peut-on lire sur le site d'OpenAI. Cela signifie que cette panne a eu un impact sur tous les utilisateurs de ChatGPT : ceux qui l'utilisent gratuitement, et ceux qui paient un abonnement à ChatGPT Plus.
Les utilisateurs ont pu constater différents messages d'erreurs : "Bad gateway", "ChatGPT is at capacity right now" ou encore une page blanche.
Néanmoins, difficile de répondre à la question "Que s'est-il passé ?" car OpenAI n'a pas donné la moindre précision sur l'origine de cette panne... Dommage.
Désormais, ChatGPT fonctionne de nouveau ! Si vous ne parvenez pas à y accéder, rafraichissez le cache de votre navigateur. Utilisez le raccourci clavier "CTRL + F5" sur votre PC, au sein de la fenêtre du navigateur.
The post ChatGPT : une panne majeure de plus de 5 heures ce mardi 4 juin 2024 first appeared on IT-Connect.
Un nouvel ensemble de 361 millions d'adresses e-mails a été ajouté au service en ligne Have I Been Pwned ! De quoi vous permettre de vérifier si vos identifiants sont présents dans cette liste d'informations collectées à partir de canaux Telegram. Faisons le point.
Un chercheur en sécurité anonyme a transféré à Troy Hunt, le créateur du site Have I Been Pwned (HIBP), un ensemble de fichiers représentants 122 Go de données. Cet ensemble de données correspond à plus de 1 700 fichiers provenant de 518 canaux Telegram différents. Il s'agit d'une action de scraping ("moissonnage") effectuée par ce chercheur en sécurité.
Au total, ces fichiers contiennent pas moins de 361 millions d'adresses e-mails uniques, dont 151 millions d'adresses e-mails ajoutées pour la première fois sur le site Have I Been Pwned !
Ces identifiants peuvent provenir d'une fuite de données suite à une intrusion sur un système par un cybercriminel, à la collecte d'identifiants effectuée par un malware infostealer, à du credential stuffing, etc... Ce qui est certain, c'est que ces identifiants circulent sur des canaux cybercriminels de Telegram. Les pirates n'hésitent pas à divulguer ces identifiants pour accroître leur popularité.
Les données comprennent des identifiants de connexion regroupés par service (par exemple, Gmail, Yahoo, etc.) ou par pays. Aucun site ou service n'est susceptible d'être épargné, notamment s'il s'agit d'un infostealer qui a exfiltré les mots de passe enregistrés dans un navigateur Web.
Tous les fichiers correspondant à cette fuite de 361 millions d'identifiants ne sont pas structurés de la même façon. Il y a des combinaisons d'adresse e-mail et de mot de passe, tandis que d'autres fichiers intègrent l'URL du service en plus de l'adresse e-mail et du mot de passe ! Certains fichiers contiennent des dizaines de millions de lignes.
Troy Hunt a passé du temps à analyser ces données, notamment pour déterminer si elles sont légitimes, bien qu'il soit impossible de vérifier l'ensemble des identifiants.
Le résultat est clair : de nombreuses adresses e-mails présentes concernées par une fuite sont correctement associées au site web mentionné dans les fichiers de données fournit par le chercheur en sécurité. Autrement dit, les identifiants distribués sur ces canaux Telegram sont légitimes, au moins pour une partie.
Pour en savoir plus, vous pouvez consulter l'article publié par Troy Hunt. Pour vérifier si vous êtes affecté, rendez-vous sur le service de vérification HIBP.
The post 361 millions de comptes volés divulgués sur Telegram ! Êtes-vous concerné ? first appeared on IT-Connect.
Microsoft semble enfin prêt à abandonner le protocole d'authentification NTLM dans Windows et Windows Server. L'entreprise américaine estime que ce protocole est obsolète et que les développeurs doivent entamer une transition vers Kerberos. Voici ce qu'il faut savoir.
Le protocole NTLM est très utilisé par les différentes versions de Windows et Windows Server, et pour cause, il a été introduit en 1993 au sein de Windows NT et il est toujours très utilisé aujourd'hui. Néanmoins, ce n'est pas un secret : le protocole d'authentification NTLM est exploitable au sein différents scénarios d'attaques, notamment en environnement Active Directory, et il représente un véritable point faible dans le SI des organisations.
Microsoft a conscience de ces problèmes de sécurité et va abandonner progressivement le protocole NTLM au profit d'alternatives plus sécurisées, notamment Kerberos. "Toutes les versions de NTLM, y compris LANMAN, NTLMv1 et NTLMv2, ne font plus l'objet d'un développement actif et sont obsolètes.", peut-on lire sur le site de Microsoft.
Remarque : l'authentification NTLM est vulnérable à plusieurs attaques telles que "NTLM Relay" et "Pass-the-hash".
Après l'annonce récente de la fin de VBScript dans Windows, Microsoft semble bien décidé à faire du ménage dans ses systèmes d'exploitation pour en améliorer la sécurité.
C'est peut-être une question que vous vous posez en lisant cet article. Elle est légitime puisqu'il n'est pas aussi simple de se séparer du protocole NTLM... Rassurez-vous, l'abandon de NTLM sera effectué en plusieurs étapes et Windows Server 2025 va supporter NTLM, tout comme la prochaine version majeure de Windows.
"L'utilisation de NTLM continuera à fonctionner dans la prochaine version de Windows Server et dans la prochaine version annuelle de Windows.", précise l'entreprise américaine. Malgré tout, il y a du changement.
Dans un autre article publié récemment au sujet de la sécurité de Windows 11, Microsoft évoque aussi la fin à venir de NTLM : "La dépréciation de NTLM a été une demande importante de notre communauté de sécurité, car elle renforcera l'authentification des utilisateurs, et la dépréciation est prévue pour la seconde moitié de 2024."
Microsoft souhaite que l'authentification Kerberos soit prioritaire vis-à-vis de NTLM. Autrement dit, lorsqu'il n'y a pas le choix, notamment si le périphérique ou l'application source ne supporte pas NTLM.
Cela signifie qu'il ne doit plus y avoir d'appels en direct vers NTLM, mais des appels de type "Negotiate" afin que le protocole Kerberos soit utilisé s'il est disponible. Si ce n'est pas le cas, le NTLM est utilisé en guise de solution de replis. C'est le principe de l'authentication fallback. L'objectif étant de permettre aux entreprises d'effectuer une transition en douceur.
Ceci signifie également que les développeurs vont devoir adapter leurs applications, peut-être en s'intéressant à la fonction "AcquireCredentialsHandle" qui intègre plusieurs modes (NTLM, Negotiate, Kerberos, etc.).
Enfin, si vous souhaitez vous débarrasser de NTLM dans votre organisation et préparer ces futurs changements, vous pouvez consulter le tutoriel mentionné ci-dessous. La première phase d'audit vous permettra d'identifier les équipements et applications faisant encore usage du protocole NTLM.
The post Microsoft prêt à abandonner le protocole d’authentification NTLM ! first appeared on IT-Connect.
Dans ce tutoriel, nous allons apprendre à installer et à configurer la solution Stirling PDF à l'aide d'un conteneur Docker. Stirling PDF est une puissante boite à outils gratuite et open source pour gérer et manipuler vos fichiers PDF localement.
Accessible à partir d'un navigateur Web, cette solution va vous permettre d'effectuer des actions diverses et variées sur vos fichiers PDF, tout en gardant la maitrise de vos données. En effet, avec Stirling PDF, tout fonctionne entièrement sur votre machine locale, garantissant la confidentialité et le contrôle de vos données. Ceci pourra éviter que vos utilisateurs s'appuient sur des outils en ligne, au risque qu'il y ait une fuite de données par la même occasion.
Voici quelques-unes des fonctionnalités disponibles :
Toutes ces fonctionnalités sont gratuites puisque cette application est libre et open source. Il intègre de nombreuses fonctionnalités dont certaines parfois réservées à des outils premium (payants).
Stirling PDF peut être installé sur une machine Windows, en local, car des exécutables sont proposés sur le GitHub officiel. Ceci implique l'installation de Java sur la machine. Pour ma part, je préfère m'orienter vers un déploiement dans un conteneur Docker, sur un NAS Synology, afin de mettre à disposition l'application à X utilisateurs. Ceci est d'autant plus pertinent que l'application est accessible à partir d'un navigateur, via l'URL de votre choix.
Pour en savoir plus ou télécharger l'exécutable pour Windows, consultez le GitHub du projet :
Sur le même sujet :
Pour effectuer l'installation sur un NAS Synology, nous allons utiliser l'application "Container Manager" (Docker) afin de pouvoir utiliser un fichier de configuration Docker Compose. Ceci vous permet d'utiliser cette configuration facilement pour déployer le conteneur sur d'autres plateformes.
Tout d'abord, nous allons créer l'arborescence de dossiers pour accueillir les données de Stirling PDF. Sous le répertoire "docker", voici les répertoires à créer :
Le répertoire "trainingData" est utile uniquement si vous envisagez d'utiliser la fonction liée à l'OCR.
Ce qui donne :
Ensuite, lancez l'application "Container Manager" (Docker) sur votre NAS Synology. Créez un nouveau projet :
Commencez par donner un nom au projet, par exemple "stirling-pdf". Puis, indiquez le chemin correspondant au dossier précédemment créé, à savoir "/docker/stirling-pdf".
Puis, sélectionnez "Créer un fichier docker-compose.yml" afin de pouvoir personnaliser le déploiement de ce projet basé sur l'image Docker "frooodle/s-pdf" dans sa dernière version (vis-à-vis du tag "latest"). Voici un aperçu du code de configuration Docker Compose :
Pour cet exemple, je vais utiliser la configuration Docker Compose suivante :
version: '3.3'
services:
stirling-pdf:
image: frooodle/s-pdf:latest
ports:
- '8080:8080'
volumes:
- /volume1/docker/stirling-pdf/trainingData:/usr/share/tessdata #Required for extra OCR languages
- /volume1/docker/stirling-pdf/extraConfigs:/configs
# - /location/of/customFiles:/customFiles/
# - /location/of/logs:/logs/
environment:
- DOCKER_ENABLE_SECURITY=true
- SECURITY_ENABLE_LOGIN=true
- SECURITY_INITIALLOGIN_USERNAME=pdf
- SECURITY_INITIALLOGIN_PASSWORD=IT-Connect
- INSTALL_BOOK_AND_ADVANCED_HTML_OPS=false
- LANGS=fr_FRQuelques explications s'imposent :
Ci-dessous, un aperçu en tant qu'image.
Une fois que c'est fait, poursuivez jusqu'à la fin de l'assistant pour lancer la création du projet. L'image Docker va être téléchargée et le conteneur configuré puis exécuté.
L'application Stirling PDF est désormais exécutée au sein du conteneur Docker. Stirling PDF est une application assez gourmande en RAM, probablement à cause de son lien étroit avec Java. Sur mon NAS, le conteneur consomme entre 400 et 700 Mo de RAM, ce qui n'est pas neutre.
Dans la suite de cet article, nous verrons comment utiliser et configurer Stirling PDF.
L'accès à l'application s'effectue à partir d'un navigateur Web. Il suffit de préciser l'adresse IP ou le nom de domaine du NAS, suivi du port "8080", comme ceci :
http://192.168.1.148:8080/Si vous avez activé l'authentification, vous devez vous connecter avec le compte créé par défaut (selon les informations définies dans le Docker Compose).
Voilà, vous êtes connecté à Stirling PDF ! Vous pouvez profiter de l'ensemble des outils intégrés à cette fabuleuse boite à outils !
Que faire ensuite ?
Avant d'évoquer les outils en eux-mêmes, je vous recommande de changer le mot de passe du compte utilisateur créé par défaut. Vous pouvez aussi créer d'autres utilisateurs. Pour accéder à la gestion de votre compte, cliquez sur "Paramètres" en haut à droite (icône en forme de roue crantée) puis cliquez sur "Paramètres du compte".
Ici, vous pourrez changer le nom d'utilisateur et le mot de passe du compte.
Si vous descendez tout en bas de la page, vous pourrez cliquer sur le bouton "Paramètres d'administration - Voir et ajouter des utilisateurs". Ceci vous permet de créer d'autres comptes utilisateurs, avec différents niveaux de permissions : administrateur, utilisateur, etc.
Libre à vous de créer un ou plusieurs comptes. L'intérêt étant principalement de gérer l'accès à l'application. À ma connaissance, Stirling PDF n'a pas vocation à permettre à chaque utilisateur de gérer une bibliothèque de documents PDF.
À tout moment, vous pourrez créer, modifier ou supprimer des utilisateurs.
Nous n'allons pas passer en revue l'ensemble des outils, car l'interface est simple d'utilisation et il y a énormément de possibilités. Il vous suffit de choisir l'outil de votre choix à partir du menu principal, ou de la page d'accueil. Vous pouvez aussi utiliser la fonction de recherche pour gagner du temps, ainsi que mettre certains outils en favoris.
La fonction "Fusionner plusieurs PDF" vous permet, comme son nom l'indique, de fusionner (concaténer) plusieurs documents PDF en un seul fichier.
Il y a également un outil multifonction qui donne accès à quelques fonctions basiques dans une même interface. Vous chargez un fichier, et ensuite, vous pouvez intervenir des pages, effectuer des rotations de pages, etc... Selon vos besoins.
À vous d'explorer les différents outils au fur et à mesure que les besoins se présenteront.
Est-ce qu'il y a des paramètres de configuration supplémentaires ? La réponse est oui. La configuration de Stirling PDF s'appuie sur un fichier au format YAML nommé "settings.yml". Il est situé à cet emplacement :
/docker/stirling-pdf/extraConfigs/settings.ymlIl permet de configurer l'application plus en profondeur. Nous pouvons définir un nom personnalisé pour l'application, mais aussi configurer l'authentification OAuth2. Ceci peut s'avérer utile pour s'appuyer sur un service tiers pour l'authentification des utilisateurs (Google, GitHub, KeyCloak).
Nous constatons aussi la présence de deux options ayant pour objectif de protéger l'interface de connexion des attaques par brute force. En effet, il y a un verrouillage de comptes activé par défaut : 5 mauvaises tentatives d'authentification à suivre vont engendrer le verrouillage d'un compte pendant 2 heures.
loginAttemptCount: 5 # lock user account after 5 tries
loginResetTimeMinutes: 120 # lock account for 2 hours after x attemptsVoici un aperçu de ce fichier de configuration que vous pouvez modifier selon vos besoins :
Pour aller plus loin, vous pouvez aussi publier l'application sur un nom de domaine à l'aide du reverse proxy de DSM :
D'une part, nous avons appris à installer Stirling PDF dans un conteneur Docker à partir d'un NAS Synology, et d'autre part, nous avons vu comment configurer et utiliser rapidement cette boite à outils PDF.
Stirling PDF est une excellente application qui a totalement sa place dans les entreprises, car elle répond à de nombreux besoins des utilisateurs. Le déploiement est relativement rapide et il n'y a aucun coût de licence à prévoir !
Qu'en pensez-vous ?
The post NAS Synology – Comment auto-héberger Stirling PDF, la boite à outils PDF ultime ? first appeared on IT-Connect.
Kaspersky a publié un nouvel outil gratuit pour analyser les systèmes Linux à la recherche de cybermenaces connues ! Le nom de cet outil : Kaspersky Virus Removal Tool (KVRT). Faisons le point.
Disponible depuis plusieurs années, l'outil Kaspersky Virus Removal Tool était jusqu'alors réservé aux utilisateurs de Windows. L'éditeur Kaspersky a pris la décision de développer une version pour Linux, désormais disponible.
Kaspersky estime que les entreprises ne protègent pas suffisamment leurs machines sous Linux, pensant qu'elles sont immunisées contre les menaces lorsqu'une machine est exécutée avec une distribution Linux. "C'est pourquoi nous avons lancé un produit gratuit dédié qui permet de vérifier les ordinateurs Linux contre les menaces modernes : Kaspersky Virus Removal Tool (KVRT) pour Linux.", peut-on lire sur le site de Kaspersky.
Ce nouvel outil ne surveille pas le système en temps réel, mais il est plutôt là pour effectuer une analyse sur une machine à la recherche de menaces déjà présentes. Autrement dit, il sert à effectuer une recherche de logiciels malveillants sur Linux, tout en proposant le nettoyage des menaces détectées. "Il peut détecter à la fois les logiciels malveillants et les adwares, ainsi que les programmes légitimes pouvant être utilisés pour des attaques.", précise Kaspersky.
Pour rechercher les menaces, Kaspersky Virus Removal Tool effectue une analyse en profondeur du système puisqu'il va s'intéresser à tous les fichiers du système, mais pas seulement. Kaspersky apporte des précisions à ce sujet : "Notre application peut analyser la mémoire système, les objets de démarrage, les secteurs d'amorçage et tous les fichiers du système d'exploitation à la recherche de logiciels malveillants connus. Elle analyse les fichiers de tous les formats, y compris ceux archivés."
Cet outil est compatible avec différentes distributions Linux, dont Debian, AlmaLinux, Oracle Linux, Ubuntu, ou encore Red Hat Enterprise Linux. La liste complète des distributions disponibles et des prérequis est disponible sur cette page.
Il doit être téléchargé et exécuté depuis la machine sur laquelle l'analyse doit être effectuée. Kaspersky explique qu'il s'agit d'une application portable, qui ne nécessite pas d'installation. Il est également précisé que la base de l'application n'est pas mise à jour de façon automatique : il convient de télécharger la dernière version, pour détecter les menaces les plus récentes, directement depuis le site de l'éditeur.
Cette application est adaptée aux machines Linux avec ou sans interface graphique : "L'application peut être exécutée via une interface graphique ou via une ligne de commande. Mais vous ne pouvez la lancer que manuellement — il est impossible de configurer une analyse programmée.", peut-on lire.
Enfin, pour bénéficier d'une analyse complète du système, il est recommandé de lancer l'outil à partir du compte "root" ou d'un compte privilégié (via "sudo"). Sinon, l'outil pourrait passer à côté de certaines menaces s'il ne peut pas analyser certaines parties de la machine à cause d'un manque de permissions.
Pour en savoir plus, vous pouvez consulter cette page, tandis que le téléchargement s'effectue à partir de cette page en cliquant sur le lien "Show other platforms".
Qu'en pensez-vous ?
The post Kaspersky lance un outil gratuit pour analyser Linux à la recherche de menaces connues ! first appeared on IT-Connect.
Windows 10 GAC (General Availability Channel) atteindra la fin de son support le 14 octobre 2025. Donc, si votre matériel ne supporte pas Windows 11, vous pouvez utiliser Windows 10 IoT Enterprise LTSC 2021 car il est supporté jusqu’au 13 janvier 2032.
En effet, LTSC signifiant (Long-Term Servicing Channel).
Toutefois, vous aurez besoin d’une licence pour l’activer.
Dans ce tutoriel, je vous guide dans les étapes pour installer Windows 10 Enterprise LTSC sur votre PC à partir d’une clé USB d’installation
Le système d’exploitation Windows 10 IoT Enterprise est une version complète de Windows 10 qui offre une facilité de gestion et une sécurité d’entreprise aux solutions IoT.
Microsoft fournit des systèmes d’exploitation pour les appareils embarqués depuis des décennies. Windows 10 IoT Enterprise est le dernier né de la gamme des systèmes d’exploitation « embarqués » basés sur les principaux systèmes d’exploitation de Microsoft.
Ces dernières comprennent l’apprentissage automatique, la prise en charge des conteneurs, une interface utilisateur naturelle et une connectivité simple à Azure IoT.
Comme son nom l’indique, cette version de Windows dans les environnements IoT et industriels, dans le monde industriel pour un usage Points de vente (POS), Kiosques interactifs, intégré dans les systèmes embarqué, etc
Windows 10 IoT Enterprise est fonctionnellement équivalent à Windows 10 Enterprise, qui est le système d’exploitation Windows le plus sécurisé, le plus facile à gérer et le plus productif de Microsoft notamment grâce aux fonctionnalités BitLocker, Secure Boot, Device Guard, et Credential Guard.
La différence réside dans le fait que Windows 10 Enterprise fait l’objet d’une licence via Microsoft Volume (lié à l’utilisateur final au moment de l’achat) et Windows 10 IoT Enterprise est concédé sous licence directement aux constructeurs d’appareils IoT (OEM) et comprend des règles concernant les appareils à usage dédié.
De plus, cette version de Windows est Long-Term Servicing Channel (LTSC) qui offre des mises à jour de sécurité et un support technique à long terme (jusqu’à 10 ans), idéal pour les dispositifs en production qui ne peuvent pas être souvent mis à jour.
Non, mes licences pour Windows 10 Home ou Pro ne sont pas compatibles avec Windows 10 IoT Enterprise et ne peuvent pas être utilisées pour activer cette édition du système d’exploitation.
Pour acquérir une licence Windows 10 IoT Entreprise, vous devez être une entreprise ou fabricants de matériel (OEM).
Bien entendu, on trouve des versions activées illégalement.
L’article Installer Windows 10 IoT Enterprise LTSC est apparu en premier sur malekal.com.
Dans ce tutoriel, nous allons voir comment configurer une adresse IP statique sur un système Ubuntu 24.04 ou Debian 12 à l'aide de Netplan. Cette opération basique est essentielle pour qu'une machine soit en mesure de se connecter au réseau local, et ainsi accéder à Internet. L'attribution d'une adresse IP fixe ou statique est une action de configuration courante sur les serveurs.
Pour suivre ce tutoriel, vous devez disposer d'un accès "root" à la machine ou d'un utilisateur ayant accès à "sudo" afin de disposer de suffisamment de privilèges.
Netplan est un outil de configuration du réseau sous Linux, positionné au dessus des gestionnaires de configuration réseau "systemd-networkd" et "NetworkManager.
Netplan est disponible depuis plusieurs années sur Ubuntu, mais aussi Debian (non installé par défaut) et son fichier de configuration déclaratif au format YAML va permettre de configurer le réseau sur la machine par l'intermédiaire du gestionnaire réseau ("NetworkManager" ou "systemd-networkd"). La configuration décrite au format YAML sera générée au format attendue par le gestionnaire de réseau utilisé par le système.
C'est une alternative à la modification du fichier "/etc/network/interfaces" évoquée dans cet article :
Remarque : Netplan est l'outil de configuration réseau par défaut sur Ubuntu depuis la version 17.10. Actuellement, nous sommes en version 24.04. Sur Debian 12, il est intégré sur certaines images de fournisseurs Cloud, mais il n'est pas installé par défaut dans l'image officielle.
Sur Ubuntu, Netplan est installé par défaut puisqu'il sert à gérer le réseau. Sur Debian, notamment Debian 12, ce n'est pas le cas. Pour installer Netplan, voici les commandes à exécuter :
sudo apt-get update
sudo apt-get install netplan.ioPour mettre en place des configurations réseau complexes avec Netplan, Open vSwitch doit être installé sur la machine. Il n'est pas utile pour configurer une adresse IP statique sur une ou plusieurs interfaces, ou simplement pour configurer une interface en DHCP.
Sur Ubuntu, la configuration réseau se fait principalement via Netplan pour les versions récentes. Nous allons modifier le fichier de configuration Netplan pour définir notre adresse IP statique.
Ouvrez un terminal et exécutez la commande suivante pour éditer le fichier de configuration (sous Debian, ce fichier doit être créé) :
sudo nano /etc/netplan/01-network-manager-all.yamlAjoutez les lignes indiquées ci-dessous dans le fichier pour configurer votre adresse IP statique.
Ceci va permettre de configurer l'interface réseau "ens33" avec l'adresse IP statique "192.168.14.130/24", la passerelle par défaut "192.168.14.2", les serveurs DNS "1.1.1.1" et "9.9.9.9" et le domaine de recherche "it-connect.local". Nous voyons bien que ce fichier de configuration utilise le format YAML.
L'instruction "renderer" sert à indiquer le nom du backend à utiliser pour configurer le réseau, soit NetworkManager, soit "networkd" de Systemclt.
network:
version: 2
renderer: NetworkManager
ethernets:
ens33:
dhcp4: no
addresses:
- 192.168.14.130/24
routes:
- to: default
via: 192.168.14.2
nameservers:
addresses:
- 1.1.1.1
- 9.9.9.9
search:
- it-connect.localVoici un aperçu en image :
Quand c'est fait, enregistrez et fermez ce fichier.
Note : sur Debian, continuez d'utiliser le fichier "/etc/resolv.conf" pour gérer le DNS, car Netplan semble récupérer les informations dans ce fichier, malgré la déclaration des DNS dans le fichier YAML. Si vous savez comment déléguer la gestion du DNS à Netplan, je suis preneur de l'information.
Puis, nous allons modifier les permissions sur ce fichier de configuration. Sinon, Netplan renverra l'avertissement "Permissions for /etc/netplan/01-network-manager-all.yaml are too open. Netplan configuration should NOT be accessible by others." au moment d'appliquer la configuration (ceci n'empêche pas la configuration de s'appliquer).
Voici la commande à exécuter :
sudo chmod 600 /etc/netplan/01-network-manager-all.yamlDésormais, nous devons appliquer les changements pour qu'ils prennent effet. Utilisez les commandes suivantes pour générer la configuration et l'appliquer auprès du gestionnaire de réseau du système :
sudo netplan generate
sudo netplan applyCette commande reconfigure toutes les interfaces réseau mentionnées dans le fichier de configuration. Si tout est correct, votre interface réseau utilisera maintenant l'adresse IP statique que vous avez définie. Sinon, un message d'erreur est susceptible d'être retourné dans la console.
Sachez que vous pouvez tester la configuration avant de l'appliquer :
sudo netplan tryPour afficher et vérifier votre nouvelle configuration réseau, vous pouvez utiliser les options spécifiques de Netplan, à la place de la traditionnelle commande "ip a". Voici plusieurs commandes pour afficher la configuration complète ou celle d'une carte réseau spécifique.
sudo netplan get
sudo netplan status ens33
sudo netplan status --allVoici un aperçu du résultat obtenu. Nous pouvons constater que l'interface "ens33" est bien gérée par Netplan par l'intermédiaire de NetworkManager.
L'alternative, ce serait d'utiliser "ip address" comme ceci :
ip a show ens33Si la configuration n'est pas correcte, essayez le mode debug lors de l'application de la nouvelle configuration :
sudo netplan --debug applyVous savez maintenant configurer une adresse IP statique sur Ubuntu ou Debian à l'aide de l'outil Netplan ! Pour toute modification future, vous pouvez modifier le fichier de configuration Netplan et réappliquer les changements avec des deux commandes appropriées, comme nous l'avons fait dans cet exemple.
Enfin, voici le lien vers le projet Netplan :
N'hésitez pas à commenter cet article si vous avez une question ou si vous souhaitez partager un complément d'information.
The post Comment configurer une adresse IP statique avec Netplan sur Ubuntu ou Debian ? first appeared on IT-Connect.
Montrer que les ransomwares ne sont pas invincibles, voilà la devise de l'outil open source RansomLord ! Cet outil de cybersécurité est capable de détecter et de neutraliser les ransomwares avant même que les données ne soient chiffrées ! Comment est-ce possible ? Voici ce qu'il faut savoir !
Développé par John Page alias "hyp3rlinx", RansomLord est un outil ingénieux et innovant qui a pour objectif de venir court-circuiter le processus de chiffrement de nombreux ransomwares, y compris les plus redoutables. Ce nouvel outil anti-ransomware disponible sur GitHub est une nouvelle arme à disposition des entreprises et des particuliers dans la lutte contre les ransomwares ! Lors d'une attaque, le ransomware est neutralisé avant même de pouvoir chiffrer les données grâce au piège tendu par RansomLord.
Pour cela, RansomLord se présente comme une solution proactive pour faire face aux ransomwares. En effet, il va venir interférer avec le ransomware lors du processus de "pre-encryption" lorsque la menace va chercher à charger des bibliothèques (DLL) sur le système Windows. Il crée ses propres versions de DLL, que le ransomware va charger, et il va ainsi pouvoir mettre fin à l'exécution du ransomware grâce à un code spécial intégré dans les DLL de RansomLord. Autrement dit, il utilise la technique de "DLL hijacking", parfois elle-même utilisée par les cybercriminels !
La version 3.1 de RansomLord, publiée il y a quelques jours, est capable de mettre fin au processus de nombreux ransomwares, dont : LockBit, WannaCry, HelloKitty, BlackCat (ALPHV), Royal, ainsi que d'autres moins connus tels que StopCrypt, RisePro, RuRansom, ou encore MoneyMessage.
"RansomLord intercepte désormais les ransomwares testés par 49 groupes de menaces différents et y met fin.", peut-on lire sur le GitHub officiel. Grâce à des mises à jour régulières, l'auteur ajoute la prise en charge de nouveaux ransomwares.
Depuis plusieurs années, les ransomwares représentent une menace croissante pour les entreprises et les particuliers. D'ailleurs, le dernier rapport sur les menaces publié par Red Canary indique que les ransomwares sont la principale menace de ces derniers mois.
The post RansomLord, un outil open source capable de piéger les ransomwares ! first appeared on IT-Connect.
Vous souhaitez connaître la température de votre PC, ce qui est une bonne chose pour prévenir de baisse de performances ou d’instabilité.
Toutefois, vous rencontrez un problème de lecture incorrecte de la température du processeur.
Ce tutoriel examine les raisons possibles pour lesquelles la température affichée peut être incorrecte.
Si la température du processeur affichée est anormalement élevée ou basse, plusieurs facteurs peuvent contribuer au problème, comme indiqué ci-dessous :
Les capteurs de température de l’unité centrale surveillent, enregistrent et fournissent des données en temps réel sur le niveau de température de l’unité centrale. Pour s’assurer que les capteurs enregistrent la bonne température, ils doivent donc être en parfait état de fonctionnement. Ils sont généralement situés à côté de la prise du processeur, et nous pouvons les retirer avec précaution pour vérifier s’ils sont cassés ou endommagés.
Chaque capteur de l’unité centrale a généralement son propre emplacement physique et enregistre ses relevés. Par conséquent, si une boucle d’air est présente autour des capteurs, les relevés peuvent être incorrects sous son influence. Par exemple, dans la plupart des cas, le capteur CPU0 enregistre en permanence des températures plus élevées que le CPU1.
Nettoyez l’intérieur de votre ordinateur peut aider à résoudre les problèmes de températures incorrectes.
Pour y parvenir, suivez ce guide : Comment nettoyer l’intérieur de son PC et le dépoussiérer
La ré-application de la pâte thermique peut aider à transmettre correctement la chaleur du cœur de l’unité centrale au dissipateur thermique. De même, le fait de refixer le dissipateur thermique (un composant métallique qui touche physiquement l’unité centrale et dissipe la chaleur) peut garantir que la température reste dans le seuil autorisé, éliminant ainsi les risques d’enregistrement incorrect de la température.
Une autre solution que vous pouvez essayer est de réinitialiser le capteur de température du CPU.
Voici les étapes à suivre :
Enfin dans de rares cas, le BIOS de votre PC peut être en cause dans la mauvaise lecture des températures de votre ordinateur.
Cela est essentiellement dû à un bug de la mauvaise gestion de l’énergie (ACPI) ou des captures de la carte mère.
Mettre à jour le BIOS de votre PC peut aider à résoudre ce problème.
L’abaissement de la tension de l’unité centrale peut exclure la possibilité d’une surchauffe de l’unité centrale. Si le processeur enregistre des températures anormalement élevées même après avoir abaissé la tension, cela indique que les capteurs sont endommagés. Par conséquent, les ajustements de tension, bien qu’ils ne résolvent pas le problème dans de tels cas, peuvent nous aider à identifier rapidement le problème réel.
Consultez ce guide :
L’article Corriger la lecture incorrecte de la température du processeur sous Windows est apparu en premier sur malekal.com.
VirtualGHOST, c'est le nom d'un nouvel outil publié par CrowdStrike dont l'objectif de mettre en évidence ce que l'on pourrait appeler des machines virtuelles fantômes, cachées sur les hôtes VMware ESXi. Leur présence fait suite à une intrusion par un attaquant. Faisons le point !
À plusieurs reprises, les équipes de CrowdStrike ont identifié des machines virtuelles suspectes sur des infrastructures VMware. Suspectes, car il s'agit de machines virtuelles cachées, en cours d'exécution, et invisibles à partir de l'interface utilisateur utilisée pour administrer la plateforme VMware.
Autrement dit, la VM créée par les attaquants n'apparaît pas dans l'inventaire de VMware ESXi, ni dans celui du vCenter. Pour démarrer la machine virtuelle de façon discrète, l'attaquant doit opérer à partir de la ligne de commande d'un hyperviseur ESXi compromis. En réponse à cette nouvelle technique émergente, l'entreprise américaine CrowdStrike a développé un outil de détection nommé VirtualGHOST ! C'est d'ailleurs le surnom donné par CrowdStrike à ces fameuses machines virtuelles.
Cet outil, disponible sur GitHub, s'appuie sur un script PowerShell nommé "Detect-VirtualGHOST.ps1" qui compare la liste des machines virtuelles enregistrées dans l'inventaire avec celles qui sont effectivement allumées. Ceci permet d'identifier les machines en cours d'exécution, mais non enregistrée sur l'hôte. Lorsqu'une VM suspecte est détectée, l'outil collecte des informations supplémentaires à son sujet, notamment la configuration réseau.
Ce script s'utilise depuis un poste de travail ou un serveur distant et nécessite la présence du module VMware PowerCLI, ce dernier permettant d'exécuter des commandes "esxcli" et donc de vérifier l'état des machines virtuelles.
Remarque : pour fonctionner, le script Detect-VirtualGHOST.ps1 attend deux informations. Le nom DNS du serveur à analyser ou son adresse IP, ainsi que des identifiants pour s'authentifier sur l'API de management VMware.
Voici un exemple de sortie mettant en évidence la présence d'une VM cachée :
Cet outil a été testé par CrowdStrike sur VMware vCenter 8.0.2, ainsi que plusieurs versions de VMware ESXi (6.5.0, 7.0.3, 8.0.0).
Pour plus de détails, vous pouvez consulter le dépôt GitHub de CrowdStrike :
Compte tenu des nombreuses menaces capables de compromettre les hyperviseurs VMware ESXi, il peut s'avérer judicieux d'exécuter cet outil pour analyser son infrastructure.
The post VirtualGHOST : détectez les machines virtuelles cachées par les attaquants sur VMware ESXi first appeared on IT-Connect.
Le "Red Canary’s 2024 Threat Detection Report" offre une analyse exhaustive des cybermenaces actuelles, détaillant les principales techniques d'attaque et fournissant des recommandations cruciales pour renforcer la cybersécurité des entreprises et des États. Qu'en est-il en 2024 ?
Le Red Canary’s 2024 Threat Detection Report est un rapport biannuel produit par la société de cybersécurité américaine Red Canary. Il vise à détailler les tendances des menaces pesant sur les entreprises et les États. Ce rapport se base sur plus de 60 000 détections obtenues auprès de plus de 1 000 clients de la société, couvrant des endpoints, des infrastructures cloud, des équipements réseau, des applications SaaS, et plus encore.
Ce rapport de 160 pages détaille les tendances des menaces observées sur le terrain durant la première moitié de l'année 2024.
Grâce à sa présence dans de nombreux systèmes d'information, Red Canary est en mesure de capter un grand nombre d'événements de sécurité. Cela permet de dessiner des tendances sur les principales techniques utilisées par les attaquants, les impacts observés lors des cyberattaques, ainsi que les objectifs visés.
En lisant ce rapport, avec ses détails techniques et ses conclusions, vous pourrez mieux comprendre les techniques utilisées par les attaquants, le profil de leurs victimes et l'évolution de ces différents éléments dans le temps. En connaissant les menaces qui pèsent sur votre entreprise, vous pourrez anticiper et adapter vos projets de cybersécurité actuels et futurs pour mieux vous défendre contre ces menaces.
Les conclusions de ce rapport peuvent, par exemple, servir à améliorer les systèmes de détection d'intrusion de votre SOC, amener à la réalisation d'audit de sécurité sur des composants spécifiquement ciblés par les attaquants cette année ou simplement améliorer les connaissances de vos équipes de défense.
Intéressons-nous maintenant aux différentes conclusions de ce rapport.
Red Canary a effectué une analyse des principales tendances rencontrées lors de cyberattaques confirmées et rapports threat intelligence (renseignement sur la menace) au cours de la dernière année.
Sans surprise, la tendance principale des cyberattaques observées durant ces derniers mois fait apparaitre les ransomwares en haut du classement. Ce business visiblement lucratif a la vie dure et continue année après année à impacter lourdement les entreprises qui en sont victimes.
Les attaques sur les accès initiaux, c'est-à-dire visant à obtenir un premier accès au sein du système d'information d'une entreprise pour ensuite implanter un agent dormant et vendre l'accès au plus intéressé, est également un élément qui demeure très présent dans les observations de 2024. Suivi de près par les attaques ciblant le vol d'identifiants, dont l'impact est d'autant plus grand grâce (ou à cause) de l'implémentation du SSO (Single Sign On).
Parmi les autres tendances observées en 2024, on peut également noter :
Enfin, il est par ailleurs intéressant de constater que le secteur d'activité n'est plus vraiment un facteur d'augmentation ou de réduction du risque de cyberattaque. Autrement dit, les attaquants ne cherchent plus à cibler un type d'industrie spécifique ou à en éviter d'autres (comme les écoles et les hôpitaux par le passé). À présent, tout le monde est en risque de devenir la cible d'une cyberattaque.
Les observations faites par Red Canary sur la fin de 2023 et début 2024 permettent d'identifier les principaux outils utilisés par les cyberattaquants :
La menace qui se démarque le plus, au-dessus de l'utilisation d'outils classiques d'attaque comment impacket et mimikatz, est CharCoal Stork.
Charcoal Stork est un fournisseur de pay-per-install (PPI) qui utilise le malvertising pour distribuer des installateurs, souvent déguisés en jeux piratés, polices ou fonds d'écran. Initialement, Charcoal Stork utilisait des fichiers ISO avec des charges utiles comprenant une application basée sur NodeJS et des commandes PowerShell pour installer ChromeLoader. En 2023, les charges utiles ont évolué pour inclure des fichiers VBS, MSI et EXE.
SmashJacker, par exemple, installe une version piégée de 7-zip qui installe une extension malveillante sur le navigateur. En août 2023, Charcoal Stork a livré des fichiers EXE menant à des logiciels malveillants plus préoccupants comme VileRAT, un RAT (Remote Administration Tool) Python utilisé par DeathStalker.
Si vous souhaitez en savoir plus, notamment afin de détecter la présence de cet élément malveillant dans votre système d'information. Je vous invite à consulter la page dédiée à Charcoal Stork sur le site web de Red Canary.
Vous y trouverez des informations permettant d'identifier des éléments signatures (hash, lignes de commande, nom de fichiers) pouvant trahir sa présence.
La dernière section du document permet de lister les principales techniques d'attaque observées depuis fin 2023/début 2024. Ces techniques sont identifiées selon les TTP du framework d'attaque du MITRE : ATT&CK
Les techniques ciblant les systèmes d'exploitation Windows sont bien sûr en tête de liste, cela est en lien direct avec le fait qu'il s'agit d système le plus utilisé pour les postes utilisateur. On y retrouve donc les TTP liés à l'exécution de commande batch et PowerShell (présent dans 22.1% des cyberattaques observées !) ainsi que WMI (Windows Management Instrumentation).
Il est à noter la montée fulgurante du TTP Cloud Account, qui passe de la 46ᵉ place en 2022 à la 4ᵉ aujourd'hui. Cette technique (T1078.004 - Cloud Accounts) vise à utiliser des identifiants volés d'environnement Cloud pour réaliser un premier accès à une cible, mais aussi de la persistance, de l'élévation de privilège ou de l'évasion de défense.
Le Red Canary’s 2024 Threat Detection Report nous offre une analyse détaillée des tendances actuelles en matière de cybersécurité. Les données recueillies donnent des informations très importantes pour mieux protéger votre système d'information et votre entreprise.
Je vous recommande sa lecture (un peu longue certes, mais très instructive), si vous voulez avoir plus de détails et comprendre en profondeur les principales tendances des menaces en 2024 :
The post Quelles tendances des menaces en 2024 ? Réponse avec le rapport Red Canary ! first appeared on IT-Connect.
