OpenTofu, an open-source Terraform fork, announced the release of OpenTofu 1.7 with new features and improvements. Since version 1.6, the first stable release after the fork, over 100 community contributors and OpenTofu's core team joined hands to add the requested features, such as state encryption, provider-defined functions, loopable import blocks, and an improved CLI experience.
Dans ce tutoriel, nous allons voir comment bloquer les ports USB d’un poste de travail Windows pour empêcher un utilisateur de connecter des périphériques de stockage USB : clés USB, disques durs externes USB, etc... !
La restriction configurée dans cet article s'appliquera à un utilisateur, sur l'ordinateur auquel l'utilisateur a l’habitude de se connecter. La configuration sera effectuée via une stratégie de groupe locale, avec la console Microsoft Management Console (MMC) de Windows !
Pour un besoin de sécurité ou de confidentialité, le propriétaire ou le responsable d'un poste de travail ou d'un serveur, peut vous solliciter afin de bloquer l'accès à tout périphérique de stockage USB sur une machine. Nous pouvons citer plusieurs raisons : se protéger contre les éventuels virus pouvant s'exécuter suite à l'exécution d'un fichier, se protéger contre le vol de données de l'entreprise ou données personnelles, etc.
Cependant, si cette machine n’est pas sous l’autorité d’un contrôleur de domaine Active Directory (le propriétaire des lieux n’ayant certainement pas les moyens de s’en offrir, n'en a pas le besoin, ou n’y ayant certainement pas pensé) : comment faire pour y parvenir ?
Eh bien, nous allons répondre à cette problématique dans ce tutoriel ! Si vous travaillez en environnement Active Directory, vous pouvez consulter ce tutoriel :
Remarque : la méthode présentée dans ce tutoriel fonctionne sur les différentes versions de Windows, y compris Windows 10 et Windows 11. Elle fonctionne sur toutes les éditions, sauf Famille / Home (ceci implique des manipulations supplémentaires).
II. Mise en oeuvre des restrictions
A. Prérequis
D’abord, on crée un compte Administrateur local protégé par mot de passe sur le poste de travail (seul compte autorisé à exécuter des tâches d’administration sur le poste). Ensuite, on crée un compte utilisateur local (protégé ou pas en fonction de la demande du propriétaire du poste) et on met ce compte dans le groupe local "Utilisateurs".
Pour cet exercice, l’administrateur du poste de travail s’appellera "Admin", et l’utilisateur s’appellera "Consultation2a". N’oubliez pas de les remplacer à chaque fois par des noms d’utilisateurs qui sont propres à votre environnement.
Commençons par brancher le périphérique sur l'un des ports USB du poste de travail pour être sûr qu’on y a effectivement accès pour le moment, avant d’engager les opérations de restriction.
Accès au stockage USB avant la mise en place des restrictions, depuis le compte utilisateur :
Accès au stockage USB avant la mise en place des restrictions, depuis le compte Admin :
B. Blocage des ports USB pour le compte utilisateur (non-administrateur)
On se connecte ensuite avec le compte Admin, on ouvre la MMC par la barre de recherche du menu Démarrer de Windows. Sinon, l'alternative consiste à utiliser le raccourci clavier « Windows + R » afin de saisir « mmc » dans la fenêtre Exécuter. Puis, on valide avec « oui ».
Une fois la console ouverte, on clique sur « Fichier » puis sur «Ajouter/Supprimer un composant logiciel enfichable ».
Ensuite, on clique sur « Éditeur d’objet de stratégie de groupe », puis sur « Ajouter ».
Une nouvelle fenêtre s’ouvre et on poursuit en cliquant sur « Parcourir ».
Ici, on sélectionne l’utilisateur à restreindre par la stratégie (ici "Consultation2a") et on valide. Autrement dit, sélectionnez l'utilisateur qui ne doit pas pouvoir connecter de clés USB, disques externes, etc... sur la machine.
Une fois l’utilisateur sélectionné, on revient à la fenêtre précédente et on clique sur « Terminer ».
Enfin, on valide la stratégie.
On retourne à la fenêtre principale de la MMC pour démarrer la configuration de la stratégie comme suit :
Stratégie Ordinateur local/Consultation2a > Configuration utilisateur > Modèles d’administration > Système > Accès au stockage amovible
On peut désormais apercevoir les paramètres « Disques amovibles : refuser l’accès en écriture » et « Disques amovibles : refuser l’accès en écriture ».
On double-clique tour à tour sur les deux paramètres suscités pour les activer, puis valider comme sur les captures d’écran ci-dessous.
Nous bloquons l'accès en lecture :
Ainsi que l'accès en écriture :
Une fois terminé, on enregistre la stratégie sous un emplacement au choix et bien sûr sécurisé pour une utilisation ultérieure, au besoin.
Désormais, on doit tester la stratégie ! Donc, on applique la GPOvia une console CMD en exécutant la fameuse commande « gpupdate/force ».
C. Test de fonctionnement.
Une fois la stratégie appliquée, on voit qu’on a toujours accès aux dossiers et fichiers de la clé USB branchée sur le poste de travail lorsqu’on est connecté avec le compte Administrateur (Admin).
Ce qui n’est cependant plus le cas une fois qu’on est connecté à l’aide du compte utilisateur standard (Consultation2a). On peut le voir à travers le message d’erreur « G:\ n’est pas accessible, Accès refusé ». La restriction s'applique correctement !
III. Conclusion
On vient de voir comment bloquer l’accès (Lecture/Écriture) à un stockage USB à un utilisateur précis sur un poste de travail Windows multi-utilisateurs ! Nous avons atteint notre objectif grâce à la configuration de la stratégie de groupe locale, par l'intermédiaire de la console MMC (Microsoft Management Console) de Microsoft.
Cette solution est pratique pour des restrictions de sécurité lorsqu’on n’a pas assez de moyen pour s’installer un contrôleur de Domaine Active Directory sous Windows Server. Ceci est utile aussi sur un poste de travail isolé.
Cependant, elle est accessible par défaut sur les éditions actuellement sous le support de Windows en édition Professionnel et Enterprise (Windows 10 et Windows 11). Pour le cas de l’édition Familiale, par exemple, il faudra encore activer des paramètres supplémentaires pour avoir accès aux GPO (car la fonction n'est pas disponible nativement).
Un chercheur en sécurité a publié un exploit PoC pour la vulnérabilité CVE-2024-29855 présente dans Veeam Recovery Orchestrator ! En l'exploitant, un attaquant peut outrepasser l'authentification et devenir administrateur ! Faisons le point.
Associée à la référence CVE-2024-29855, cette faille de sécurité critique affecte la solution Veeam Recovery Orchestrator. Intégrée à la solution Veeam Data Platform, cette application sert à faciliter la restauration d'une infrastructure grâce à l'orchestration de tout le processus de restauration.
En exploitant cette vulnérabilité, un attaquant peut outrepasser l'authentification et accéder à l'interface Web de Veeam Recovery Orchestrator (VRO) avec des privilèges d'administrateur. Néanmoins, il y a un prérequis à respecter, comme l'explique Veeam dans son bulletin de sécurité publié le 10 juin 2024 : "L'attaquant doit connaître le nom d'utilisateur et le rôle exacts d'un compte disposant d'un jeton d'accès actif à l'interface Web de VRO pour réaliser le hijacking du compte."
Cette faiblesse est liée à un secret JSON codé en dur qui offre l'opportunité aux attaquants de générer des jetons JWT valides, pour n'importe quel utilisateur existant sur la plateforme, y compris les administrateurs.
Pour vous protéger de cette faille, vous devez utiliser l'une de ces versions (ou une future version supérieure) :
Bien qu'il soit nécessaire de connaître le nom d'utilisateur et le rôle exact de ce dernier pour exploiter la vulnérabilité, le rapport de Sina Kheirkha montre qu'il n'y a que 5 rôles différents. Voici la liste des rôles : DRSiteAdmin, DRPlanAuthor, DRPlanOperator, et SiteSetupOperator. De ce fait, le script d'exploitation va prendre un nom d'utilisateur et itérer sur la liste des rôles afin de rechercher une correspondance.
Source : Sina Kheirkha
Il donne également sa méthode pour tenter d'identifier un nom d'utilisateur valide : "Tout d'abord, le problème de "connaître le nom d'utilisateur" peut être résolu "en quelque sorte" avec la solution suivante, en supposant qu'il existe un utilisateur nommé [email protected], on peut trouver le nom de domaine en regardant le fichier CN du certificat SSL et le nom d'utilisateur peut être sprayed (attaque par pulvérisation), ce qui est un peu boiteux, mais c'est ce que nous avons pour l'instant.
L'exploit PoC étant désormais disponible et accessible à tous, la faille de sécurité CVE-2024-29855 est susceptible d'être exploitée par les cybercriminels dans le cadre d'attaques.
Il y a quelques jours, unexploit PoC pour la CVE-2024-29849 présente dans Veeam Backup Enterprise Manager a été publiée par ce même chercheur en sécurité.
Microsoft a pris la décision de supprimer la fonction Copilot GPT Builderaccessible aux utilisateurs qui ont souscrit à un abonnement Copilot Pro. L'IA de Microsoft va donc perdre une fonctionnalité importante ! Faisons le point.
Au sein de Microsoft Copilot, la fonctionnalité "GPT Copilot" permet à l'utilisateur de créer son IA personnalisée, ou son GPT personnalisé. Cette fonction permet de configurer le chatbot pour qu'il réponde à vos sollicitations en fonction d'un contexte spécifique ou de consignes que vous lui donnez, sans avoir à les répéter à chaque fois.
Dans un e-mail envoyé à ses abonnés, Microsoft a annoncé vouloir supprimer cette fonctionnalité et c'est un changement qui sera effectif dans moins d'un mois : "Nous allons supprimer Copilot GPT Builder de Copilot Pro à partir du 10 juillet 2024.", peut-on lire.
Non seulement il ne sera plus possible de créer de nouveaux GPT personnalisés, mais il sera plus possible non plus d'utiliser ceux déjà existants. Microsoft précise que vous pouvez effectuer une sauvegarde de la configuration de vos GPT : "Si vous avez créé des GPT Copilot, vous pouvez enregistrer ces instructions personnalisées."
Ce changement peut surprendre : la fonctionnalité est présente depuis seulement quelques mois et c'est l'un des avantages offerts à ceux qui disposent d'un abonnement Copilot Pro. Décidément, tout va très vite dans le domaine de l'IA. Pour se justifier, Microsoft explique vouloir se concentrer sur "différentes fonctionnalités basées sur l’IA qui améliorent Copilot Pro.", sans donner plus de précisions. L'entreprise américaine va certainement se concentrer sur l'intégration de Copilot avec Office, Windows et ses autres services, plutôt que sur le chatbot en lui-même. Une page de support avec une FAQ a été publiée suite à cette annonce.
À partir du 10 juillet 2024, le principal avantage de l'abonnement Copilot Pro, c'est de permettre d'utiliser Copilot dans les applications Office. Le prix de l'abonnement devrait rester à 22 euros par mois, même si une fonction importante est sur le point de disparaître.
Microsoft's newest release of PowerToys, a collection of sophisticated tools for Windows 10 and 11 users, introduces Advanced Paste. This feature leverages AI to transform copied content into a different format.
Dans cet article, je vous propose un ensemble d'outils et de ressources permettant d'évaluer et de tester la sécurité de votre système d'information. Mon objectif de fournir aux administrateurs système les principaux outils que je juge utiles et techniquement abordablespour réaliser cette tâche.
L'objectif de sécurisation de son système d'information peut paraitre abstrait ou lointain lorsque l'on ne se frotte pas quotidiennement à la cybersécurité, qui est devenue un métier à part entière de l'informatique au sens général. Néanmoins, chaque acteur du système d'information a son rôle à jouer au sujet de la cybersécurité, de manière plus ou moins forcée en fonction des budgets, tailles d'équipe ou autres contraintes spécifiques à chaque cas et entreprise.
L'idée de cet article est de vous fournir les premiers éléments de réponse et options à suivre pour vous lancer sur ce chemin, notamment si vous souhaitez ou devez ajouter une corde "cybersécurité" à votre arc sans pour autant devenir un expert à plein temps sur le sujet.
La connaissance de ces outils et ressources présentées dans cet article n'est, en soit, pas suffisante pour la réalisation d'un test d'intrusion ou d'une opération red team en bonne et due forme. En revanche, ceux-ci sont tout à fait maitrisables pour des administrateurs systèmes et réseau, et, utilisés de manière relativement standard, pourront déjà permettre de détecter et de corriger les vulnérabilités les plus visibles d'un système d'information.
Cette liste contient uniquement des outils gratuits ou utilisés dans leur version gratuite, pour plusieurs raisons, la principale étant la volonté de partager des solutions utiles et utilisables par tous.
II. Disclaimer
Quel que soit l'outil dont il est question, il est important d'être au fait qu'une simple exécution occasionnelle sans analyse précise ou capacité à interpréter les résultats ne sert à rien. Soyez bien clair sur plusieurs points :
Avant d'utiliser n'importe lequel de ces outils, il faut être certains de comprendre ce pour quoi il est fait, ce qu'il est capable de détecter, voire d'exploiter, et quelles sont ses limites (faux positifs, périmètre d'action). S'il y a une quelconque incompréhension de votre part concernant la description de l'outil et son fonctionnement global, c'est qu'il n'est pas encore temps de l'utiliser en conditions réelles.
Il est aussi important d'être capable d'interpréter les résultats de chacun de ces outils afin de comprendre ce qui est urgent, ce qui est incertain, ce qui est secondaire, etc. À ce titre, il faut être conscient de ses propres limites quant à leur utilisation et l'interprétation de leur résultat.
L'utilisation de ces outils peut ainsi être un premier pas vers une phase de diagnostic ou de contrôle routinier de la sécurité du système d'information. Cependant, elle ne peut pas être un substitut à l'analyse d'un expert en cybersécurité, qu'il soit interne ou externe à l'entreprise. Par exemple, l'utilisation avec les options "standard" ou "par défaut" peut vous faire passer à côté d'une vulnérabilité qui ne serait détectable qu'à travers une analyse approfondie, ou l'utilisation d'options plus avancées.
Il est donc important d'être en phase avec ces différents points pour éviter d'avoir un faux sentiment de sécurité. Cet avertissement étant fait, nous pouvons passer à la suite !
III. Ma liste d'outils pour sécuriser SI en tant qu'administrateur système
A. Scan réseau : nmap
nmap est la référence absolue des outils de scan réseau ! Il permet d'effectuer une reconnaissance et une cartographie du système d'information en découvrant les hôtes accessibles sur un réseau local ou distant ainsi que les services exposés. À ce titre, il permet également d'effectuer une analyse de cloisonnement pouvant exister entre deux réseaux en évaluant de manière pragmatique l'efficacité et l'exhaustivité d'une politique de filtrage.
L'utilisation de nmap peut donc permettre de voir si un hôte situé sur un réseau peut accéder aux services d'un autre hôte du réseau local ou sur un réseau distant. Voici, en exemple, une commande classique d'utilisation de nmap et les résultats d'un scan sur un hôte unique, visant à découvrir les services exposés et procéder à des premières actions d'énumération sur ceux-ci :
Utilisation classique et résultat d'un scan réseau nmap effectué sur un hôte du réseau.
On retrouve notamment différentes colonnes indiquant, dans l'ordre : le protocole et port scanné, son status (open/closed/filtered), le service correspondant et une éventuelle bannière indiquant la technologie utilisée et sa version lorsque les scripts nmap ont réussi à les identifier avec précision.
En plus de ces fonctionnalités principales, nmap possèdent également de nombreux modules sous forme de scripts qui permettent de détecter les types de services exposés (est-ce un service web, un service SSH ou RDP ? etc...), mais également leur version. Ces scripts, écrits en LUA et utilisables tels quels, permettent également d'effectuer un scan de vulnérabilité élémentaire, par exemple, en relevant la présence d'une version obsolète, d'une authentification anonyme ou la présence d'une configuration particulière vulnérable.
De manière élémentaire, nmap peut aider à répondre aux questions suivantes :
Pour un poste situé dans le réseau "utilisateur", combien de systèmes et services de mon système d'information lui sont accessibles ?
La politique de filtrage et de cloisonnement que j'ai définie est-elle implémentée telle qu'attendu ?
Si un attaquant prend le contrôle d'un poste de l'équipe RH, peut-il directement joindre mon serveur de sauvegarde ?
Existe-t-il des services exposés sur le réseau "serveurs" qui ne sont pas à jour ?
Y-a-t-il sur mon réseau des services SMB ou FTP accessibles en authentification anonyme ?
Enfin, celui-ci nécessite forcément des connaissances en systèmes et en réseau. C'est notamment le cas lorsqu'il s'agit de tester la bonne application d'une politique de filtrage réseau ou d'identifier les services exposés grâce à leur port (TCP/UDP). La sortie qu'il produit peut dans un premier temps paraitre non intuitive, mais le résultat est en fait assez claire, si l'on prend la peine de s'y familiariser.
Nuclei fait partie de mes outils préférés lorsqu'il s'agit de faire des scans web automatisés et de dégrossir l'analyse d'un grand nombre de cibles, principalement parce que j'apprécie son fonctionnement modulaire et le développement communautaire de ses templates de test. Il s'agit d'un scanner utilisant des modules écrit en Yaml écrit par la communauté.
Il est très simple d'utilisation et plutôt efficace. Son objectif est de vous permettre de scanner un ou plusieurs sites en effectuant un grand nombre de tests qui sont clairement définis. Ces tests, sous forme de module donc, sont majoritairement orientés autour :
de la détection de version et la présence de logiciels, plugins ou dépendances obsolètes.
de la présence de défaut de configuration, tels que le Directory Listing, l'absence d'options de sécurité sur les cookies, l'absence d'en-tête de sécurité au niveau du service web, etc.
la recherche de fichiers sensibles qui ne devraient pas être exposés, comme un fichier "docker-composer.yml" contenant un mot de passe, un fichier "phpinfo()", etc.
la découverte de CVE reposant sur des éléments de détection simples.
Voici un exemple d'utilisation de nuclei, qui peut aussi bien prendre en entrée un site web qu'un fichier contenant plusieurs centaines de domaines :
# Scanner un site web
nuclei -u https://www.monsiteweb.fr
# Scan les URL/domaine inscrits dans un fichier
nuclei --list /tmp/url.txt
Nuclei va faire une analyse en utilisant ses modules (appelés templates). Nous pouvons spécifier ceux que nous souhaitons utiliser via les options, ou laisser nuclei les choisir automatiquement en fonction de ses découvertes. Si nuclei détecte les traces du CMS WordPress, il va automatiquement exécuter tous les modules portant le tag "wordpress".
Voici un exemple d'utilisation d'un module. Nous souhaitons effectuer une vérification très précise sur toutes nos applications web exposées, en recherchant l'exposition d'un "PhpMyAdmin" :
C'est cette possibilité de pouvoir sélectionner précisément un test ou catégorie de test sur un site précis ou un grand ensemble de site qui le rend très pratique d'utilisation. Voici, par exemple, le cas d'utilisation de toute une catégorie de template permettant de rechercher les technologies à partir du contenu des pages web et des bannières. On spécifie ici une catégorie qui contient plus de 300 modules :
Utilisation des templates nuclei de découverte des techonologies sur plusieurs cibles.
Au delà des simples découvertes de bannières ou de fichiers, certaines catégories de modules sont orientées sur la découverte de CVE, voici un exemple :
Contenu d'un template nuclei visant à découvrir la CVE-2021-22205 sur un Gitlab.
Vous pourrez en apprendre plus sur les templates de test nuclei simplement en parcourant leur configuration Yaml : Github - Nuclei-templates
Il faut cependant être conscient de la limite des scans automatisés : ceux-ci sont très surfaciques et permettent uniquement de relever des vulnérabilités basiques. Ne vous attendez pas, par exemple, à découvrir une injection SQL ou un problème de cloisonnement des droits entre profils utilisateurs grâce à nuclei. Vous serez en revanche certain d'avoir des résultats et des éléments à corriger si vous exécutez ce genre de scan pour la première fois sur un SI qui n'a jamais été à l'épreuve d'une cyberattaque/d'un audit.
Dans la réalité d'un test d'intrusion ou d'une opération red team, les scans automatisés sont utilisés pour dégrossir le travail, repérer les cibles les plus faibles et avoir une première idée du niveau de sécurité global. Ils sont rarement, voir jamais utilisés dans le cadre de cyberattaques réelles pour des problématiques évidentes de discrétion.
C. Analyse des partages et permissions avec Snaffler
Snaffler est un exécutable Windows qui vise à automatiser la découverte des partages de fichiers des systèmes sur un domaine, puis la recherche d'informations sensibles dans ces partages. Ses règles par défaut, qui sont hautement personnalisables, sont orientées autour des fichiers techniques contenant des mots de passe, des configurations, des archives, crashdump, disques virtuels, etc. Tout type de fichier dans lequel un attaquant pourrait trouver des informations intéressantes.
C'est un outil très efficace qui ne manque jamais à remonter des informations intéressantes, tant la tâche de sécurisation et difficile à atteindre. Il permet notamment d'automatiser une tâche colossale : naviguer dans la totalité des partages de fichiers, dossiers et sous-dossiers d'un système d'informations. Exécuter régulièrement sur un système d'informations, en utilisant des comptes utilisateurs de privilèges différents, il permettra d'être un peu plus confiant sur l'absence d'informations sensibles dans les partages de fichiers, notamment ceux accessibles en lecture par tous les utilisateurs du domaine.
Voici un exemple de lancement de Snaffler et des premiers résultats qu'il peut afficher (Cliquez sur l'image pour zoomer) :
Exemple d'utilisation standard de Snaffler.
Dans cet exemple, on voit que Snaffler réalise dans un premier temps une énumération et recherche des partages de fichiers des systèmes de mon domaine, puis recherche des données sensibles à l'intérieur de ceux-ci. La dernière ligne (marquées en {Red}) est une trace typique de la découverte d'un mot de passe dans un script accessible dans le partage concerné.
D. Diagnostique et conformité de l'Active Directory avec PingCastle
PingCastle est un exécutable Windows orienté autour des vérifications de conformité et de bonnes pratiques de configuration de l'Active Directory, élément plus que central dans la sécurisation d'un système d'information. Dans son utilisation la plus commune, il permet de faire une analyse globale de la sécurité de l'AD suite une collecte d'informationautomatisée. Cette analyse porte notamment sur les utilisateurs, groupes, système d'exploitation, GPO, les permissions et appartenance aux groupes, mais aussi des éléments plus techniques comme la conformité à l'état de l'art concernant des paramètres bien précis :
Lors de l'analyse de la sécurité d'un système d'information, il s'agit réellement d'un incontournable sur le sujet. Une des grandes forces de l'outil est également son rapport, au format web, qui contient une notation globale, une catégorisation des points de vérification et faiblesses découvertes, ainsi que des recommandations et références externes qui permettent de mieux comprendre l'impact des faiblesses découvertes et le sens des recommandations proposées.
Son utilisation est, elle aussi, très simple, depuis un poste intégré au domaine, voici comment l'exécuter :
.\Pingcastle.exe --healthcheck
Comme vous le voyez dans la sortie ci-dessous, celui-ci va réaliser une collecte et une analyse des données de l'Active Directory. il produira ensuite un rapport HTML :
Exécution de PingCastle depuis un poste intégré au domaine.
Enfin, voici un exemple de résultat. Ce premier exemple vous montre la synthèse générale du niveau de risque du domaine déterminé par PingCastle à la suite de son analyse :
Synthèse de l'analyse menée par PingCastle dans son rapport HTML.
Ce second exemple vous expose le cas d'une vulnérabilité précise, avec notamment une description, un détail de l'impact, de la recommandation, des objets concernés :
Exemple de vulnérabilité rapportée et documentée par PingCastle.
Une bonne pratique consiste, par exemple, à réaliser une analyse tous les trimestres et de prendre en compte les recommandations proposées, en commençant bien sûr par les plus urgentes.
Pour aller plus loin dans la compréhension de ce très bon outil, je vous oriente vers nos articles sur le sujet, ainsi que vers Purple Knight qui est une alternative :
E. Recherche des chemins d'attaque dans l'Active Directory avec BloodHound
Bloodhound est une application web couplée à une base Neo4j qui permet de visualiser les relations qui existent entre les nombreux objetsd'un domaine (utilisateurs, groupes, ordinateurs, etc.) et d'y rechercher des chemins d'attaque. Il permet notamment de répondre à une complexité inhérente aux annuaires Active Directory, qui est la succession de relations qui peuvent exister entre plusieurs objets, par l'intermédiaire d'appartenance à des groupes, de présence de session sur un poste, de privilèges et ACL spécifiques, etc. Grâce à BloodHound, ces relations parfois très indirectes, mais bien existantes peuvent être identifiées et visualisées simplement. Voici un exemple :
Exemple de chemin d'attaque simple remonté par BloodHound.
Ce type de relation, qui permet de comprendre que l'utilisateur "[email protected]" est finalement membre du groupe "ADMINS DU DOMAINE" de façon indirecte, n'est pas aisée à visualiser, encore moins à découvrir à l'aide des outils natifs Microsoft. Dans la réalité, cela représente un chemin potentiel pour un attaquant, qui, ayant compromis le compte utilisateur initial, fini par obtenir le plus haut niveau de privilège au sein du domaine : Administrateur du domaine.
BloodHound est un outil puissant, initialement créé par des attaquants/pentesters, mais qui est très utile entre les mains des administrateurs de l'Active Directory une fois maitrisé. Il permet de découvrir des chemins d'attaque parfois complexes et insoupçonnés, notamment grâce à une nouvelle façon de parcourir, visualiser et rechercher dans les données (la théorie des graphes).
Dans les grandes lignes, BloodHound va se baser sur les données de l'Active Directory, que l'on devra collecter pour lui via un agent appelé Collecteur. Il va ensuite stocker ces données dans une base de données neo4j, utilisant le langage de base de données Cypher pour y appliquer des recherches et des filtres, et un front-end en Sigma.js/Go nous permettra de les afficher et de les manipuler. Voici un exemple plus complet et réaliste (cliquez sur l'image pour zoomer) :
Multiples chemins d'attaque remontés par BloodHound vers le groupe ADMINS DU DOMAINE.
Cette vue vous montre de nombreux chemins d'attaque avec des nœuds de différents types (OU, Ordinateur, Utilisateur) et des relations différentes entre ces nœuds (possibilité d'ajouté un membre, de changer un attribut, de lire les attributs sensibles, de se connecter en RDP, d'être propriétaire d'un autre objet, etc.).
L'idée à travers le partage de ces ressources est de vous fournir une liste de bases de connaissances utiles pour comprendre et interpréter les résultats fournis par les outils listés ci-dessus. Également, certaines d'entre elles pourront vous orienter vers les principaux tester à réaliser, ou vous fournir des éléments complémentaires de compréhension concernant les remédiations.
A. Active Directory Mindmap
Cette mindmap, que je vous conseille d'ouvrir localement avec le logiciel "Xmind", représente de manière très concrète la démarche globale et les différentes opérations classiques d'un attaquant. Elle a été conçue par des experts en cybersécurité et tests d'intrusion comme un pense-bête ou méthodologie pour la réalisation d'un test d'intrusion. Un test d'intrusion étant une prestation consistant à simuler une cyberattaque sur un système d'information d'entreprise, la démarche, les outils et les attaques menées sont très proches de la réalité.
Ainsi, suivre la lecture de cette mindmap vous donnera une idée de ce qui peut être tenté par les attaquants si vous n'êtes pas familier de la sécurité offensive, avec autant de points de sécurisation et de contrôle potentiels. Ce genre d'outil, fait pour les attaquants, présente l'avantage par rapport aux guides de bonnes pratiques de se baser uniquement sur actions réelles et concrètes.
Vue macro de l'Active Directory Mindmap d'Orange Cyberdéfense.
Pour une personne non experte en cybersécurité, cette mindmap peut être difficile à appréhender et à comprendre dans son ensemble. Mais, l'étudier permettra cependant de retrouver, pour partie, certains des outils exposés dans cet article ou des types de faiblesses et d'attaques que les outils de globaux de scan comme PingCastle, nuclei ou nmap peuvent identifier.
Exemple de tâche de cartographie et d'énumération provenant de la mindmap AD.
L'exemple ci-dessus vous montre une partie des tests réalisés en boite noire, c'est-à-dire sans compte sur le domaine et en étant uniquement connecté au réseau interne de l'entreprise. On y retrouve bien sûr l'utilisation de l'outil nmap pour la réalisation d'une cartographie du réseau.
Le framework ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) du MITRE est une base de connaissances des techniques d'attaque maintenue et mise à jour grâce aux observations et investigations des cyberattaques effectuées à travers le monde. Elle vise à fournir à tous un référentiel des opérations des attaquants afin de mieux les comprendre, les étudier, et s'en protéger.
Vous trouverez notamment dans cette base de données, un peu intimidante au début, de nombreuses informations sur ce qu'un attaquant est capable et susceptibles de réaliser comme attaque sur un système d'information :
Vue globale des TTP du framework MITRE ATT&CK.
Plusieurs des outils cités dans cet article utilisent notamment des références au MITRE ATT&CK et ses TTP (Tactics, Technics & Procedures, nom donné à chaque type d'attaque référencé) pour expliciter la menace que représente un défaut de configuration ou une autorisation trop permissive.
Voici un exemple de TTP, qui explicite l'attaque consiste à effectuer un brute force de mot de passe sur un compte utilisateur :
Description du TTP T1110.001.
Chaque TTP contient notamment une description, des outils susceptibles d'être utilisé, des exemples de groupes de cyberattaques réels ayant utilisé cette technique par le passé et une liste de recommandation pour se protéger et détecter l'opération en question :
Exemple de recommandations et techniques de détection du TTP 1110.001
Le référentiel de l'ANSSI sur les points de contrôle de l'Active Directory est également une très bonne ressource à connaitre pour évaluer la sécurité de son domaine.
En complément des outils d'analyse comme PingCastle et BloodHound, le contenu des recommandations proposées et leur priorisation permet d'avoir une base de travail pour analyse la sécurité de son Active Directory et expliciter certains points identifiés par les outils cités dans cet article :
Les différents points de contrôle y sont triés par priorité et accompagnés d'une recommandation pour vous orienter sur l'application des correctifs. Vous pourrez parfois faire un lien direct entre les points de contrôle PingCastle est ceux de l'ANSSI.
Nous avons fait le tour de ce que je considère être les principaux outils offensifs que les administrateurs système et réseau peuvent utiliser afin de prendre la température du niveau de sécurité de leur système d'information. Il en existe beaucoup d'autres, souvent plus complexes, mais maitriser ceux présentés ici vous fera certainement avancer dans le bon sens quant à la sécurité de votre système d'information et de votre domaine.
N'hésitez pas à utiliser les commentaires et le Discord pour partager votre avis !
Avis aux utilisateurs de smartphones Google Pixel : une faille de sécurité importante déjà exploitée au sein de cyberattaques a été corrigée par Google ! Voici ce qu'il faut savoir.
Google a mis en ligne un énorme patch de sécurité pour corriger près de 50 vulnérabilités dans le firmware de ses appareils Pixel. Elles viennent s'ajouter à celles corrigées dans Android. L'une de ces failles de sécurité mérite une attention particulière : la CVE-2024-32896. Considérée comme importante, elle permet d'effectuer une élévation de privilèges sur l'appareil Pixel.
Avant même que ce correctif soit mis en ligne par Google, elle aurait été exploitée en tant que faille zero-day par des cybercriminels. Dans le bulletin de sécurité publié par l'entreprise américaine, voici ce que nous pouvons lire : "Il semblerait que CVE-2024-32896 fasse l'objet d'une exploitation limitée et ciblée." - Comme à son habitude, Google n'a pas donné de précisions supplémentaires afin de protéger ses utilisateurs. Mais, cette phrase laisse entendre qu'il s'agirait d'attaques ciblées.
Le correctif de juin 2024 pour les appareils Pixel est déjà disponible et Google a commencé à le distribuer auprès de ses appareils. Bien entendu, les utilisateurs sont encouragés à installer cette mise à jour dès que possible : "Tous les appareils Google pris en charge recevront une mise à jour au niveau du correctif 2024-06-05. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils."
Bien que Google soit à l'origine des appareils Pixel et du système d'exploitation Android, il y a des mises à jour distinctes pour les deux produits. En effet, bien que les smartphones Pixel tournent sur Android, ils utilisent une plateforme matérielle spécifique à Google qui implique des correctifs dédiés. Que ce soit pour la sécurité ou les simples bugs.
Arm : une alerte du côté du GPU Mali
Par ailleurs, des chercheurs en sécurité ont émis une alerte au sujet d'une faille de sécurité présente dans le pilote du noyau du GPU Arm Mali. Associée à la référence CVE-2024-4610, cette vulnérabilité serait activement exploitée dans la nature. Vous pouvez retrouver le bulletin de sécurité sur cette page.
Enfin, voici les produits affectés :
Bifrost GPU Kernel Driver : toutes les versions de r34p0 à r40p0
Valhall GPU Kernel Driver : toutes les versions de r34p0 à r40p0
Un nouveau rapport de Symantec laisse entendre que le gang de ransomware Black Basta aurait exploité une faille de sécurité dans Windows avant même que celle-ci soit connue et corrigée par Microsoft. Elle facilite l'élévation de privilèges sur une machine Windows. Faisons le point !
Si vous n'avez pas installé les mises à jour Windows sur vos postes de travail et serveurs depuis plusieurs mois, cet article pourrait bien vous faire changer d'avis. La faille de sécurité CVE-2024-26169, corrigée par Microsoft le12 mars 2024 via le Patch Tuesday, aurait été exploitée en tant que zero-day par les cybercriminels de Black Basta.
Présente dans le service de signalement des erreurs de Windows (Windows Error Reporting Service), cette vulnérabilité permet à un attaquant d'élever ses privilèges en tant que "SYSTEM" sur une machine locale. C'est d'ailleurs précisé sur le site de Microsoft : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."
Une faille de sécurité exploitée par le ransomware Black Basta
Bien que Microsoft considère que cette faille de sécurité n'est pas exploitée par des pirates, le dernier rapport de Symantec affirme le contraire. D'ailleurs, voici la première phrase de ce rapport : "Certains éléments suggèrent que des attaquants liés à Black Basta ont compilé l'exploit CVE-2024-26169 avant la sortie du correctif" (de Microsoft).
Récemment, les experts de Symantec ont analysé un outil d'exploitation utilisé au sein de plusieurs cyberattaques. Tout porte à croire que cet outil a été compilé et exploité bien avant que le patch de Microsoft soit disponible.
Au-delà de son fonctionnement purement technique, ce qui est intrigant, ce sont les horodatages de compilation des deux versions de l'outil d'exploitation analysées par Symantec. Le premier est daté du 27 février 2024, tandis que le second a été compilé encore plus tôt, le 18 décembre 2023. Soit entre 14 et 85 jours avant la publication du correctif de sécurité de Microsoft !
Cet horodatage est modifiable, mais Symantec pense que ce n'a pas été le cas ici : "Toutefois, dans le cas présent, les auteurs de l'attaque ne semblent guère motivés pour modifier l'horodatage à une date antérieure.", peut-on lire.
Cet exploit a été utilisé pour compromettre des machines sous Windows par l'intermédiaire de la CVE-2024-26169. Pour se protéger, il est nécessaire de mettre à jour Windows : la vulnérabilité en question a été corrigée avec les mises à jour cumulatives de mars 2024. Elle affecte Windows et Windows Server.
Microsoft affirme que la fonctionnalité DirectAccess est obsolète et qu'elle sera supprimée d'une future version de Windows. À la place, vous devez vous orienter vers la fonctionnalité "Always on VPN". Faisons le point.
Introduite dans Windows 7 et Windows Server 2008 R2, la fonctionnalité DirectAccess offre la possibilité à une machine intégrée à un domaine Active Directory d'être constamment connectée au réseau de l'entreprise, sans utiliser une connexion VPN classique. Le successeur de cette fonctionnalité d'accès à distance est connu depuis plusieurs années : il s'agit de la fonction Always on VPN disponible depuis Windows Server 2016 et Windows 10. Elle est également prise en charge sur les dernières versions de Windows Server et Windows 11.
Fonctionnant sur le même principe que DirectAccess (connexion au réseau de l'entreprise toujours active), Always on VPN est plus flexible et plus sécurisé puisque cette fonctionnalité prend en charge le MFA pour l'authentification, ainsi que divers protocoles VPN pour sécuriser les échanges (IKEv2, SSTP). De plus, Always on VPN présente la particularité de pouvoir être utilisé aussi bien par des machines intégrées au domaine Active Directory, que celles qui ne le sont pas.
Il y a quelques heures, Microsoft a ajouté DirectAccess à la liste des fonctionnalités obsolètes de Windows. Sur le site de l'entreprise américaine, voici ce que nous pouvons lire : "DirectAccess est obsolète et sera supprimé dans une prochaine version de Windows. Nous recommandons de migrer de DirectAccess vers Always On VPN."
Comment migrer de DirectAccess à Always on VPN ?
La documentation de Microsoft contient un guide spécial pour vous accompagner et vous conseiller dans la migration de DirectAccess vers Always on VPN. La firme de Redmond recommande aux organisations de déployer Always on VPN en parallèle de DirectAccess pour effectuer une transition en douceur.
Pour le moment, nous ne savons pas quand DirectAccess sera retiré de Windows... Aucune date n'est fournie par Microsoft. Mais, il est préférable d'anticiper ce changement pour éviter une interruption de service sur les accès distants.
Istio is an open-source service mesh that controls how microservices share data, often integrated with Kubernetes to manage traffic and communication between services, but also capable of working with other deployment environments. It provides various functionalities such as traffic control, security measures (encryption, authentication, etc.), and monitoring. Recently, the introduction of Istio version 1.22 unveiled many interesting features, including an alternative for sidecar proxies, integration with Gateway API, incremental xDS for configuration distribution, and several other improvements.
Dans cet article, nous allons nous intéresser aux attaques par brute force qui peuvent être menées sur les comptes utilisateurs d'un Active Directory, d’une application web ou de tout autre service réseau.
Nous verrons en quoi consistent ces attaques et quel est le but recherché par l'attaquant, nous parcourrons les différents types de brute force qui existent et peuvent être exploités lors d'une cyberattaque en fonction de l’objectif et du niveau de discrétion recherchés. Nous aborderons enfin les principales mesures à prendre pour s'en protéger.
II. Qu'est-ce qu'une attaque par brute force ?
Une attaque par brute force, appelée aussi "bruteforce attack" ou attaque par force brute, consiste pour un attaquant à tenter d’obtenir les identifiants d’un compte utilisateur en essayant une multitude de mots de passe sur un même login. Une telle attaque se caractérise surtout par le nombre d’essais que l’attaquant va réaliser afin de tenter de compromettre un compte. Le plus souvent, il va utiliser des dictionnaires de mots de passe (appelés “wordlist”), composés de plusieurs milliers ou millions de lignes, chacune étant un mot de passe potentiel.
Dans le cadre d'une cyberattaque, l'attaquant va utiliser le brute force afin de compromettre facilement des comptes utilisateurs qui possèdent un mot de passe faible. Cette opération peut être menée en tant que première étape d'une intrusion (par exemple, sur les services de l'entreprise exposés sur Internet) ou alors en visant des services internes à l'entreprise après une première compromission.
Un “identifiant” étant composé d’un login (nom d'utilisateur) et d’un mot de passe, le fait de connaître le login est déjà une information intéressante pour un attaquant, puisqu’il va déjà être en possession de 50% de l’information nécessaire à la compromission d’un compte.
Plus concrètement pour compromettre le compte ayant le login "admin", un attaquant va essayer le couple “admin : password”, puis “admin : admin”, puis “admin : superMDP123!”, etc. Pour qu’une attaque digne de ce nom soit menée, l’attaquant automatisera le processus grâce à des programmes conçus pour ce genre d’opérations et adaptés au contexte (application web, service SSH, SMB, etc.), lui permettant de réitérer son opération d'authentification rapidement et sans effort.
Imaginez avoir en énorme trousseau de clés en main et une serrure verrouillée en face de vous. Le fait de tester toutes les clés une à une est précisément la définition d'un brute force.
Certains outils permettent aujourd’hui de tenter des milliers de combinaisons par seconde depuis un simple ordinateur. Parmi ces outils, on peut notamment citer “hydra”, “netexec” ou “metasploit”.
Le brute force est une technique d’attaque connue et fréquemment utilisée. Elle est référencée dans le framework MITRE ATT&CK sous le TTP T1110 :
Cette page vous permettra notamment de trouver de nombreux cas réels d’utilisation du brute force dans des attaques étatiques ou d’envergures :
Par exemple, les attaques par brute force font partie de la méthodologie du groupe APT29 (groupe d’espionnage affilié à la Russie et ciblant les pays de l’OTAN) d’après le framework MITRE ATT&CK :
III. Les différents types d’attaques par brute force
A. Le brute force "classique"
La plupart du temps, une attaque par brute force va cibler plusieurs comptes utilisateur, cela afin de maximiser les chances de trouver un compte ayant un mot de passe faible. L’attaquant disposera alors d’une wordlist de login (vérifiés ou potentiels) et d’une wordlist de mots de passe. Il va donc tenter chaque combinaison “login : mot de passe” :
Dans les faits, les attaque par brute force peuvent cibler tout service ou application utilisant le login et le mot de passe comme facteurs d’authentification et étant insuffisamment protégé. Cela concerna donc aussi bien les applications web et leur page de login classique, les services SSH ou encore au sein d’un système d’information l’Active Directory, qui propose à lui seul de nombreux services permettant une authentification (Kerberos, SMB, RPC, LDAP, WinRM, RDP, etc.) et joue, entre autres, le rôle d'autorité d'authentification au sein d'un domaine.
Il faut ici se représenter le nombre de tentatives d’authentification que génère ce type d’attaque. Si je dispose d’une liste de 100 logins sur lesquels je souhaite tester 20 000 mots de passe. Cela signifie que mon attaque va générer 2 millions de tentatives d’authentification.
Pour être plus précis, ce type de brute force est décrit le framework MITRE ATT&CK en tant que "Bruteforce: password guessing", car l'on tente de deviner le mot de passe d'un utilisateur de façon agressive :
Il existe également des cas où l’attaquant va vouloir cibler un compte bien identifié, on parle alors d’attaque ciblée. Ce cas de figure s’observe notamment quand l’attaquant a identifié un compte particulièrement sensible ou hautement privilégié.
Également, ces attaques sont utilisées lorsque les services ou applications utilisent encore un compte d’administration par défaut. Par exemple, le compte “admin” d’une application web qui est le premier compte existant sur toutes les instances de celle-ci. On peut également mentionner le compte “administrateur/administrator” dans les environnements Windows (local ou au niveau du domaine).
Lors d’une attaque par brute force ciblée, l’attaquant ne va cibler qu’un seul (ou un nombre réduit) compte utilisateur, mais toujours utiliser un dictionnaire de mot de passe. Il mise alors sur le fait que ce compte précis possède un mot de passe faible, présent dans sa wordlist :
Ce type d’attaque génère naturellement moins de requêtes (cela dépend toujours du dictionnaire de mot de passe utilisé), mais n’en est pas moins efficace si le compte ciblé possède effectivement un mot de passe faible. Voici la démonstration d’une attaque par brute force ciblée sur un service SMB dans un environnement Windows Active Directory, le compte ciblé est toujours le même “IT-CONNCET.TECH\KATY_CRAFT”, mais le mot de passe change à chaque essai :
émonstration d’une attaque par brute force sur un service SMB via “netexec”
Comme vous le voyez dans cet exemple, l’outil utilisé va tenter plusieurs mots de passe et cibler le compte “IT-CONNECT.TECH\KATY_CRAFT”, jusqu’à trouver la bonne combinaison.
C. Le password spraying
Un troisième type d’attaque par brute force existe et est notamment utilisée dans le cadre des intrusions en environnement Active Directory : le password spraying.
Cette attaque consiste à tenter de s’authentifier sur de multiples comptes à l’aide d’un seul mot de passe (ou une liste très réduite de mots de passe). Le cas le plus parlant est celui où l’attaquant parvient à obtenir le fameux “premier mot de passe par défaut” qu’un administrateur peut assigner à chaque nouvel utilisateur et qu’il doit changer au plus vite, un mot de passe en général très complexe tel que “Bienvenue01.” ou “ChangezMoi!”.
En tombant sur de tels mots de passe, un attaquant peut se dire que d’autres comptes, nouvellement créés ou jamais utilisés, ont également ce mot de passe, il va donc tenter de s’authentifier sur chaque compte de l’Active Directory avec celui-ci.
Pour un attaquant, le password spraying possède un grand avantage : il évite le blocage de compte.
En effet, par défaut, certains mécanismes sont présents en environnement Active Directoy (et aussi sur certains services et applications web) et consistent à verrouiller temporairement un compte utilisateur ayant subi de trop nombreuses tentatives d’authentification infructueuses. Dès lors, les attaques de type brute force classique vont avoir pour effet de bloquer tous les comptes, ce qui bloquera l'attaque, mais perturbera les utilisateurs, et donc lèvera l’alerte.
Via le password spraying, aucun risque de blocage. Cette opération va donc utiliser un dictionnaire d’utilisateurs là où l’attaque par brute force classique va utiliser un dictionnaire de mots de passe.
Pour une description plus formelle, je vous oriente vers le TTP du MITRE dédié à ce type d’attaque :
Bien sûr, d’autres méthodologies plus subtiles existent dans ce contexte des attaques par brute force. Il existe, par exemple, des listes de login “communs” qui sont susceptibles d’être présents sur tous les gros Active Directory d’entreprise. Un ensemble de listes que j’utilise fréquemment et qui donne de bons résultats est situé sur ce dépôt Github :
Si vous avez déjà travaillé sur de gros Active Directory, il y a fort à parier que des comptes avec des logins tels que ceux-ci existent dans votre Active Directory :
svc-backup
ldapsvc
formateur
accueil
imprimante
scan
etc.
Dès lors, et sans connaissance d’aucun login valide, un attaquant peut utiliser ce genre de dictionnaire pour tenter des attaques en “user as pass”, c’est-à-dire ciblant des comptes qui ont un login “commun” ainsi qu’un mot de passe égal à leur login (exemple “scan:scan”).
Dans ces cas de figure, l’attaquant tente un mot de passe par login également, mais avec un mot de passe “différent” (car dépendant du login utilisé).
Cela peut paraître totalement absurde, mais c’est loin d’être rare et c’est généralement un moyen très rapide et simple d’obtenir un premier accès authentifié à un Active Directory. On peut également retrouver ce type d’opérations dans un contexte web visant des services et applications/frameworks connus. Il existe, par exemple, des listes de couples login/mot de passe connus pour l’accès à un Tomcat Manager qui serait un peu trop exposé, ou d'autres contenant des identifiants fréquemment utilisés pour les services SSH (“root:root”, “root:toor”, etc.)
IV. Où l’attaquant trouve-t-il des mots de passe ?
On peut naturellement se poser la question de la provenance des dictionnaires de mots de passe utilisés par les attaquants lors d’un brute force. Comment l’attaquant choisit les mots de passe qu’il va tenter ?
Nous avons vu qu'une attaque par brute force, l’attaquant se constitue donc une liste de logins à partir de différentes sources, puis il utilisera des dictionnaires de mots de passe déjà constitués. Ces dictionnaires de mots de passe sont la plupart du temps récupérés publiquement. Il existe des dépôts GitHub publics qui référencent de nombreuses wordlist, la plupart étant issues :
D’un travail de référencement des mots de passe par défaut d’application web, d’équipements en tout genre (switch, routeur) ou de services (mssql, mysql, etc.).
De fuites de données dont le contenu finit par être publié sur Internet (cas de l’entreprise Rockyou, dont la fuite de données à entrainé la création d'une wordlist contenant 14 344 391 mots de passe).
Voici, en exemple, l’un des dépôt GitHub les plus connus :
D'autres sources de liste de mots de passe existent, dont certaines totalement illégales. On peut notamment mentionner les sites qui proposent l'achat du contenu des fuites de données récentes.
Pour des attaques plus précises, l’attaquant peut lui-même construire sa propre wordlist en fonction de son contexte d’attaque. Il utilisera alors une base de mots probables (nom de l’entreprise, nom et numéro de département) ainsi que des outils comme "hashcat" ou "johntheripper", qui permettent de construire des dérivés de mots de passe ("IT-Connect" deviendra "IT-C0nnect", "IT-Connect01!", "ItConnect2024!", etc.) à partir d’une liste initiale. Voici un exemple :
Exemple de permutations faites sur un mot afin de construire une liste mot de passe.
V. Comment se protéger d'une attaque par brute force ?
A. Politique de mot de passe
La première et principale mesure à prendre afin de se protéger des attaques par bruteforce est de renforcer la robustesse de tous les mots de passe. Il convient de mettre en place une politique de mot de passe robuste afin de limiter les chances de succès d’une attaque par brute force basée sur des mots de passe triviaux. Plus les mots de passe sont longs et aléatoires, moins un attaquant aura de chance de les découvrir via ce type d’attaque.
Je vous oriente vers le guide de l’ANSSI sur le sujet pour définir une politique de mot de passe efficace :
En plus des éléments habituels que sont la longueur, la complexité et le nombre d’alphabets utilisés, la politique doit aussi s’assurer que, dans son mot de passe, l’utilisateur n’utilise pas de mots issus d’informations “publiques” (son nom, nom d’un proche, nom de l’entreprise, d’un projet, région, lieu de vacances de l’année dernière…). Pour cela, différentes techniques et outils existent en fonction des contextes. On peut notamment citer :
Il peut aussi être envisagé des contrôles d’entropie, notamment dans le cadre d’application web.
Attention, il ne faut pas oublier que la politique de mot de passe doit être appliquée à la création d’un compte, mais aussi lors des phases de changement de mot de passe.
B. Politique de verrouillage/quota
Nous avons vu que la politique de verrouillage a aussi son importance. Celle-ci permet de définir le seuil de verrouillage d’un compte, mais aussi la durée du verrouillage et la fenêtre de temps observation.
Grâce à ces paramètres, il est possible de grandement ralentir l’opération de l’attaquant, voire de le détecter si un pic de verrouillage de compte est observé. Attention toutefois aux effets de bords (blocage d’un grand nombre de comptes utilisateur). À nouveau, je vous invite à lire notre article sur le sujet :
Ces politiques de verrouillage de compte peuvent parfois plutôt prendre la forme d’un quota ou d’un bannissement temporaire d’IP. C’est notamment le cas pour les applications web exposées sur Internet. Dans de tels cas, un attaquant pourrait très facilement exploiter la politique de verrouillage des comptes afin de bloquer temporairement ou définitivement (en fonction de sévérité de la politique) les comptes utilisateurs de la plateforme visée.
Il est, en effet, tout à fait envisageable pour un attaquant d’atteindre le seuil de verrouillage pour un compte qu’il sait existant sur l’application web visée afin de rendre indisponible l’application pour le ou les utilisateurs ciblés. Puis, de recommencer son opération de blocage dès que le verrouillage aura expiré, entraînant de fait un déni de service.
Pour empêcher cette exploitation du seuil de verrouillage, il est en général préféré de bannir l’adresse IP de l’attaquant ou de n’autoriser une même adresse IP à faire uniquement quelques requêtes d’authentification par minute.
C. Authentification multifacteurs
La troisième principale méthode pour se protéger des attaques par brute force est de faire en sorte que la connaissance du mot de passe ne suffise pas à se connecter à un compte. On y ajoutera alors un second facteur d’authentification, comme un OTP (One Time Password) envoyé par SMS, e-mail ou via une application spécialisée sur smartphone.
En fonction de la réponse du service visé, l’attaquant pourra certainement savoir si le mot de passe tenté est correct (redirection vers la phase “second facteur”), mais cette information ne sera pas suffisante pour compromettre les comptes ciblés.
Pour aller plus loin, je vous recommande vivement de consulter l’excellent document de l’ANSSI à ce sujet :
Dans cet article, nous avons vu ce que sont les attaques par brute force et dans quel but elles sont utilisées lors d’une cyberattaque, que ce soit dans un environnement Active Directory, une application web ou tout autre service réseau dont la sécurité repose sur le couple login/mot de passe.
Nous avons également vu les principaux moyens de protection des comptes utilisateurs contre ces attaques. Pour aller plus loin, il faudrait s’intéresser au moyen de détection d’une telle attaque, mais cela dépend beaucoup de l’environnement ciblé et sera différent, qu’il s’agisse d’un service SSH isolé, d’une application web, ou d’une opération ciblant les comptes d’un Active Directory.
Dans tous les cas, un élément commun sera à utiliser : les journaux d’évènements, leur bonne configuration, leur centralisation et leur surveillance active !
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
La commande winsat (Windows System Assessment Tool) est un outil intégré à Windows qui permet d’évaluer les performances de différents composants matériels du système, tels que le processeur, la mémoire, le disque dur, et la carte graphique. Il a été introduit pour la première fois dans Windows Vista et est inclus dans toutes les nouvelles versions de Windows depuis lors, y compris Windows 10 et Windows 11. Le fichier exécutable de l’outil, winsat.exe, se trouve dans le dossier system32 du dossier System32.
Dans ce tutoriel, je vous apprends à utiliser la commande winsat avec de nombreux exemples.
Quelle est la syntaxe de winsat
Winsat doit être exécuté depuis un utilisateur appartenant au groupe Administrateurs local (ou équivalent). De plus, vous devez utiliser une invite de commandes en administrateur.
Voici la syntaxe de la commande :
Winsat <évaluation> <paramètres>
Winsat peut effectuer plusieurs évaluations, chacune avec ses propres paramètres. Les principales évaluations que l’outil peut effectuer sont énumérées ci-dessous.
Evaluations
Description
formal
Effectue une évaluation complète
cpu
Teste du processeur
mem
teste la mémoire
disk
teste les dispositifs de stockage connectés
d3d
évalue les capacités d’application Direct 3D
media
test des capacités des médias
mfmedia
Évaluation de Windows Media Foundation
features
Exécute l’évaluation des caractéristiques
dwm
Exécute l’évaluation du gestionnaire de bureau Windows
prepop
Résultats d’évaluation WinSAT pré-populsés
Les tests de performances de winsat
Vous pouvez adjoindre des options et paramètres liés à l’évaluation. Voici aussi les paramètres globaux qui fonctionnent pour tous les tests.
Paramètres
Description
-v
Envoyer une sortie verbeuse à STDOUT, y compris des informations sur l’état et la progression. Les erreurs éventuelles seront également écrites dans la fenêtre de commande.
-xml <file name>
Enregistre le résultat de l’évaluation dans le fichier XML spécifié. Si le fichier spécifié existe déjà, il sera écrasé.
-idiskinfo
Enregistrer les informations sur les volumes physiques et les disques logiques dans la section de la sortie XML.
-iguid
Créer un identifiant unique global (GUID) dans le fichier de sortie XML.
-note “note text”
Ajouter le texte de la note à la section du fichier de sortie XML.
-icn
Inclure le nom de l’ordinateur local dans le fichier de sortie XML.
-eef
Énumère des informations supplémentaires sur le système dans le fichier de sortie XML.
Paramètres optionnels
Après avoir exécuté les commandes winsat, les résultats sont généralement stockés dans un fichier XML situé dans le répertoire C:\Windows\Performance\WinSAT\DataStore. Vous pouvez consulter ces fichiers pour obtenir des informations détaillées sur les performances de chaque composant testé.
A noter que l’utilitaire est aussi capable d’énumèrer les informations pertinentes sur le système avec l’option features :
winsat features
Comment utiliser winsat
Évaluer les performances du disque dur
winsat disk -drive c
Ces résultats donnent une indication sur les performances de lecture et d’écriture du disque dur. Vous pouvez analyser ces résultats pour comprendre comment différents aspects de votre disque dur se comportent sous différentes charges de travail.
Pour évaluer les performances d’écriture d’E/S séquentiels sur le lecteur C:, utilisez l’option -seq :
winsat disk -seq -write -drive d:
Avec l’option -ran, vous pouvez évaluer les performances d’écriture d’E/S aléatoires sur le lecteur C: :
winsat disk -ran -write -drive c
Paramètres
Description
-flush
Évalue les performances du disque en mode « flush » de la politique d’écriture. Ne peut être utilisé en combinaison avec -seq, -ran, -write ou -read.
-seq
Évalue les performances des entrées-sorties séquentielles. Ne peut être utilisé en combinaison avec -ran ou -flush.
-ran
Évalue les performances des entrées-sorties aléatoires. Ne peut être utilisé en combinaison avec -seq ou -flush.
-read
Évalue les performances de lecture. Ne peut être utilisé en combinaison avec -write ou -flush.
-write
Évalue les performances en écriture. Ne peut être utilisé en combinaison avec -read ou -flush.
-n <disk identification number>
Identifie par le numéro d’identification du disque physique le disque qui doit être évalué. Ne peut être utilisé en combinaison avec -drive.
-drive <drive letter>
Identifie par lettre de lecteur le disque qui doit être évalué. Ne peut être utilisé en combinaison avec -n.
Paramètres obligatoires
Paramètres
Description
-count <1-50>
Spécifiez le nombre d’itérations à effectuer. La valeur par défaut est 1.
-iocount <256-5000>
Indiquez le nombre d’opérations d’entrée-sortie qui seront effectuées pour l’évaluation. La valeur par défaut est 256.
-seqsize <65536-1048576>
Spécifier la taille des IO qui seront émises pour une évaluation séquentielle des IO en octets. La valeur par défaut est 65536. Les valeurs supérieures à 1 Mo utiliseront 1 Mo. Les valeurs qui ne sont pas alignées sur un secteur seront arrondies à la baisse pour être alignées sur un secteur, sauf si la valeur est inférieure à un secteur, auquel cas elle sera arrondie à la taille du secteur.
-ransize <16384-1048576>
Spécifier la taille des IO qui seront émises pour une évaluation aléatoire des IO en octets. La valeur par défaut est 16384. Les valeurs supérieures à 1 Mo utiliseront 1 Mo. Les valeurs qui ne sont pas alignées sur un secteur seront arrondies à la baisse pour être alignées sur un secteur, sauf si la valeur est inférieure à un secteur, auquel cas elle sera arrondie à la taille du secteur.
-v
Envoyer une sortie verbeuse à STDOUT, y compris des informations sur l’état et la progression. Les erreurs éventuelles seront également écrites dans la fenêtre de commande.
-xml <file name>
Enregistre le résultat de l’évaluation dans le fichier XML spécifié. Si le fichier spécifié existe déjà, il sera écrasé.
-idiskinfo
Enregistrer les informations sur les volumes physiques et les disques logiques dans la section de la sortie XML.
-iguid
Créer un identifiant unique global (GUID) dans le fichier de sortie XML.
-note “note text”
Ajouter le texte de la note à la section du fichier de sortie XML.
-icn
Inclure le nom de l’ordinateur local dans le fichier de sortie XML.
-eef
Énumère des informations supplémentaires sur le système dans le fichier de sortie XML.
Paramètres optionnels
Évaluer les performances du processeur
Évalue les performances du ou des processeurs en utilisant le cryptage et le décryptage ou la compression et la décompression. Vous devez spécifier le type de test.
Pour effectuer une évaluation à l’aide d’une compression Lempel-Zev :
winsat cpu -compression
Pour effectuer une évaluation à l’aide d’un chiffrement AES 256 bits :
winsat cpu -encryption
Paramètres
Description
-encryption
Effectuez la sous-évaluation du cryptage et du décryptage en utilisant des algorithmes cryptographiques AES 256 bits.
-encryption2
Exécutez la sous-évaluation du chiffrement et du déchiffrement en calculant un hachage SHA1.
-compression
Effectuez la sous-évaluation de la compression et de la décompression à l’aide d’un algorithme de Lempel-Zev.
-compression2
Exécutez la sous-évaluation de la compression et de la décompression à l’aide d’un algorithme de compression interne de Microsoft. Il s’agit du même algorithme que celui utilisé pour compresser le fichier d’hibernation et avec les technologies ReadyBoost et ReadyDrive.
Paramètres obligatoires
Paramètres
Description
-buffersize <n>
Définir la taille de la mémoire tampon pour l’évaluation. La taille minimale est de 4 K. La taille maximale est de 2 Mo. La valeur par défaut est de 16 Ko.
-data <file name>
Indiquer un fichier à charger dans la mémoire tampon en vue de son utilisation dans l’évaluation. Le fichier par défaut utilisé si aucun n’est spécifié est %SystemRoot%\system32\shell32.dll
-nbr <n>
Indiquer le nombre de régions tampons utilisées dans l’évaluation. La valeur par défaut est de 16 régions.
-brs <n>
Spécifier la taille des régions tampons utilisées dans l’évaluation.
Paramètres facultatifs
Évaluer les performances de la mémoire
Teste la largeur de bande de la mémoire du système d’une manière qui reflète les grandes copies de mémoire à mémoire tampon, telles qu’elles sont utilisées dans le traitement multimédia.
winsat mem
Pour exécuter l’évaluation pendant au moins 4 secondes et pas plus de 12 secondes, en utilisant une taille de mémoire tampon de 32 Mo et en enregistrant les résultats au format XML dans le fichier memtest.xml :
winsat mem -mint 4.0 -maxt 12.0 -buffersize 32MB -xml memtest.xml
Paramètres
Description
-up
Forcez le test de mémoire avec un seul thread. La valeur par défaut consiste à exécuter un thread par processeur physique ou cœur.
-rn
Spécifiez que les threads de l’évaluation doivent s’exécuter à une priorité normale. La valeur par défaut équivaut à une exécution à la priorité 15.
-nc
Spécifie que l’évaluation doit allouer de la mémoire et la marquer comme non mise en cache. Cet indicateur signifie que les caches du processeur sont ignorés pour les opérations de copie. La valeur par défaut équivaut à une exécution dans l’espace mis en cache.
-do <n>
Spécifie la distance, en octets, entre la fin de la mémoire tampon source et le début de la mémoire tampon de destination. La valeur par défaut est 64 octets. Le décalage de destination maximal autorisé est de 16 Mo. La spécification d’un décalage de destination non valide entraîne une erreur. Remarque : Zéro est une valeur valide pour <n>, mais pas les nombres négatifs.
-mint <n>
Spécifiez la durée d’exécution minimale en secondes de l’évaluation. La valeur par défaut est 2.0. La valeur minimale est 1.0. La valeur maximale est 30,0. Remarque : La spécification d’une valeur de -mint supérieure à la valeur -maxt quand les deux paramètres sont utilisés en combinaison entraîne une erreur.
-maxt <n>
Spécifiez la durée d’exécution maximale en secondes de l’évaluation. La valeur par défaut est 5.0. La valeur minimale est 1.0. La valeur maximale est 30.0. Si elle est utilisée en combinaison avec le paramètre -mint, l’évaluation commence à opérer des vérifications statistiques périodiques de ses résultats après la période spécifiée dans -mint. Si les vérifications statistiques réussissent, l’évaluation se termine avant l’expiration de la période spécifiée dans -maxt. Si l’évaluation s’exécute sur toute la durée de la période spécifiée dans -maxt sans satisfaire aux vérifications statistiques, l’évaluation se termine à ce moment-là et retourne les résultats qu’elle a collectés.
-buffersize <n>
Spécifiez la taille de mémoire tampon que le test de copie de mémoire doit utiliser. Le double de cette quantité sera alloué par processeur, ce qui détermine la quantité de données copiées d’une mémoire tampon vers une autre. La valeur par défaut est fixée à 16 Mo. Cette valeur est arrondie à la limite de 4 Ko la plus proche. La valeur maximale est de 32 Mo. La valeur minimale est 4 Ko. La spécification d’une taille de mémoire tampon non valide entraîne une erreur.
Évaluer les performances de la carte graphique pour Aero
Ce test simule les opérations de composition du Desktop Window Manager et produit une mesure du débit de la mémoire graphique (bande passante) en corrélation avec les performances de la composition du bureau.
winsat dwm
Paramètres
Description
-normalw <n>
Spécifie le nombre de textures utilisées pour représenter les fenêtres normales dans la simulation. Requis lorsque d’autres paramètres sont spécifiés.
-glassw <n>
Spécifiez le nombre de textures utilisées pour représenter les fenêtres en verre dans la simulation.
-time <n>
Indique en secondes la durée de l’évaluation. Obligatoire lorsque d’autres paramètres sont spécifiés.
-winwidth <n>
Spécifiez la largeur de la fenêtre en pixels. La valeur par défaut est 500.
-winheight <n>
Spécifiez la hauteur de la fenêtre en pixels. La valeur par défaut est 500.
-noupdate
Appeler le verrouillage et le déverrouillage de chaque fenêtre, mais ignorer la mise à jour de chaque pixel par l’unité centrale.
-nodisp
Spécifier que l’évaluation est dessinée sur une surface hors écran, de sorte que l’évaluation n’est pas visible pendant qu’elle est en cours d’exécution.
-nolock
Ignorer le verrouillage et le déverrouillage pour toutes les fenêtres. Cela signifie qu’il n’y a pas d’animation de fenêtre et que l’évaluation est entièrement liée au remplissage.
-width <n>
Spécifiez la largeur du bureau (écran) en pixels pour l’évaluation. La valeur par défaut est 1024.
-height <n>
Spécifiez la hauteur du bureau (écran) en pixels pour l’évaluation. La valeur par défaut est 768.
-fullscreen
Indique que le périphérique D3D doit être créé en mode plein écran. Par défaut, le périphérique D3D est créé en mode fenêtré.
Évaluer les performances de la carte graphique pour Direct3D
Évalue la capacité d’un système à exécuter des applications basées sur la technologie D3D, telles que les jeux :
winsat d3d
Vous pouvez spécifier la version de DirectX 10 ou DirectX 9 :
Winsat d3d -dx10
Winsat d3d -dx9
L’exemple suivant évalue les performances avec 20 sphères totales et 10 textures rendues à l’aide du shader alu, sans alpha blending du tampon arrière et en mode plein écran, pendant 10 secondes, en envoyant une sortie verbeuse sur stdout.
Les primitives utilisées dans l’évaluation sont des sphères. Le paramètre spécifie la quantification thêta et phi. L’augmentation de ce nombre entraîne un traitement plus important du shader. Plage de valeurs : [2, 180/taille du lot]
-sradius
Spécifie le rayon des sphères. Un rayon plus petit réduira le nombre de pixels dessinés pour cette sphère tout en gardant l’overhead de cette sphère constant. Plage de valeurs : [0.01, 8]
-totalobj
Nombre total de sphères dans la scène. Un grand nombre d’objets, combiné à une petite taille d’objet, donne une évaluation limitée au lot. Plage de valeurs : [0, 8]
-texw -texh
Largeur et hauteur des textures créées par l’évaluation sous la forme d’une puissance de 2. Plage de valeurs : [1, 12]
-totaltex
Nombre total de textures que WinSAT va créer. Si le nombre de textures est inférieur au nombre total d’objets nécessitant une texture, WinSAT réutilisera les textures de la scène. S’il y a plus de textures requises dans la scène, WinSAT itère sur la liste en utilisant autant de textures que nécessaire pour cette image. Cela signifie que toutes les textures seront finalement utilisées. Plage de valeurs : [0, 8]
-texpobj
Il s’agit du nombre de textures nécessaires au rendu de chaque sphère. Plage de valeurs : [0, 16]
-batchcnt
L’existence de lots importants réduit le temps de travail du conducteur et tend à limiter le taux de remplissage de l’application. À l’inverse, l’existence de nombreux petits lots entraîne une augmentation des frais généraux du conducteur. Plage de valeurs : [1, TotalObjs]
-time
Nombre de secondes nécessaires à l’exécution de l’évaluation. Plage de valeurs : [5, 8]
-out
Spécifie le chemin d’accès à un fichier dans lequel enregistrer les résultats ainsi que les arguments de WinSAT. Plage : string
-width -height
Largeur et hauteur de la fenêtre dans laquelle l’application s’exécute. Sous XP, il s’agit de la résolution de l’écran ; sous Vista, elle sera similaire, mais ne fonctionnera pas en mode exclusif. Plage : [256, 8] pour le mode fenêtré et les résolutions d’écran prises en charge par la carte pour le mode plein écran.
-vs <profile>
Force l’utilisation d’un profil de nuanceur de vertex particulier. L’évaluation n’est pas garantie de fonctionner correctement lorsqu’elle est forcée d’utiliser un modèle de nuanceur particulier.
-ps <profile>
Force l’utilisateur à utiliser un profil de nuanceur de pixels particulier. L’évaluation n’est pas garantie de fonctionner correctement lorsqu’elle est forcée d’utiliser un modèle de nuanceur particulier.
-fps <n>
En mode plein écran, limite la fréquence de rafraîchissement (images par seconde) à la fréquence la plus proche prise en charge par la carte.
-rendertotex <n>
Rendu en texture flottante . Simule un rendu de texture hors écran en plusieurs étapes. WinSAT passe par le nombre spécifié de cibles de rendu.
-rtdelta <n>
Lors d’un rendu avec des cibles de rendu, le delta définit jusqu’où l’évaluation ira dans le tampon circulaire de la cible de rendu pour définir une cible de rendu précédente en tant que texture. La valeur par défaut est 1.
-fullscreen
Spécifie que le périphérique D3D doit être créé en mode plein écran.
-noalpha
Désactive le mélange alpha du tampon arrière.
-NoDisp
Définit la fenêtre comme « non visible » afin que l’évaluation dessine sur une surface hors écran.
-texshader
Utilisez le shader de texture qui échantillonne jusqu’à 16 textures et les additionne au lieu du shader simple par défaut.
-alushader
Utilisez le shader alu qui charge jusqu’à deux textures et calcule une formule d’éclairage intensive au lieu du shader simple par défaut.
-fixedseed
Il s’agit d’ensemencer rand avec un nombre fixe afin d’effectuer plusieurs fois la même évaluation.
-nozwarming
Désactive le réchauffement du tampon z utilisé pour rendre les résultats cohérents pour les évaluations non alpha.
-ref
Force la rastérisation logicielle de l’évaluation. Cette option peut réduire la vitesse de l’évaluation.
-noetw
Désactive la traçabilité de l’ETW. Utilisez cette option si vous avez l’intention d’effectuer votre propre enregistrement ETW et que vous ne voulez pas que l’enregistrement s’arrête lorsque l’évaluation s’exécute.
-noclear
Désactive l’appel à l’effacement dans la fonction OnFrameRender.
Evaluer les performances du décodage vidéo
Pour évaluer les performances du décodage vidéo à l’aide du cadre de la Media Foundation.
winsat media
Évaluer les performances du décodage vidéo à l’aide du cadre de la Media Foundation :
winsat mfmedia
Paramètres
Description
-input <file name>
Obligatoire : Indiquez le fichier contenant le clip vidéo à lire ou à encoder. Le fichier peut être dans n’importe quel format pouvant être rendu par DirectShow.
-dumpgraph
Indiquer que le graphique de filtrage doit être enregistré dans un fichier compatible avec GraphEdit avant le début de l’évaluation.
-ns
Spécifier que le graphique filtrant doit s’exécuter à la vitesse de lecture normale du fichier d’entrée. Par défaut, le graphique filtrant s’exécute aussi vite que possible, sans tenir compte des temps de présentation.
-show
Lancer l’évaluation en mode décodage et afficher le contenu du fichier spécifié dans -input dans une fenêtre. Par défaut, l’évaluation n’affiche aucune fenêtre visible.
-play
Exécute l’évaluation en mode décodage et lit tout contenu audio fourni dans le fichier spécifié dans -input en utilisant le périphérique DirectSound par défaut. Par défaut, la lecture audio est désactivée.
-encode <PRX profile file name>
Réencode le contenu décodé du fichier spécifié dans -input à l’aide du codec Windows Media. Nom du fichier de profil PRX est le nom d’un fichier contenant le profil PRX qui configure l’encodeur. Ce profil est créé à l’aide de l’application Windows Media Profile Editor dans le jeu d’outils Windows Media Encoder.
Exécuter une évaluation complète du système
Vous pouvez aussi évaluer le système au complet en effectuant une série de test de performances. Pour cela, utilisez la commande suivante :
winsat formal
Le paramètre formel exécute un test complet de tous les composants de votre ordinateur et enregistre les résultats dans un fichier XML situé dans ce dossier : Windows/Performance/Winsat/DataStore Vous devez donc disposer d’un éditeur de fichiers XML
Comment visualiser les scores de performances de votre ordinateur
Vous pouvez consulter le fichier et voir les performances de votre ordinateur. De nouveau, à l’invite PowerShell (Admin) (figure C), saisissez l’une des commandes suivantes :
Mardi 11 juin 2024, Microsoft a mis en ligne la mise à jour KB5039212pour son système d'exploitation Windows 11 23H2 ! Cette mise à jour corrige des bugs et elle apporte aussi son lot de nouveautés. Faisons le point !
Les nouveautés de juin 2024 pour Windows 11
Cette nouvelle mise à jour pour Windows 11 ajoute un ensemble de nouvelles fonctionnalités, dont voici la liste :
Fonctionnalité de Partage Windows : cette mise à jour ajoute une fonctionnalité qui vous empêche de fermer accidentellement la fenêtre de partage de Windows. Cliquer en dehors de la fenêtre ne la fermera plus, il sera nécessaire de cliquer sur le bouton "X" en haut à droite de la fenêtre.
Barre d'adresse de l'Explorateur de fichiers : vous pouvez désormais utiliser votre souris pour faire un glisser-déposer de fichiers entre l'Explorateur et les différents répertoires présents dans le chemin de la barre d'adresse ("fils d'Ariane de la barre d'adresse").
Gestion du compte Microsoft : cette mise à jour ajoute une nouvelle section appelée "Appareils liés" dans les paramètres de Windows, au sein de la gestion du comte. Sur cette page, vous pouvez gérer vos PC et consoles Xbox. Cette nouveauté ne s'affichera que sur les éditions Famille et Pro de Windows 11, lorsque vous vous connectez au PC à l'aide d'un compte Microsoft (MSA).
Nouveau gestionnaire de comptes dans le menu Démarrer : lorsque vous utilisez un compte Microsoft pour vous connecter à Windows, vous aurez un aperçu des avantages de votre compte. Cette fonctionnalité facilite également la gestion des paramètres de votre compte.
Création de QR code : vous pouvez désormais créer des QR codes pour les URL de pages web et les fichiers Cloud à partir de la fenêtre de partage de Windows.
Sauvegarde Windows : Windows sauvegarde désormais la plupart de vos paramètres sonores / audio, à condition d'activer l'option de sauvegarde des préférences dans les paramètres du système (Paramètres > Comptes > Sauvegarde Windows). Vous pouvez ensuite utiliser l'application "Sauvegarde Windows" pour restaurer ces paramètres sur un nouvel appareil.
Application Sauvegarde Windows : grâce à cette mise à jour, vous pouvez vous connecter avec votre compte Microsoft dans l'application "Sauvegarde Windows".
Partage Windows par e-mail : vous pouvez désormais vous effectuer un partage par e-mail à partir de la fenêtre de partage de Windows. Vous recevrez l'e-mail à l'adresse e-mail qui se trouve dans votre compte Microsoft.
Ajout d'une adresse e-mail de récupération à son compte Microsoft : cette mise à jour lance le déploiement d'un bouton "Ajouter maintenant" dans la section "Paramètres > Compte". Il permet d'ajouter une adresse e-mail de récupération si vous n'en avez pas encore ajouté une à votre compte Microsoft.
L'ensemble de ces nouveautés seront activées progressivement auprès des utilisateurs de Windows 11, après avoir activé la mise à jour.
Quels sont les bugs corrigés par Microsoft ?
Microsoft a corrigé deux bugs associés au processus lsass.exe de Windows, ainsi que d'autres bugs dont ceux-ci mis en avant :
Résolution d'un problème qui peut empêcher votre système de sortir de la veille prolongée. Ce problème survient après l'activation de BitLocker.
Résolution d'un problème affectant l'Explorateur de fichiers de Windows, ce dernier ne répond plus lorsque vous effectuez un balayage (swipe) à partir d'un bord de l'écran.
Résolution d'un problème de déformation de certaines parties de l'écran. Ce problème survient lorsque vous utilisez un navigateur basé sur Chromium pour lire une vidéo (Google Chrome, Microsoft Edge, etc.).
Résolution d'un problème affectant les casques audio Bluetooth Low Energy (LE). Ils n'affichent pas l'option de connexion ou de déconnexion.
Résolution d'un dysfonctionnement lié à l'image de profil de votre compte. Lorsque vous essayez de la modifier, vous pouvez obtenir un message d'erreur avec le code "0x80070520".
Résolution d'un problème qui affecte l'Explorateur de fichiers. Le démarrage peut prendre jusqu'à deux minutes lorsque vous épinglez à l'accès rapide un dossier se trouvant sur un partage réseau. Ce problème spécifique est lié à la mise à niveau de Windows 11 version 21H2 à Windows 11 version 22H2.
Pour en savoir plus sur les autres modifications, consultez cette page du site officiel.
De plus, Microsoft a corrigé des failles de sécurité dans Windows à l'occasion de la sortie de son Patch Tuesday. Pour approfondir le sujet, voici nos articles sur le dernier Patch Tuesday ainsi que sur la mise à jour Windows 10 :
Sur Windows 11 23H2, suite à l'installation de cette mise à jour, le numéro de version du système passera sur "22631.3737".
Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.
Mardi 11 juin 2024, Microsoft a publié la mise à jour KB5039211 pour les ordinateurs sous Windows 10 22H2 et Windows 10 21H2 ! C'est l'occasion de faire le point sur les changements apportés par cette mise à jour !
Cette nouvelle mise à jour cumulative obligatoire publiée par Microsoft inclut 12 changements. Elle corrige différents bugs et ajoute une fonctionnalité.
Nouvelle fonctionnalité pour l'Outil capture d'écran (Snipping Tool)
Une nouveauté attend les utilisateurs de l'Outil capture d'écran de Windows 10. Désormais, une nouvelle fonctionnalité permet de modifier des images prises sur votre appareil Android directement dans Windows.
Pour profiter de cette nouveauté, vous devez bien entendu lier votre smartphone à votre PC avec la fonction "Mobile connecté" de Windows. "Votre PC recevra une mise à jour Cross Device Experience Host dans le Microsoft Store. Cette mise à jour est nécessaire pour que la fonctionnalité fonctionne.", précise Microsoft sur cette page. De plus, cette fonctionnalité est déployée progressivement auprès des utilisateurs.
Les changements principaux opérés par Microsoft
Voici les quelques changements mis en avant par Microsoft sur son site, pour cette nouvelle mise à jour :
Cette mise à jour résout un problème d'affichage avec les fenêtres cachées. Sa barre de titre n'a pas de contenu. Ce problème survient lorsque vous partagez votre écran à l'aide de certaines applications.
Cette mise à jour corrige un problème affectant le bouton "Partager" sur les contrôleurs USB. Il se peut qu'il ne fonctionne pas avec la Game Bar de Windows.
Cette mise à jour corrige un problème affectant lsass.exe, où le processus ne répond plus. Cela se produit après l'installation des mises à jour de sécurité d'avril 2024 sur les serveurs Windows.
Cette mise à jour corrige un problème affectant lsass.exe, qui donne lieu à une fuite de mémoire. Cela se produit lors d'un appel LSARPC (Local Security Authority (Domain Policy) Remote Protocol).
Par ailleurs, la correction de ce bug pourrait intéresser certains utilisateurs :
Cette mise à jour résout un problème qui affecte les comptes Microsoft Entra ID. Les appareils Windows ne peuvent pas en authentifier un second. Ce problème survient après l'installation de la mise à jour de Windows, datée du 13 novembre 2023.
Pour en savoir plus sur les dernières failles de sécurité corrigées et la mise à jour pour Windows 11, vous pouvez lire ces articles :
Depuis le mardi 11 juin 2024, plusieurs versions de Windows 10 21H2 ne sont plus prises en charge par Microsoft et viennent de recevoir leur dernière mise à jour. Enterprise, Enterprise multi-session et Education.
Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.
Le Patch Tuesday de Juin 2024 a été publié par Microsoft ! Il inclut des correctifs de sécurité pour 51 vulnérabilités ainsi qu'une faille de sécurité zero-day déjà connue avant la publication de ce patch. Faisons le point.
Ce mardi 11 juin 2024, Microsoft a publié un Patch Tuesday relativement léger en comparaison des mois précédents. L'entreprise américaine a corrigé des failles de sécurité dans plusieurs services Azure (Monitor, File Sync, etc.), mais aussi dans la suite Office (Outlook, Word, notamment), dans Visual Studio, le rôle Serveur DHCP, dans la fonction DFS, ainsi que dans différents composants de Windows y compris le noyau du système d'exploitation.
Pour en savoir plus sur les mises à jour pour Windows 10 et Windows 11 :
Une seule faille de sécurité critique : CVE-2024-30080
Ce Patch Tuesday corrige une seule faille de sécurité critique, associée à la référence CVE-2024-30080, présente dans Microsoft Message Queuing (MSMQ).
Elle permet une exécution de code à distance, comme l'explique Microsoft : "Pour exploiter cette vulnérabilité, un attaquant doit envoyer un paquet MSMQ malveillant spécialement conçu à un serveur MSMQ. Cela pourrait entraîner l'exécution de code à distance du côté du serveur." - Le service de Message Queuing écoute sur le port 1801/TCP lorsqu'il est actif sur une machine.
Elle affecte Windows 10, Windows 11 ainsi que toutes les versions de Windows Server à partir de Windows Server 2008.
CVE-2023-50868 - DNSSEC : déni de service sur les serveurs DNS
Déjà connue publiquement, la faille de sécurité CVE-2023-50868 n'est pas exploitée dans le cadre de cyberattaques (à ce jour). Il s'agit d'une vulnérabilité présente dans DNSSEC et plus précisément dans le mécanisme NSEC3 (utilisé pour les preuves de non-existence d'un enregistrement DNS). En exploitant cette faiblesse, un attaquant peut causer un déni de service grâce à l'augmentation de la charge CPU sur la machine ciblée, en l'occurrence un résolveur DNS.
Cette vulnérabilité affecte Windows Server 2012 et les versions supérieures, y compris les installations en mode "Core", où le rôle de serveur DNS est installé. En fait, cette faille de sécurité n'est pas liée à Windows Server mais à DNSSEC, donc les autres implémentations de serveurs DNS, y compris sur Linux, sont affectées. Pour en savoir plus, vous pouvez consulter cette page.
Comme moi vous utilisez Ycast pour profiter des radios gratuitement sur votre ampli de salon Yamaha (et pas que). J'utilise ycast en tant que service sur mon Raspberry Pi (Debian 11).
J'ai enfin résolu le problème de mon service ycast qui démarrait trop tôt. Pas réussi avec systemd (malgré l'attente de dispo du réseau) donc j'ai corrigé le script python. Je partage le fix ASAP
Problème : quand mon Raspberry Pi démarre le service Ycast est bien lancé mais ne fonctionne pas si je ne relance pas le service (ycast).
Voyons comment régler le problème.
La cause du problème
J'ai un peu galéré à comprendre pourquoi ce fichu service ycast démarrait sans pour autant avoir de démon en écoute. Jusqu'à ce que je me rende compte que le service démarre avant la stack réseau. Donc le script python n'arrive pas à ouvrir le port qui permettra à l'ampli de s'y connecter.
J'ai testé plusieurs pistes : la modification du fichier ycast.service pour ajouter une condition de démarrage (réseau), ça ne marchait pas. J'ai essayé d'ajouter un sleep de plusieurs secondes pour temporiser le lancement du service : pareil (et ce n'est pas propre).
Finalement je me suis tourné vers le code Python. Ne connaissant pas trop python je me suis aidé de ChatGPT et j'ai réussi à quelque chose de fonctionnel.
J'ai trouvé un fix
Pour vérifier que la connexion réseau fonctionne bien j'ai ajouté un ping vers un serveur DNS de Google (8.8.8.8).
C'est un choix discutable et je l'ai fait pour 2 raisons :
cette adresse répond rapidement au ping de partout (tant que Google le permet)
si internet ne fonctionne pas alors les webradios non plus
En bref dans mon cas ça fait le job.
Ce n'est pas l'idéal, et vous pouvez mettre l'IP interne de votre routeur/box/passerelle si c'est plus judicieux pour vous. Par exemple si vous souhaitez que ycast démarre même si vous avez une coupure de connexion internet au moment ou il se lance.
Ce chemin varie suivant la version de Python installée sur votre machine, à vous d'adapter.
Attention: si vous faites une mise à jour ycast à l'aide de pip3 il faudra remettre le patch car il est conçu pour la version 1.1.0 de ycast. Oui bon, je n'allais pas créer un module python forké... et l'auteur ne semble pas hyper ouvert aux PR.
Conclusion
Depuis que j'ai corrigé ce petit bug je n'ai plus été embêté par les reboots de mon RPI. Le service Ycast démarre bien
Je me suis rendu compte d'un autre souci de démarrage : le service nginx sur mon routeur Tomato. J'ai également trouvé et publié la solution dans le post original (cherchez "màj 06.2024). Mais c'est un bug propre à Tomato, si vous utilisez autre chose vous n'êtes pas concerné.
Le gang de ransomware TellYouThePass exploite activement la faille de sécurité critique découverte dans PHP ! Grâce à cette vulnérabilité, ils peuvent déployer un webshell et l'utiliser pour exécuter un payload pour chiffrer les données du système compromis ! Faisons le point sur cette menace.
Depuis quelques jours, une faille de sécurité critique présente dans PHP et associée à la référence CVE-2024-4577 a été divulguée et corrigée par les mainteneurs du projet PHP. Présente dans toutes les versions de PHP à partir de la version 5.X, et jusqu'aux branches les plus récentes, cette vulnérabilité permet une exécution de code à distance lorsque PHP est utilisé sur Windows. Si vous souhaitez en savoir plus, retrouvez notre article à ce sujet : PHP - CVE-2024-4577.
Le 6 juin 2024, de nouvelles versions de PHP ont été publiées pour corriger cette vulnérabilité. Moins de 48 heures plus tard, le gang de ransomware TellYouThePass a commencé à lancer ses premières attaques ! D'ailleurs, ce n'est pas la première fois que ce gang de ransomware se montre très réactif pour tenter d'exploiter les vulnérabilités présentes sur les services Web. C'était déjà le cas avec une précédente vulnérabilité dans Apache ActiveMQ ainsi que la fameuse faille de sécurité dans Log4j.
Les chercheurs en sécurité d'Imperva ont mis en ligne un nouveau rapport pour évoquer cette campagne de cyberattaques menée par TellYouThePass. "Les attaquants ont utilisé l'exploit connu pour la CVE-2024-3577 afin d'exécuter un code PHP arbitraire sur le système cible, en s'appuyant sur le code pour utiliser la fonction "system" afin d'exécuter un fichier d'application HTML hébergé sur un serveur web contrôlé par l'attaquant via le binaire mshta.exe.", peut-on lire.
Source : Imperva
Une fois que la souche malveillante est en place, elle envoie une requête HTTP au serveur C2 des cybercriminels pour notifier l'infection. Afin d'échapper aux systèmes de détection, cette requête se fait passer pour une demande de récupération de ressources CSS. Au passage, l'adresse IP du serveur C2 semble codée en dur dans l'échantillon analysé par les chercheurs en sécurité : 88[.]218.76.13.
L'étape finale : l'exécution du ransomware TellYouThePass
La dernière étape consiste à exécuter le ransomware TellYouThePass sur la machine compromise. Autrement dit, sur le serveur Web Windows compromis par l'intermédiaire de PHP.
Le logiciel malveillant commence par énumérer les répertoires avant de tuer différents processus et de générer les clés de chiffrement afin de commencer à chiffrer les données de la machine. Ceci inclut notamment les données de l'application Web.
Pour finir, une note de rançon représentée par le fichier "READ_ME10.html" est déposée sur la machine, à la racine du répertoire web.
Protégez-vous de cette vulnérabilité dès que possible. D'après un rapport de Censys, en date du 9 juin 2024, il y avait 458 800 serveurs exposés sur Internet et potentiellement vulnérables à cette faille de sécurité.
Toujours à l'occasion de son 21ème anniversaire, Geekom propose une réduction de 180 euros sur le mini PC Geekom XT12 Pro ! Un modèle très bien équipé ! Voici ce qu'il faut savoir sur ce bon plan.
La série de mini PC "XT" de chez Geekom vise l'excellence avec un design très soigné et une fiche technique très solide basée sur une architecture Intel. Ces modèles sont équipés d'un processeur puissant, d'une quantité importante de mémoire vive ainsi que d'une connectique très riche.
Découvrez aussi cette offre sur le modèle Geekom Air 12 :
Avec le code "itc180xt12" à utiliser sur la boutique officielle de Geekom, obtenez 180 euros de réduction immédiate sur le mini PC Geekom XT12 Pro ! Résultat, grâce à cette offre, son prix passe de 779,00 euros à 599,00 euros ! De plus, vous avez le droit à une garantie de 3 ans du constructeur !
Le colis sera expédié directement depuis l'Europe (Allemagne), ce qui vous assure une livraison en quelques jours seulement. Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.
Les caractéristiques du modèle Geekom XT12 Pro
Le Geekom XT12 Pro a fait l'objet d'un test complet sur IT-Connect, ce qui vous donnera l'occasion d'en savoir plus sur son design, ses performances, et ses caractéristiques :
Sachez qu'il est équipé d'un processeur Intel Core i9-12900H(14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,00 GHz), de 32 Go de RAM (DDR4) et 1 To de SSD NVMe (Gen4). La RAM peut être augmentée jusqu'à 64 Go, et il y a un emplacement disponible pour ajouter un second SSD (SATA).
Il bénéficie d'une connectique très complète avec un total de 6 ports USB dont 2 ports USB4 (norme la plus récente à ce jour !), ainsi qu'une interface réseau 2.5 GbE, 2 ports HDMI 2.0, et même un lecteur de carte SD ! Il prend en charge jusqu'à 4 écrans simultanément grâce à sa connectique complète.
Le Geekom XT12 Pro est livré avec le système d'exploitation Windows 11 Pro, que vous pouvez remplacer bien entendu. Vous pouvez installer un hyperviseur, par exemple, si vous souhaitez transformer ce mini PC en serveur pour la maison.
À l'occasion de son événement WWDC24, Apple a dévoilé un gestionnaire de mots de passe disponible pour les OS Apple et même Windows ! Faisons le point sur cette annonce !
Depuis plusieurs heures, Apple fait la une de l'actualité suite à l'annonce de sa fonction d'IA baptisée "Apple Intelligence" permettant d'accéder à ChatGPT depuis un iPhone, un iPad ou un Mac. Mais, ce n'est pas la seule nouveauté dévoilée par Apple à l'occasion de la keynote WWDC24.
Lors de la présentation de macOS 15 Sequoia, Apple a dévoilé une nouvelle application tout simplement baptisée "Mots de passe". Comme son nom le laisse penser, il s'agit d'un gestionnaire de mots de passe. Les utilisateurs d'Apple auront le droit à un gestionnaire de mots de passe développé par la firme de Cupertino en elle-même, ce qui pourrait leur permettre de ne plus utiliser LastPass, Bitwarden, 1Password, etc...
Même s'il reste beaucoup à découvrir au sujet du gestionnaire de mots de passe d'Apple, ce dernier semble prometteur. Lors de cette conférence, Apple a présenté son application à partir d'une capture d'écran qui montre qu'il sera capable de gérer les passkeys (ou clés d'accès), les codes de vérification et les informations de connexion aux réseaux Wi-Fi. Bien entendu, il permettra de stocker aussi des identifiants (nom d'utilisateur + mot de passe).
Il y aura aussi une fonction de création de groupe pour faciliter le partage de certains mots de passe ou secrets enregistrés dans votre coffre-fort de mots de passe. De plus, l'application d'Apple pourra vous alerter si vous utilisez un mot de passe trop faible ou déjà compromis.
Un gestionnaire de mots de passe Apple multiplateforme
Le gestionnaire de mots de passe d'Apple sera disponible sur Mac, iPhone, iPad et aussi avec le casque Vision Pro. En effet, il sera compatible avec macOS 15, iOS 18, iPadOS 18 et le système visionOS. Cela ne s'arrête pas là puisqu'il sera disponible sur Windows via l'application iCloud.
Cette application devrait être gratuite, bien que cela reste à confirmer. Il est certain qu'elle devrait faire de l'ombre aux gestionnaires de mots de passe actuels, et elle devrait avoir du succès auprès des utilisateurs de produits Apple.
Connexion
